Первоначальный этап расследования неправомерного доступа к компьютерной информации

· журналы учета работы на компьютере, листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и т.п. документация.

При осмотре документов особое внимание следует обращать на подчистки и исправления в тексте, дополнительные записи; отсутствие либо нарушение нумерации страниц, а также вклеенные страницы, листки, бланки; распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; несоответствия ведущихся в системе форм регистрации правилам, установленным технической и технологической документацией.

В процессе осмотра необходимо помнить о соблюдении элементарных правил обращения с вычислительной техникой, а при изъятии отдельных устройств вычислительной техники и носителей компьютерной информации соблюдать правила их упаковки и транспортировки.

Особо следует остановиться на осмотре лог-файлов. Логи не являются непосредственным источником доказательств Собецкий И.В. О доказательственном значении лог-файлов // «Security Lab», 25 июля, 2003. URL: http://www.securitylab.ru/analytics/216291.php (дата обращения - 12.02.2010).. В качестве посредника выступает мнение специалиста, облекаемое в законную процессуальную форму, или заключение эксперта.

Доказательственная сила логов базируется на корректности и неизменности Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 198-210.. Эти два свойства должны соблюдаться при следующих событиях: корректности фиксации событий и генерации записей в генерирующую программу, неизменность при передаче записей от генерирующей к логирующей программе Lonvick C. RFC-3164 «The BSD syslog Protocol» - 2001 // URL: http://www.rfc-editor.org/rfc/rfc3164.txt (дата обращения - 12.02.2010)., корректность обработки записей в логирующей программе, неизменность при хранении логов до момента изъятия, корректность процедуры исследования, неизменность при хранении после изъятия до осмотра или передачи на экспертизу, корректность интерпретации логов. При несоблюдении одного действия, лог перестает быть доказательством.

Процедура приобщения логов к доказательствам следующая: следователь со специалистом в присутствии представителя, обслуживающего провайдер, и двух понятых проводит осмотр содержимого сервера. При этом используются штатные программные и аппаратные средства. Составляется протокол, в котором отражается характеристика сервера, версия ОС, состояние генерирующей и логирующей программы, наличие файлов с логами, их временные метки, права доступа к лог-файлам, учетные записи пользователей, имеющих права на запись в лог-файлы. Нужные записи из логов выбираются, распечатываются на принтере, на диск копируются все осмотренные логи, который опечатывается и отправляется на экспертизу, и все это прилагается к протоколу осмотра. Все листы протокола подписываются участниками осмотра.

Стоит заметить, что операторы связи небрежно относятся к хранению логов, хотя это их обязанность. При возникновении инцидента многие из них ссылаются на незнание правил сбережения логов. В связи с этим необходимо ввести административную ответственность операторов связи за ненадлежащее исполнение своих обязанностей вплоть до отзыва лицензии.

Обыск и выемка в отличие от осмотра места происшествия производятся только по возбужденному уголовному делу. Кроме того, если при осмотре фиксируется состояние места происшествия с изъятием обнаруженных следов и предметов, то при обыске и выемке идет поиск и изымаются конкретные предметы и документы, имеющие доказательственное значение по делу, а также ценности, добытые преступным путем (ст. ст. 182, 183 УПК РФ).

Применительно к ст. 272 УК РФ обыск и выемка производятся, когда имеются сведения о лицах, причастных к совершению преступления, способах, средствах или месте преступного посягательства с использованием компьютерных технологий и вероятном местонахождении доказательств. Тактика проведения обыска и выемки при расследовании преступления по ст. 272 УК РФ имеет свои особенности. Это обусловлено не только умышленным уничтожением информации, имеющей доказательственное значение, еще не выявленными соучастниками преступления либо иными заинтересованными лицами среди персонала по месту работы подозреваемого или его близких по месту жительства, но и вероятностью неосторожного поведения следователя и других членов следственно-оперативной группы, которые в результате неквалифицированного обращения с программно-аппаратными средствами могут повредить информацию или уничтожить следы.

При проведении обыска необходимо руководствоваться следующими принципами:

- во время изъятия компьютерной техники, съемных носителей и при последующем их хранении не должна изменяться информация;

- доступ к информации и ее исследование на месте допустимы тогда, когда невозможно изъять носитель и отправить его на экспертизу;

- все действия с компьютерной техникой протоколируются Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 213..

На подготовительном этапе обыска при подборе специалистов необходимо учитывать особенности компьютерной техники и способа неправомерного доступа, использованного при совершении преступления; оценить с участием специалистов данные, полученные в ходе расследования уголовного дела; обеспечить участие понятых, обладающих хотя бы минимальными знаниями о компьютерных технологиях; принять меры к обеспечению безопасности места проведения обыска с точки зрения сохранности доказательств; определить время проведения и меры по обеспечению внезапности предстоящего обыска (выемки) как для подозреваемых, так и иных лиц, которые могут находиться на месте проведения следственного действия; решить вопрос обеспечения транспортом, упаковочным материалом для вывоза изъятого оборудования и носителей информации Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. -1999. - № 3. - С. 12-13..

Если обыск планируется провести у физического лица на квартире, и у следователя есть основания полагать, что собственник квартиры предпримет меры, направленные на воспрепятствование проведению этого следственного действия, то в этом случае рекомендуется привлекать соседей для проникновения в квартиру обыскиваемого лица. В любом случае следователь должен обеспечить внезапность обыска в целях недопущения уничтожения информации, а также физического уничтожения носителей машинной информации подозреваемым Обыск у подозреваемого по расследованию неправомерного удаленного доступа к компьютерной информации рекомендуют проводить в тот момент, когда данное лицо находится в сети Интернет. Для этого правоохранительным органам необходимо взаимодействовать с провайдером, который укажет время выхода в Интернет подозреваемого. В этом случае члены следственно-оперативной группы во время проведения обыска должны отстранить лицо от рабочего места и зафиксировать путем видеосъемки процессы и программы, выполняемые на компьютере в данный момент.. Обыск в организации лучше всего проводить в середине рабочего дня, если имеются основания для его отложения.

Что касается тактики и общих правил изъятия компьютерной техники при обыске, то их можно свести к следующим положениям:

· обыскиваемое помещение, в том числе электрощит, берется под контроль следователем и иными сотрудниками. Если местный персонал от техники отстранить не удается, то необходимо фиксировать все их действия в протоколе. В редких случаях, когда о проведении обыска стало известно сообщникам, находящимся вне контроля от следователя, например, в той же организации, но этажом выше, то необходимо, как можно быстрее, отключить сетевые соединения и модемы;

· все включенные устройства, в том числе периферийные, в момент проведения обыска не выключаются;

· далее фотографируется или снимается на видео компьютерная техника. Особое внимание уделяется кабелям, какой куда подключен. Для удобства фиксирования и протоколирования, необходимо снабдить их ярлычками;

· на компьютерах, которые находятся в рабочем состоянии, фиксируется изображение на мониторе, отмечаются, какие программы загружены в этот момент;

· обследование рабочих мест в поисках записок с паролями и иных данных, необходимых для поиска;

· если принтер что-то печатает, то необходимо дождаться окончания печати. Все, что находится на выходном лотке принтера, описывается и изымается;

· после проведенных выше действий компьютеры выключаются специалистом. Если специалиста нет по причине неотложности проведения обыска, то настольный компьютер выключается вытаскиванием шнура из блока питания системного блока. У ноутбука, помимо отключения от сети, извлекается аккумулятор без закрывания крышки. Изымается вся компьютерная техника и носители, находившиеся на момент проведения обыска независимо от их юридической принадлежности;

· всю изъятую технику необходимо упаковать: каждое техническое устройство в отдельный пакет с последующей нумерацией;

· поскольку компьютерная информация имеет свойство легко и быстро удаляться, то следователь должен опросить отдельно всех пользователей на предмет паролей и сетевых имен пользователей, не дожидаясь допроса. Пароли допустимо не вносить в протокол допроса или объяснение. Также на этом этапе надо составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других лиц, состоящих в трудовых отношениях с потерпевшей организацией, для последующего их допроса.

При проведении обыска следователь должен иметь представление о личности преступника, а также об уровне его познаний в сфере информационных технологий. Знание о личности преступника позволяет специалисту, например, принять правильное решение о выключение ЭВМ. Как известно, есть два метода выключения компьютера: «холодный» и по штатной команде. При применении первого (он происходит путем извлечения шнура из блока питания или розетки) пропадет информация, находящаяся в ОЗУ и иных местах, т.е. та, которая «живет» до выключения компьютера, и содержимое временных файлов, загруженных текущими процессами на ЭВМ. Если перед следователем подозреваемый - специалист среднего или высокого уровня, то надо учитывать, что на компьютере пользователя может находиться программа, срабатывание которой при выключении ПК штатным методом приведет к уничтожению информации на ЭВМ (обычно хакеры оснащают свои компьютеры «логической бомбой»). В любом случае применить тот или иной вариант специалист должен, исходя из обстоятельств дела: какая информация нужнее для следователя.

В продолжение темы выключения ЭВМ при проведении обыска, хотелось бы отметить следующее. Когда в ходе обыска дело доходит до изъятия компьютера, то иногда подозреваемый пытается всячески навязать следователю тот или иной метод выключения компьютера в надежде на то, что при использовании рекомендованного им метода произойдет автоматическое уничтожение информации (как, например, в ситуации с логической бомбой). Все эти действия необходимо фиксировать в протоколе. Если в дальнейшем, в ходе проведения КТЭ ЭВМ подозреваемого, выяснится, что способ, рекомендованный им, привел бы к уничтожению информации на компьютере, то это косвенно подтверждает вину лица в совершении преступления.

Если проведение обыска не терпит отлагательств, то в этом случае у следователя может не хватить времени для подбора специалиста, который будет участвовать в данном процессуальном действии. Поэтому излагаемая информация в Приложении № 4, касающаяся особенностей носителей компьютерной информации, ориентирована на ситуацию проведения обыска следователем без специалиста.

Иногда при обыске, в процессе копирования и снятия специалистом информации, полезными могут оказаться данные, которые существуют до момента выключения компьютера или завершения сеанса программы, но еще не сохраненные, например, содержимое ОЗУ. Такие данные специалист снимает на месте происшествия. Применительно к неправомерному доступу, предположительно осуществленному с исследуемого компьютера, следует собрать список процессов, информацию о текущих сетевых соединениях, образец трафика.

При подготовке, планировании и в ходе проведения допросов подозреваемых и обвиняемых (ст. 187-191 УПК РФ) по уголовному делу, возбужденному по ст. 272 УК РФ, следует учитывать обстоятельства совершенного преступления, субъект и субъективную сторону О допросе свидетелей при расследовании НДКИ см. Приложение № 5.. Перед проведением допроса следователю необходимо проконсультироваться со специалистом, а при необходимости пригласить его для участия в допросе, а также составить детальный план допроса.

В начальной стадии допроса выясняются следующие обстоятельства общего характера Филиппов А.Г. Тактика допроса и очной ставки: Криминалистика / Под ред. А.Г. Филиппова, А.Ф. Волынского. - М., 1998. - С. 289-291.:

· имеет ли подозреваемый (обвиняемый) навыки обращения с компьютером, где, когда и при каких обстоятельствах он освоил работу с компьютерной техникой и с конкретным программным обеспечением;

· место его работы и должность, работает ли он на компьютере по месту работы, имеет ли правомерный доступ к компьютерной технике и к каким видам программного обеспечения; какие операции с компьютерной информацией выполняет на рабочем месте;

· имеет ли правомерный доступ к глобальной сети Интернет, работает ли в Интернете; закреплены ли за ним по месту работы идентификационные коды и пароли для работы в компьютерной сети; если не работает, то какие операции выполняет на своем персональном компьютере либо персональных компьютерах других лиц из своего ближайшего окружения, где и у кого приобрел программы для своей ЭВМ;

· каковы обстоятельства, предшествовавшие совершению преступления (когда возникло намерение совершить преступление, что повлияло на принятие такого решения, почему выбран данный объект посягательства, мотивы совершения преступления, его цель и т.д.).

При допросах подозреваемых (обвиняемых) очень важно детально уточнить технологию совершенного преступления или преступлений, получить сведения о том, какие электронные и вещественные доказательства содеянного имеются или могли сохраниться, где можно обнаружить интересующую следствие информацию.

На последующей стадии допроса у подозреваемого (обвиняемого) выясняются конкретные обстоятельства НДКИ:

· место неправомерного проникновения в компьютерную систему, т.е. внутри потерпевшей организации или извне;

· каким образом произошло проникновение в помещение, где установлена компьютерная техника;

· как осуществлен неправомерный доступ в компьютерную сеть, каковы способы преодоления информационной защиты;

· от кого им получены данные об используемых в потерпевшей организации мерах защиты информации и способах ее преодоления;

· какие средства использованы при совершении преступления;

· способы сокрытия неправомерного доступа;

· количество фактов незаконного вторжения;

· использование для неправомерного доступа своего служебного положения Василь Поливанюк. Особенности проведения допросов при расследовании преступлений, совершенных в сфере использования компьютерной информации // URL: http://www.crime-research.ru (дата обращения -12.02.2010). .

Важнейшей задачей в ходе допросов подозреваемых (обвиняемых) об обстоятельствах совершения компьютерных преступлений является установление формы и степени их вины в содеянном, а также их отношения к наступившим вредным последствиям. При этом в ходе допросов подозреваемых (обвиняемых) устанавливаются обстоятельства совершения ими не только преступления, предусмотренного ст. 272 УК РФ, но и других преступлений, ради которых такой доступ осуществлялся.

§2. Особенности назначения компьютерной экспертизы (компьютерно-технологической и компьютерно-технической)

компьютерный информация неправомерный доступ

При расследовании НДКИ должны проводиться как традиционные виды экспертиз, так специальные судебные экспертизы - компьютерно-технологическая и компьютерно-техническая.

Проведение компьютерных судебных экспертиз необходимо как для исследования собственно информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения) информации и представления ее потребителю в условиях функционирования автоматизированных информационных систем и сетей, так и отдельно взятых технических и иных средств обеспечения этих процессов.

Непосредственными объектами исследования компьютерно-технологической экспертизы могут быть проектная документация на разработку и эксплуатацию компьютерных систем и сетей, отражающая процессы сбора, обработки, накопления, хранения, поиска и распространения информации; документированная информация; материалы сертификации информационных систем, технологий и средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов; приказы и распоряжения администрации, инструкции, протоколы, договоры, положения, уставы и методики по эксплуатации компьютерных систем и сетей; схемы движения информации от источников к потребителю с указанием пунктов ее сбора и т.д.

Компьютерно-технологическая экспертиза назначается в тех случаях, когда для разрешения возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов. С помощью компьютерно-технологической экспертизы можно определить, например, соответствие существующего технологического процесса компьютерной обработки информации с проектной и эксплуатационной документацией на конкретную информационную систему либо сеть; конкретные отклонения от установленной информационной технологии; непосредственных исполнителей, допустивших нарушение установленной информационной технологии; надежность организационно-технологических мер защиты компьютерной информации; вредные последствия, наступившие вследствие неправомерного нарушения установленной технологии компьютерной обработки информации; обстоятельства, способствовавшие преступному нарушению технологии электронной обработки информации и т.д.

При расследовании преступлений по ст. 272 УК РФ надо учитывать то, что практически любое обращение с компьютерной информацией требует специальных познаний. Источником таких знаний выступают специалист и эксперт Федотов Н.Н. Приемлемые и неприемлемые средства и методы исследования компьютерной информации // Тезисы доклада на ІХ Международной научно-практической конференции «Сomputer Forensics: Расследование компьютерных происшествий. Восстановление и уничтожение информации». - Украина, 2009.. Отсюда следует, что особая роль в ходе расследования НДКИ принадлежит компьютерно-технической экспертизе (далее - КТЭ), поскольку установить факты, касающиеся компьютерной информации, можно только на основании экспертизы.

Объекты КТЭ - все орудия, с помощью которых осуществляется доступ к информационным ресурсам. Когда в качестве объекта исследования выступает носитель информации, то лучше проводить исследования с его копией, чтобы избежать повреждения оригинала. В УПК РФ и ФЗ «О ГСЭД» Федеральный закон «О государственной судебно-экспертной деятельности в Российской Федерации» от 31.05.2001 № 73-ФЗ (в ред. от 24.07.2007) // Собрание законодательства РФ. - 04.06.2001. - № 23. - Ст. 2291. нет нормы, которая запрещает проводить исследования с копией носителя. Эксперт может сделать копию на таком носителе, с которым ему будет удобнее и быстрее работать. Оригинал может потребоваться в дальнейшем: непосредственно в суде как вещественное доказательство или при проведении повторной или дополнительной экспертизы. Однако есть методы КТЭ, хотя они используются редко, которые при исследовании требуют применения оригинала. Соответственно, если специалист в ходе обыска изъял, например, копию диска сервера по причине невозможности изъятия сервера или его диска в натуре, а потом выясняется, что для ответа на поставленный в постановлении о назначении КТЭ вопрос, необходимо исследование оригинала, то следователь попадает «в неловкое положение». Поэтому многие исследователи предлагают такой выход, что специалист должен предположить, какие вопросы поставит следователь перед экспертом, и какие методы впоследствии будут применяться при исследовании.

К основным задачам КТЭ относятся определение технического состояния компьютерного оборудования и пригодности его для решения задач, предусмотренных проектной и эксплуатационной документацией на данную автоматизированную систему; техническое исполнение конкретных технологических информационных процессов и отдельных операций, ставших предметом предварительного следствия; восстановление содержания поврежденных информационных массивов, отдельных файлов на носителях; выявление технических причин сбойных ситуаций в работе компьютера; установление подлинности информации, записанной на машинных носителях и внесенных в них изменений; выявление в программе для ЭВМ разного рода неправомерных изменений, дополнений, вставок преступного характера; установление соответствия средств защиты информации от несанкционированного доступа и т.п.

При выборе организации (среди гражданских), которая будет проводить КТЭ, предпочтение отдается опыту работы представителей организации. Когда у следователя есть выбор между государственным и гражданским экспертным учреждением, то лучше принять решение в пользу второго.

В зависимости от объекта исследования можно выделить четыре вида КТЭ:

· аппаратно-техническая (предполагает проведение диагностического исследования технических (аппаратных) средств компьютерной системы, определение функциональных возможностей, фактического и начального состояния, технологии изготовления, эксплуатационных режимов и т.п.);

· программно-техническая (состоит в изучении функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, пользовательского (потребительского) состояния представленного на исследование системного, прикладного и авторского программного обеспечения компьютерной системы как видовых объектов экспертизы);

· информационно-техническая (предполагает разрешение диагностических и идентификационных вопросов, связанных с компьютерной информацией);

· компьютерно-сетевая (предполагает исследование функционального предназначения компьютерных средств, реализующих какую-либо сетевую информационную технологию) О возможностях и методах КТЭ см. Компьютерно-техническая экспертиза / Российский федеральный центр судебной экспертизы при Министерстве юстиции РФ // URL: http://www.sudexpert.ru/content/possib/comp.php (дата обращения - 13.02.2010)..

Сложность КТЭ состоит в ее понимании другими участниками процесса, поскольку лицо, проводившее экспертизу, порой затрудняется объяснить простыми словами механизм произошедшего преступления и сделанные им на основе исследования выводы. Иногда бывает сложно перевести тот или иной технический термин на язык, доступный обывателю, а тем более на юридический. Некоторые понятия вообще не объяснить, не используя технический словарь. В итоге, когда идет стадия судебного разбирательства, только два участника понимают, о чем идет речь на заседании: это специалист или эксперт и, конечно же, подсудимый.

Сложность КТЭ состоит и в неоднозначности ответов, которые получает следователь, судья, прокурор, адвокат на поставленные ими вопросы перед экспертом или специалистом на стадии судебного заседания. Например, на вопрос, идентифицирует ли IP-адрес компьютер в сети Интернет однозначным образом, можно получить два разных ответа. Можно ответить отрицательно, имея в виду абстрактный компьютер и любой IP-адрес, но можно ответить утвердительно применительно к конкретному компьютеру и конкретному адресу, если при этом ознакомиться с материалами дела. Таким образом, эксперты и специалисты теперь не только разъясняют вопросы, но и по сути делают выводы о виновности или невиновности лица.

Следователь должен четко представлять возможности КТЭ для того, чтобы корректно сформулировать вопросы и получить на них ожидаемые ответы. Как бы это ни звучало парадоксально, но чтобы правильно задать вопрос, надо знать на него большую часть ответа, а где-то и полный ответ. Одним словом, следователь должен иметь базовые знания по информационным технологиям. Понятно, что для формулировки вопросов для КТЭ лучше всегда привлекать специалиста или эксперта, который будет проводить исследование.

При формулировании вопросов следователю не стоит конкретизировать вид и содержание информации, которую необходимо найти, исследовать и приложить к делу, поскольку эксперт сам решит, какие сведения относятся к делу. Для этого его надо ознакомить с уголовным делом в той части, которая относится к предмету экспертизы либо фабулу дела можно изложить в постановлении о назначении КТЭ. При дефиците информации эксперт может ходатайствовать о предоставлении дополнительных материалов.

При поиске цифровых следов различного рода действий на компьютере, с которого предположительно был осуществлен неправомерный доступ, лучше формулировать вопросы не про следы, а про действия Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 256.. При этом надо помнить, что эксперт может определить, когда, каким образом осуществлялся неправомерный доступ, а вот кто его совершил, это возможно установить только в редких случаях, когда на исследуемом компьютере имеются некоторые сведения о пользователе.

При исследовании отдельных файлов, дисков и иных носителей следователю имеет смысл поставить вопрос касательно не только наличия на носителе того или иного содержимого, но и обнаружения и расшифрования скрытой, служебной и иной информации, предусмотренной соответствующим форматом файла (по обстоятельствам дела), а также восстановления стертых файлов, даже если при этом носитель информации был отформатирован несколько раз. При этом необходимо выяснить, каким путем информация оказалась на носителе. Когда файл невозможно восстановить, то можно доказать факт его присутствия в прошлом по информации об этом файле, которая может храниться в различных местах См. Приложение № 7..

При исследовании программы, которая послужила инструментом для осуществления НДКИ, средством преодоления ТСЗАП ТСЗАП - техническое средство для преодоления защиты авторских прав. и иных технических средств, предназначенных для негласного получения информации, требуется иногда изучить не только ее свойства и функциональность, но и происхождение, процесс создания, сопоставление версий См. Приложение № 8.. В этом случае рекомендуется проводить в рамках программно-технической экспертизы две отдельные экспертизы: первая изучает содержимое компьютерных носителей, вторая - особенности обнаруженных программ.

При изучении архивов ЭП и ICQ надо иметь в виду, что в любом случае при получении или отправке сообщения информация о нем записывается на диск хотя бы раз. А это значит, что если не в явном, то в скрытом виде она может «всплыть» при экспертизе. В архиве на ЭВМ у пользователя может храниться большое количество сообщений, в том числе и их копий. Поэтому перед экспертом лучше поставить вопрос об обнаружении всей переписки, как в явном, так и в удаленном виде и, соответственно, не следует давать задание, найти и отпечатать всю переписку, либо сводить работу к обнаружению одного письма. Те сообщения, которые имеют отношение к делу, эксперт распечатает и приложит к заключению, остальные запишет на компакт-диск, потому что может потребоваться дополнительная экспертиза.

Вопрос об отнесении той или иной переписки к материалам уголовного дела лучше поручить эксперту. Для этого его нужно ознакомить с материалами уголовного дела. Кроме обнаружения архива надо поставить вопрос о том, принимались или отправлялись обнаруженные сообщения. Для этого надо знать, куда отправлялось сообщение, т.е. второго корреспондента. Если он не известен следователю, то надо поставить вопрос о том, где еще можно обнаружить копию данного сообщения или следы его пребывания Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007. - С. 282-283..

При изучении печатных документов надо иметь в виду, что все распечатки рассматриваются наравне с электронными носителями, т.к. информация на них представлена в цифровом виде. На распечатках содержится не только информация, ориентированная на человека, но и машинная. Изготовители принтеров из США, например, закладывают в них печать на каждой странице скрытых данных о дате, времени и заводском номере принтера Митрохина Е. Информационные технологии, Интернет, интернет-зависимость // Наука, политика, предпринимательство. - 2004. - № 1. - С. 83.. Кроме этих данных, у принтера есть свои индивидуальные особенности, присущие каждой модели. Поэтому экспертиза может не только «привязать» печатный документ к конкретному принтеру, но и установить, на принтере какой модели он был напечатан.

Изучение личности пользователя исследуемого компьютера проводится с учетом интенсивности использования компьютера человеком. Документы, фотографии, музыка, переписка, настройки, наличие программ и другое - все это индивидуализирует информационное содержимое компьютера, отражает интеллект, способности, наклонности пользователя. Поэтому для оценки личности пользователя исследуемого компьютера необходимо провести комплексную экспертизу, компьютерно-психологическую. При этом надо помнить, что для оценки квалификации личности, необходимо нахождение на ЭВМ пользователя результатов его интеллектуальной деятельности, т.е. программ, написанных им.

В литературе отмечается такая возможность КТЭ, как подтверждение или опровержение «цифрового алиби» подозреваемого, который утверждает, что в определенное время работал за компьютером. В этом случае, хотя речь не идет о компьютерном преступлении, но для проверки алиби обязательно назначение КТЭ Иванов Н.А. Применение специальных познаний при проверке «цифрового алиби» // Информационное право. - 2006. - № 4 (7) // URL: http://www.infolaw.ru/lib/2006-4-digital-alibi-expertise (дата обращения -13.02.2010)..

В общем виде перед экспертом, проводящим КТЭ, ставятся вопросы, касающиеся наличия на исследуемых объектах информации, относящейся к делу; о пригодности использования исследуемых объектов для определенных целей; о действиях, совершенных с использованием объектов, их времени и последовательности; об идентификации электронных документов, программ для ЭВМ; о свойствах программ для ЭВМ.

Исходя из вышесказанного, следует, что для проведения любого следственного действия, проводимого на первоначальном этапе расследования НДКИ, потребуются специальные знания. Эти знания в первую очередь нужны для того, чтобы знать, где искать следы преступления, а впоследствии для правильного закрепления и оформления доказательств. Особо следует подчеркнуть роль КТЭ. Благодаря ее современным возможностям, она позволяет обнаружить фальсификацию лог-файлов, являющихся опорным пунктом для следствия в выявлении преступника.

ЗАКЛЮЧЕНИЕ

Рассмотрев первоначальный этап расследования НДКИ, приходим к выводу, что успех в расследовании преступлений в сфере компьютерной информации зависит от взаимодействия правоохранительных органов с операторами связи и специалистами. В связи с тем, что технический прогресс не стоит на месте, то в будущем следует ожидать возрастания роли последних двух участников, помогающих следствию в расследовании преступлений данной категории. Так, например, специалистам в сфере информационных технологий предстоит заняться разработкой новых технических устройств, которые помогут в будущем следствию фиксировать цифровые доказательства, достоверность которых можно будет проверить прямо на месте происшествия, что необходимо для расследования преступления «по горячим следам».

В настоящее время расследование неправомерного удаленного доступа к компьютерной информации ведется по следующей схеме: осмотр места происшествия, исследование изъятого в лабораторных условиях, наведение справок, выявление и поиск преступника. Такой подход во многих случаях является последовательным и выдержанным.

Вместе с тем необходимо отметить те факторы, которые оказывают негативное влияние на процесс расследования преступлений в сфере компьютерной информации и требуют своего скорейшего решения:

· несовершенство уголовно-процессуального законодательства;

· несовершенство нормативной базы, призванной регламентировать правовой статус и специфические особенности информационных ресурсов;

· отсутствие методик расследования преступлений указанного вида;

· отсутствие обобщений следственной и судебной практики;

· отсутствие базового экспертно-криминалистического центра по производству необходимых экспертиз средств компьютерной техники;

· отсутствие методик проведения криминалистических (программно-технических) экспертиз СКТ;

· отсутствие учебно-методических центров для подготовки соответствующих специалистов для нужд правоохранительных органов;

· низкая оснащенность подразделений правоохранительных органов средствами компьютерной техники и региональная разобщенность при решении этих вопросов, вызванная нескоординированностью действий.

Данные негативные факторы затрудняют реализацию задачи борьбы с преступлениями в сфере компьютерной информации.

На основании изложенного материала следует выделить следующие основные криминалистические проблемы, возникающие в настоящее время перед правоохранительными органами при расследовании НДКИ:

· сложность в установлении факта неправомерного доступа и решении вопроса о возбуждении уголовного дела;

· сложность в подготовке и проведении первоначальных следственных действий;

· особенности выбора и назначения необходимых судебных экспертиз;

· целесообразность использования средств компьютерной техники в расследовании НДКИ;

· отсутствие комплексных методик расследования компьютерных преступлений.

Относительная новизна возникших проблем, стремительное наращивание процессов компьютеризации российского общества, «застали врасплох» правоохранительные органы, оказавшиеся неготовыми к адекватному противостоянию и активной борьбе с этим новым социальным явлением. Кроме того, данная ситуация усугубляется тем, что в настоящее время вопросами борьбы с компьютерной преступностью на государственном уровне никто не занимается, им не уделяется должного внимания, вследствие чего правоохранительные органы лишены возможности «полнокровной» борьбы с этим социально опасным явлением.

Общее положение дел таково, что расследование компьютерных преступлений, в частности НДКИ, ведется сотрудниками отделов по борьбе с экономической преступностью, не имеющими соответствующей специализации и необходимых познаний в области компьютерной техники.

Как показывает практика, следователи, производящие расследование преступления, предусмотренного ст. 272 УК РФ, сталкиваются со многими, подчас неразрешимыми трудностями, среди которых нам представляется возможным выделить следующие: сложность квалификации преступных деяний; сложность в проведении различных следственных действий из-за несовершенства действующего уголовно-процессуального законодательства; сложность в назначении программно-технической экспертизы средств компьютерной техники и в формулировке вопросов, выносимых на рассмотрение эксперта; отсутствие по некоторым вопросам соответствующих специалистов, необходимых для привлечения в ходе следствия; отсутствие элементарных познаний в области компьютерной техники.

Выход из создавшейся ситуации один - дальнейшее совершенствование законодательства в области преступлений в сфере компьютерной информации, которое поможет правоохранительным органам на практике решать общие задачи по борьбе с преступностью.

БИБЛИОГРАФИЯ

1. Нормативные правовые акты РФ и судебная практика

1.1. Конституция Российской Федерации от 12.12.1993 (в ред. от 30.12.2008) // Российская газета. - 2009. - № 7.

1.2. Уголовно-процессуальный кодекс Российской Федерации от 18.12.2001 № 174-ФЗ (в ред. от 29.12.2009) // Российская газета. - 2001. - № 249.

1.3. Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ (в ред. от 29.12.2009) // Собрание законодательства РФ. - 1996. - № 25. - Ст. 2954.

1.4. Гражданский кодекс Российской Федерации (часть первая) от 30.10.1994 № 51-ФЗ (в ред. от 27.12.2009) // Российская газета. - 1994. - № 238-239.

1.5. Федеральный закон Российской Федерации «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ // Собрание законодательства РФ. - 2006. - № 31 (ч. 1). - Ст. 3448.

1.6. Федеральный закон «О государственной судебно-экспертной деятельности» от 31.05.2001 № 73-ФЗ (в ред. от 24.07.2007) // Собрание законодательства РФ. - 2001. - № 23. - Ст. 2291.

1.7. Федеральный закон «Об оперативно-розыскной деятельности» от 12.08.1995 № 144-ФЗ (в ред. от 26.12.2008) // Собрание законодательства РФ. - 1995. - № 33. - Ст. 3349.

1.8. Закон Российской Федерации «О государственной тайне» от 21.07.1993 № 5485-1 (в ред. от 18.07.2009) // Собрание законодательства РФ. - 1997. - № 41. - Стр. 8220-8235.»

1.9. Закон РФ «О милиции» от 18.04.1991 № 1026-1 (в ред. от 26.12.2008) // СПС «Консультант Плюс

1.10. Указ Президента РФ «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»» от 17.03.2008 № 351 // Собрание законодательства РФ. - 2008. - № 12. - Ст. 1110.

1.11. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» // Собрание законодательства РФ. - 1997. - № 10. - Ст. 1127.

1.12. Постановление Правительства РФ «О подразделениях криминальной милиции» от 07.12.2000 № 925 // Собрание законодательства РФ. - 2000. - № 50. - Ст. 4904.

1.13. Приказ МВД РФ № 786, Минюста РФ № 310, ФСБ РФ № 470, ФСО РФ № 454, ФСКН РФ № 333, ФТС РФ 971 от 06.10.2006
«Об Утверждении инструкции по организации информационного обеспечения сотрудничества по линии ИНТЕРПОЛА» (Зарегистрировано в Минюсте РФ от 03.11.2006. № 8437) // Бюллетень нормативных актов федеральных органов исполнительной власти. - 20.11.2006. - № 47.

1.14. Постановление Пленума Верховного Суда РФ от 27.12.2007 № 51 «О судебной практике по делам о мошенничестве, присвоении и растрате» // Бюллетень Верховного Суда РФ. - 2008. - № 2.

2. Учебная и научная литература

Специальная и общетеоретическая литература

2.1. Богомолов М.В. Уголовная ответственность за неправомерный доступ к охраняемой законом компьютерной информации. - Красноярск. 2002. Гл. 2, §4. [Электронный вариант].

2.2. Вехов В.Б. Компьютерные преступления: способы совершения и сокрытия. - М., 2002.

2.3. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации. - М., 2001.

2.4. Гаврилин Ю.В., Головин А.Ю., Тишутина И.В. Криминалистика. Толкование понятий учебного курса: Учеб. пособие / Под ред. А. Ю. Головина. - М., 2005.

2.5. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000.

2.6. Мазуров В.А. Компьютерные преступления: классификация и способы противодействия. - М.: «Логос», 2002.

2.7. Михайлов И.Ю. Носители цифровой информации (обнаружение, изъятие, назначение компьютерно-технической экспертизы). Методические рекомендации. - Курган: ЭКЦ при УВД Курганской области, 2003. [Электронный вариант].

2.8. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Питер, 2006.

2.9. Полещук О.В., Шаповалова Г.М. Криминалистическое исследование следов при расследовании компьютерных преступлений. - Владивосток, 2006. [Электронный вариант].

2.10. Россинская Е.Р. Судебная экспертиза в гражданском, арбитражном, административном и уголовном процессе. - М.: Норма, 2005.

2.11. Скуратов Ю.И., Лебедев В.М. Комментарий к УК РФ. - М., 2001.

2.12. Федотов Н.Н. Приемлемые и неприемлемые средства и методы исследования компьютерной информации // Тезисы доклада на ІХ Международной научно-практической конференции «Сomputer Forensics: Расследование компьютерных происшествий. Восстановление и уничтожение информации». - Украина, 2009.

2.13. Федотов Н.Н. Форензика - компьютерная криминалистика. - М.: Юридический мир, 2007.

2.14. Филиппов А.Г. Тактика допроса и очной ставки: Криминалистика / Под ред. А.Г. Филиппова, А.Ф. Волынского. - М., 1998.

2.15. Фурсов В.А., Агеева Н.П., Некоторые рекомендации по осмотру, фиксации и изъятию средств компьютерной техники. // Великотский Е.В. Сборник научных трудов юридического факультета СевКав ГТУ, 2005.

2.16. Шурухнов Н.Г. Расследование неправомерного доступа к компьютерной информации: Учебное пособие. - М.: Московский университет МВД, 2004.

2.17. Яблоков Н.П. Криминалистика. 3-е издание, переработанное и дополненное. - М.: Юристъ, 2005.

Диссертации и авторефераты

2.18. Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Барнаул, 2007.

2.19. Поляков В.В. Особенности расследования неправомерного удаленного доступа к компьютерной информации: Автореф. дисс. … канд. юрид. наук. - Омск, 2008. [Электронный вариант].

Статьи

2.20. Гавло В.К., Поляков В.В. Некоторые особенности расследования преступлений, связанных с неправомерным доступом к компьютерной информации // Известия АГУ. - 2006. - № 2. - С. 44-48.

2.21. Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. - 2001. - № 4. - С. 11-14.

2.22. Егорышев А.С. Криминалистические особенности обстановки неправомерного доступа к компьютерной информации // Актуальные проблемы криминалистики на современном этапе. Часть 2. Сборник научных статей / Под редакцией З.Д. Еникеева. - Уфа: РИО БашГУ, 2003. - С. 37 - 41.

2.23. Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность. - 1999. - № 3. - С. 12-13.

2.24. Копырюлин А. Квалификация преступлений в сфере компьютерной информации // Законность. - 2007. - № 6. - С. 40-41.

2.25. Лопатина Т.М. Отдельные вопросы характеристики уголовно-правовых признаков субъекта преступлений в сфере компьютерной информации // Российский судья. - 2006. - № 1. - С. 24-25.

2.26. Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Вып. 3. - Тула, 2000. - С. 170-172.

2.27. Митрохина Е. Информационные технологии, Интернет, интернет-зависимость // Наука, политика, предпринимательство. - 2004. - № 1. - С. 83.

2.28. Нехорошева О. Изъятие компьютерной техники и информации // Законность. - 2004. - № 8. - С. 15-18.

2.29. Никонов В., Панасюк А. Нетрадиционные способы собирания и закрепления доказательств // Законность. - 2001. - №4. - С. 19-24.

2.30. Осипенко А. Уголовная ответственность за неправомерный доступ к конфиденциальной компьютерной информации // Уголовное право. - 2007. - № 3. - С. 43.

2.31. Подольный Н.А., Ширманов А.Г. Некоторые особенности выявления, раскрытия и расследования компьютерных преступлений // Российский следователь. - 2004. - № 1. - С. 11.

2.32. Поляков В.В., Слободян С.М. Анализ высокотехнологичных способов неправомерного удаленного доступа к компьютерной информации // Известия Томского политехнического университета. - 2007. - № 1. - С. 213-214.

2.33. Середа С.А., Федотов Н.Н. Расширительное толкование терминов «вредоносная программа» и «неправомерный доступ» // Закон. - 2007. - № 7 // URL: http://bajki.narod.ru/ras_tolkovanie.html (дата обращения - 10.02.2010).

2.34. Хилюта В. Можно ли похитить информацию? // Законность. -2008. - № 5. - С. 48.

Интернет-публикации

2.35 Василь Поливанюк. Особенности проведения допросов при расследовании преступлений, совершенных в сфере использования компьютерной информации. // URL: http://www.crime-research.ru..

2.36. Иванов Н.А. Применение специальных познаний при проверке «цифрового алиби» // Информационное право. - 2006. - № 4 (7) // URL: http://www.infolaw.ru/lib/2006-4-digital-alibi-expertise.

2.37. Компьютерно-техническая экспертиза / Российский федеральный центр судебной экспертизы при Министерстве юстиции РФ // URL: http://www.sudexpert.ru/content/possib/comp.php.

2.38. Середа С.А. Доклад на VII Международной конференции «Право и Интернет» // URL: http://www.ifap.ru/pi/07/.

2.39. Собецкий И.В. О доказательственном значении лог-файлов // «Security Lab», 25 июля, 2003. URL: http://www.securitylab.ru/analytics/216291.php.

2.40. Турута А. Тактика собирания и исследования доказательственной информации с компьютера, подключенного к сети // crime-research.ru. // URL: http://www.crime-research.ru/articles/1764.

2.41. Daigle L. RFC-3912 «WHOIS Protocol Specification». - 2004. // URL: http://www.rfc-editor.org/rfc/rfc3912.txt.

2.42. Lonvick C. RFC-3164 «The BSD syslog Protocol» - 2001 // URL: http://www.rfc-editor.org/rfc/rfc3164.txt.

Размещено на Allbest.ru