Н.Н. Лыткин
Доцент кафедры уголовного процесса и
криминалистики, к.ю.н.,
Рязанский филиал Московского
университета МВД России имени В.Я. Кикотя, г. Рязань, Россия
Л.М. Бабкин
Доцент кафедры уголовного процесса и
криминалистики, к.ю.н.,
Рязанский филиал Московского
университета МВД России имени В.Я. Кикотя, г. Рязань, Россия
Аннотация: в
статье рассматриваются актуальные вопросы исследования компьютерно-технических
следов в стадии предварительного расследования.
Ключевые слова:исследование,
компьютерно-технический след, специальные знания, экспертиза.
Исследование компьютерно-технических
следов в процессе расследования преступлений, сопряженных с использованием
средств компьютерной техники, осуществляется с использованием специальных
знаний в различных процессуальных формах. Уголовно процессуальный закон не
содержит определение специальных знаний. Вместе с тем, данный термин
употребляется законодателем в тексте УПК РФ как минимум, 4 раза: (ст.57, ст.58,
ст. 195, ст. 199).
Федеральный закон от 31.05.2001г.
№73-ФЗ «О государственной судебно-экспертной деятельности в РФ»[1]
устанавливает, что в результате деятельности экспертов разрешаются вопросы,
требующие специальных знаний «в области науки, техники, искусства или ремесла».
Использование судебной экспертизы в
доказательственной деятельности возможно, а в установленных законом случаях
необходимо, поскольку регламентируется процессуальным законом и в первую
очередь законодателем регулируется основание назначения экспертизы по
уголовному делу, где фактическим основанием является возникшая при производстве
по нему необходимость в специальных познаниях в науке, технике, искусстве или
ремесле[13].Как способ
собирания доказательств по уголовному делу экспертиза обладает рядом
особенностей, а познавательная деятельность здесь, хотя она и управляется и
контролируется следователем, все же в основе своей лежит вне сферы
уголовно-процессуальных правоотношений и осуществляется не тем лицом, в чьем
производстве находится уголовное дело, а экспертом[15].
Для разъяснения этих и других
вопросов представляется необходимым выделить ряд дополнительных критериев,
помогающих отграничить специальные знания от иных.Так, проф. В.Я. Колдин
указывает, что специальные знания приобретаются «посредством специального
(профессионального) образования и опыта» [2], иными словами, автор связывает
формирование специальных знаний получением как высшего профессионального
образования, так и практического опыта.Представляется, что отмеченное свойство
специальных знаний является весьма важным, но не единственным. Ю.В. Гаврилин
дополнительно выделяет следующие признаки специальных знаний: возможность их
неоднократного применения; представление специальных знаний не в прямой, а в
опосредованной форме; исключительная компетенция эксперта (специалиста) в
вопросе, требующем специального исследования; ограниченный круг субъектов
применения[3].
Формы использования специальных
знаний в процессе расследования подразделяются на процессуальную и непроцессуальную.
К процессуальной форме относятся: приглашение специалистов в ходе производства
отдельных следственных действий, производство экспертизы, заключение
специалиста (представленные в письменном виде суждения по вопросам,
поставленным перед специалистом сторонами), допрос эксперта (специалиста). К
непроцессуальной форме относятся: производство предварительного исследования
объектов, консультации, выполнение поручений технического характера,
использование средств криминалистической регистрации, участие специалистов в
оперативно-розыскных мероприятиях, в производстве ревизии и документальных
проверок.
Изучение следственной практики
убедительно свидетельствует о том, что при исследовании компьютерно-технических
следов преступления в процессе расследования, производство экспертизы
представляет собой наиболее распространенную форму использования специальных
знаний.
Вопросам назначения и производства
судебной экспертизы посвящена глава 27 УПК РФ. Производство (назначение)
судебной экспертизы – следственное (судебно-следственное) действие, сущность
которого заключается в даче заключения лицом, обладающим специальными знаниями
в науке, технике, искусстве или ремесле (экспертом) после проведения
специальных исследований по вопросам, поставленным перед ним должностным лицом,
осуществляющим производство по делу, в постановлении о назначении экспертизы[4].
Компьютерно-техническая экспертиза –
самостоятельный род судебных экспертиз, относящийся к классу
инженерно-технических экспертиз, проводимый в целях: определения статуса
объекта как компьютерного средства, выявления и изучения его роли в
расследуемом преступлении, а также получения доступа к информации на
электронных носителях с последующим всесторонним ее исследованием. Указанные
цели представляются родовыми задачами компьютерно-технической экспертизы.
Рассматривая компьютерно-техническую
экспертизу как самостоятельный род судебных экспертиз, относящийся к классу
инженерно-технических, Е.Р.Россинская и А.И. Усов выделяет следующие ее виды:
аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза;
компьютерно-сетевая экспертиза[5].
Система
объектов компьютерно-технической экспертизы по классификационному основанию
видового деления выглядит следующим образом:
- класс
аппаратные объекты, включающий в себя виды: персональные компьютеры
(стационарные, портативные), периферийные устройства, сетевые аппаратные
средства (серверы, рабочие станции, активное оборудование, сетевые кабели и
т.д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и
т.п.), встроенные системы на основе микропроцессорных контроллеров
(иммобилайзеры, транспондеры, круиз-контроллеры и т.п.), любые комплектующие
всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и
т.п.). Указанные виды могут охватывать различные сочетания подвидов. В
криминалистическом аспекте наиболее важен подвид запоминающих устройств и
носителей данных (все известные на момент проведения экспертизы электронные
носители): микросхемы памяти, магнитные и лазерные диски, магнитооптические
диски, магнитные ленты, карты и т.п.;
- класс
программные объекты, включающий в себя виды: системное программное обеспечение
(подвиды: операционная система, вспомогательные программы-утилиты, средства
разработки и отладки программ, служебная системная информация); прикладное
программное обеспечение [подвид приложения общего назначения (текстовые и
графические редакторы, системы управления базами данных, электронные таблицы,
редакторы презентаций и т.д.) и подвид приложения специального назначения (для
решения задач в определенной области науки, техники, экономики и т.д.)];
- класс
информационные объекты (данные), включающий в себя виды: текстовых и
графических документов (как в бумажной, так и электронной форме), изготовленных
с использованием компьютерных средств; данных в форматах мультимедиа;
информации в форматах баз данных и других приложений, имеющей прикладной
характер.
Сущность судебной аппаратно-компьютерной
экспертизы заключается в проведении исследования технических
(аппаратных) средств компьютерной системы. Предметом данного вида судебной
компьютерно-технической экспертизы являются факты и обстоятельства,
устанавливаемые на основе исследования закономерностей эксплуатации аппаратных
средств компьютерной системы – материальных носителей информации о факте или
событии уголовного, или гражданского дела.
Для проведения экспертного
исследования программного обеспечения предназначен такой вид
компьютерно-технической экспертизы, как программно-компьютерная экспертиза. Ее видовым предметом
являются закономерности разработки (создания) и применения (использования)
программного обеспечения компьютерной системы, представленной на исследование в
целях установления истины по гражданскому или уголовному делу. Целью
программно-компьютерной экспертизы является изучение функционального
предназначения, характеристик и реализуемых требований, алгоритма и структурных
особенностей, текущего состояния, представленного на исследование программного
обеспечения компьютерной системы.
Судебная
информационно-компьютерная экспертиза (данных) является ключевым видом судебной
компьютерно-технической экспертизы, так как позволяет завершить целостное
построение доказательственной базы путем окончательного разрешения большинства
диагностических и идентификационных вопросов, связанных с компьютерной
информацией. Целью этого вида является поиск, обнаружение, анализ и оценка
информации, подготовленной пользователем или порожденной (созданной)
программами для организации информационных процессов в компьютерной системе.
Отдельный вид компьютерно-технической
экспертизы –судебная
компьютерно-сетевая экспертиза, в отличие от предыдущих
основывается, прежде всего, на функциональном предназначении компьютерных
средств, реализующих какую-либо сетевую информационную технологию. Поэтому
исследование фактов и обстоятельств, связанных с использованием сетевых и
телекоммуникационных технологий, по заданию следственных и судебных органов в
целях установления истины по уголовному или гражданскому делу составляют
видовой предмет компьютерно-сетевой экспертизы. Она выделена в отдельный вид в
связи с тем, что лишь использование специальных познаний в области сетевых
технологий позволяет соединить воедино полученные объекты, сведения о них и
эффективно решить поставленные экспертные задачи. Особое место в
компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и
гражданским делам, связанным с Интернет-технологиями.
Объект применения специальных знаний
этой экспертизы может быть разным – от компьютеров пользователей, подключенных
к Internet, до
различных ресурсов поставщика сетевых услуг (провайдера Internet) и предоставляемых им информационных
услуг (электронная почта, служба электронных объявлений, телеконференции,
WWW-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций
и связи, в судебной компьютерно-сетевой экспертизе можно выделитьсудебную телематическую экспертизу,предметом
которой являются фактические данные, устанавливаемые на основе применения
специальных познаний при исследовании средств телекоммуникаций и подвижной
связи как материальных носителей информации о факте или событии какого-либо
уголовного либо гражданского дела.
Можно выделить следующие виды
компьютерно-технических экспертиз, необходимость назначения которых возникает
при расследовании преступлений в сфере компьютерной информации компьютерной
информации[5]:
1. Техническая экспертиза компьютеров
и периферийных устройств. Она назначается и проводится в целях изучения
технических особенностей компьютера, его периферийных устройств, технических
параметров компьютерных сетей, а также причин возникновения сбоев в работе
компьютерного оборудования;
2. Техническая экспертиза
оборудования защиты компьютерной информации. Проводится в целях изучения
технических устройств защиты информации, используемых на данном предприятии,
организации, учреждении или фирме;
3. Экспертиза машинных данных и
программного обеспечения ЭВМ. Осуществляется в целях изучения информации,
хранящейся в компьютере и на магнитных носителях, в том числе изучение
программных методов защиты компьютерной информации;
4. Экспертиза программного
обеспечения и данных, используемых в компьютерной сети. Проводится в целях
изучения информации, которая обрабатывается с помощью компьютерных сетей,
эксплуатируемых на данном предприятии, организации, учреждении, фирме или
компании.
С. А. Катков выделяет в качестве самостоятельного
вида экспертизы по восстановлению содержания документов на магнитных носителях[6].
Нам представляется, что, исходя из решаемых данным видом экспертного
исследования вопросов, оно целиком относится к экспертизе машинных данных и
программного обеспечения.
Как показывает практика[7], возможно
так же назначение комплексной экспертизы, сочетающей в себе дактилоскопическую,
компьютеро-техническую экспертизу, экспертизу веществ и материалов,
технико-криминалистическую экспертизу документов, а также иные виды экспертного
исследования.
На разрешение технической
экспертизы компьютеров ставятся следующие диагностические вопросы[8]:
- какая модель компьютера
представлена на исследование, каковы его технические характеристики, параметры
периферийных устройств;
- находится ли представленная
компьютерная техника в исправном состоянии? Возможна ли ее эксплуатация? Если
нет, то по каким причинам;
- соответствует ли представленная
документация данным техническим устройствам и периферийному оборудованию;
- каковы условия сборки компьютера и
его комплектующих: фирменная сборка, сборка из комплектующих в другой фирме или
кустарная сборка? Имеются ли в наличии дополнительные устройства, не входящие в
базовый комплект поставки (базовый комплект определяется из документации);
- имеет ли место наличие
неисправностей отдельных устройств, магнитных носителей информации (выявляются
различными тестовыми программами);
- не проводилась ли адаптация
компьютера для работы с ним специфических пользователей (левша, слабовидящий и
пр.).
К идентификационным[9, 10, 11] можно
отнести вопрос о наличии у комплектующих компьютера (например, печатных плат,
магнитных носителей, дисководов и пр.) единого источника происхождения.
При технической экспертизе
оборудования защиты ставятся следующие вопросы:
- какие технические устройства
используются для защиты компьютерной информации? Каковы их технические
характеристики;
- есть ли в наличии техническая
документация на эти изделия? Соответствуют параметры устройств, изложенным в
документации;
- подвергались или нет средства
защиты программной модификации или физическому воздействию? Используются или
нет кустарные средства защиты информации.
Приэкспертизе данных и
программного обеспечениямогут решаться как диагностические, так и
идентификационные задачи. В зависимости от конкретных обстоятельств вопросы
могут быть следующими. При решении диагностических задач:
- каков тип операционной системы,
используемой в компьютере? Какова ее версия;
- какие программные продукты
эксплуатируются на данном компьютере? Являются ли они лицензионными, или
«пиратскими» копиями, или собственными оригинальными разработками? Когда
производилась инсталляция (установка) данных программ;
- каково назначение программных
продуктов? Для решения каких прикладных задач они предназначены? Какие способы
ввода и вывода информации используются? Соответствуют ли результаты выполнения
программ требуемым действиям;
- какие программные методы защиты
информации используются (пароли, идентификационные коды, программы защиты и
т.д.)? Не предпринимались ли попытки подбора паролей или иные попытки
неправомерного доступа к компьютерной информации;
- какая информация содержится в
скрытых файлах;
- имеются ли на представленном
магнитном носителе стертые (удаленные) файлы? Если да, то каковы их имена,
размеры и даты создания, давность удаления;
- возможно ли восстановление ранее
удаленных файлов и каково их содержание;
- изменялось ли содержание файлов
(указать, каких именно), если да, то в чем оно выразилось;
- в каком виде хранится информация о
результатах работы антивирусных программ, программ проверки контрольных сумм
файлов? Каково содержание данной информации;
- имеет ли место наличие сбоев в
работе отдельных программ? Каковы
причины этих сбоев;
- в каком состоянии находятся и что
содержат файлы на магнитных носителях? Когда производилась последняя
корректировка этих файлов;
- к каким именно файлам делала
обращение программа (указать, какая именно), представленная на машинном
носителе и какие информационные файлы она создавала.
При решении идентификационныхзадач
могут быть поставлены следующие вопросы:
- выполнена ли отдельная программа
(или ее часть) определенным лицом[12] (как справедливо отмечают авторы учебника
«Криминалистика», данный вопрос решается комплексно при производстве
компьютеро-технической и автороведческой экспертизы);
- соответствуют ли используемые в
программах пароли и идентификационные коды вводимым пользователем.
При экспертизе сетевого
программного обеспечения и данных ставятся следующие вопросы:
- какое программное обеспечение
используется для функционирования компьютерной сети? Является ли оно
лицензионным;
- каким образом осуществляется
соединение компьютеров сети? Имеется ли
выход на глобальные компьютерные сети;
- какие компьютеры являются серверами
(главными компьютерами) сети? Каким образом осуществляется передача информации
на данном предприятии, учреждении, организации, фирме или компании по узлам
компьютерной сети;
- используются ли для ограничения
доступа к информации компьютерной сети пароли, идентификационные коды? В каком
виде они используются;
- имеются ли сбои в работе отдельных
программ, отдельных компьютеров при функционировании их в составе сети? Каковы
причины этих сбоев;
- какая информация передается,
обрабатывается и модифицируется с использованием компьютерной сети.
Необходимо отметить, что объектами
компьютерно-технических экспертиз кроме компьютеров в привычном понимании, их
отдельных блоков, периферийных устройств, технической документации к ним, а также
носителей компьютерной информации могут выступать и компьютеры в непривычном
понимании: электронные записные книжки, пейджеры, сотовые телефоны, электронные
кассовые аппараты, иные электронные носители текстовой или цифровой информации,
документация к ним[13]. При этом на разрешения эксперта ставятся аналогичные
вопросы.
Представляет интерес позиция В.В.
Агафонова и А.Г. Филиппова, считающих, что в определенных случаях производство
экспертизы можно заменить другим следственным действием, в частности,
следственным осмотром или следственным экспериментом[14]. Не вдаваясь в
дискуссию по данному вопросу, отметим, что в тех случаях, когда собственных
познаний следователя достаточно, и ему не требуются привлечения специальных
познаний (например, при установлении факта нахождения определенной информации
на машинном носителе), экспертизу действительно можно не назначать, а
зафиксировать факт нахождения данной информации путем следственного осмотра с
участием специалиста.
Следует отметить, что в настоящее
время, класс компьютеро-технических экспертиз находится еще в стадии
разработки. Проведенное исследование показало, что следователи испытывают
значительные сложности с назначением подобных экспертиз, поскольку не во всех
экспертных учреждениях имеются соответствующие специалисты, большинство
следователей не знают о возможностях компьютеро-технических экспертиз, какие
вопросы ставятся на их разрешение и какие материалы предоставляются в
распоряжение экспертов.
Литература:
1. Российская газета, № 106,
05.06.2001.
2. Криминалистика: Учебник / Отв.
ред. Н.П. Яблоков. – М., 2001. – С.366.
3. Гаврилин, Ю.В. Расследование
преступлений против личности и собственности: Учебное пособие /Ю.В., Гаврилин,
А.В. Черенков. –М., 2005. С. 79.
4. Гаврилин, Ю.В. Следственные
действия (уголовно-процессуальные и криминалистические аспекты): Учебное
пособие /Ю.В. Гаврилин, А.В. Победкин, В.Н. Яшин. –М., 2005. – С. 167.
5. Гаврилин, Ю.В. Расследование
неправомерного доступа к компьютерной информации. Дисс… канд. юрид. наук. М.,
2000.
6. Катков, С.А. Назначение экспертизы
по восстановлению содержания документов на магнитных носителях ЭВМ. Проблемы
криминалистической теории и практики / С.А. Катков. – М., 1995. – С. 149-155.
7. Архив Новомосковского районного
суда Тульской области. Уголовное дело № 21-1-1025-97.
8. Корухов, Ю.Г. Криминалистическая
диагностика при расследовании преступлений. Научно-практическое пособие. М.,
1998.
9. Лузгин, И.М. Криминалистическая
идентификация и диагностика и их использование в раскрытии и расследовании
преступлений: Лекции по криминалистике //И.М. Лузгин, Ш.Р Хазиев. – М., 1992.
10. Терзиев, Н.В. Идентификация и
определение родовой (групповой) принадлежности /Н.В Терзиев. –М., 1961.
11. Колдин, В.Я. Идентификация и ее
роль в установлении истины по уголовным делам / В.Я. Колдин. – М., 1969.
12. Аверьянова, Т.В. Криминалистика /
Т.В. Аверьянова, Р.С. Белкин, Ю.Г. Корухов, Е.Р. Россинская // под ред. Р.С.
Белкина. – М.. 1999. – С. 962.
13. Родионов, А.Н. Расследование
преступлений в области высоких технологий/ А.Н. Родионов,А.В. Кузнецов //
Вестник МВД России. –1999. № 6. – С. 67.
14. Агафонов, В.В. Некоторое
дискуссионные вопросы использования заключения эксперта как средство
доказывания по уголовным делам / В.В. Агафонов, А.Г. Филиппов // Соотношение и
связи криминалистики и теории оперативно-розыскной деятельности органов
внутренних дел. – Краснодар, 1996. – С. 54.
15. Бабкин, Л.М. О некоторых вопросах
использования заключенияэксперта в доказывании по уголовному делу / Л.М.
Бабкин, С.В. Булатецкий //Центральный научный вестник. – 2016. – Т. 1. – № 12.
– С. 13-15.
Сведения об авторах:
Лыткин Николай Николаевич – к.ю.н., доцент кафедры уголовного процесса и
криминалистики Рязанского филиала Московского университета МВД России имени
В.Я. Кикотя, e-mail: NNLytkin@mail.ru
Бабкин Леонид Михайлович – к.ю.н., доцент кафедры уголовного процесса и
криминалистики Рязанского филиала Московского университета МВД России имени
В.Я. Кикотя, e-mail: babkin1949@yandex.ru