§ 4. Тактические особенности отдельных следственных действий

Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления об­стоятельств расследуемого события. Разработка всех дета­лей инструментария следователя по изучению таких специ­фических объектов в условиях предварительного следствия может быть в дальнейшем предметом самостоятельного исследования, поэтому остановимся лишь на отдельных особенностях данных следственных действий.

Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка.

Напомним, что осмотр — это непосредственное обнару­жение, восприятие и исследование следователем матери­альных объектов, имеющих отношение к исследуемому событию', обыск — следственное действие, в процессе которого производятся поиск и принудительное изъятие

' Криминалистика / Отв. ред. проф. Н.П. Яблоков. С. 390.

объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка — следствен­ное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.

Целесообразно уделить значительное внимание фикса­ции хода и результатов этих действия, а особенно обыска и выемки, и детально зафиксировать не только факт изъятия того или иного объекта, но и описать местонахождение этого объекта во взаимосвязи с другими найденными на месте обыска объектами. Носители информации, имею­щей отношение к расследуемому событию, могут быть с соблюдением установленного УПК порядка изъяты и при­общены к уголовному делу в качестве вещественного дока­зательства. На носители информации как на предметы материального мира правомерно распространить режим ве­щественных доказательств, поскольку никаких существен­ных отличий от уже известных уголовному процессу объек­тов носители информации не имеют.

Не следует забывать при осмотрах и обысках о возмож­ностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., шифрованных рукописных записей и пр.

Осмотру подлежат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специ­алистов поможет воссоздать картину действий злоумыш­ленников и получить важные доказательства. Фактически оптимальный вариант изъятия ЭВМ и машинных носите­лей информации — это их фиксация и конфигурации на месте обнаружения и упаковка таким образом, чтобы аппа­ратуру можно было бы успешно, правильно и точно так, как на месте обнаружения, соединить в лабораторных усло­виях или в месте производства следствия с участием специ­алистов. Следует иметь в виду, что конкретная програм­мно-техническая конфигурация позволяет производить с

аппаратурой определенные действия и нарушения конфи­гурации или отсутствие данных о точной ее фиксации (также, как и на месте обнаружения) может повлиять на возможность выполнения на ней не только опытных дейст­вий в ходе следствия, но и на оценку в суде возможности совершения преступления.

Уак. тип программного обеспечения, загруженного в момент обыска-осмотра в компьютер, может показывать задачи, для которых компьютер использовался. Если, на­пример, имеется программное обеспечение для связи и компьютер соединен с модемом, это явно свидетельствует о возможности данной ЭВМ осуществлять связные функ­ции и доступ к компьютерной информации.

Высказав эти общие соображения, отметим, что указан­ные следственные действия могут производиться с целями:

(а) осмотра и изъятия ЭВМ и ее устройств;

(б)поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах;

(в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ.

В зависимости от этих целей могут использоваться раз­личные приемы исследования.

Цель (в) реализуется традиционными методами, напри­мер, поиск и изъятие скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах, на защелках диско­водов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах кла­виатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств и др.

В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных докумен­тов, которые могут стать вещественными доказательствами по делу;

а) документы, носящие следы совершенного преступле­ния, — шифрованные, рукописные записи, телефонные счета, телефонные книги, которые доказывают факты

контакта преступников между собой, в том числе и по компьютерным сетям, пароли и коды доступа в сети, дневники связи, сведения о процедурах входа-выхода и пр.;

б) документы со следами действия аппаратуры. Всегда сле­дует искать в устройствах вывода (например, в принте­рах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

в) документы, описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и про­граммному обеспечению) или доказывающие нелегаль­ность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем);

г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

д) личные документы подозреваемого или обвиняемого.

Осмотр и изъятие ЭВМ и ее устройств

Следственные действия могут проводиться с работаю­щей (например, при задержании с поличным) и не рабо­тающей в момент фиксации компьютерной техникой.

Признаками работающего компьютера могут быть под­ключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения.

Если компьютер работает, ситуация, для следователя, проводящего следственное действие без помощи специа­листа, существенно осложняется, однако и в этом случае не стоит отказываться от оперативного изъятия необходи­мых данных.

В этом случае следует:

• определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши «F3» можно вос­становить наименование вызывавшейся последний раз программы1;

" осуществить фотографирование или видеозапись изобра­жения на экране дисплея;

• остановить исполнение программы. Остановка исполне­ния многих программ осуществляется одновременным нажатием клавиш Ctrl-C, либо Ctrl-Break, либо Ctrl-Q. Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу «Esc» или указать курсором на значок прекращения работы программы;

• зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

• определить наличие у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска;

• определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе обыска (например, отключить телефонный шнур, не шнур пита­ния!, из модема);

• скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель. Копирова­ние осуществляется стандартными средствами ЭВМ или командой DOS COPY;

• выключить подачу энергии в компьютер и далее действо­вать по схеме «компьютер не работает».

' Некоторые программные сервисные средства, обеспечивающие вызов и исполнение программы, имеют возможность просмотра наиме­нований всех ранее вызывавшихся программ.

Если компьютер не работает, следует:

• точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дис­плей. клавиатуру и т.п.);

• точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соедини­тельных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решени­ем является точная маркировка, например, с помощью надписанных листочков с липкой поверхностью, каждо­го кабеля и устройства, а также портов, к которым кабель соединяется перед разъединением. Следует мар­кировать каждый незанятый порт как «незанятый»;

• с соблюдением всех возможных мер предосторожности . разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принте­ры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования;

• упаковать раздельно (с указанием в протоколе и на кон­верте места обнаружения) носители на дискетах и маг­нитных лентах (индивидуально или группами) и помес­тить их в оболочки, не несущие заряда статического электричества;

• упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транс­портировки компьютерной техники;

• защитить дисководы гибких дисков согласно рекоменда­циям изготовителя. Некоторые из них предлагают встав­лять новую дискету или часть картона в щель дисковода.

Особенной осторожности требует транспортировка вин­честера (жесткого диска). Некоторые системы безопасной остановки («парковки») винчестера автоматически сраба­тывают каждый раз, когда машина выключается пользова-

телем, но в некоторых системах может требоваться специ­альная команда компьютеру.

Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск компьютера, это следует делать во избежании запуска программ пользователя с помощью собственной загрузочной дискеты.

Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее устройствах

Поиски информации и программного обеспечения го­раздо более сложные, поскольку всегда требуют специаль­ных познаний. Существует фактически два вида поиска:

(1) поиск, где именно искомая информация находится в компьютере на месте осмотра; (2) поиск, где еще разыс­киваемая информация могла быть сохранена.

Как указывалось ранее, в компьютере информация может находиться непосредственно в оперативном запоми­нающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминаю­щих устройствах (ВЗУ) — накопителях на жестких магнит­ных дисках, оптических дисках, дискетах, магнитных лен­тах и др. Напомним, что при включении компьютера в работу электронные устройства персонального компьютера образуют в нем определенный объем так называемой «опе­ративной памяти» (ОЗУ), которая предназначена для про­ведения в ней операций нал информацией ч программами и сохраняет эти программы и информацию в процессе работы. При включении персонального компьютера и (или окончании работы с конкретной программой) дан­ными ОЗУ очищается и готово для ввода новых про­грамм/данных.

Наиболее эффективный и простой способ фиксации данных из ОЗУ — распечатка на бумагу информации, появляющейся на экране дисплея.

Если компьютер не работает, информация может нахо­диться на машинных носителях, других компьютерах ин­формационной системы, в «почтовых ящиках» электрон­ной почты или сети ЭВМ.

Как отмечалось ранее, информация на машинных носи­телях хранится в виде файлов, упорядоченных по катало­гам (директориям). Имя файла, как правило, состоит из двух частей — непосредственно имя и расширение имени. Например, в имени файла «OTVET.DOC» слово «OTVET.» — имя, a «.DOC» — расширение имени. Если имя должно быть всегда уникальным, то расширение часто используется как обозначение вида файлов. По расшире­нию часто можно понять, какого типа данные хранятся в файле.

Для решения специфических задач, стоящих перед сле­дователем, достаточно знать, что файлы бывают команд­ные, текстовые и содержащие данные в специально упако­ванном виде. Детальный осмотр файлов и структур их расположения целесообразно осуществлять с участием спе­циалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительнее изучать не подлинники изъятых машинных носителей, а их копии, изготовленные средствами данной OS. Следует обращать внимание на поиск так называемых «скрытых» файлов и архивов, где может храниться важная информация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и деко­дирование пароля соответствующим специалистам.

Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обес­печения и информации, однако для вывода этой информа­ции необходимы глубокие специальные познания. .Так же, как и в случае с ОЗУ, данные, найденные на машин­ных носителях целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра.

Изъятие данных в «почтовых ящиках» электронной почты может при необходимости осуществляться по прави-

лам наложения ареста и выемки почтово-телеграфной кор­респонденции с предъявлением соответствующих требова­ний к владельцу почтового узла, где находится конкретный

«ящик»'.

Осмотр компьютеров и изъятие информации произво­дится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра. Полагаем полезным для следователя иметь с собой при проведении названных следственных действий дискету с набором сервисных программ, обеспечивающих определе­ние свойств и качеств компьютера; проверку исправности отдельных устройств и внешней памяти; работу с файлами;

инструмент для поиска скрытой или удаленной информа­ции. Подбор таких программ производится на основе лич­ного опыта следователя

.

Особенности допросов

Для расследования дел данной категории важно хорошо подготовиться к предстоящим допросам.

Целесообразно собрать максимально возможную в имеющемся у следствия промежутке времени информацию о допрашиваемом лице. Для этого необходимо получить получение данные о нем с места жительства, учебы, рабо­ты, досуга. Источниками сведений могут быть налоговые инспектора, работники милиции по месту жительства, коллеги по работе, соседи, знакомые. Важные данные

' Вообще проблема ареста почтово-телеграфной корреспонденции и процедуры ее изъятия для используемых н качестве почтовой связи электронных сетей нигде ранее не рассматривалась и требует дополни­тельного исследования. У проблемы есть дна аспекта: организационно-правовой и тактический. Первый, заключается в неясности законода­тельства, которое не дает точного представления о том, можно ли отнести к почтовым сообщениям, например, объявление в телеконфе­ренции, являются ли почтовой корреспонденцией объявления на сайтах и сами сайты; второй-где именно и на каком сервере (отправляю­щем, промежуточном, конечном и т.п.) следует изымать информацион­ное сообщение.

можно получить из личных дел по месту работы. Из централизованных учетов' могут стать известными сведе­ния о судимости и данные из архивных уголовных дел. Настойчивый поиск данных о личности допрашиваемого обычно приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствую­щей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологичес­кого воздействия при допросе Эти данные позволят сделать допрос более эффективным. В ходе такой подготовки могут быть выяснены сведения о состоянии здоровья и психики допрашиваемого, наличии у него специальных и профессиональных навыков и другие существенные дан­ные.

Основные тактические задачи допроса потерпевших и свидетелей при расследовании дел рассматриваемой кате­гории: выявление элементов состава преступления в на­блюдавшихся ими действиях; установление обстоятельства, места и времени совершения преступления, способа его совершения и сопутствующих обстоятельств, мотивов со­вершения преступления, признаков внешности лиц, участ­вовавших в совершении того или иного преступления;

определение предмета преступного посягательства; размер ущерба, причиненного преступлением; детальные призна-

1.  Как известно, централизованные учеты классифицируются по функциональному и объектному признакам. Функционально все виды этих учетов разделяются на три группы: оперативно-справочные, ро­зыскные и криминалистические. Основное назначение оперативно-спра­вочных учетов — проверка наличия установочных сведений об объекте и его местонахождении на момент запроса. Розыскные учеты содержат гораздо больше сведений об объекте учета, выполняя наряду с оператив­но-справочной, функцию сравнения не только установочных данных, но и сходных внешних описаний. Криминалистические учеты предназначе­ны для диагностических и идентификационных целей по индивидуаль­ным приметам и другим признакам объектов, когда установочные данные неизвестны или скрываются.

ки похищенного, установление иных свидетелей и лиц, причастных к совершению преступления.

Главной проблемой фиксации таких показаний является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесообразно в протоколах более подробно фиксировать значения терминов, используемых допраши­ваемым при описании известных ему фактов. При описа­нии конфигураций систем или схем движения информации могут оказаться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоко­лу допроса.

Заключение

Проведенное исследование позволяет признать возник­новение в результате научно-технической революции и социально-экономических преобразований новой крими­налистически значимой категории преступных проявле­ний — информационных преступлений. Условием суще­ствования и латентности информационных преступлений является недостаточная организационная и методическая подготовка сотрудников правоохранительных органов.

Возникновение новой разновидности преступной дея­тельности наряду с наличием широкого правового регули­рования информационных отношений позволяет выдви­нуть предложения о необходимости научно-методической подготовки специалистов-криминалистов со специализа­цией в области оценки, раскрытия и расследования ин­формационных правонарушений и экспертного исследова­ния доказательств этих правонарушений.

Анализируя значительный массив действующего рос­сийского законодательства, регулирующего информацион­ные правоотношения, следует признать, что отсутствие единой методологии и теории информационного права привело законодателя к терминологическим неточностям. Все это затрудняет применение законодательства об ин­формационных правоотношениях на практике и требует детальной проработки его использования в такой специ­фической области как применение уголовно-репрессивных

мер. В этих условиях необходимо продолжать совершенст­вовать законодательство об информационных отношениях. Одновременно для правильной ориентации правоохрани­тельных органов, поставленных перед проблемой примене­ния уголовного закона, необходимо создать конкретные методики расследования, которые в своей совокупности частично восполнят пробелы правового регулирования и обеспечат единообразное и точное применение закона.