Глава 42. Методика расследования преступлений в области компьютерной информации

1.    Некоторые особенности криминалистической характеристики преступлений в области компьютерной информации

В УК РФ предусмотрена уголовная ответственность за неправомерный доступ (ст. 272), создание, использование, распространение вредоносных программ (ст. 273), внесение изменений в существующие программы (ст. 273), нарушение правил экс­плуатации ЭВМ (ст. 274). Неблагоприятными последствиями этих действий явля­ются: уничтожение информации (ст. 272, 273, 274), блокирование информации (ст. 272, 273, 274), модификация информации (ст. 272, 273, 274), копирование ин­формации (ст. 272, 273, 274), нарушение работы ЭВМ (ст. 272, 273, 274).

Под неправомерным доступом к компьютерной информации следует понимать не санкционированное собственником информации ознакомление лица с данными, содержащимися на машинных носителях или в ЭВМ. Применив понятия «доступ к компьютерной информации» (ст. 272 УК РФ) и «доступ к ЭВМ» (ст. 274 УК РФ), законодатель разграничил ситуации, когда правонарушитель:

осуществляет неправомерные операции с информацией, находящейся на ма­

шинных носителях;

физически контактирует с конкретной ЭВМ или машинным носителем ин­

формации и осуществляет действия, нарушающие правила их эксплуатации.

Использование вредоносных программ подразумевает приме­нение вредоносных программ при эксплуатации ЭВМ и обработке информации. Под распространением программ в соответствии со ст. 1 Закона «О правовой охра­не программ для электронных вычислительных машин и баз данных» понимается предоставление доступа к воспроизведенной в любой материальной форме про­грамме для ЭВМ или базе данных, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая им­порт для любой из этих целей. Представляется, что это определение можно распро­странить и на вредоносные программы.

Внесение изменений вредоносного характера в уже существую­щую программу, превращающую ее в вирусоноситель, как правило, связано с модификацией программ, что может быть при некоторых условиях расценено как неправомерный доступ к компьютерной информации (ст. 272 УК РФ).

Глава 42                631

Для легального пользователя копирование и перенос информации на машинные носители разрешены для целей использования информации и для хранения архив­ных дубликатов. В иных случаях копирование информации без явно выраженного согласия собственника информационного ресурса (независимо от способа копиро­вания) уголовно наказуемо.

Статьей 15 Закона «О правовой охране программ для электронных вычисли­тельных машин и баз данных» от 23 сентября 1992 г. и ст. 25 Закона «Об авторском праве и смежных правах» (в ред. Федерального закона от 16 июня 1995 г. № 110-ФЗ) санкционированы следующие виды легальной модификации программ, баз данных лицами, правомерно владеющими этой информацией:

модификация в виде исправления явных ошибок;

модификация в виде внесения изменений в программы, базы данных для их

функционирования на технических средствах пользователя;

модификация в виде частичной декомпиляции программы для достижения

способности к взаимодействию с другими программами.

Все преступления в области информационных правоотношений можно разде­лить на следующие группы.

Противоправные действия с компьютерной информацией, включающие не­

правомерный доступ к ней с помощью компьютерной техники (в том числе унич­

тожение, блокирование, модификация либо копирование информации) и создание,

использование и распространение вредоносных программ для ЭВМ.

Противоправные действия с информационным оборудованием, включающие

нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети, незаконные

производство, сбыт или приобретение в целях сбыта специальных технических

средств, предназначенных для негласного получения информации, изготовление

в целях сбыта или сбыт поддельных кредитных либо расчетных карт (в случаях,

когда такие карты обеспечивают неправомерный доступ к информационному

оборудованию).

Противоправные действия в области телекоммуникаций, включающие дейст­

вия по незаконному прослушиванию телефонных переговоров и иных сообщений

(радиообмена, пейджинговых, радиомодемных) и перехват и регистрацию инфор­

мации с иных, в том числе компьютерных, каналов связи, неправомерный контроль

почтовых сообщений и отправлений.

Для преступлений в области компьютерной информации характерны три формы преступного поведения:

получение возможности знакомиться и осуществлять операции с чужой ком­

пьютерной информацией, находящейся на машинных носителях, т. е. направленные

прежде всего на нарушение конфиденциальности информации;

изготовление и распространение вредоносных программ, как таких, которые

приводят к нарушению целостности, так и направленных на нарушение конфиден­

циальности информации;

-               действия, связанные с нарушением порядка использования технических

средств, повлекшие нарушение целостности и конфиденциальности информации.

632      Раздел V. Методика расследования отдельных видов и групп преступлений

Первичное обнаружение признаков неправомерных действий с компьютерами и информацией посторонними лицами осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ. Косвенными признаками по­стороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозрения, являются:

а)             изменения заданной в предыдущем сеансе работы с ЭВМ структуры файло­

вой системы, в том числе:

переименование каталогов и файлов;

изменения размеров и содержимого файлов;

изменения стандартных реквизитов файлов;

появление новых каталогов и файлов и т. п.;

б)            изменения в заданной ранее конфигурации1 компьютера, в том числе:

изменение картинки и цвета экрана при включении;

изменение порядка взаимодействия с периферийными устройствами (напри­

мер, принтером, модемом и т. п.);

появление новых и удаление прежних сетевых устройств и др.;

в)             необычные проявления в работе ЭВМ:

замедленная или неправильная загрузка операционной системы;

замедление реакции машины на ввод с клавиатуры;

замедление работы машины с дисковыми устройствами (загрузка и запись ин­

формации);

неадекватные реакции ЭВМ на команды пользователя;

появление на экране нестандартных символов и т. п.

Обстоятельства обнаружения первичных признаков преступлений данного вида в дальнейшем могут найти отражение лишь в свидетельских показаниях (за исклю­чением случаев физических повреждений устройства ЭВМ).

Вызываемые вредоносными программами эффекты могут быть классифициро­ваны по следующим основным категориям: отказ компьютера от выполнения стан­дартной функции; выполнение компьютером действий, не предусмотренных про­граммой; разрушение отдельных файлов, управляющих блоков и программ, а ино­гда и всей файловой системы (в том числе путем стирания файла, форматирования диска, стирания таблицы расположения файлов и др.); выдача ложных, раздражаю­щих, неприличных или отвлекающих сообщений; создание посторонних звуковых и визуальных эффектов; инициирование ошибок или сбоев в программе или операци­онной системе, перезагрузка или «зависание» программ или систем; блокирование доступа к системным ресурсам; имитация сбоев внутренних и периферийных аппа­ратных устройств; ускорение износа оборудования или попытки его порчи.

1 Термин «конфигурация компьютера» имеет несколько наиболее употребительных значений: сочетание различных, в том числе периферийных, электронных устройств ЭВМ; состав и сочетание электронных устройств конкретного компьютера; сочетание свойств отдельных устройств и программ ЭВМ. Следует учитывать, что соответствующим программным обеспе­чением предусмотрена возможность изменения конфигурации таких устройств.

Глава 42                633

Для преступлений, касающихся нарушений правил эксплуатации ЭВМ и мани­пуляций с вредоносными программами, характерно наличие у виновных специаль­ных познаний в узкой предметной профессиональной области устройств ЭВМ и программного обеспечения.

Необходимо отметить, что совершение преступлений в сфере информатики ча­ще всего сочетается с совершением других преступлений, в том числе совершаемых организованными преступными группами. Чаще всего преступления в области компьютерной информации сочетаются с преступлениями против безопасности государства, в сфере экономики (фальшивомонетничество, преступления с исполь­зованием пластиковых карт, проникновение в банковские счета и т. д.), должност­ными, налоговыми и др.

2.    Особенности возбуждения уголовного дела. Типичные ситуации и действия следователя

Доследственная проверка по данной категории преступлений проводится лишь в случаях, когда следователю (органу дознания) в момент поступления материалов о совершенном преступлении не хватает данных для принятия решения или не ясна квалификация совершенного деяния. Проверка сводится к уточнению:

способа нарушения целостности (конфиденциальности) информации;

порядка регламентации собственником работы информационной системы;

круга лиц, имеющих возможность взаимодействовать с информационной сис­

темой, в которой произошли нарушения целостности (конфиденциальности) ин­

формации, для определения свидетелей и выявления круга заподозренных;

данных о причиненном собственнику информации ущербе.

Все эти сведения при их отсутствии в поступивших материалах должны быть истребованы у собственника информационной системы.

Важную роль в сборе данных о совершенном преступлении играют действия тех должностных лиц собственника информационной системы, которые осуществляют процедуры, обеспечивающие целостность (конфиденциальность) информации в системе.

Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации.

Собственник информационной системы собственными силами выявил нару­

шения целостности (конфиденциальности) информации в системе, обнаружил ви­

новное лицо и заявил об этом в правоохранительные органы.

Собственник самостоятельно выявил указанные нарушения в системе, од­

нако не смог обнаружить виновное лицо и заявил об этом в правоохранительные

органы.

Данные о нарушениях целостности (конфиденциальности) информации в ин­

формационной системе и виновном лице стали известными или непосредственно

обнаружены органом дознания (например, в ходе проведения оперативно-розыск­

ных мероприятий по другому делу).

634     Раздел V. Методика расследования отдельных видов и групп преступлений

При наличии заподозренного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а)             нарушения целостности или конфиденциальности информации в системе;

б)            размера ущерба, причиненного нарушением целостности или конфиденци­

альности информации;

в)             причинной связи между действиями, образующими способ нарушения, и на­

ступившими последствиями путем детализации способа нарушения целостности

или конфиденциальности информации в системе и характера совершенных винов­

ным действий;

г)             отношения заподозренного к совершенным действиям и наступившим по­

следствиям.

Если преступник задержан на месте совершения преступления или сразу же по­сле его совершения, в данной ситуации характерны следующие первоначальные следственные действия:

личный обыск задержанного;

допрос задержанного;

обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести также осмотр и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы очевидцев, а также лиц, обеспечивающих работу информационной системы (в том числе должностных лиц, представляющих собственника системы).

Важнейшим следственным действием является выемка с участием специалиста документов, в том числе на машинных носителях, фиксировавших состояния ин­формационной системы в момент вторжения в нее злоумышленника или его про­грамм и отражающих последствия вторжения. Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил втор­жение в информационную систему и где могут сохраняться следы его действий. Такие следы могут быть обнаружены по месту его службы, дома, а также в иных местах, где установлена соответствующая аппаратура (например, студенческие вычислительные центры).

При отсутствии заподозренного лица первоначальная задача заключается в сборе с помощью собственника информационной системы и процессуальной фик­сации указанных выше доказательств. Следует принять меры к розыску виновного и поиску его рабочего места, откуда осуществлялось вторжение в информационную систему. Организуется поиск:

места входа в данную информационную систему и способа входа в систему (с

помощью должностных лиц собственника информационной системы);

путей следования, через которые вошел в «атакованную» систему преступник

или проникли его программы.

Круг типичных общих версий сравнительно невелик: преступление действи­тельно имело место при тех обстоятельствах, которые вытекают из первичных материалов; преступления не было, а заявитель добросовестно заблуждается; имеет место ложное заявление о преступлении.

Глава 42                635

3.    Особенности следственных действий

Для осмотров, обысков и выемок, сопряженных с изъятием ЭВМ, машинных носителей и информации характерен ряд общих признаков, связанных со специфи­кой изымаемых технических средств. Так, необходимо учитывать меры безопасно­сти, предпринимаемые преступниками с целью уничтожения вещественных доказа­тельств. Ими может, например, использоваться специальное оборудование, в кри­тических случаях создающее сильное магнитное поле, стирающее магнитные запи­си. Один из преступников создал в дверном проеме своей комнаты магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты. Виновный имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер требовать пароль периодически и, если через несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Владельцы компьютеров уста­навливают иногда скрытые команды DOS, удаляющие или архивирующие с паро­лями важные данные, если некоторые процедуры запуска машины не сопровожда­ются специальными действиями, известными только им.

Следует учитывать и возможность возрастания в ходе обыска напряжения ста­тического электричества, которое может повредить данные и магнитные носители. Для этого желательно использовать устройство для определения и измерения маг­нитных полей (например, компас).

Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры (выше комнатной), влажность, задымлен-ность (в том числе табачный дым) и запыленность. Все эти внешние факторы могут повлечь потерю компьютерной информации и изменение свойств аппаратуры.

Осмотру подлежат все устройства конкретной ЭВМ. Такой осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства.

Оптимальный вариант изъятия ЭВМ и машинных носителей информации — это фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы аппаратуру можно было бы правильно и точно так, как на месте обнаруже­ния, соединить в лабораторных условиях или в месте производства следствия с участием специалистов. Так, тип программного обеспечения, загруженного к мо­менту обыска-осмотра в компьютер, может показывать задачи, для которых послед­ний использовался. Если, например, имеется программное обеспечение для связи и компьютер соединен с модемом, это явно свидетельствует о возможности данной ЭВМ осуществлять связные функции и осуществлять доступ к компьютерной ин­формации.

Обыск (выемка), осмотр могут производиться с целями: а) осмотра и изъятия ЭВМ и ее устройств; б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и устройствах; в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ. В зависимости от этих целей могут использоваться различные приемы исследования.

636     Раздел V. Методика расследования отдельных видов и групп преступлений

По прибытии на место осмотра или обыска следует принять меры к обеспече­нию сохранности информации на находящихся здесь компьютерах и магнитных носителях1. Для этого необходимо:

не разрешать кому бы то ни было из лиц, работающих на объекте обыска или

находящихся здесь по другим причинам (в дальнейшем - персоналу), прикасаться к

работающим компьютерам, магнитным носителям, включать и выключать компью­

теры;

не разрешать кому бы то ни было из персонала выключать электроснабжение

объекта;

в случае, если на момент начала обыска электроснабжение объекта выключе­

но, то до восстановления электроснабжения следует отключить от электросети все

компьютеры и периферийные устройства, находящиеся на объекте;

не производить никаких манипуляций с компьютерной техникой, если резуль­

тат этих манипуляций заранее неизвестен;

при наличии в помещении, где находятся компьютеры или магнитные носите­

ли информации, взрывчатых, легковоспламеняющихся, едких и токсических ве­

ществ и (или) материалов как можно скорее удалить их в другое помещение;

при невозможности удалить опасные материалы из помещения, где находятся

компьютеры или магнитные носители информации, а также при непрекращающих­

ся попытках персонала получить доступ к компьютерам, принять меры для удале­

ния персонала в другое помещение.

Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горе­ние индикаторов на передних панелях системного блока, наличие на экране изо­бражения. Если компьютер работает, ситуация для следователя, проводящего след­ственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от изъятия необходимых данных. Для этого нужно осуществить следующие процедуры:

определить, какая программа выполняется (изучить изображение на экране

дисплея и по возможности детально описать его. Иногда можно вывести изображе­

ние экрана на печать нажатием клавиши «PrintScrn». После остановки программы и

выхода в операционную систему при нажатии функциональной клавиши «F3» ино­

гда можно восстановить наименование вызывавшейся последний раз программы);

провести фотографирование или видеозапись изображения на экране дисплея;

остановить исполнение программы (Остановка исполнения многих программ

осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break, либо

Ctrl-Q. Часто для окончания работы с программами следует ввести с клавиатуры

команды EXIT или QUIT, иногда достаточно нажать клавишу «Esc» или указать

курсором на значок прекращения работы программы.), зафиксировать (отразить в

протоколе) результаты своих действий и реакции на них компьютера;

1 Катков С. А., Собецкий И. В., Федоров А. Л. Подготовка и назначение программно-технической экспертизы: Метод. рекомендации // Бюллетень ГСУ России. 1995. № 4.

Глава 42                637

определить наличие у компьютера внешних устройств-накопителей информа­

ции на жестких магнитных дисках и «виртуального» диска;

определить наличие у компьютера внешних устройств удаленного доступа к

системе и определить их состояние, после чего разъединить сетевые кабели так,

чтобы никто не мог модифицировать или уничтожить информацию в ходе обыска

(например, отключить телефонный шнур).

скопировать программы и файлы данных, хранимые на возможно существую­

щем «виртуальном» диске, на магнитный носитель. Копирование осуществляется

стандартными средствами ЭВМ или командой DOS COPY;

выключить подачу энергии в компьютер и далее действовать по схеме «ком­

пьютер не работает».

Если компьютер не работает, следует:

установить и точно отразить в протоколе и на прилагаемой к нему схеме ме­

стонахождение компьютера и его периферийных устройств (печатающее устройст­

во, дисководы, дисплей, клавиатура и т. п.);

описать порядок соединения между собой этих устройств с указанием особен­

ностей (цвет, количество соединительных разъемов, их спецификация) соедини­

тельных проводов и кабелей (перед разъединением любых кабелей полезно осуще­

ствить видеозапись или фотографирование мест соединения). Удачным решением

является точная маркировка, например с помощью надписанных листочков с лип­

кой поверхностью, каждого кабеля и устройства, а также портов, с которым кабель

соединяется, перед разъединением;

с соблюдением всех возможных мер предосторожности разъединить устройства

компьютера, предварительно обесточив его. Следует помнить, что матричные принте­

ры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее

дальнейшего экспертного исследования;

упаковать раздельно (с указанием в протоколе и на конверте места обнаруже­

ния) носители на дискетах, компактные диски и магнитные ленты (индивидуально

или группами) и поместить их в оболочки, не несущие заряда статического элек­

тричества;

упаковать каждое устройство и соединительные кабели, провода, имея в виду

необходимость аккуратной транспортировки компьютерной техники;

защитить дисководы гибких дисков согласно рекомендациям изготовителя.

Некоторые из них предлагают вставлять новую дискету или часть картона в щель

дисковода.

Особенной осторожности требует транспортировка винчестера (жесткого дис­ка). Некоторые системы безопасной остановки («парковки») винчестера автомати­чески срабатывают каждый раз, когда машина выключается пользователем, но иногда для этого может требоваться специальная команда.

Поиск информации и программного обеспечения гораздо более сложен, по­скольку всегда требует специальных познаний. Существуют фактически два вида поиска:

поиск, где именно искомая информация находится в компьютере;

поиск, где еще разыскиваемая информация могла быть сохранена.

638     Раздел V. Методика расследования отдельных видов и групп преступлений

Как указывалось ранее, в компьютере информация может находиться непосред­ственно в запоминающем устройстве (ОЗУ) при выполнении программы, в запоми­нающих устройствах периферийных устройств и на внешних запоминающих уст­ройствах. Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея.

Если компьютер не работает, информация может находиться на машинных но­сителях, других компьютерах информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ.

Детальный осмотр файлов и структур их расположения (которые сами по себе могут иметь существенное доказательственное значение, отражая группировку информации) целесообразно осуществлять с участием специалистов в лаборатор­ных условиях или на рабочем месте следователя. Предпочтительно изучать не под­линники изъятых машинных носителей, а их копии, изготовленные средствами данной OS.

Следует обращать внимание на поиск так называемых «скрытых» («невидимых» для некоторых программ просмотра, фильтрующих информацию) файлов и архи­вов, где может храниться важная информация. При обнаружении файлов с зашиф­рованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и декодирование пароля соответствующим специалистам.

Периферийные устройства ввода-вывода также могут некоторое время сохра­нить фрагменты программного обеспечения и информации, однако для вывода этой информации необходимы специальные познания. Как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра.

Изъятие данных в «почтовых ящиках» электронной почты может при необхо­димости осуществляться по правилам наложения ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу почтового узла, где находится конкретный «ящик».

Осмотр компьютеров и изъятие информации производятся в присутствии поня­тых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.

В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие документы, которые могут стать вещественными доказательствами по делу:

а)             носящие следы совершенного преступления - телефонные счета, телефонные

книги, которые доказывают факты контакта преступников между собой, в том числе

и по компьютерным сетям, пароли и коды доступа в сети, дневники связи и пр.;

б)            со следами действия аппаратуры (всегда следует искать в устройствах вывода

(например, в принтерах) бумажные носители информации, которые могли остаться

внутри их в результате сбоя в работе устройства);

в)             описывающие аппаратуру и программное обеспечение (пояснение к аппарат­

ным средствам и программному обеспечению) или доказывающие нелегальность их

Глава 42                639

приобретения (например ксерокопии описания программного обеспечения в случа­ях, когда таковые предоставляются изготовителем);

г)             устанавливающие правила работы с ЭВМ - нормативные акты, регламенти­

рующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что пре­

ступник их знал и умышленно нарушал;

д)             личные документы подозреваемого или обвиняемого.

Специалисты и эксперты могут ответить на следующие вопросы, сформулиро­ванные следователем:

какова конфигурация и состав компьютерных средств и можно ли с помощью

этих средств осуществить действия, инкриминируемые обвиняемому;

какие информационные ресурсы находятся в данной ЭВМ;

не являются ли обнаруженные файлы копиями информации, находившейся на

конкретной ЭВМ;

не являются ли представленные файлы с программами зараженными вирусом

и, если да, то каким именно;

не являются ли представленные тексты на бумажном носителе записями ис­

ходного кода программы и каково назначение этой программы;

подвергалась ли данная компьютерная информация уничтожению, копирова­

нию, модификации;

возможно ли восстановление стертых файлов;

каково содержание восстановленных файлов;

возможно ли восстановление дефектных магнитных носителей информации;

какие правила эксплуатации ЭВМ существуют в данной информационной сис­

теме и были ли нарушены эти правила;

-               находится ли нарушение правил эксплуатации ЭВМ в причинной связи с

уничтожением, копированием, модификацией данной компьютерной информации.

Программно-технической экспертизой решаются следующие задачи:

распечатка всей или части информации, содержащейся на жестких дисках

компьютеров (в необходимых случаях) и на внешних магнитных носителях, в том

числе из нетекстовых документов (в форматах текстовых процессоров и электрон­

ных таблиц Windows, со связями DDE и OLE) и баз данных;

распечатка информации по определенным темам (найденной по ключевым

словам);

восстановление стертых файлов и стертых записей в базах данных, уточнение

времени стирания и внесения изменений:

установление времени ввода в компьютер определенных файлов, записей в ба­

зы данных;

расшифровка закодированных файлов и другой информации, преодоление ру­

бежей защиты, подбор паролей;

выяснение каналов утечки информации из ЛВС, глобальных сетей и распреде­

ленных баз данных;

установление авторства, места подготовки и способа изготовления некоторых

документов;

640      Раздел V. Методика расследования отдельных видов и групп преступлений

-               выяснение технического состояния и исправности компьютерной техники (на­

личие встроенных устройств и программных средств, адаптация компьютера под

конкретного пользователя).

При проведении программно-технической экспертизы могут быть решены и не­которые вспомогательные задачи:

оценка стоимости компьютерной техники, периферийных устройств, магнит­

ных носителей и программных продуктов, а также проверка контрактов на их по­

ставку;

установление уровня профессиональной подготовки отдельных лиц в области

программирования и работы с компьютерной техникой;

перевод документов технического содержания (в отдельных случаях).

В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходи­мость в назначении криминалистической экспертизы для исследования докумен­тов. Дактилоскопическая экспертиза иногда позволяет выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

При фиксации показаний свидетелей, подозреваемых, обвиняемых по делам о преступлениях в области компьютерной информации следует избегать их «пере­грузки» специальной терминологией и жаргонной лексикой. Целесообразно в про­токолах фиксировать значения терминов, используемых допрашиваемым для опи­сания известных ему фактов. При описании конфигураций систем или схем движе­ния информации могут оказаться крайне полезными рукописные схемы, составляе­мые допрашиваемым и приобщаемые к протоколу допроса.

Литература

Крылов В. В. Расследование преступлений в сфере информации. - М., 1998.