§ 2. Вопросы использования специальных познаний

• Методы использования специальных познаний

В ходе расследования преступлений рассматриваемой разновидности у следствия на сегодняшнем этапе его развития неизбежно возникают вопросы, требующие спе­циальных познаний, т.е. познаний, приобретаемых по­средством специального (профессионального) образования или опыта. Вероятно, со временем, когда информацион­ные технологии станут более известны и доступны, объем необходимых следователю, работнику органа дознания спе­циальных знаний будет скорректирован по сравнению с

Адрес в INTERNET: FBI web page англ. В.В. Крылова.

http://www.fbi.go. Перевод с

существующим. Очевидность и ясность для участника рас­следования того или иного наблюдаемого факта, следа или явления и механизма следообразования будет трансформи­роваться в силу роста общих и профессиональных знаний информационных технологий и информационного обору­дования.

Ранее мы пришли к выводу, что к машинным носите­лям компьютерной информации относятся устройства не­посредственно ЭВМ, ее периферийные устройства, ком­пьютерные и иные устройства связи, сетевые устройства и сети электросвязи. Эти предметы наряду с компьютерной информацией и являются предметами криминалистических исследований. В настоящее время, учитывая уровень под­готовки лиц, осуществляющих расследование, наиболее часто встречающиеся — прежде всего диагностические задачи, т.е. задачи установления свойств объекта и (или) их совокупности для установления его соответствия опре­деленным характеристикам или его фактического, или начального состояния, установление причин и условий изменения свойств объекта*. Фактически речь идет о на­чальной стадии идентификации, когда лицо, производя­щее дознание или следствие либо самостоятельно выделяет совокупность признаков характеризующих конкретный объект и осуществляет таким образом его «узнавание» и «индивидуализацию»2.

Так, например, обнаружив в ходе следственных дейст­вий объект, похожий на магнитный носитель информации в виде дискеты, не каждый следователь или сотрудник органа дознания в состоянии самостоятельно на месте обнаружения определить: а) что это машинный носитель информации; б) и по внешнему виду, состоянию поверх-

1. Корухов Ю.Г. Указ. соч. С. 75.

2 Индивидуализация — «переход от неопределенно широкой сово­купности объектов к их относительно узким группам и от них — к единичному объекту» (Колдин В.Я. Идентификация и ее роль в установ­лении истины по уголовным делам. М., 1969. С.48).

ностей и магнитного слоя установить использовался ли данный носитель в процессе обработки информации. Между тем, в таком случае у следствия возникает не только указанная проблема, но и последующая задача установления наличия и процессуального изъятия инфор­мации, возможно, находящейся на данном носителе. По­нятно, что в таких условиях нельзя рассчитывать на высо­кую эффективность борьбы существующего следственного аппарата с информационными преступлениями.

Учитывая данную ситуацию, следует определить, что к специфическим для информационных преступлений объек­там криминалистических исследований с использованием специальных познаний относятся:

а) электронно-вычислительные машины («ЭВМ» или «компьютеры»), их сети и системы, а также отдельные составляющие их элементы;

б) периферийные и комплектующие ЭВМ, их сетей и систем, а также разнообразные устройства, обеспечи­вающие коммуникационные свойства информационной техники;

в) отдельные портативные машинные носители инфор­мации — магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты);

г) документированная информация и программное обеспечение, обеспечивающие информационные про­цессы в информационных системах;

д) устройства, предназначенные для осуществления коммуникаций (пейджеры, телефонные аппараты и т.п.), и непосредственно линии электросвязи и обеспе­чивающие их устройства;

е) документация, определяющая порядок работы с ин­формационными системами и оборудованием.

Поиск специалистов

На современном этапе развития средств компьютерных и информационных технологий вопрос о поиске и привле-

чении специалистов для оказания помощи следователю крайне актуален. Понятно, что при таком интенсивном развитии указанных технологий следователь не в состоянии отслеживать все технологические изменения в данной об­ласти. Специалисты крайне необходимы для участия в большинстве важнейших следственных действий при обысках, осмотрах и выемках, а также при допросах.

Следует отметить, что информационные технологии до­статочно разнообразны и выбор специалиста для решения конкретных задач весьма сложен. При решении в ходе следственных действий задач изъятия технических средств может быть полезен специалист, знающий элементы и устройства вычислительной техники и систем управления, знакомый с вопросами функционирования автоматизиро­ванных систем управления. Для установления фактов про­никновения извне в информационные системы специалист должен обладать дополнительными знаниями в области математического обеспечения вычислительных систем и организации вычислительных процессов, а также основы методов защиты информации и информационной безопас­ности. При исследовании систем ЭВМ и их сетей специа­лист должен разбираться в области математического и программного обеспечения вычислительных комплексов, систем и сетей, а также желательны познания в области сетей, узлов связи и распределения информации.

Поиск таких специалистов следует проводить заблаго­временно на предприятиях и в учреждениях, осуществляю­щих обслуживание и эксплуатацию компьютерной и ком­муникационной техники, в учебных и научно-исследова­тельских организациях. В крайнем случае могут быть привлечены сотрудники организации, компьютеры кото­рой подверглись вторжению'.

' Следует иметь в виду, что по зарубежным данным наиболее часто покушаются на информацию именно сотрудники организации, где выполняются информационные процессы.

Задачи решаемые специалистом в порядке ст. 133' УПК РСФСР

Применение специальных познаний в ходе расследова­ния информационных преступлений необходимо для:

а) определения статуса объекта как машинных носителей информации, его состояния, назначения и особеннос­тей;

б) исследования документированной и компьютерной ин­формации, включая ее поиск, изъятие и т.п.;

в) выявления признаков и следов воздействия на машин­ные носители информации и на саму информацию;

г) осуществления вспомогательных действий по обнаруже­нию, закреплению и изъятию доказательств.

В ходе проведения следственных, розыскных и иных действий следователь и орган дознания должны активно использовать специалистов, обеспечивающих вспомога­тельные функции по обнаружению, закреплению и изъ­ятию доказательств. При этом следует всячески поощрять специалистов к высказываниям, касающимся обстоя­тельств как самих проводимых действий, так и мнений относительно предполагаемого механизма событий, следы которых наблюдаются и фиксируются в ходе проводимых действий. Последние кроме чисто информативных свойств о личности и квалификации специалиста, во-первых, обеспечивают лицо, производящее расследование и дозна­ние новыми знаниями, касающимися информационных технологий, а во-вторых, могут быть использованы при выдвижении версий.

Если специалисты не участвовали в производстве непо­средственно следственных действий, в ходе которых обна­ружены машинные носители информации или сама ин­формация, следует немедленно обратиться к ним после окончания таких действий и получить консультации отно­сительно дальнейших направлений исследований изъятых объектов. Специалисты могут и предварительно диагнос-

тировать полученные объекты, и предостеречь от ошибок касающихся их хранения и использования.

Проблема производства криминалистических эксперт­ных исследований в данной специализированной предмет­ной области существует и связана прежде всего с отсутст­вием научно-проработанных и апробированных методик ее проведения. Проблемы определения задач исследования, объектов экспертизы, идентификационного поля, иденти­фикационных признаков' и подобные являются темой от­дельного специального исследования. Недостаточно изуче­ны и новые объекты криминалистических исследований — документированная и компьютерная информация для тех случаев, когда она находится на машинных носителях. Эти вопросы, разработка которых, на наш взгляд, только начинается, не дают нам оснований присоединиться к той или иной точке зрения по поводу дискуссии относительно названия новой экспертизы. Речь идет о так называемых «программно-технических»2 или «компьютерно-техничес­ких» экспертизах3.

Тем не менее, результаты настоящего исследования по­зволяют на базе сформулированных в нем определений и описаний следовой картины отдельных видов криминаль­ной деятельности в сфере информации построить предва-

' Криминалистика социалистических стран. М., 1986. С. 259.

В настоящее время эти экспертизы выполняются только в ИП ГУВД Московской области. За 1994 г. проведено около 30 экспертиз, а за первые три месяца 1995 г. свыше 10 (см. подробнее: Катков С.А., старший преподаватель кафедры криминалистики и уголовного процесса Московского института МВД России, Собецкии И.В., инженер ВЦ ИЦ ГУВД Московской обл., Федоров А.Л., начальник отдела разработки программного обеспечения ВЦ ИЦ ГУВД Московской обл.Подготовка и назначение программно-технической экспертизы. Методические реко­мендации).

3 Катков С.А., Собецкий И. В., Федоров А.Л. Подготовка и назначе­ние программно-технической экспертизы. Методические рекоменда­ции//Бюллетень ГСУ России. 1995. № 4; Российская Е.Р. Судебная экспертиза в уголовном, гражданском арбитражном процессе. М., 1996. С. 173-179; Касаткин А.В. Тактика собирания и использования компью­терной информации при расследовании преступлений: Дис... канд. юриД-наук. М., 1997.

рительную классификацию задач криминалистических ис­следований, решаемых, и том числе и экспертным путем. Весьма существенной для криминалистических идентифи­кационных исследований является совокупность свойств машинных носителей информации и самой информации идентификационных свойств, которые могли бы использо­ваться для установления тождества идентифицируемых объектов. Рассмотрим их относительно предлагаемой клас­сификации задач.

' Задачи, разрешаемые путем экспертизы

Первой группой задач диагностического характера, отно­сящихся главным образом, к машинным носителям ин­формации являются:

а) определение наиболее важных свойств и признаков, в том числе функциональных, объекта с целью установле­ния является ли он машинным носителем информации, и если да, то в чем именно заключается его функция или их совокупность — ввод, хранение, передача, обработка информации и т.п.;

б) оценка свойств и признаков машинного носителя для установления их существенных для расследуемого собы­тия качественных характеристик: состояния (например, исправен — не исправен), назначения (например, явля­ется ли это ЭВМ, сетью или системой ЭВМ) и особен­ностей (например, предназначено ли устройство для ра­боты в сети ЭВМ), соответствия нормативным требова­ниям (например, совпадает ли конфигурация устройства прилагаемой к нему документации).

Для ЭВМ характерны следующие статические свойства, совокупность которых дает возможность для ее программ­ной и аппаратной идентификации: тип микропроцессора в совокупности с разрядностью шины данных; тип сопроцес­сора; тактовая частота микропроцессора; длинна очереди микропроцессора; тип ЭВМ; дата регистрации BIOS; сиг-

натура производителя BIOS и ее адрес в памяти; размер основной и расширенной оперативной памяти; размер до­полнительной отображаемой памяти; размер видеобуфера;

тип клавиатуры; тип видеоадаптера; тип и интерфейс ма­нипуляторов; число параллельных и последовательных пор­тов; число и тип накопителей на гибких и жестких дисках.

Жесткий диск ЭВМ может быть идентифицирован по:

серийному номеру и данным об изготовителе; способу форматирования; расположению программ и данных на диске; расположению на диске «плохих» кластеров.

Идентификация гибких (флоппи) дисков может быть осуществлена по: данным об изготовителе; наличии внеш­них надписей, наклеек повреждений (например, царапин);

способу форматирования; расположению программ и дан­ных на диске и плотностью их записи; расположению на диске «плохих» кластеров и др.'

Второй группой задач диагностического и идентифика­ционного характера, относящихся главным образом к ком­пьютерной и документированной информации являются:

а) обнаружение, оценка и определение свойств и призна­ков состояния и статуса компьютерной и документиро­ванной информации (например, является ли информа­ция программой, не является ли программа вредоносной и т.п.), а также установление индивидуальных признаков информации, позволяющих определить ее автора;

б) поиск конкретной компьютерной и документированной информации, определение следов и признаков неправо­мерного воздействия на нее и определение признаков способа и механизма такого воздействия.

Ранее говорилось о том, что данные на машинных носи­телях хранятся главным образом в виде файлов, которые имеют набор индивидуальных свойств и могут быть ис­пользованы для решения задач диагностического и иденти­фикационного характера. Для решения данных задач при

' См. подробнее: Правиков Д. И. Ключевые дискеты. Разработка эле­ментов системы защиты от несанкционированного копирования. М., 1995'

выводе информации с машинных носителей на бумажные носители могут быть использованы традиционные методы криминалистических исследований как с точки зрения их' содержания', так и с точки зрения механизмов их изготов­ления. Следует обратить внимание, что компьютерная ин­формация на машинных носителях может являться и фай­лом, содержащим звуковой ряд — живую речь или иные существенные для расследования звуки. В таких случаях могут быть применены специальные знания в области фо-носкопических экспертиз2. Важным способом установле­ния механизма действия программ (например, вредонос­ных) является их декомпиляция для последующего изуче­ния пошагового действия включенных в программу ко­манд.

Третьей группой задач являются осуществления разнооб­разных вспомогательных действий (в том числе и исключи­тельно лабораторного характера) по обнаружению, закреп­лению и изъятию доказательств: а) вывод компьютерной информации с машинных носителей на бумажные; б) изъятие программ и данных из оперативных запоминающих устройств ЭВМ, средств связи и иных машинных носите­лей (пейджеров, телефонов, магнитных пластиковых карт и Др.); в) дешифровка данных, снятие паролей защиты и др.

Криминалистика социалистических стран. С. 434-437.

Исследование фонограмм в целях установления личности говоря­щего. Методические рекомендации ВНИИСЭ МЮ СССР, 1994 г.