МЕТОДИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

§1. Криминалистическая характеристика преступлений в сфере компьютерно^ информации

Отличительным признаком преступлений в сфере компьютерной информа­ции является особый предмет посягательства — компьютерная информация. Под компьютерной информацией законодателем понимаются сведения о ли­цах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, находящиеся на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. Иными словами, это сведения, циркулирующие в вычислительной среде, зафиксированные на физическом носителе в форме, доступной восприятию ЭВМ, или передающие­ся по каналам электросвязи посредством электромагнитных сигналов из одной ЭВМ в другую, из ЭВМ на периферийное устройство, либо на управляющий датчик оборудования. При этом, в соответствии со ст. 2 Закона "Об информа­ции, информатизации и защите информации", выделяются два основных вида (категории) компьютерной информации: общего пользования и конфиденци­альная. К конфиденциальной относится та компьютерная информация, доступ к которой ограничивается в соответствии с законодательством Российской Фе­дерации. Это сведения, отнесенные к различным видам тайн (государственная, служебная, коммерческая, банковская, следственная, медицинская, адвокат­ская, семейная и др.); передаваемые путем переписки, телефонных перегово­ров, почтовых, телеграфных или иных сообщений; являющиеся объектом ав­торских и смежных прав; имеющие статус персональных данных (сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность). Конфиденциальная компьютерная информа­ция всегда будет чужой для лица, не 'имеющего к ней доступа на законных ос­нованиях, либо получившего его в нарушении установленных порядка и пра­вил.

Компьютерная информация как предмет преступления опосредована через физический (машинный) носитель информации, вне которого она не может существовать. Под машинными носителями информации следует понимать всякие технические устройства, предназначенные либо приспособленные для фиксации, хранения, обработки, преобразования, анализа, накопления и пере­дачи компьютерной информации. Наиболее распространены следующие ма­шинные носители информации: гибкие (дискеты) и жесткие (винчестеры) маг­нитные диски, стриммеры (или Zip), магнитные ленты (в кассетах и бобинах),

оптические и магнитооптические диски (CD с^Г- компакт-диски), пластиковые
карты (расчетно-кассовые, пропускные и инье), интегральные микросхемы (в
виде микропроцессоров, постоянной или оперативной памяти средства вычис­
лительной техники), листинг (распечатка ком ьютерной информации на бума­
ге), i

Типичными орудиями подготовки, совериц^ия и сокрытия преступлений в сфере компьютерной информации являются: р¹

1. Средства электронно-вычислительной те> "[ики:

— различные виды ЭВМ, под которыми m 'ммается комплекс технических
средств, предназначенных для автоматическс ' обработки информации в про­
цессе решения вычислительных и информационных задач;

— периферийные устройства — устройства обеспечивающие передачу дан­
ных и команд между процессором и пользователем относительно определенно­
го центрального процессора (комплекс внешних устройств ЭВМ, не находя­
щихся под непосредственным управлением це "трального процессора);

— некоторые аппаратные средства (соедш 1тельные провода, шины, шлей­
фы, разъемы, "шнурки", устройства электро 'итания, аппаратные устройства
защиты компьютерной информации от несанкционированного доступа и т.д.);

— устройства приема и передачи компьютг шой информации (модем и дру­
гие средства телекоммуникации);

— вредоносные программы для ЭВМ. ■

2. Разработанные, приспособленные и заг 'юграммированные специальные
технические средства негласного получения и формации.

3. Разнообразные магнитные материалы и специальные технические устрой­
ства, генерирующие направленное электромаг^ итное излучение.

4. Электромонтажный инструмент и материалы.

5. Контрольно-измерительные приборы и у(Д>ойства.

6. Средства систем электросвязи. ^

Наиболее широко применяемым универса^ ьным орудием совершения пре­
ступления в сфере компьютерной информа^ ш является персональная ЭВМ
(ПЭВМ) или персональный компьютер (ПК) <_{ соответствующим программным
обеспечением. J

При использовании компьютерной информации в качестве орудия соверше­ния другого преступления она сама становт |я предметом общественно опас­ного деяния.

При выявлении и расследовании престуш ний в сфере компьютерной ин­формации, совершаемых с использование!* новых телекоммуникационных технологий, особую сложность у сотрудничав правоохранительных органов вызывает вопрос установления конкретного листа совершения преступления. В данном случае место совершения общественно опасного деяния, как правило, не совпадает с местом реального наступлени^общественно опасных последст­вий. Таких мест может быть несколько. Они огут быть удалены друг от друга на значительные расстояния, находиться в р гщичных учреждениях, на участ­ках местности, в том числе в различных сп анах и континентах. Последнее

возможно по причине неограниченного радиуса действия и мобильности со­временных средств связи, неотъемлемой частью которых является компьютер­ная информация. Поэтому местом совершения преступления рассматриваемой категории целесообразно считать тот участок местности или территорию того учреждения, организации, государства, где были совершены общественно опасные деяния независимо от места наступления преступных последствий.

На жаргонном языке компьютерных преступников называют "хакерами", "крэкерами" и "фрикерами". Данные лица, как правило, обладают специальны­ми познаниями и практическими навыками в области компьютерных техноло­гий и, как минимум, являются пользователями ЭВМ.

Как правило, в случае совершения преступления в сфере компьютерной ин­формации в отношении юридического лица, преступником или сообщником (пособником) является сотрудник данного учреждения, организации. Это — операторы ЭВМ, периферийных устройств и средств связи; программисты; инженеры-системотехники; инженеры-электроники; администраторы баз дан­ных; должностные и иные лица, имеющие доступ к ЭВМ, системе ЭВМ или их сети.

Ведя речь о личности преступников, важно подчеркнуть, что данному типу людей присущи высокий уровень интеллектуального развития, нестандарт­ность мышления, профессионализм, фанатичное отношение к новым компью­терным технологиям, изобретательность, богатая фантазия и скрытность. Пре­ступник из числа сотрудников организации нередко является образцовым слу­жащим, имеющим соответствующее образование. Указанные лица, как правило, ранее не совершали никаких преступлений. Нередко — это руководи­тели различного ранга, обладающие распорядительными функциями, но непо­средственно не отвечающие за конкретные участки работы с компьютерной информацией и ЭВМ.

Чаще всего преступления в сфере компьютерной информации совершаются устойчивыми преступными группами, для которых характерны мобильность, высокая техническая оснащенность, четкое распределение ролей, ярко выра­женная корыстная мотивация, хорошо продуманная система сокрытия следов преступных деяний. Наибольшую опасность и сложность для выявления и рас­крытия представляют преступные группы, имеющие в своем составе высоко­квалифицированных специалистов, обладающих специальными познаниями в области негласного получения и защиты компьютерной информации. Большая часть преступлений, совершенных указанными субъектами, остаются латент­ными.

Мотивы и цели совершения преступления в сфере компьютерной информа­ции различны. В рейтинговом порядке их можно расположить следующим об­разом: корысть, месть, личные неприязненные отношения с сослуживцами и руководством по месту работы, стремление скрыть другое преступление, хули­ганские побуждения и озорство, исследовательские цели, демонстрация лич­ных интеллектуальных способностей или превосходства.

Практически невозможно привести исчерпывающий перечень способов со­вершения преступления в сфере компьютерной информации, так как их содер­жание могут составлять самые разнообразные действия, в зависимости от изо­бретательности, преступной квалификации и интеллектуальности преступника. Однако, несмотря на многообразие способов совершения преступления рас­сматриваемого вида их можно сгруппировать следующим образом:

1) использование либо распространение вредоносных программ для ЭВМ
или машинных носителей с такими программами;

2) перехват компьютерной информации;

3) несанкционированный доступ к компьютерной информации;

4) манипуляции данными и управляющими командами;

5) комплексные методы.

Наиболее часто используются следующие способы подготовки* совершения и сокрытия преступления в сфере компьютерной информации: хищение (изъя­тие) носителей компьютерной информации (ЭВМ, дискет, пластиковых карто­чек и т.д.); создание вредоносных программ для ЭВМ; распространение вредо­носных программ; распространение машинных носителей, содержащих вредо­носные программы для ЭВМ; внесение изменений в ^шествующие программы; копирование охраняемой законом компьютерной информации; де­зактивация либо обход защиты компьютерной информации и средства элек­тронно-вычислительной техники от несанкционированного доступа (подбор пароля, кода доступа и др.); перехват компьютерной информации из канала электросвязи; неправомерный доступ к средствам электронно-вычислительной техники; блокирование, модификация, копирование, уничтожение, поврежде­ние компьютерной информации с использованием специально приспособлен­ных, разработанных, запрограммированных технических средств негласного получения информации.

При выявлении и расследовании преступлений в сфере компьютерной ин­формации подлежат установлению: факт совершения преступления (не являет­ся ли событие следствием непреодолимых факторов); непосредственная при­чина нарушения безопасности компьютерной информации и орудий ее обра­ботки; предмет преступного посягательства; категория компьютерной информации (общего пользования или конфиденциальная); место и время со­вершения преступления; способ совершения преступления; совершено ли пре­ступление дистанционно извне помещения (по каналам электросвязи, локаль­ной вычислительной сети); режим работы с компьютерной информацией и орудиями ее обработки; с помощью каких конкретно средств вычислительной техники совершено преступление (тип, вид, модификация, функциональное на­значение, техническое состояние и другие признаки); конкретный терминал или участок сети (абонентский номер, код, шифр, рабочая частота), режим их работы и ответственное лицо; имела ли место утечка конфиденциальной ин­формации; размер материального ущерба, из чего он складывается; с какими служебными действиями, с операциями технологического процесса связано преступление, кто из должностных лиц или работников несет ответственность

и имеет непосредственное отношение к ним в силу технологии производства, должностных инструкций (обязанностей) или командно-административного управления; личность подозреваемого и основные ее характеристики (обладает ли специальными познаниями, какими и в каком объеме); не совершено ли преступление группой лиц, каковы роль и характер каждого участника престу­пления; мотив преступления; кто является потерпевшим (физическое или юри­дическое лицо); кому было известно о намерениях преступников, кто участво­вал в сокрытии преступления и его следов; причины и условия, способство­вавшие совершению и сокрытию преступления, что усугубило их проявление _> — не обусловлено ли это нарушениями нормативных актов, положений, инст­рукций, правил, организации работы другими лицами, кем именно и по каким причинам.

§2. Организация расследования на первоначальном этапе

Раскрывать преступления в сфере компьютерной информации сложно, так как нередко преступники прибегают к различным уловкам, маскируют свои преступные деяния многочисленными объективными и субъективными причи­нами, которые действительно могут иметь место (например, сбой в работе ЭВМ и программного обеспечения, средств электросвязи, энергообеспечиваю-щего оборудования; замыкание в электропроводке и т. п.).

Перечень неотложных следственных действий и оперативных мероприятий, очередность их проведения будут определяться конкретной следственной си­туацией, в которой начинается расследование. Следственная ситуация характе­ризуется прежде всего объемом и достоверностью исходной криминалистиче­ски значимой информации, имеющейся в распоряжении следователя и опера­тивного работника.

Поводами и основаниями для возбуждения уголовных дел о преступлениях в сфере компьютерной информации чаще всего служат: заявления граждан (кон­кретных потерпевших); сообщения руководителей предприятий, учреждений, организаций и должностных лиц (базирующиеся, как правило, на материалах контрольно-ревизионных проверок и сообщениях служб безопасности); сведе­ния, полученные в результате проведения оперативно-розыскных мероприятий; статьи, заметки и письма, опубликованные в средствах массовой информации.

Как правило, возбуждению уголовного дела предшествует предварительная проверка материалов, поступивших в правоохранительные органы. В связи с этим следователь может заблаговременно ознакомиться с собранными по делу материалами, совместно с оперативным сотрудником выбрать в тактическом отношении наиболее оптимальный момент для возбуждения дела, а также оп­ределить характер и последовательность первоначальных следственных дейст­вий, организационных и иных мероприятий. Как показывает практика, успех расследования преступления в сфере компьютерной информации обеспечива­ют: быстрота и решительность действий следователя и оперативного сотрудни­ка в самые первые часы производства по делу; организованное взаимодействие с различными подразделениями правоохранительных органов; наличие спе-

циалиста в области компьютерной обработки информации (возможно, пользо­вателя ЭВМ).

В ходе предварительной проверки материалов при решении вопроса о воз­
буждении уголовного дела следователь должен прежде всего получить четкое и
полное представление о предмете посягательства, характере деятельности и
структуре объекта, где возможно было совершено преступление, изучить кон­
кретные условия его деятельности, существующий там порядок учета и отчет­
ности, систему товаро- и документооборота, коммуникативные и иные тактико-
технические характеристики используемой компьютерной техники, организа­
цию охраны конфиденциальной компьютерной информации. Необходимо так­
же хорошо знать служебные обязанности лиц, имеющих прямые или косвен­
ные отношения к орудиям обработки и компьютерной информации, которые
стали предметом преступного посягательства. *

К типичным признакам подготовки, совершения и сокрытия преступления в сфере компьютерной информации относятся: появление в ЭВМ, системе ЭВМ или их сети фальшивых данных; частые сбои в работе аппаратуры; жалобы клиентов на предоставление некачественного доступа к ЭВМ, системе ЭВМ, их сети или компьютерной информации; сверхурочная работа некоторых сотруд­ников на ЭВМ, в системе ЭВМ или их сети, нарушение установленного графи­ка их эксплуатации; нерегламентированный доступ к ЭВМ, системе ЭВМ, их сети и к компьютерной информации отдельных субъектов; нарушение правил работы с компьютерной информацией и несанкционированные манипуляции с ней; чрезмерный интерес отдельных субъектов (клиентов, сотрудников) к со­держанию чужих распечаток (листингов) и компьютерной информации опре­деленной категории; случаи перезаписи отдельных данных и компьютерной информации без серьезных требуемых на то причин; применение на рабочем месте и вынос с работы личных машинных носителей информации под различ­ными предлогами (записи игр и т. п.); исследование мусорных корзин (контей­неров) с технологическими отходами компьютерной обработки информации; случаи утечки конфиденциальной информации либо обнаружение негласных специальных технических средств ее получения; нарушение установленных правил оформления документов при работе с ЭВМ, системой ЭВМ, их сетью или компьютерной информацией; создание копий определенной категории данных и компьютерной информации, не предусмотренных технологическим процессом; несоответствие данных, содержащихся в первичных документах, данным машинограмм; подозрительно частое обращение одного и того же пользователя к данным и компьютерной информации определенной категории.

Чтобы детально разобраться в особенностях деятельности потерпевшей сто­роны (физического или юридического лица), следователю и оперативному со­труднику необходимо ознакомиться с соответствующей справочной литерату­рой, изучить ведомственные нормативные акты. Исключительно важное значе­ние имеют консультации со специалистами. Для этих целей могут быть привлечены любые лица, обладающие необходимыми знаниями и опытом для дачи консультаций по делу. Как правило, это квалифицированные сотрудники

различных организаций, осуществляющих свою деятельность в сфере инфор­
мации, информатизации и защиты информации. Наиболее предпочтительны
сотрудники: Государственной технической комиссии при Президенте Россий­
ской Федерации (Гостехкомиссии) и ее региональных структурных подразде­
лений (Спеццентров), размещающихся на базе воинских формирований Мини­
стерства обороны; подразделений Федерального агентства правительственной
связи и информации (ФАПСИ), размещающихся на базе оперативно-
технических подразделений ФСБ России; оперативно-технических подразде­
лений правоохранительных органов; специалисты межрегиональных Центров
защиты информации, функционирующих на базе гражданских высших учеб­
ных технических заведений. «,

Наиболее типичными следственными ситуациями, с которыми приходится сталкиваться при расследовании преступлений в сфере компьютерной инфор­мации, являются:

1. Сведения о причинах возникновения общественно опасных деяний, спо­
собе их совершения и личности правонарушителя отсутствуют.

2. Имеются сведения о причинах возникновения преступления, способе его
совершения, но нет сведений о личности преступника.

3. Известны причины возникновения преступления, способы его совершения
и сокрытия, личность преступника и другие обстоятельства.

В первых двух следственных ситуациях обычно планируют и осуществляют следующие первоначальные следственные действия, оперативно-розыскные и организационные мероприятия:

1) допрос заявителя или лиц, на которых указано в исходной информации
как на возможных свидетелей;

2) решение вопроса о возможности задержания преступника с поличным и о
необходимых в связи с этим мероприятиях;

3) вызов и инструктаж необходимых специалистов для участия в осмотре
места происшествия;

4) осмотр места происшествия (с осмотром и изъятием машинных носителей
и компьютерной информации, ПЭВМ, документов и т. п.);

5) проведение оперативно-розыскных мероприятий в целях установления
причин совершения преступления, выявления лиц, виновных в его совершении,
обнаружения следов и других вещественных доказательств;

6) выемку и последующий осмотр средств электронно-вычислительной тех­
ники, предметов, материалов и документов (в том числе находящихся в элек­
тронной форме на машинных носителях информации), характеризующих про­
изводственную операцию, в ходе которой по имеющимся данным совершены
преступные действия;

7) допросы свидетелей (очевидцев);

8) допросы подозреваемых (свидетелей), ответственных за данный участок
работы, конкретную производственную операцию и защиту конфиденциальной
информации;

9) обыски на рабочих местах и по месту проживания подозреваемых;

V

10) назначение компьютерно-технической, радиотехнической, тн нической,
бухгалтерской и иных экспертиз. с

Дальнейшие действия планируют с учетом дополнительной ш формации, полученной при производстве вышеуказанных действий.

При наличии третьей следственной ситуации необходимо произвести ^х

1) изучение поступивших материалов с позиций их полноты, < >блюдения
норм уголовно-процессуального законодательства и порядка их пер дачи в ор­
ганы следствия. При необходимости — принять меры к получении ^лнедостаю-
щей процессуальной информации; ^ь

2) возбуждение уголовного дела; '

3) вызов и инструктаж необходимых специалистов для участие в осмотре
места происшествия; f

4) осмотр места происшествия; F

5) личные обыски задержанных, обыски на рабочих местах и г* i месту их
проживания; ^т

6) допрос подозреваемых; ^с

7) выемку и осмотр вещественных и письменных доказательств; '

8) изъятие и осмотр подлинных документов, удостоверяющих^ чность за­
держанных, а также документов, характеризующих те произведет! ^гнные опе­
рации, в процессе которых допущены нарушения и преступные дей< *вия (в том
числе документов, находящихся в электронной форме на машинны носителях
информации);

9) допрос лиц, названных в документах, переданных в следствен), >ie органы,
как допустивших нарушения, ответственных за конкретный учас" ок работы
(компьютерную информацию, ЭВМ, систему ЭВМ, их сеть, денеж ые средст­
ва, материальные ценности, услуги и т. п.) по фактам установленн ix наруше­
ний;

10) истребование, а при необходимости производство выемки hi эмативных
актов и документов, характеризующих порядок и организацию ра эты в дан­
ном подразделении с конфиденциальной информацией, с бланками₀ трогой от­
четности, компьютерной информацией, ЭВМ, системой ЭВМ, их се.ю и т. п;

11) допрос свидетелей, причастных к соответствующим произв Ьственным
операциям или подозреваемых в связях с лицами, совершившими |реступные
действия; J

12) анализ полученной информации и решение вопроса о необхо_£ и мости на­
значения судебных экспертиз, проведения ревизии или проверки (_т том числе
повторной).

В очередность перечисленных следственных действий, оператив::ых и орга­
низационных мероприятий могут быть внесены коррективы в зав1₍;имости от
изменения ситуации. и

i. Г

§3. Особенности тактики отдельных следственных

действий и использования специальных знаний К следственным действиям, которые по делам о преступлениях в сфере ком­пьютерной информации отличаются наибольшей спецификой, относятся: ос­мотр места происшествия; осмотр средства электронно-вычислительной техни­ки (СВТ); осмотр машинного носителя и компьютерной информации: обыск и выемка; назначение судебных экспертиз. Указанные следственные действия проводятся в строгом соответствии с правилами, регламентированными дейст­вующим уголовно-процессуальным законодательством, но с учетом следую­щих основных особенностей: следственное действие должно быть заблаговре­менно подготовлено и детально спланировано; в каждом следственном дейст­вии должны принимать участие специалисты, четко представляющие свои задачи, права и обязанности; понятые должны обладать минимально необхо­димыми специальными познаниями в области обработки компьютерной ин­формации (на уровне бытовых пользователей ПЭВМ), следователь и специали­сты — познаниями в части полной сохранности (неизменяемости) компьютер­ной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; для осмотра, обыска и выемки компью­терной информации и ее носителей заранее должны быть подготовлены необ­ходимые СВТ и материалы.

При осмотре места происшествия в состав следственно-оперативной груп­пы (СОГ) в зависимости от конкретной следственной ситуации, помимо следо­вателя, должны входить: специалист-криминалист, знающий особенности ра­боты со следами по преступлениям данной категории; специалист по СВТ; со­трудники Гостехкомиссии России, Центра защиты информации или ФАПСИ (при наличии на месте происшествия конфиденциальной компьютерной ин­формации, машинных носителей с ней, специальных средств защиты от не­санкционированного доступа (НСД) и (или) специальных технических средств негласного получения (уничтожения) компьютерной информации); специалист по сетевым технологиям (в случае наличия периферийного оборудования уда­ленного доступа или локальной компьютерной сети); специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи); оперативные сотрудники (ОУР, ОБЭП, налоговой полиции, ФСБ); участковый инспектор, обслуживающий данную территорию; инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом); спе­циалист для проведения видеосъемки следственного действия.

При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (ин­женеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей электросвязи, др.).

Целью осмотра места происшествия является установление конкретного СВТ и компьютерной информации, выступающей в качестве предмета и (или) ору­дия совершения преступления и несущих в себе следы преступной деятельно-

сти. Поэтому при производстве следственного действия целесообразнее всего использовать тактический прием "от центра — к периферии", где в качестве "центра" (отправной точки осмотра места происшествия) будет выступать кон­кретное СВТ и (или) компьютерная информация, обладающая вышеуказанны­ми свойствами. Детальное описание данных предметов, их соединений (физи­ческих и логических) должно сопровождаться видеосъемкой, фиксирующей последовательность действий следователя и специалистов, а также полученный при этом результат.

Если при проведении осмотра места происшествия используются СВТ и спе­
циальные поисковые технические устройства (материалы), об этом делается
соответствующая отметка в протоколе следственного действия с указанием их
индивидуальных признаков (тип, марка, название, заводской номер и т.д.).
Кроме того, в обязательном порядке делается отметка о том, что данные СВТ
перед началом следственного действия в присутствии понятых были тестиро­
ваны специальным программным средством (указывают его тип, вид, название
и другие реквизиты) на предмет отсутствия в них вредоносных программно-
аппаратных средств и закладок. «

Следователю необходимо знать, что к изменению или уничтожению компь­ютерной информации (следов преступника и преступления) может привести не только работа за пультом управления СВТ (клавиатурой), но и одноразовое включение-выключение СВТ или разрыв соединения между ними. Поэтому, если на момент проведения следственного действия какие-либо СВТ и иные электротехнические приборы и оборудование были включены или выключены, то они должны оставаться в таком положении до момента окончания осмотра их специалистом. По этой же причине подлежат обязательной охране все пунк­ты отключения электропитания СВТ, находящиеся на месте происшествия.

Особенно тщательно должны быть описаны в протоколе следующие факти­ческие данные: технические и конструктивные особенности местности, связан­ные с установкой и эксплуатацией СВТ, включая расположение и основные ха­рактеристики токонесущих коммуникаций; расположение СВТ относительно друг друга и оконечных устройств токонесущих коммуникаций; отсутствие или наличие соединений между ними (видимых и дистанционных); наличие или отсутствие соединений СВТ с оборудованием, в том числе находящемся вне территории осмотра (на это могут указывать кабели и провода, идущие от ос­матриваемого СВТ за границы места осмотра, либо к аппаратам внутренней связи (в таком случае границы осмотра места происшествия значительно рас­ширяются); наличие, внешнее состояние, расположение и вид охраны СВТ и компьютерной информации от НСД, их основные технические характеристики; расположение СВТ относительно вентиляционных и иных отверстий в строи­тельных конструкциях, дверных и оконных проемов, технических средств ви­деонаблюдения, а также относительно других рабочих мест; наличие в одном помещении со СВТ других электрических устройств и приборов (телефонных и иных аппаратов электросвязи, систем электрочасофикации, оргтехники — ксе­роксов, аудио-, видеомагнитофонов, автоответчиков, электрических пишущих

машинок, приборов электроосвещения, громкоговорителей, телевизоров, ра­диоприемников и т.д.).

Особенно тщательно должны быть осмотрены и описаны в протоколе веще­ственные доказательства: вредоносные программы для ЭВМ и машинные но­сители с ними; программы для ЭВМ, заведомо приводящие к несанкциониро­ванным пользователем действиям (влияющим на конечные результаты техно­логического процесса), а также их носители; обнаруженные специальные технические устройства негласного получения и уничтожения компьютерной информации; специфические следы преступника и преступления. Типичными следами являются: следы орудий взлома, повреждения, уничтожения и (или) модификации охранных и сигнальных устройств; показания регистрирующей аппаратуры (видеотехники, электронного журнала учета операций с компью­терной информацией, доступа к ней и др.); показания специальных мониторин­говых (тестовых) программно-аппаратных средств; следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсильных вилках, тумблерах, кнопках и рубильниках, включающих СВТ и электрооборудование; остатки соединительных проводов и изоляционных материалов; капли припоя, канифоли или флюса; следы вдавливания, проплавления, прокола, надреза изо­ляции электронесущих и соединительных проводов, приклеивания к ним сто­ронних предметов и устройств.

Осмотру подлежат различные документы и технические устройства, которыми преступники воспользовались для совершения преступления: учетно-справочная документация по работе с СВТ и компьютерной информацией (технический паспорт или документ, его заменяющий); журнал оператора или протокол авто­матической фиксации расчетно-кассовых и иных операций; журнал учета ма­шинных носителей информации, машинных документов, заказов (заданий или запросов); журнал (карточки) учета выдачи машинных носителей информации (МНИ) и машинных документов; журнал (карточки) учета массивов (участков, зон), программ, записанных на МНИ; журнал учета уничтожения брака бумаж­ных МНИ и машинных документов; акты на стирание конфиденциальной ин­формации и уничтожение машинных носителей с ней; удостоверения личности; электронные ключи доступа. Их осмотр позволяет установить способ соверше­ния преступления в сфере компьютерной информации, использованные для это­го преступником материалы и средства, наличие у субъекта специальных навы­ков и познаний; выдвинуть версии о причинно-следственных связях.

Осмотр средства электронно-вычислительной техники в большинстве случаев является первоначальным следственным действием и проводится для обнаружения следов преступления; для решения вопросов о том, кем, с какой целью и при каких обстоятельствах было совершено преступление; выяснения обстановки происшедшего события; восстановления механизма совершения преступления. Проводить осмотр следует с участием специалиста.

Прежде всего нужно уяснить смысл и назначение СВТ; установить, включе­но оно или нет; проверить его работоспособность и наличие в его памяти ком-

пьютерной информации; установить наличие или отсутствие сопряжения с ка­налом электросвязи и другими техническими устройствами. После этого необ­ходимо перейти к поиску материальных следов, содержащихся на его корпусе, отдельных деталях и проводных соединениях, в его постоянной и оперативной памяти (в виде компьютерной информации).

При осмотре СВТ недопустимо использование: магнитосодержащих мате­риалов и инструментов; технических устройств, генерирующих и излучающих электромагнитные поля и наводки (магнитный порошок и кисточка, электро­магнит, металлодетектор, мощные осветительные приборы, УФ и ИК излучате­ли и т. п.); кислотно-щелочных материалов и нагревательных приборов во из­бежание уничтожения (повреждения) СВТ и компьютерной информации, сле­дов преступника и преступления. Вышеуказанными материалами и оборудованием можно пользоваться с особой осторожностью нр расстоянии более одного метра от СВТ и их соединительных проводов.

Осмотр СВТ обычно приводит к необходимости их изъятия для последую­щего экспертного исследования и (или) приобщения к делу в качестве вещест­венного доказательства.

В протоколе осмотра СВТ фиксируют: его тип (назначение),¹ марку (назва­ние), конфигурацию, цвет и заводской номер (или инвентарный, учетный но­мер изделия); тип (назначение), цвет и другие индивидуальные признаки со­единительных и электропитающих проводов; состояние на момент осмотра (выключено или включено); техническое состояние — внешний вид, целост­ность корпуса, комплектность (наличие и работоспособность необходимых блоков, узлов, деталей, и правильность их соединения между собой), наличие расходных материалов, тип используемого машинного носителя информации; тип источника электропитания, его тактико-технические характеристики и тех­ническое состояние (рабочее напряжение, частота тока, рабочая нагрузка, на­личие предохранителя, стабилизатора, сетевого фильтра, количество подклю­ченного к нему электрооборудования, количество питающих электроразъемов-розеток и т.д.); наличие заземления ("зануления") СВТ и его техническое со­стояние; наличие и техническую возможность подключения к СВТ периферий­ного оборудования и (или) самого СВТ к такому оборудованию, либо к каналу электросвязи; имеющиеся повреждения, не предусмотренные стандартом кон­структивные изменения в архитектуре строения СВТ, его отдельных деталей (частей, блоков), особенно те, которые могли возникнуть в результате преступ­ления, а равно могли спровоцировать возникновение происшествия; следы преступной деятельности (следы орудий взлома корпуса СВТ, проникновения внутрь корпуса, пальцев рук, несанкционированного подключения к СВТ сто­ронних технических устройств и др.); расположение СВТ в пространстве отно­сительно периферийного оборудования и других электротехнических уст­ройств; точный порядок соединения СВТ с другими техническими устройства­ми; категорию обрабатываемой информации (общего пользования или конфиденциальная); наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкциони-

рованного доступа и манипулирования. Если на момент осмотра СВТ находит­ся в рабочем состоянии, необходимо детально описать: расположение его ра­бочих механизмов и изображение на его видеоконтрольном устройстве (экране, мониторе, дисплее); все действия, производимые специалистом при осмотре СВТ (порядок нажатия на клавиши и запорные механизмы, порядок корректно­го приостановления работы и закрытия исполняемой операции или программы, выключения СВТ, отключения от источника электропитания, рассоединения (или соединения) СВТ, отсоединения проводов, результаты измерения техни­ческих параметров контрольно-измерительной или тестовой аппаратурой и т.п.).

Осмотр машинного носителя и компьютерной информации проводят по принципу "от общего к частному". Ьначале описывают внешние индивидуаль­ные признаки носителя: его размер, тип, вид, название, марку, заводской и ин­дивидуальный номер, наличие наклейки и надписей на ней, наличие или отсут­ствие физических повреждений корпуса и следов на нем, положение элемента защиты от записи/стирания компьютерной информации. Затем переходят к ос­мотру компьютерной информации, содержащейся на МНИ. Перед началом ее осмотра необходимо указать в протоколе следственного действия: индивиду­альные признаки используемого для осмотра средства электронно-вычислительной техники и основные реквизиты его программного обеспечения (тип, вид, марку, название, заводской или регистрационный номер, номер вер­сии, юридический адрес и (или) автора программного продукта); юридические реквизиты программы, с помощью которой СВТ и его программное обеспече­ние в присутствии понятых было тестировано специалистом на предмет отсут­ствия вредоносных программно-аппаратных средств. После этого на указанный предмет проверяется и осматриваемая компьютерная информация.

Анализируя содержащуюся на осматриваемом носителе компьютерную ин­формацию, надо установить сведения, имеющие отношение к расследуемому событию. Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра должен фиксироваться на фото- или видеопленке. При обнаруже­нии следов преступления необходимо сделать распечатку всей или части ком­пьютерной информации и приложить ее к протоколу следственного действия.

В протоколе осмотра, помимо вышеуказанного, необходимо отразить: нали­чие, индивидуальные признаки защиты носителя от несанкционированного ис­пользования (голография, штрих-код, эмбоссинг, флуоресцирование, перфора­ция, вплавление личной подписи и (или) фотографии владельца, их размеры, цвет, вид и т. п.); признаки материальной подделки МНИ и его защиты; внут­реннюю спецификацию носителя — серийный номер и (или) метку тома, либо код, размер разметки (для дисков — по объему записи информации, для лент — по продолжительности записи); размер области носителя свободной от за­писи и занятой под информацию; количество и номера сбойных зон, секторов, участков, кластеров, цилиндров; количество записанных программ, файлов, ка-

талогов (их структуру, название, имя и (или) расширение, размер (объем), в том числе тот, который занимают их названия, дата и время создания (или послед­него изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т.д.); наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).

Готовясь к проведению обыска, следователь должен решить, что и где он будет искать. Для этого необходимо тщательно изучить обстоятельства дела и собрать ориентирующую информацию о предмете обыска, месте его проведе­ния и личности обыскиваемого. По делам о преступлениях в сфере компьютер­ной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные техни­ческие устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.

В ходе обыска следует обращать внимание на литературу, методические ма­териалы и рекламные проспекты по компьютерной технике, обработке, защите, передаче и негласному получению компьютерной информации, а т,акже на ау­дио-, видеокассеты, распечатки машинной информации и документы о соот­ветствующем образовании. Особое внимание нужно уделять предметам, со­держащим коды, пароли доступа, идентификационные номера, названия, адре­са пользователей конкретных компьютерных систем, алгоритмы входа и работы в системе. Необходимо также переиллюстрировать записные (телефон­ные) книжки, справочники и каталоги, в том числе электронные, находящиеся в памяти телефонных аппаратов, пейджеров и других компьютерных уст­ройств.

Ценные доказательства могут быть обнаружены и при личных обысках по­дозреваемых (обвиняемых).

Предметом выемки в подавляющем большинстве случаев совершения пре­ступлений в сфере компьютерной информации являются персональные компь­ютеры, машинные носители информации (включая распечатки на бумаге, ау­дио- и видеокассеты) и всевозможные документы, отражающие и регламенти­рующие различные операции, технологические процессы, связанные с обработкой, накоплением, созданием, передачей и защитой компьютерной ин­формации, использования ЭВМ, системы ЭВМ и их сети. Последние находятся по месту работы (учебы) подозреваемого (обвиняемого), в рабочих кабинетах должностных лиц и других служебных (учебных) помещениях.

Помимо вышеуказанного могут быть изъяты специальные технические сред­ства для негласного получения и уничтожения информации, свободные образ­цы почерка, бланки документов, заготовки машинных носителей информации, исходные тексты компьютерных программ, черновики и иные образцы для сравнительного исследования.

Перед изъятием магнитных носителей информации они должны быть в обя­зательном порядке упакованы в алюминиевый материал (алюминиевую фольгу

или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия.

Назначение экспертиз. При расследовании преступления в сфере компью­терной информации наиболее характерна компьютерно-техническая экспер­тиза. Ее проводят в целях: воспроизведения и распечатки всей или части ком­пьютерной информации (по определенным темам, ключевым словам и т.д.), со­держащейся на машинных носителях, в том числе находящейся в нетекстовой форме (в сложных форматах: в форме языков программирования, электронных таблиц, баз данных и т.д.); восстановления компьютерной информации, ранее содержавшейся на машинных носителях, но впоследствии стертой (уничто­женной) или измененной (модифицированной) по различным причинам; уста­новления даты и времени создания, изменения (модификации), уничтожения, либо копирования информации (документов, файлов, программ); расшифровки закодированной информации, подбора паролей и раскрытия системы защиты от НСД; исследования СВТ и компьютерной информации на предмет наличия программно-аппаратных модулей и модификаций, приводящих к несанкциони­рованному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; установле­ния авторства, места (средства) подготовки и способа изготовления документов (файлов, программ), находящихся на МНИ; выяснения возможных каналов утечки информации из компьютерной сети, конкретных СВТ и помещений; ус­тановления возможных несанкционированных способов доступа к охраняемой законом компьютерной информации и ее носителям; выяснения технического состояния, исправности СВТ, оценки их износа, а также индивидуальных при­знаков адаптации СВТ под конкретного пользователя; установления уровня профессиональной подготовки отдельных лиц, проходящих по делу, в области программирования и в качестве пользователя конкретного СВТ; установления конкретных лиц, нарушивших правила эксплуатации ЭВМ, системы ЭВМ или их сети; установления причин и условий, способствующих совершению пре­ступления в сфере компьютерной информации.

До вынесения постановления о назначении экспертизы рекомендуется про­консультироваться со специалистом по поводу ее целей, формулировки вопро­сов, характера предоставляемых материалов.

Может быть назначена идентификационная и неидентификационная компь­ютерно-техническая экспертиза.

По делам рассматриваемой категории из криминалистических экспертиз наиболее часто назначают дактилоскопическую, трасологическую, почерко-ведческую, фоноскопическую, автороведческую, радиотехническую и технико-криминалистическую экспертизу документов.

Глава 34

Не нашли, что искали? Воспользуйтесь поиском: