Особенности тактики отдельных следственных действий и использования специальных знаний

↑

▷ Содержание

⇐ ПредыдущаяСтр 50 из 52Следующая ⇒

▷ Похожие статьи

К следственным действиям, которые по делам о преступлениях и сфере ком­пьютерной информации отличаются наибольшей спецификой, относятся: ос­мотр места происшествия; осмотр средства электронно-вычислительной техни­ки (СВТ); осмотр машинного носителя и компьютерной информации: обыск и выемка; назначение судебных экспертиз. Указанные следственные действия проводятся в строгом соответствии с правилами, регламентированными дейст­вующим уголовно-процессуальным законодательством, но с учетом следую­щих основных особенностей: следственное действие должно быть заблаговре­менно подготовлено и детально спланировано; в каждом следственном дейст­вии должны принимать участие специалисты, четко представляющие свои задачи, права и обязанности; понятые должны обладать минимально необхо­димыми специальными познаниями в области обработки компьютерной ин­формации (на уровне бытовых пользователей ПЭВМ), следователь и специали­сты — познаниями в части полной сохранности (неизменяемости) компьютер­ной информации, содержащейся на осматриваемом (изымаемом) средстве электронно-вычислительной техники; для осмотра, обыска и выемки компью­терной информации и ее носителей заранее должны быть подготовлены необ­ходимые СВТ и материалы.

При осмотре места происшествия в состав следственно-оперативной груп­пы (СОГ) в зависимости от конкретной следственной ситуации, помимо следо­вателя, должны входить: специалист-криминалист, знающий особенности работы со следами по преступлениям данной категории; специалист по СВТ; со­трудники Гостехкомиссии России, Центра защиты информации или ФАПСИ (при наличии на месте происшествия конфиденциальной компьютерной ин­формации, машинных носителей с ней, специальных средств защиты от не­санкционированного доступа (НСД) и (или) специальных технических средств негласного получения (уничтожения) компьютерной информации); специалист по сетевым технологиям (в случае наличия периферийного оборудования уда­ленного доступа или локальной компьютерной сети); специалист по системам электросвязи (при использовании для дистанционной передачи данных каналов электросвязи); оперативные сотрудники (ОУР, ОБЭП, налоговой полиции, ФСБ); участковый инспектор, обслуживающий данную территорию; инспектор отдела вневедомственной охраны (в случае, когда место происшествия или СВТ, находящееся на нем, одновременно является охраняемым объектом); спе­циалист для проведения видеосъемки следственного действия.

При необходимости в состав СОГ могут быть включены незаинтересованные в деле специалисты, знающие специфику работы осматриваемого объекта (ин­женеры-электрики, бухгалтеры со знанием СВТ, специалисты спутниковых систем связи, операторы компьютерных систем и сетей электросвязи, др.).

Целью осмотра места происшествия является установление конкретного СВТ и компьютерной информации, выступающей в качестве предмета и (или) ору­дия совершения преступления и несущих в себе следы преступной деятельности. Поэтому при производстве следственного действия целесообразнее всего использовать тактический прием "от центра — к периферии", где в качестве "центра" (отправной точки осмотра места происшествия) будет высыпать кон­кретное СВТ и (или) компьютерная информации, обладающая вышеуказанны­ми свойствами. Детальное описание данных предметов, их соединении (физи­ческих и логических) должно сопровождаться видеосъемкой, фиксирующей последовательность действий следователя и специалистов, а также полученный при этом результат.

Если при проведении осмотра места происшествия используются СВТ и спе­циальные поисковые технические устройства (материалы), об этом делается соответствующая отметка в протоколе следственного действия с указанием их индивидуальных признаков (тип, марка, название, заводской номер и т.д.). Кроме того, в обязательном порядке делается отметка о том, что данные СВТ перед началом следственного действия в присутствии понятых были тестиро­ваны специальным программным средством (указывают его тип, вид, название и другие реквизиты) на предмет отсутствия в них вредоносных программно-аппаратных средств и закладок.

Следователю необходимо знать, что к изменению или уничтожению компь­ютерной информации (следов преступника и преступления) может привести не только работа за пультом управления СВТ (клавиатурой), но и одноразовое включение-выключение СВТ или разрыв соединения между ними. Поэтому, если на момент проведения следственного действия какие-либо СВТ и иные электротехнические приборы и оборудование были включены или выключены, то они должны оставаться в таком положении до момента окончания осмотра их специалистом. По этой же причине подлежат обязательной охране все пунк­ты отключения электропитания СВТ, находящиеся на месте происшествия.

Особенно тщательно должны быть описаны в протоколе следующие факти­ческие данные: технические и конструктивные особенности местности, связан­ные с установкой и эксплуатацией СВТ, включая расположение и основные ха­рактеристики токонесущих коммуникаций; расположение СВГ относительно друг друга и оконечных устройств токонесущих коммуникации; отсутствие или наличие соединений между ними (видимых и дистанционных); наличие или отсутствие соединений СВТ с оборудованием, в том числе находящемся вне территории осмотра (на это могут указывать кабели и провода, идущие от ос­матриваемого СВТ за границы места осмотра, либо к аппаратам внутренней связи (в таком случае границы осмотра места происшествия значительно рас­ширяются); наличие, внешнее состояние, расположение и вид охраны СВТ и компьютерной информации от НСД, их основные технические характеристики; расположение СВТ относительно вентиляционных и иных отверстий в строи­тельных конструкциях, дверных и оконных проемов, технических средств ви­део наблюдения, а также относительно других рабочих мест; наличие в одном помещении со СВТ других электрических устройств и приборов (телефонных и иных аппаратов электросвязи, систем электрочасофикации, оргтехники — ксе­роксов, аудио-, видеомагнитофонов, автоответчиков, электрических пишущих машинок, приборов электроосвещения, громкоговорителей, телевизоров, ра­диоприемников и т.д.).

Особенно тщательно должны быть осмотрены и описаны в протоколе веще­ственные доказательства: вредоносные программы для ЭВМ и машинные но­сители с ними; программы для ОВМ, заведомо приводящие к несанкциониро­ванным пользователем действиям (влияющим на конечные результаты техно­логического процесса), а также их носители; обнаруженные специальные технические устройства негласного получения и уничтожения компьютерной информации; специфические следы преступника и преступления. Типичными следами являются: следы орудий взлома, повреждения, уничтожения и (или) модификации охранных и сигнальных устройств; показания регистрирующей аппаратуры (видеотехники, электронного журнала учета операций с компью­терной информацией, доступа к ней и др.), показания специальных мониторин­говых (тестовых) программно-аппаратных средств; следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсельных вилках, тумблерах, кнопках и рубильниках, включающих СВТ и электрооборудование; остатки соединительных проводов и изоляционных материалов; капли припоя, канифоли или флюса; следы вдавливания, проплавления, прокола, надреза изо­ляции электронесущих и соединительных проводов, приклеивания к ним сто­ронних предметов и устройств.

Осмотру подлежат различные документы и технические устройства, которыми преступники воспользовались для совершения преступления: учетно-справочная документация по работе с СВТ и компьютерной информацией (технический паспорт или документ, его заменяющий); журнал оператора или протокол авто­матической фиксации расчетно-кассовых и иных операций; журнал учета ма­шинных носителей информации, машинных документов, заказов (заданий или запросов); журнал (карточки) учета выдачи машинных носителей информации (МНИ) и машинных документов; журнал (карточки) учета массивов (участков, зон), программ, записанных на МНИ; журнал учета уничтожения брака бумаж­ных МНИ и машинных документов; акты на стирание конфиденциальной ин­формации и уничтожение машинных носителей с ней; удостоверения личности; электронные ключи доступа. Их осмотр позволяет установить способ соверше­ния преступления в сфере компьютерной информации, использованные для это­го преступником материалы и средства, наличие у субъекта специальных навы­ков и познаний; выдвинуть версии о причинно-следственных связях.

Осмотр средства электронно-вычислительной техники в большинстве случаев является первоначальным следственным действием и проводится для обнаружения следов преступления; для решения вопросов о том, кем, с какой целью и при каких обстоятельствах было совершено преступление; выяснения обстановки происшедшего события; восстановления механизма совершения преступления. Проводить осмотр следует с участием специалиста.

Прежде всего нужно уяснить смысл и назначение СВТ; установить, включе­но оно или нет; проверить его работоспособность и наличие в его памяти компьютерной информации; установить наличие или отсутствие сопряжения с ка­налом электросвязи и другими техническими устройствами. После этого необ­ходимо перейти к поиску материальных следов, содержащихся на его корпусе, отдельных деталях и проводных соединениях, в его постоянной и оперативной памяти (в виде компьютерной информации).

При осмотре СВТ недопустимо использование: магнитосодержащих мате­риалов и инструментов; технических устройств, генерирующих и излучающих электромагнитные поля и наводки (магнитный порошок и кисточка, электро­магнит, металлодетектор, мощные осветительные приборы, УФ и ИК излучате­ли и т. п.); кислотно-щелочных материалов и нагревательных приборов во из­бежание уничтожения (повреждения) СВТ и компьютерной информации, сле­дов преступника и преступления. Вышеуказанными материалами и оборудованием можно пользоваться с особой осторожностью на расстоянии более одного метра от СВТ и их соединительных проводов.

Осмотр СВТ обычно приводит к необходимости их изъятия для последую­щего экспертного исследования и (или) приобщения к делу в качестве вещест­венного доказательства.

В протоколе осмотра СВТ фиксируют: его тип (назначение), марку (назва­ние), конфигурацию, цвет и заводской номер (или инвентарный, учетный но­мер изделия); тип (назначение), цвет и другие индивидуальные признаки со­единительных и электропитающих проводов; состояние на момент осмотра (выключено или включено); техническое состояние — внешний вид, целост­ность корпуса, комплектность (наличие и работоспособность необходимых блоков, узлов, деталей, и правильность их соединения между собой), наличие расходных материалов, тип используемого машинного носителя информации; тип источника электропитания, его тактико-технические характеристики и тех­ническое состояние (рабочее напряжение, частота тока, рабочая нагрузка, на­личие предохранителя, стабилизатора, сетевого фильтра, количество подклю­ченного к нему электрооборудования, количество питающих электроразъемов-розеток и т.д.); наличие заземления ("зануления") СВТ и его техническое со­стояние; наличие и техническую возможность подключения к СВТ периферий­ного оборудования и (или) самого СВТ к такому оборудованию, либо к каналу электросвязи; имеющиеся повреждения, не предусмотренные стандартом кон­структивные изменения в архитектуре строения СВТ, его отдельных деталей (частей, блоков), особенно те, которые могли возникнуть в результате преступ­ления, а равно могли спровоцировать возникновение происшествия; следы преступной деятельности (следы орудий взлома корпуса СВТ, проникновения внутрь корпуса, пальцев рук, несанкционированного подключения к СВТ сто­ронних технических устройств и др.); расположение СВТ в пространстве отно­сительно периферийного оборудования и других электротехнических уст­ройств; точный порядок соединения СВТ с другими техническими устройства­ми; категорию обрабатываемой информации (общего пользования или конфиденциальная); наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкционированного доступа и манипулирования. Если на момент осмотра СВТ находит­ся в рабочем состоянии, необходимо детально описать: расположение его ра­бочих механизмов и изображение на его видеоконтрольном устройстве (экране, мониторе, дисплее); все действия, производимые специалистом при осмотре СВТ (порядок нажатия на клавиши и запорные механизмы, порядок корректно­го приостановления работы и закрытия исполняемой операции или программы, выключения СВТ, отключения от источника электропитания, рассоединения (или соединения) СВТ, отсоединения проводов, результаты измерения техни­ческих параметров контрольно-измерительной или тестовой аппаратурой и т.п.).

Осмотр машинного носители и компьютерной информации проводят по принципу "от общего к частному". Вначале описывают внешние индивидуаль­ные признаки носителя: его размер, тип, вид, название, марку, заводской и ин­дивидуальный номер, наличие наклейки и надписей на ней, наличие или отсут­ствие физических повреждении корпуса и следов на нем, положение элемента зашиты от записи/стирания компьютерной информации. Затем переходят к ос­мотру компьютерной информации, содержащейся на МНИ. Перед началом ее осмотра необходимо указать в протоколе следственного действия: индивиду­альные признаки используемого для осмотра средства электронно-вычислительной техники и основные реквизиты его программного обеспечения (тип, вил, марку, название, заводской или регистрационный номер, номер вер­сии, юридический адрес и (или) автора программного продукта); юридические реквизиты программы, с помощью которой СВТ и его программное обеспече­ние в присутствии понятых было тестировано специалистом на предмет отсут­ствия вредоносных программно-аппаратных средств. После этого на указанный предмет проверяется и осматриваемая компьютерная информация.

Анализируя содержащуюся на осматриваемом носителе компьютерную ин­формацию, надо установить сведения, имеющие отношение к расследуемому событию. Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра должен фиксироваться на фото- или видеопленке. При обнаруже­нии следов преступления необходимо сделать распечатку всей или части ком­пьютерной информации и приложить ее к протоколу следственного действия.

В протоколе осмотра, помимо вышеуказанного, необходимо отразить: нали­чие, индивидуальные признаки защиты носителя от несанкционированного ис­пользования (голография, штрих-код, эмбоссинг, флуоресцирование, перфора­ция, вплавление личной подписи и (или) фотографии владельца, их размеры, цвет, вид и т. п.); признаки материальной подделки МНИ и его защиты; внут­реннюю спецификацию носителя — серийный номер и (или) метку тома, либо код, размер разметки (для дисков — по объему записи информации, для лент — по продолжительности записи); размер области носителя свободной от за­писи и занятой под информацию; количество и номера сбойных зон, секторов, участков, кластеров, цилиндров; количество записанных программ, файлов, каталогов (их структуру, название, имя и (или) расширение, размер (объем), в том числе тот, который занимают их названия, дата и время создания (или послед­него изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т.д.); наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).

Готовясь к проведению обыска, следователь должен решить, что и где он будет искать. Для этого необходимо тщательно изучить обстоятельства дела и собрать ориентирующую информацию о предмете обыска, месте его проведе­ния и личности обыскиваемого. По делам о преступлениях в сфере компьютерной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные техни­ческие устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.

В ходе обыска следует обращать внимание на литературу, методические ма­териалы и рекламные проспекты по компьютерной технике, обработке, защите, передаче и негласному получению компьютерной информации, а также на ау­дио-, видеокассеты, распечатки машинной информации и документы о соот­ветствующем образовании. Особое внимание нужно уделять предметам, со­держащим коды, пароли доступа, идентификационные номера, названия, адре­са пользователей конкретных компьютерных систем, алгоритмы входа и работы в системе. Необходимо также переиллюстрировать записные (телефон­ные) книжки, справочники и каталоги, в том числе электронные, находящиеся в памяти телефонных аппаратов, пейджеров и других компьютерных уст­ройств.

Ценные доказательства могут быть обнаружены и при личных обысках по­дозреваемых (обвиняемых).

Предметом выемки в подавляющем большинстве случаев совершения пре­ступлений в сфере компьютерной информации являются персональные компь­ютеры, машинные носители информации (включая распечатки на бумаге, ау­дио- и видеокассеты) и всевозможные документы, отражающие и регламенти­рующие различные операции, технологические процессы, связанные с обработкой, накоплением, созданием, передачей и защитой компьютерной ин­формации, использования ЭВМ, системы ЭВМ и их сети. Последние находятся по месту работы (учебы) подозреваемого (обвиняемого), в рабочих кабинетах должностных лиц и других служебных (учебных) помещениях.

Помимо вышеуказанного могут быть изъяты специальные технические сред­ства для негласного получения и уничтожения информации, свободные образ­цы почерка, бланки документов, заготовки машинных носителей информации, исходные тексты компьютерных программ, черновики и иные образцы для сравнительного исследования.

Перед изъятием магнитных носителей информации они должны быть в обя­зательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного возденет имя.

Назначение экспертиз. При расследовании преступления в сфере компью­терной информации наиболее характерна компьютерно-техническая экспертиза. Не проводят в целях: воспроизведения и распечатки всей пли части ком­пьютерной информации (по определенным темам, ключевым слонам и т.д.), со­держащейся на машинных носителях, в том числе находящейся в нетекстовой форме (в сложных форматах: в форме языков программирования, электронных таблиц, баз данных и т.д.); восстановления компьютерной информации, ранее содержавшейся на машинных носителях, но впоследствии стертой (уничто­женной) или измененной (модифицированной) по различным причинам; уста­новления даты и времени создания, изменения (модификации), уничтожения, либо копирования информации (документов, файлов, программ); расшифровки закодированной информации, подбора паролей и раскрытия системы защиты от НСД; исследования СВТ и компьютерной информации на предмет наличия программно-аппаратных модулей и модификаций, приводящих к несанкциони­рованному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; установле­ния авторства, места (средства) подготовки и способа изготовления документов (файлов, программ), находящихся на МНИ; выяснения возможных каналов утечки информации из компьютерной сети, конкретных СВТ и помещений; ус­тановления возможных несанкционированных способов доступа к охраняемой законом компьютерной информации и ее носителям; выяснения технического состояния, исправности СВТ, оценки их износа, а также индивидуальных при­знаков адаптации СВТ под конкретного пользователя; установления уровня профессиональной подготовки отдельных лиц, проходящих по делу, в области программирования и в качестве пользователя конкретного СВТ; установления конкретных лиц, нарушивших правила эксплуатации ЭВМ, системы ЭВМ или их сети; установления причин и условий, способствующих совершению пре­ступления в сфере компьютерной информации.

До вынесения постановления о назначении экспертизы рекомендуется про­консультироваться со специалистом по поводу ее целей, формулировки вопро­сов, характера предоставляемых материалов.

Может быть назначена идентификационная и неидентификационная компь­ютерно-техническая экспертиза.

По делам рассматриваемой категории из криминалистических экспертиз наиболее часто назначают дактилоскопическую, трасологическую, почерко­ведческую, фоноскопическую, автороведческую. радиотехническую и технико-криминалистическую экспертизу документов.

Глава 34

Познавательные статьи:



Техника прыжка в длину с разбега

Организация работы процедурного кабинета

Области применения синхронных машин

Оптимизация по Винеру и Калману