§ 3. Особенности производства
отдельных следственных действий
Все следственные действия по делам о преступлениях в сфере' компьютерной информации проводятся в строгом соответствии с правилами, регламентированными действующим уголовно-процессуальным законодательством, но с учетом следующих основных особенностей: следственное действие должно быть заблаговременно подготовлено и детально спланировано; в каждом следственном действии должны принимать участие специалисты, четко представляющие свои задачи, права и обязанности; понятые должны обладать минимально необходимыми специальными познаниями в области обработки компьютерной информации (на уровне бытовых пользователей ПЭВМ), следователь и специалисты — познаниями в части полной сохранности (неизменяемости) компьютерной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; для осмотра, обыска и выемки компьютерной информации и ее носителей заранее должны быть подготовлены необходимые СВТ и материалы.
При осмотре места происшествия в состав следственно-оперативной группы в зависимости от конкретной следственной ситуации, помимо следователя, должны входить: специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории; специалист по СВТ; сотрудник Гостехкомиссии России, Центра защиты информации или ФАПСИ (при наличии на месте происшествия конфиденциальной компьютерной информации, машинных носителей с ней, специальных средств защиты от НСД и(или) СТС негласного получения (уничтожения, блокирова-
99
ния) компьютерной информации); специалист по сетевым технологиям (в случае наличия периферийного оборудования удаленного доступа или локальной компьютерной сети); специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи); оперативные сотрудники (ОБПСВТ, ОБЭП, налоговой полиции или ФСБ); участковый инспектор, обслуживающий данную территорию; инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом); специалист для проведения цветной фото- или видеосъемки следственного действия.
При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (инженеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей электросвязи и др.).
Целью осмотра места происшествия является установление конкретного СВТ и компьютерной информации, выступающей в качестве предмета и(или) орудия совершения преступления и несущей в себе следы преступной деятельности. Поэтому при производстве следственного действия целесообразнее всего использовать тактический прием «от центра к периферии», где в качестве «центра» (отправной точки осмотра места происшествия) будет выступать конкретное СВТ и(или) компьютерная информация, обладающая вышеуказанными свойствами. Детальное описание данных предметов, их соединений (физических и логических) должно сопровождаться видеосъемкой, фиксирующей последовательность действий следователя и специалистов, а также полученный при этом результат.
Если при проведении осмотра места происшествия используются СВТ и специальные поисковые технические устройства (материалы), об этом делается соответствующая отметка в протоколе следственного действия с указанием их индивидуальных признаков (тип, марка, название, заводской номер и т. д.). Кроме того, в обязательном порядке делается отметка о том, что данные СВТ перед началом следственного действия в присутствии понятых были тестированы специальным программным средством (указывают его тип, вид, название, версию, автора и другие реквизиты) на предмет отсутствия в них вредоносных программно-аппаратных средств и закладок.
Следователю необходимо знать, что к изменению или уничтожению компьютерной информации (следов преступника и преступления) может привести не только работа за пультом управления СВТ
100
(клавиатурой), но и одноразовое кратковременное включение-выключение СВТ или разрыв соединения между ними. Поэтому если на момент проведения следственного действия какие-либо СВТ и иные электротехнические приборы и оборудование были включены или выключены, то они должны оставаться в таком положении до момента окончания осмотра их специалистом. По этой же причине подлежат обязательной охране все пункты отключения электропитания, находящиеся на месте происшествия.
Особенно тщательно должны быть описаны в протоколе следующие фактические данные: технические и конструктивные особенности местности, связанные с установкой и эксплуатацией СВТ, включая расположение и основные характеристики токонесущих коммуникаций; расположение СВТ относительно друг друга и оконечных устройств токонесущих коммуникаций; отсутствие или наличие соединений между ними (видимых и дистанционных); наличие или отсутствие соединений СВТ с оборудованием, в том числе находящимся вне территории осмотра (на это могут указывать кабели и провода, идущие от осматриваемого СВТ за границы места ос-' мотра либо к аппаратам электросвязи (в таком случае границы осмотра места происшествия значительно расширяются); наличие, внешнее состояние, расположение и вид охраны СВТ и компьютерной информации от НСД, их основные технические характеристики; расположение СВТ относительно вентиляционных и иных отверстий в строительных конструкциях, дверных и оконных проемов, технических средств видеонаблюдения, а также относительно других рабочих мест; наличие в одном помещении со СВТ других электрических устройств и приборов (телефонных и иных аппаратов " электросвязи, пейджеров, систем электрочасофикации, оргтехники — ксероксов, аудио-, видеомагнитофонов, автоответчиков, электрических пишущих машинок, приборов электроосвещения, громкоговорителей, телевизоров, радиоприемников и т. д.).
Особенно тщательно должны быть осмотрены и описаны в протоколе типичные вещественные доказательства: вредоносные программы для ЭВМ и машинные носители с ними; программы для ЭВМ, заведомо приводящие к несанкционированным пользователем действиям (влияющие на конечные результаты технологического процесса), а также их носители; обнаруженные СТС негласного получения (уничтожения, блокирования) компьютерной информации и магнитных носителей; специфические следы преступника и преступления. Типичными следами являются: следы орудий взлома, повреждения, уничтожения и(или) модификации охранных и сигнальных устройств; показания регистрирующей аппаратуры (ви-
101
деотехники, электронного журнала учета операций с компьютерной информацией, доступа к ней и СВТ, др.); показания специальных мониторинговых (тестовых) программно-аппаратных средств, в том числе электронной цифровой подписи (сокр. ЭЦП)'; следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсельных вилках, тумблерах, кнопках и рубильниках, включающих и отключающих СВТ и электрооборудование; остатки соединительных проводов и изоляционных материалов; капли припоя, канифоли или флюса; следы вдавливания, проплавления, прокола, надреза изоляции токонесущих и соединительных (управляющих) проводов, приклеивания к ним сторонних предметов и устройств.
Осмотру подлежат следующие документы и их носители, являющиеся доказательствами подготовки, совершения и сокрытия преступления:
а) учетно-справочная документация по работе со СВТ и компью терной информацией (технический паспорт или документ, его заме няющий; журнал оператора или протокол автоматической фикса ции технологических операций, доступа к СВТ и конфиденциальной компьютерной информации; журналы (карточки) учета машинных носителей информации, машинных документов, заказов (заданий или запросов), выдачи МНИ и машинных документов, массивов (участков, зон), программ, записанных на МНИ; журналы учета уничтожения брака бумажных МНИ и машинных документов; акты на стирание конфиденциальной информации и уничтожение ма шинных носителей с ней);
б) документация, отражающая санкционированность доступа (удостоверения личности, электронные ключи доступа, пароли, персональные идентификационные номера (ПИН-коды), ЭЦП и иные средства (предметы или устройства) идентификации и аутен тификации санкционированного пользователя);
в) учетно-регистрационная и бухгалтерская документация (ли цензии и лицензионные соглашения; сертификаты соответствия
1 Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (см.: Об электронной цифровой подписи от 10.01.2002 г. № 1-ФЗ. Ст. 3).
102
СВТ, программ для ЭВМ, средств защиты информации (в том числе и ЭЦП), протоколов обмена информацией и форматов электронных документов установленным требованиям; договоры (соглашения) на пользование СВТ и доступ к компьютерной информации с соответствующим -комплектом документов; расчетно-кассовые и иные бухгалтерские документы, отражающие факт оплаты пользователем предоставленной ему услуги, отпущенного товара или осуществленной им кредитно-банковской операции);
г) учетно-контрольная документация (журналы (акты) пусконала- дочных, ремонтных и регламентных работ по техническому обслу живанию СВТ, программ для ЭВМ и средств защиты информации; журналы аварий и сбойных (нештатных) ситуаций; акты сбоев и ложных сработок охранных сигнализаций; акты контрольных прове рок соблюдения режима безопасности информации, ревизий, слу жебных и иных документальных проверок; сводные отчеты и кон трольные показатели по отдельным участкам работы, операциям и временным интервалам);
д) документация, регламентирующая действия обслуживающего' персонала (должностные обязанности; инструкции по работе с СВТ, программами для ЭВМ, средствами защиты от НСД, действий оператора в нештатной (аварийной) ситуации; черновая рабочая документация оператора СВТ).
Их осмотр позволяет установить способ совершения преступления в сфере компьютерной информации, использованные для этого преступником материалы и средства, наличие у субъекта специальных навыков и познаний; выдвинуть версии о причинно-следственных связях.
Осмотр средства электронно-вычислительной техники в большинстве случаев является первоначальным следственным действием и проводится для обнаружения следов преступления; решения вопросов о том, кем, с какой целью и при каких обстоятельствах было совершено преступление; выяснения обстановки происшедшего события; восстановления механизма совершения преступления. Проводить осмотр следует с участием специалиста.
Прежде всего нужно уяснить смысл и назначение СВТ; установить, включено оно или нет; проверить его работоспособность и наличие в его памяти компьютерной информации; установить наличие или отсутствие сопряжения с каналом электросвязи и другими техническими устройствами. После этого необходимо перейти к поиску материальных следов, содержащихся на его корпусе, отдельных деталях и проводных соединениях, в его постоянной и оперативной памяти (в виде компьютерной информации).
103
При осмотре СВТ недопустимо использование: магнитосодержа-щих материалов и инструментов; технических устройств, генерирующих и излучающих электромагнитные поля и наводки (магнитный порошок и кисточка, электромагнит, металлодетектор, мощные осветительные приборы, УФ и ИК излучатели и т. п.); кислотно-щелочных материалов и нагревательных приборов во избежании уничтожения (повреждения) СВТ и компьютерной информации, следов преступника и преступления. Вышеуказанными материалами и оборудованием можно пользоваться с особой осторожностью на расстоянии более 1 м от СВТ и их соединительных проводов.
Осмотр СВТ обычно приводит к необходимости их изъятия для последующего экспертного исследования и (или) приобщения к делу в качестве вещественного доказательства.
В протоколе осмотра СВТ фиксируют: его тип (назначение), марку (название), конфигурацию, цвет и заводской номер (серийный, инвентарный или учетный номер изделия); тип (назначение), цвет и другие индивидуальные признаки соединительных и электропитаю-щих проводов; состояние на момент осмотра (выключено или включено); техническое состояние — внешний вид, целостность корпуса, комплектность (налучие и работоспособность необходимых блоков, узлов, деталей и правильность их соединения между собой), наличие расходных материалов, тип используемого машинного носителя информации; тип источника электропитания, его тактико-технические характеристики и техническое состояние (рабочее напряжение, частота тока, рабочая нагрузка, наличие предохранителя, стабилизатора, сетевого фильтра, количество подключенного к нему электрооборудования, количество питающих электроразъемов-розеток и т. д.); наличие заземления («зануления») СВТ и его техническое состояние; наличие и техническая возможность подключения к СВТ периферийного оборудования и(или) самого СВТ к такому оборудованию либо к каналу электросвязи; имеющиеся повреждения, не предусмотренные стандартом конструктивные изменения в архитектуре строения СВТ, его отдельных деталей (частей, блоков), особенно те, которые могли возникнуть в результате преступления, а равно могли спровоцировать возникновение происшествия; следы преступной деятельности (следы орудий взлома корпуса СВТ, проникновения внутрь корпуса, пальцев рук, несанкционированного подключения к СВТ сторонних технических устройств и др.); расположение СВТ в пространстве относительно периферийного оборудования и других электротехнических устройств; точный порядок соединения СВТ с другими техническими устройствами; категорию обрабатываемой информации (общего
104
пользования или конфиденциальная); наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкционированного доступа и манипулирования. Если на момент осмотра СВТ находится в рабочем состоянии, то необходимо детально описать: расположение его рабочих механизмов и изображение на его видеоконтрольном устройстве (экране, мониторе, дисплее); основные действия, производимые специалистом при осмотре СВТ (порядок корректного приостановления работы и закрытия исполняемой операции или программы, выключения СВТ, отключения от источника электропитания, рассоединения (или соединения) СВТ, отсоединения проводов; результаты измерения технических параметров контрольно-измерительной или тестовой аппаратурой и т. п.).
Осмотр машинного носителя и компьютерной информации проводят по принципу «от общего к частному». Вначале описывают внешние индивидуадьные признаки носителя: его цвет, размер, тип, вид, название, марку, заводской, и индивидуальный номер, наличие наклейки и надписей на ней, наличие или отсутствие физических повреждений корпуса и следов на нем, положение элемента защиты от записи (стирания) компьютерной информации. Затем переходят к осмотру компьютерной информации, содержащейся на МНИ. Перед началом ее осмотра необходимо указать в протоколе следственного действия: индивидуальные признаки используемого для осмотра средства электронно-вычислительной техники и основные реквизиты его программного обеспечения (тип, вид, марку, название, заводской или регистрационный номер, номер версии, юридический адрес и (или) автора программного продукта); юридические реквизиты программы, с помощью которой СВТ и его программное обеспечение в присутствии понятых было тестировано специалистом на предмет отсутствия вредоносных программно-аппаратных средств. После этого на указанный предмет проверяется и осматриваемая компьютерная информация.
Анализируя содержащуюся на осматриваемом носителе компьютерную информацию, надо установить сведения, имеющие отношение к расследуемому событию. Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра должен дополнительно фиксироваться на цветной фото- или видеопленке. При обнаружении следов преступления необходимо сделать распечатку всей или части компьютерной информации и приложить ее к протоколу следственного действия с указа-
105
нием в протоколе индивидуальных признаков использованного для этого печатающего устройства (тип, вид, марка, название, номер).
В протоколе осмотра, помимо вышеуказанного, необходимо отразить: наличие, индивидуальные признаки защиты носителя от несанкционированного использования (голография, штрих-код, эм-боссинг, флюоресцирование, перфорация, ламинирование личной подписи и(или) фотографии владельца, их размеры, цвет, вид и т. п.); признаки материальной подделки МНИ и его защиты; внутреннюю спецификацию носителя — серийный номер и (или) метку тома либо код, размер разметки (для дисков — по объему записи информации, для лент — по продолжительности записи); размер области носителя, свободной от записи и занятой под информацию; количество и номера сбойных зон, секторов, участков, кластеров, цилиндров; количество записанных программ, файлов, каталогов ( структура их расположения на МНИ, название, имя и (или) расширение, размер (объем), в том числе тот, который занимают их названия, дату и время создания (или последнего изменения), а также специальную метку или флаг (системный, архивный, скрытый, только для чтения или записи и т. д.); наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).
Готовясь к проведению обыска, следователь должен решить что и где он будет искать. Для этого необходимо тщательно изучить обстоятельства дела и собрать ориентирующую информацию о предмете обыска, месте его проведения и личности обыскиваемого. По делам о преступлениях в сфере компьютерной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные специальные технические устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.
В ходе обыска следует обращать внимание на литературу, методические материалы и рекламные проспекты по компьютерной технике, обработке, защите, передаче и негласному получению компьютерной информации, а также на аудио-, видеокассеты, распечатки машинной информации и документы о соответствующем образовании. Особое внимание нужно уделять предметам, содержащим коды, пароли доступа, идентификационные номера, названия, электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в системах и сетях. Необходимо также переиллюстрировать записные ( телефонные) книжки, спра-
106
вочники и каталоги, в том числе электронные, находящиеся в памяти телефонных аппаратов, пейджеров и других компьютерных устройств.
Ценные доказательства могут быть обнаружены и при личных обысках подозреваемых (обвиняемых).
Предметом выемки в подавляющем большинстве случаев со- . вершения преступления в сфере компьютерной информации являются персональные компьютеры, машинные носители информации (включая распечатки на бумаге, аудио- и видеокассеты, пластиковые карты) и всевозможные документы (в том числе и электронные)', отражающие и регламентирующие различные операции, технологические процессы, связанные с обработкой, накоплением, созданием, передачей и защитой компьютерной информации, с использованием ЭВМ, системы ЭВМ и их сети. Последние находятся по месту работы (учебы) подозреваемого (обвиняемого), в рабочих кабинетах должностных лиц и других служебных (учебных) помещениях.
Помимо вышеуказанного могут быть изъяты специальные технические средства для негласного получения, модификации и уничтожения информации, свободные образцы почерка, бланки и фрагменты документов, заготовки машинных носителей информации, исходные тексты программ для ЭВМ, черновики и иные образцы для сравнительного исследования.
Перед изъятием магнитных носителей информации они должны быть в обязательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия.
Назначение экспертиз. При расследовании преступления в сфере компьютерной информации наиболее часто назначают компьютерно-техническую экспертизу. Ее проводят в целях: воспроизведения и распечатки всей или части компьютерной информации (по определенным темам, ключевым словам и т. д.), содержащейся на машинных носителях, в том числе находящейся в нетекстовой форме (в сложных форматах: в форме языков программирования, электронных таблиц, баз данных и т. д.); восстановления компьютерной информации, ранее содержавшейся на машинных носителях, но впоследствии стертой (уничтоженной) или измененной (модифициро-
1 Электронный документ — документ, в котором информация представлена в электронно-цифровой форме См.: Об электронной цифровой подписи: Закон РФ от 10.01.2002 г. № 1-ФЗ. Ст. 3.
107
ванной) по различным причинам; установления даты и времени создания, изменения (модификации), уничтожения либо копирования информации (документов, файлов, программ); расшифровки закодированной информации, подбора паролей и раскрытия системы защиты от НСД; исследования СВТ и компьютерной информации на предмет наличия программно-аппаратных модулей и модификаций, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; установления авторства, места (средства) подготовки и способа изготовления документов (файлов, программ), находящихся на МНИ; выяснения возможных каналов утечки информации из компьютерной сети, конкретных СВТ и помещений; установления возможных несанкционированных способов доступа к охраняемой законом компьютерной информации и ее носителям; выяснения технического состояния, исправности СВТ, степени их износа, а также индивидуальных признаков адаптации СВТ под конкретного пользователя; установления уровня профессиональной подготовки отдельных лиц, проходящих по делу, в области программирования и в качестве пользователя конкретного СВТ; установления конкретных лиц, нарушивших правила эксплуатации ЭВМ, системы ЭВМ или их сети; установления причин и условий, способствующих совершению преступления в сфере компьютерной информации.
До вынесения постановления о назначении экспертизы рекомендуется проконсультироваться со специалистом по поводу ее целей, формулировки вопросов, характера предоставляемых материалов.
Может быть назначена идентификационная и неидентификационная компьютерно-техническая экспертиза.
По делам рассматриваемой категории из криминалистических экспертиз назначают дактилоскопическую, одорологическую, трасо-логическую, почерковедческую, фоноскопическую, автороведче-скую, радиотехническую и технико-криминалистическую экспертизу документов, экспертизу полимерных материалов и изделий из них.
Ю8
РАЗДЕЛ 5 ^^SSSSBSB!BBSB^S=^^^!B^SS^^B
МЕЖВИДОВЫЕ МЕТОДИКИ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ
- § 2. Организация первоначального этапа расследования
- § 3. Особенности производства отдельных следственных действий
- Глава 16 '' '*
- § 1. Криминалистическая характеристика преступлений
- § 2. Организация расследования на первоначальном этапе
- § 3. Особенности производства
- § 2. Особенности организации расследования
- § 3. Особенности тактики отдельных следственных действий
- Глава 18
- § 1. Криминалистическая характеристика экологических преступлений
- § 2. Организация расследования экологических преступлений на первоначальном этапе
- § 3. Особенности производства отдельных следственных действий при расследовании экологических преступлений
- Глава 19
- § 1. Криминалистическая характеристика дорожно-транспортных преступлений
- § 2. Организация расследования дорожно-транспортных преступлений на первоначальном этапе
- § 3. Особенности производства отдельных следственных действий при расследовании дорожно-транспортных преступлений
- Глава 20
- § 1. Криминалистическая характеристика преступлений в сфере компьютерной информации
- § 2. Организация расследования на первоначальном этапе
- § 3. Особенности производства
- Глава 21
- § 1. Криминалистическая характеристика преступлений несовершеннолетних
- § 2. Организация расследования преступлений
- § 3. Особенности производства отдельных следственных действий при расследовании преступлений несовершеннолетних
- Глава 22
- § 1. Криминалистическая характеристика преступлений, совершенных организованными группами
- § 2. Организация расследования преступлений, совершенных организованными группами, на первоначальном этапе
- § 3. Особенности производства отдельных следственных действий
- Глава 23
- § 1. Криминалистическая характеристика преступлений, совершенных иностранными гражданами
- § 2. Организация расследования преступлений на первоначальном этапе
- § 3. Особенности производства отдельных следственных действий
- Глава 24
- § 1. Криминалистическая характеристика преступлений, совершенных с использованием автотранспортных средств
- § 2. Организация расследования преступлений, совершенных с использованием автотранспортных средств
- § 3. Особенности производства
- Глава 25
- § 1. Криминалистическая характеристика хищений автотранспортных средств
- § 2. Организация расследования хищений
- § 3. Тактика отдельных следственных действий
- Глава 26
- § 1. Криминалистическая характеристика преступлений, совершенных с применением взрывных устройств
- § 2. Организация расследования на первоначальном этапе
- § 3. Особенности тактики отдельным следственных действии
- Глава 27
- § 1. Криминалистическая характеристика хищений грузов на железнодорожном транспорте
- § 2. Организация первоначального этапа расследования хищений грузов на железнодорожном транспорте
- § 3. Особенности тактики отдельных следственных действий
- Часть 2 3
- § 1 Криминалистическая характеристика бандитизма 5