4. Производство отдельных следственных действий

Осмотр места происшествия. Изъятие вещественных доказательств.

По делам о преступлениях в сфере компьютерной информации место происшествия не всегда ограничивается какой-то одной определенной территорией (одним помещением или отдельным зданием). Места, подлежащие осмотру, могут располагаться на значительном расстоянии друг от друга. Так, например, создание вредоносных программ может быть совершено в одном месте, их распространение и использование – в другом или даже в других местах.

Поэтому может возникнуть необходимость в проведении осмотра в местах:

- непосредственной обработки и постоянного хранения компьютерной информации, ставшей предметом преступного посягательства;

- непосредственного использования компьютерного оборудования с целью неправомерного доступа к охраняемым базам и банкам данных или создания, использования и распространения вредоносных программ для ЭВМ;

- хранения добытой преступным путем из других компьютеров, компьютерных систем и сетей информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети;

- непосредственного нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети;

- наступления вредных последствий (в т.ч. несанкционированное уничтожение, блокирование, модификация либо копирование охраняемой законом компьютерной информации, нарушение работы ЭВМ, системы ЭВМ или их сети).

Подготовка к осмотру места происшествия по делам указанной категории включает необходимость решения ряда организационных вопросов как общих для любого следственного осмотра, так и специфических, приемлемых только для данной категории преступлений. К общим относится приглашение понятых, инструктаж участников осмотра, к специфическим – обязательное участие в осмотре специалистов в области компьютерной техники.

При этом следует иметь в виду, что специалист в области компьютерной техники не может быть «универсальным», поскольку он может быть компетентным лишь в некоторых конкретных компьютерных системах и средствах компьютерной техники. Выбор соответствующих специалистов определяется конкретными обстоятельствами, в том числе видом и способом совершения преступлений.

Перед началом осмотра места происшествия необходимо принять меры по подготовке с помощью специалиста соответствующей компьютерной техники, которая будет использоваться для считывания и хранения изъятой информации. Это может быть переносной компьютер типа «Notebook» с достаточным объемом оперативной памяти. Кроме компьютера необходимо специальное программное обеспечение, позволяющее осуществлять на месте копирование и экспресс-анализ информации.

Если в организации, где планируется проведение осмотра, есть служба безопасности, в штате которой имеются квалифицированные специалисты в области компьютерной техники, а также имеется специальное программное обеспечение, то возможно привлечение этих сотрудников к содействию в проведении осмотра, однако необходимо проявлять при этом определенную внимательность и осмотрительность.

Сразу по прибытии на место происшествия необходимо принять меры к обеспечению сохранности информации в подлежащих осмотру компьютерах и на магнитных носителях, для чего:

- не разрешать, кому бы то ни было из лиц, работающих в это время или находящихся в помещении по другим причинам, прикасаться к компьютерному оборудованию, а также пользоваться телефоном (в случае экстренной и острой необходимости можно разрешить пользоваться телефоном, однако только под его контролем);

- не разрешать, кому бы то ни было выключать электроснабжение объекта;

- не разрешать никому и не производить самому никаких манипуляций с компьютерной техникой, если их результат заранее не известен;

- определить, соединены ли находящиеся в осматриваемом помещении (здании, комплексе зданий) компьютеры в локальную вычислительную сеть (ЛВС). При наличии ЛВС наибольший интерес должен представлять центральный компьютер (так называемый сервер), на котором хранится большая часть информации, и к которому имеют доступ все подключенные к сети ЭВМ. Этот компьютер рекомендуется обследовать особенно тщательно и осторожно. Вместе с тем надо иметь в виду, что сервером может являться не один, а несколько компьютеров, расположенных к тому же в разных помещениях;

- установить, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения;

- выяснить, подключен ли компьютер к телефонной или телетайпной линиям. В случае подключения на него могут поступать вызовы к продолжению приема или передачи информации. Вместе с тем установить, запрограммирован ли компьютер на передачу, может только специалист. Если информация, поступающая на компьютер по электронной почте, факсимильной и телетайпной связи, может иметь интерес для следствия, то отключать телефонную или телетайпную линии не следует, однако необходимо воздержаться от телефонных разговоров по данной линии;

- определить, какая операционная система загружена, какие прикладные программы запущены и какие данные введены в компьютер. Если загружена одна из версий операционной системы Windows (95, 98, 2000, NT и др.), все это можно увидеть на экране дисплея, открыв соответствующие окна – «Рабочий стол объектно-ориентированной операционной системы», системные папки «Панель управления», «Мой компьютер» и другие. Одновременно следует обратить внимание на дату и текущее время на дисплее компьютера. Все отображенное на экране необходимо описать в протоколе и по возможности зафиксировать с помощью фото- или видеозаписи.

При проведении осмотра необходимо учитывать:

- вероятность принятия лицами, заинтересованными в сокрытии преступления, мер по уничтожению информации и других ценных данных;

- вероятность установки в осматриваемые ЭВМ специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специального сигнала или кода, автоматически уничтожают всю хранящуюся в ЭВМ информацию, либо интересующую следствие наиболее важную ее часть;

- вероятность установки в осматриваемые ЭВМ иных средств защиты информации от несанкционированного доступа.

В этой связи чрезвычайно важно участие специалистов уже на первом этапе производства осмотра места происшествия. Они не только помогут разобраться в особенностях компьютерного оборудования и машинных носителей информации, укажут, что подлежит изъятию, но и предотвратят умышленное или случайное уничтожение информации. Профиль и квалификация специалиста, которого необходимо привлечь к осмотру места происшествия по делам рассматриваемой категории, определяется в зависимости от целей и задач этого следственного действия с учетом первоначальных данных о характере преступления.

Нередко необходима помощь нескольких специалистов (в том числе программиста по операционным системам и прикладным программам, хорошо знающего компьютерную технику, специалиста по средствам связи, а также техника-криминалиста, что необходимо для обнаружения и сбора традиционных доказательств, например, отпечатков пальцев рук на клавиатуре, «мыши», выключателях и тумблерах и др., шифрованных рукописных записях и т.п.).

Тщательному осмотру подлежат все устройства каждой ЭВМ, что позволяет воссоздать картину происшедшего и получить важные доказательства.

Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы: служебные помещения; средства вычислительной техники; носители машинной информации; документы.

Осмотр служебного помещения необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ, а также установить место создания, использования либо распространения вредоносной программы для ЭВМ и место нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети.

В процессе осмотра в протоколе необходимо отразить точный адрес и месторасположение здания (комплекса зданий), отразить наличие подъездных путей, соседних зданий (с указанием их этажности, а также расположенных в них учреждений, предприятий, организаций),  месторасположение данного помещения в здании, систему охраны, в т.ч. наличие и исправность охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты, включены и исправны ли они; микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха).

В ходе осмотра целесообразно начертить схему осматриваемых территорий, зданий и помещений с обозначением на ней мест расположения оборудования. Кроме того, осматриваемые объекты должно быть сфотографировано по правилам судебной фотографии (т.е. сначала общий вид здания, помещения, затем по правилам узловой фотосъемки отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока, что должен определить специалист).

При осмотре помещения необходимо обращать внимание на небольшие листки (клочки, обрывки) бумаги, которые нередко прикрепляются к компьютеру или находятся в непосредственной близости от него (на них могут быть записаны коды и другие важные для следствия пометки).

При осмотре средств вычислительной техники непосредственными объектами могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-серверы, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре в протоколе следует отразить:

- положение переключателей на блоках и устройствах вычислительной техники;

- состояние индикаторных ламп;

- содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло;

- состояние кабельных соединений (их целостность, наличие или отсутствие следов подключения нештатной аппаратуры);

- наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования;

- наличие и размеры механических повреждений;

- наличие внутри компьютерной техники и вне ее нештатной аппаратуры и различных устройств, подключены и исправны ли они, их функциональное назначение;

- следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.

При осмотре работающего компьютера с участием специалиста следует:

- установить, какая программа выполняется (для чего осмотреть изображение на экране дисплея и детально описать его, по возможности  произвести фотографирование или видеозапись). Тип программного обеспечения, загруженного в момент осмотра в компьютер, может свидетельствовать о задачах, для которых использовался данный компьютер;

- по мере необходимости и возможности остановить исполнение программы и установить, какая информация получена после окончания ее работы;

- определить и восстановить наименование и назначение вызывавшейся перед осмотром программы;

- установить наличие в компьютере накопителей информации (т.н. жесткие диски или «винчестеры», дисководы для дискет, стримеры, оптические диски), их тип (вид) и количество;

- при наличии технической возможности скопировать информацию, которая может иметь значение для дела (программы, файлы данных), и имеющуюся в компьютере (особенно это важно для информации, находящейся в оперативном запоминающем устройстве ОЗУ, поскольку после выключения компьютера она может быть уничтожена).

В этой связи необходимо обязательно исследовать «корзину» (отдельная папка, в которую помещается ненужная информация), где может сохраниться такая информация. Некоторые операционные системы при недостаточности объема оперативной памяти создают так называемый «файл подкачки» (файл с расширением «swp») для  хранения всей удаленной информации, которая при наличии специальной программы может быть восстановлена.

Рекомендуется также изучать не только подлинники изъятых машинных носителей, но и их копии, изготовленные средствами данной операционной системы. Следует обращать внимание и на поиск так называемых «скрытых» файлов (как правило, системных защищенных от записи файлов), где может храниться важная для дела информация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы соответствующим специалистам для расшифровки и декодирования пароля. Детальный осмотр файлов целесообразно осуществлять с участием специалиста в лабораторных условиях или на специально оборудованном автоматизированном рабочем месте следователя.

При возникновении ситуации, когда по каким-либо причинам осмотр необходимо начать, не дожидаясь прибытия специалиста, следует избегать необдуманного и бесцельного общения с компьютером, что может существенно помешать процессу собирания доказательств. Поэтому самостоятельно выключать работающий в момент осмотра компьютер не рекомендуется, поскольку это может создать сложности при повторном входе в систему, особенно защищенную.

Если компьютер подключен к локальной сети, необходимо:

- установить количество подключенных к серверу рабочих станций или компьютеров, вид связи сети, количество серверов в сети;

- по возможности организовать одновременный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера). Если же такая возможность отсутствует, следует обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера. При этом необходимо иметь в виду, что даже если по внешним признакам создается впечатление, что компьютер не работает, тем не менее, следует избегать каких-либо самостоятельных действий с ним до прибытия специалиста.

При осмотре неработающего  компьютера с участием специалиста следует:

- определить место нахождения компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и пр.) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета и индивидуальных особенностей каждого из них;

- установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, а при наличии проводов и кабелей – их виды, цвет и количество, выяснить, подключен ли данный компьютер в сеть, если да, то в какую именно и каковы способ и средство его подключения;

- проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.

Следует также иметь в виду, что неработающий компьютер (в отличие от работающего) лишен таких внешних признаков, как светящееся изображение на экране дисплея, индикация на передних панелях системного блока, шум внутренних вентиляторов, вместе с тем подобного эффекта можно достичь с помощью технических средств.

В процессе осмотра необходимо помнить о соблюдении элементарных правил обращения с вычислительной техникой, в частности:

- все включения и выключения компьютера и периферийных устройств должны осуществляться только специалистами либо под их руководством;

- чтобы не допустить ущерба компьютерной системе, нельзя производить разъединение кабельных линий прежде, чем будет выяснено их назначение;

- вскрытие и демонтаж компьютера и его периферийных устройств следует производить только с участием специалиста;

- при поиске следов пальцев и рук на компьютере и периферийных устройствах нельзя допускать попадания мелких частиц и порошков на рабочие части устройств «ввода – вывода» компьютеров;

- применение магнитных искателей, ультрафиолетовых осветителей, инфракрасных преобразователей и других аналогичных приборов для осмотра вычислительной техники должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ЭВМ.

Осмотр носителей машинной информации, в том числе жестких магнитных дисков (т.н. «винчестеры»), оптических дисков, дискет, магнитных лент, бумажных носителей информации, составляемых с помощью ЭВМ (листинги, журналы и иные документы), производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе следов пальцев рук, которые могут быть выявлены на упаковках и местах хранения машинной информации.

При осмотре необходимо указать в протоколе:

- место обнаружения каждого носителя информации (стол, шкаф, сейф), температуру воздуха, при которой он хранился;

- наличие упаковки (конверт, специальный футляр-бокс для хранения дискет, коробка, фольга и пр.) и их особенности (надписи на упаковке, наклейки на носителях информации с соответствующими пометками, цвет материала упаковки и наклейки, наличие штрих-кода и пр.);

- тип и размер носителя (в дюймах, если речь идет о дискетах);

- изготовитель, плотность записи и номер (если они обозначены), состояние средств записи (открытые или отломанные шторки на дискетах или кассетах), особые приметы (гравировки, царапины, иные повреждения);

- тип компьютера, для которого предназначен обнаруженный носитель (его марка, фирма-изготовитель).

Осмотру подвергаются все дискеты и иные носителя информации, находящиеся в осматриваемом помещении. При этом надо иметь в виду, что каждый из них может содержать вредоносную программу либо незаконно скопированную информацию, в связи с чем работу с ними следует поручить специалисту. Обращаться с магнитными носителями следует максимально осторожно – не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию и пр.

В ходе осмотра места происшествия  могут быть обнаружены и изъяты документы, которые впоследствии могут быть признаны вещественными доказательствами по делу, в том числе:

- документы, носящие следы совершенного преступления (шифрованные, рукописные записи, пароли и коды доступа в сети, дневники связи, сведения о процедурах «входа – выхода» и пр.);

- документы со следами действия компьютерной техники (в этой связи следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства);

- документы, описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые представляются изготовителем);

- документы, устанавливающие правила работы с компьютером, нормативные правовые акты, регламентирующие правила работы с данным компьютером, системой, сетью (это может свидетельствовать о том, что подозреваемый знал и умышленно нарушал установленные правила);

- журналы учета работы на компьютере (если таковые велись), листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и прочая документация (инструкции, положения, правила, уставы, технорабочие проекты на автоматизированную информационную систему (АИС), договоры, контракты, соглашения и т.д.

При осмотре документов особое внимание следует обращать на подчистки и исправления в тексте, дополнительные записи; отсутствие либо нарушение нумерации страниц, а также вклеенные страницы, листки, бланки; распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; несоответствие ведущихся в системе форм регистрации правилам, установленным технической и технологической документацией.

Вопрос об изъятии документов надлежит согласовать со специалистами, при этом в протоколе необходимо указать наименование и название подлежащих изъятию документов, количество экземпляров, число страниц, место обнаружения. Особенно это важно при изъятии данных в «почтовых ящиках» электронной почты. Такое изъятие осуществляется по правилам наложения ареста и выемки почтово-телеграфной корреспонденции с предъявлением соответствующих требований к владельцу почтового узла, где находится конкретный «почтовый ящик».

При изъятии отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия, рекомендуется соблюдать следующие правила их упаковки и транспортировки:

1. Средства компьютерной техники изымаются только в выключенном состоянии, при этом должны быть выполнены и отражены в протоколе следующие действия:

- установка включенного состояния оборудования и фиксация порядка его отключения;

- описание точного местонахождения изымаемых предметов и их расположения относительно друг друга и окружающих предметов (с приложением необходимых схем и планов);

- описание порядка соединения между собой всех устройств с указанием особенностей соединения (цвет, количество, размеры, характерные индивидуальные признаки соединительных проводов, кабелей, шлейфов, разъемов, штекеров и их спецификация);

- определение отсутствия либо наличия компьютерной сети, используемого канала (каналы) связи и телекоммуникаций (в этом случае должен быть установлен и зафиксирован тип связи, используемая аппаратура, абонентский номер, позывной либо рабочая частота);

- разъединение (с соблюдением всех необходимых мер предосторожности) и опломбирование их технических входов и выходов;

- определение вида упаковки и транспортировки изъятых предметов.

2. Упаковку устройств вычислительной техники и машинных носителей информации желательно производить в специальную тару, в которой данная техника поставляется предприятием – изготовителем (если, разумеется, она сохранилась).

3. Сменные носители компьютерной информации (дискеты, лазерные диски, магнитные ленты стримеров и др.) должны быть упакованы отдельно друг от друга, т.е. каждый в свой конверт (бумажный, пластмассовый или полиэтиленовый), либо завернуты в плотную бумагу (для предотвращения электромагнитного воздействия). Магнитный носитель информации целесообразно также обернуть в бытовую алюминиевую фольгу.

4. Технические устройства при отсутствии заводской тары упаковываются в ящики (желательно, деревянные), в которых в качестве внутренних перегородок используются прокладки из упругого материала (гофрированного картона, пенопласта, толстого слоя бумаги).

5. Упакованная техника и машинные носители должны быть опечатаны и снабжены удостоверительными надписями. Вопросы упаковки компьютерной техники и носителей также желательно уточнить со специалистом.

6. Транспортировка устройств вычислительной техники и машинных носителей информации осуществляется так, чтобы не допустить:

- механического воздействия на аппаратуру;

- влияния атмосферных факторов (дождя, снега, повышенной влажности);

- воздействия электромагнитных излучений;

- влияния слишком высоких и низких температур, помня, что аппаратура, содержащая в себе носители информации, должна храниться в диапазоне температур от 0 до +50О С.

Изучение следственной практики показывает, что при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации наиболее распространены следующие ошибки:

- несоблюдение правил обращения с вычислительной техникой и носителями компьютерной информации;

- отсутствие у лиц, производящих осмотр места происшествия, средств (магнитные носители) для неотложного копирования информации, содержащейся в оперативном запоминающем устройстве и там, где она может быть быстро уничтожена при отключении электропитания компьютерного оборудования либо в результате других действий или причин;

- употребление в тексте протокола осмотра без соответствующего пояснения не всем понятных технических и профессиональных терминов, используемых в компьютерных технологиях;

- изъятие компьютерного оборудования и других технических средств, а также машинных носителей информации «на всякий случай», т.е. необоснованно;

- нарушение правил упаковки и транспортировки компьютерной техники и машинных носителей информации.

 

Обыск и выемка.

Обыск и выемка, как и осмотр места происшествия по уголовным делам о преступлениях в сфере компьютерной информации, безусловно, имеют свои особенности и существенные различия, однако общая цель указанных следственных действий (обнаружение, фиксация и изъятие доказательств совершенного преступления) обуславливает схожесть в методике и тактике их проведения.

В соответствии со ст. ст. 168 и 167 УПК РСФСР обыск и выемка в отличие от осмотра места происшествия производятся:

- во-первых, только по возбужденному уголовному делу;

- во-вторых, если при осмотре фиксируется состояние места происшествия с изъятием обнаруженных следов и предметов, то при обыске и выемке идет поиск и изымаются конкретные предметы и документы, имеющие доказательственное значение по делу, а также ценности, добытые преступным путем.

Применительно к компьютерным преступлениям обыск и выемка производятся чаще всего, когда имеются сведения о лицах, причастных к их совершению, способах, средствах или месте преступного посягательства с использованием компьютерных технологий и вероятном местонахождении доказательств. При проведении обыска и выемки (в отличие от осмотра места происшествия) круг поиска доказательств сужен не только до конкретного  помещения, где находится компьютерная техника, но зачастую до отдельного компьютера или устройства, содержащего конкретную информацию и иные следы преступления.

Методика и тактика проведения обыска и выемки при расследовании преступлений в сфере компьютерной информации имеют свои особенности и   отличаются от аналогичных следственных действий при расследовании других преступлений.

Это обусловлено не только опасностью умышленного уничтожения информации, имеющей доказательственное значение, еще не выявленными соучастниками преступления, либо иными заинтересованными лицами среди персонала по месту работы подозреваемого или его близких по месту жительства, но и вероятностью неосторожного поведения следователя и других членов следственно-оперативной группы, которые в результате неправильного и неквалифицированного обращения с программно-аппаратными средствами могут повредить информацию либо уничтожить следы.

Одним из важнейших условий проведения обыска (выемки) является строгое соблюдение установленных правил обращения с компьютерной техникой и носителями информации, технически грамотное проведение поиска электронных доказательств, иной нужной информации.  

Обыск (выемка) производятся:

- на рабочем месте  конкретного лица (лиц) в организации, на предприятии, где находится компьютерное оборудование, с помощью которого совершено преступное посягательство на информационные базы данных этих же организаций, предприятий;

- в служебных помещениях организаций, предприятий, с использованием компьютерного оборудования которых конкретным или еще не установленным лицом (лицами) совершено преступное посягательство на информационные базы данных сторонних организаций и предприятий;

- по месту постоянного или временного жительства подозреваемого или лиц из ближайшего его окружения, где установлено компьютерное оборудование, использовавшееся при совершении преступления;

- в любом месте нахождения компьютерного оборудования (например, Notebook);

Большое значение при расследовании преступлений данной категории имеет личный обыск подозреваемого при его задержании, в результате  которого может быть изъят переносной компьютер (notebook) и машинные носители, содержащие информацию, имеющую доказательственное значение.

Главным объектом внимания в помещениях, где производится обыск (выемка), является находящееся в них компьютерное оборудование, которое может быть:

- автономным (при наличии компьютера, не подсоединенного напрямую к другому или другим компьютерам), при этом доказательства локализованы и их можно обнаружить в одном, ограниченном месте;

- в составе сети: локальной или распределенной (при наличии нескольких или многих компьютеров, соединенных между собой), при этом нужная следствию информация может быть обнаружена в любом ее месте.

При обыске (выемке) следует учитывать, каким образом при совершении преступления была использована компьютерная техника.

                Компьютеры и их устройства могут сами являться непосредственными объектами преступного посягательства или быть орудием (средством) совершения преступления. Наряду с этим компьютерная техника является хранилищем доказательств совершенного преступления, его следов и информации о фактических обстоятельствах содеянного.

При обыске доказательства преступной деятельности (следы и соответствующую информацию) можно обнаружить в компьютере (в его системном блоке на жестком диске «винчестере»), машинных носителях информации (гибких дискетах, магнитно-оптических дисках, магнитных лентах).

Следами преступной деятельности, в зависимости от их характера, в компьютере и на машинных носителях являются:

Изменения в оперативном запоминающем устройстве ОЗУ (фиксируются только при задержании подозреваемого с поличным, в момент работы на компьютере, когда он совершил неправомерный доступ в компьютерную систему).

Следы в файловой системе:

- копии чужих файлов (при неправомерном доступе);

- файлы, где зафиксировано обращение к сайтам Интернета (при мошенничестве с использованием услуг Интернет-магазинов и т.д.);

- файлы с вредоносными программами;

- программное обеспечение подбора паролей для неправомерного доступа в Интернет, либо иного проникновения в компьютерные сети, а также содержащее функции по уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их  сети;

- признаки, свидетельствующие о применении специальной программы для незаконного проникновения в данную компьютерную сеть (внесение в программу изменений, направленных на преодоление информационной защиты и т.д.).

Изменение конфигурации компьютерного оборудования:

- несоответствие внутреннего устройства компьютера технической документации на него (внесение в конструкцию компьютера встроенных устройств, дополнительных жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и т.д.);

- наличие дополнительных блоков с враждебными функциями;

- нестандартные периферийные устройства и т.д.

Особую ценность для следователя в качестве доказательств представляет информация, находящаяся в компьютере и на машинных носителях. Изъятие ее и предотвращение попыток уничтожения – важнейшая задача следователя при  проведении обыска.

На жестких дисках и съемных носителях информации могут содержаться такие важные данные, как:

- информация о незаконных бухгалтерских и финансовых операциях, произведенных в кредитно-финансовой сфере;

- программы, отвечающие за проведение электронных платежей по сети Интернет с использованием услуг Интернет-магазинов и виртуальных фирм, а также списки произведенных перечислений с чужих счетов и кредитных карт;

- переписка соучастников, касающаяся организации и исполнения преступления;

- сведения, составляющие государственную, коммерческую, банковскую тайну, а также нарушающие авторские и смежные права;

- личная информация граждан (переписка);

- порнографические изображения;

- вредоносные программы;

- файлы, содержащие информацию о конфиденциальных реквизитах доступа к системным ресурсам персональных компьютеров и нелегального доступа в сеть Интернет и т.д.

Кроме того, при обыске (выемке) следует обращать внимание на сообщения на дисплеях пейджеров, а также на содержание электронных записных книжек, откуда можно почерпнуть информацию, имеющую значение для дела.

Надо иметь в виду, что даже при уничтожении важной для следствия компьютерной информации ее содержание в отдельных случаях может быть восстановлено специалистами.

Немаловажное значение имеет обнаружение и изъятие (выемка) в помещении, где установлено компьютерное оборудование, традиционных вещественных доказательств.

При совершении компьютерных преступлений таковыми могут быть:

- бумажные носители информации (распечатки с принтера, в том числе оставшиеся внутри его), рукописные записи, содержащие коды и пароли доступа, тексты программ, черновые записи и записные книжки с именами, адресами и номерами телефонов лиц, причастных к преступлению, номерами счетов в банках и кредитных карточек и т.д.;

- кредитные карточки соучастников и третьих лиц, с помощью которых обналичивались и изымались денежные средства, похищенные с использованием компьютерных технологий;

- вещи и ценности, приобретенные на похищенные деньги;

- счета АТС, свидетельствующие о наборе большого числа абонентских номеров;

- специальные устройства доступа в телефонные сети и сети ЭВМ (модем и другие);

- описание программного обеспечения;

- документы, должностные инструкции, регламентирующие правила работы с данной компьютерной системой, сетью (что может свидетельствовать о том, что они были известны и преднамеренно нарушались);

- личные документы подозреваемого (обвиняемого) и т.д.

В случаях, когда компьютерное оборудование организации или предприятия использовалось для совершения преступления лицом, не имеющим к нему правомерного доступа, либо незаконно проникшим в помещение, при обыске (выемке) могут быть выявлены и изъяты с компьютера и его устройств такие следы преступления как отпечатки пальцев рук, микрочастицы одежды, загрязнения различными веществами и другие следы, методика исследования которых подробно описана в работах криминалистов.

В помещении следует также искать следы ног, а также технические средства, с помощью которых совершено проникновение в помещение и т.д.

Процесс обыска (выемки) можно условно разделить на четыре этапа: подготовка, начало обыска (выемки), непосредственное проведение, а также заключительная стадия.

На подготовительном этапе необходимо:

1. При подборе специалиста в области компьютерных технологий для участия в проведении обыска (выемки) учитывать особенности компьютерной технологии, использованной при совершении данного преступления, поскольку нет универсальных специалистов, которые одинаково бы разбирались во всех программно-технических средствах.  

2. Оценить с участием специалиста данные, полученные в ходе расследования до проведения обыска (выемки), включая сведения:

- о лице (лицах), подозреваемых в совершении преступления, его (их) профессиональных навыках по владению компьютерными технологиями (с учетом средств совершения преступления и способов преодоления информационной защиты, возможных действий по уничтожению информации и сокрытию следов преступления);

- о количестве и планировке помещений, наличии сети в месте, где предстоит провести обыск (выемку), ее типе, наличии и количестве серверов и т.д.;

- о видах и местонахождении хранящейся электронной информации;

- о компьютерном оборудовании (компьютере и его устройствах), которые использовались при совершении преступления.

3. Обеспечить участие понятых, которые могли бы подтвердить правильность проведения и результатов обыска (выемки) при их оспаривании в суде. При этом не следует полностью полагаться на персонал организации, где проводится обыск, либо жильцов соседних квартир (если обыск проводится по месту жительства), поскольку не исключена их заинтересованность в исходе деле. К тому же с учетом специфичности рассматриваемой категории преступлений желательно подбирать понятых из числа граждан, имеющих соответствующий уровень общего развития, т.е. обладающих хотя бы необходимым минимумом элементарных познаний в области электронно-вычислительной техники и компьютерных технологий.

4. Принять меры к обеспечению безопасности места проведения обыска с точки зрения сохранности доказательств. Нередко обыск (выемку) необходимо проводить сразу в нескольких помещениях, где находится компьютерное оборудование, либо в коммерческих структурах, имеющих свои службы безопасности, которые могут препятствовать проходу следственно-оперативной группы к месту обыска. Чтобы исключить такие факты (которые могут расцениваться как содержащие признаки, предусмотренные ст. 294 УК РФ), а также возможность оповещения кого-либо из администрации о предстоящем обыске и уничтожении интересующей информации, необходимо заранее решить вопрос о привлечении дополнительных сил и средств. Вместе с тем при этом следует избегать крайностей и не допускать необоснованного привлечения сотрудников специальных подразделений правоохранительных органов к производству обыска (выемки), когда их участие не вызывается необходимостью.

5. Определить время проведения и меры по обеспечению внезапности предстоящего обыска (выемки) как для подозреваемых, так и иных лиц, которые могут находиться  на месте проведения следственного действия.

6. Решить вопрос обеспечения транспортом, упаковочным материалом для вывоза изъятого оборудования и носителей информации, бланками процессуальных документов (постановлениями и протоколами о производстве обыска, выемки и т.д.). На практике могут возникнуть ситуации, когда компьютерные данные находятся в другом месте, хотя к ним имеется доступ с места проведения обыска, либо когда подозреваемый или иные лица заявляют, что компьютер, с помощью которого совершено преступление, в настоящее время находится в другом офисе, в квартире третьих лиц, либо имеются другие соучастники преступления, у которых также есть компьютерная техника с интересующей следствие информацией. В этих случаях не исключается необходимость производства обыска (выемки) по другим адресам, допросов либо других следственных действий и т.д.

Немаловажное значение имеет проведение инструктажа членов следственно-оперативной группы и других участников обыска (специалистов, понятых) о порядке и этапах его проведения, возможных ситуациях, осложнениях и необходимых в таких случаях действиях (особенно при попытках уничтожить информацию и другие следы преступления).

На начальной стадии обыска (выемки) необходимо:

1. По прибытии на место проведения следственного действия запретить всем находящимся в помещении лицам прикасаться к компьютерам, машинным носителям, включать и выключать аппаратуру и энергопитание. Любые попытки осуществить какие-либо действия с компьютером или подключенными к нему устройствами могут быть расценены как попытка уничтожения доказательств, что следует отразить в протоколе обыска (выемки).

2. Произвести обзорную фото и видео съемку обыскиваемого помещения и находящегося в нем компьютерного оборудования до того, как приступить к производству обыска.

3. Определить объем предстоящего обыска, т.е. автономный компьютер (как, например, в квартире) или компьютерная сеть (в учреждении, организации, на предприятии).

4. Принять дополнительные меры по обеспечению сохранности информации. В этих целях следует:

- оперативно решить со специалистом  вопрос об отсоединении системы от сетей или модемов, чтобы никто не мог стереть или изменить информацию с использованием компьютерного оборудования вне обыскиваемого помещения;

- заранее, по возможности, определить участки компьютерной сети, где могут быть обнаружены электронные доказательства, и взять их под контроль, пока не будет полностью  произведен обыск.

5. В процессе непосредственного проведения обыска специалистом  должны быть произведен ряд действий.

При работающем компьютере необходимо:

- определить, какая программа выполняется на момент начала производства обыска, при обнаружении работающей программы по уничтожению информации остановить ее и начать осмотр компьютерной техники именно с этого компьютера;

- после остановки исполнения программы произвести выход в операционную систему для выяснения, какая программа вызывалась в последний раз;

- установить наличие у компьютера внешних устройств – накопителей информации на жестких дисках (винчестере), а также внешних устройств удаленного доступа к системе (подключение к локальной сети, наличие модема);

- отключить от сети компьютер и выключить модем;

- при необходимости скопировать на машинный носитель программы и файлы;

- при невозможности проанализировать информацию на месте (в большинстве случаев проведение такого анализа вообще нецелесообразно, в том числе из-за сложности процессуального закрепления), скопировать ее, специально зафиксировав это в протоколе обыска;

- после того, как с него будет снята необходимая информация, отключить компьютер от электросети.

Вышеуказанные действия желательно зафиксировать на фото-видеопленку.

При неработающем компьютере необходимо:

- зафиксировать (отразить в протоколе обыска) местонахождение интересующего следствие компьютера и его периферийных устройств, указав каждое устройство (название, серийный номер, комплектация: наличие и тип дисководов, сетевых карт, разъемов и др.), наличие соединения с локальной сетью и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия и т.д.);

- зафиксировать порядок соединения между собой указанных устройств, соединительные разъемы, провода, кабели, а также порты, с которыми кабели соединяются (перед их разъединением);

- произвести поиск и фиксацию на компьютере и его устройствах, возле компьютерного оборудования на рабочем месте подозреваемого и в других местах служебного помещения, на квартире:

следов пальцев рук, микрочастиц и иных на поверхности компьютера и его устройствах (если это необходимо, исходя из характера и способа совершенного преступления);

съемных машинных носителей информации (дискет, лазерных компакт-дисков, магнитных лент и т.д.) в столе, на полках, в шкафах, тайниках, среди музыкальных и видеодисков и т.д.;

бумажных носителей информации – распечаток, записей и т.д.

При необходимости получить информационные данные специалисту необходимо включить компьютер и произвести копирование нужных сведений в порядке, изложенном выше.

На заключительной стадии обыска (выемки) следует:

1. Определить с помощью специалиста (с учетом использования компьютера как орудия преступления или источника доказательств), какие носители информации следует изъять (а если это выемка – подлежат выемке). Изымаются те носители, которые содержат или с наибольшей вероятностью могут содержать доказательства совершенного преступления. Таковыми являются:

- системные блоки компьютера, в которых установлены жесткие диски, изымать которые отдельно от системного блока нецелесообразно, переносные  компьютеры (notebook);

- клавиатура (некоторые их типы могут самостоятельно выступать в качестве терминала и имеют дисковые накопители);

- принтеры (имеющие платы памяти, в которых хранятся задания на печать), а также, при необходимости, и иные компоненты компьютера;

- съемные машинные носители информации (дискеты, лазерные компакт-диски, магнитные ленты).

Изымаются и все остальные указанные выше вещественные доказательства совершенного преступления, а также техническая и иная документация, имеющая отношение к подлежащему изъятию (выемке) оборудованию и носителям информации.

2. Подготовить для изъятия (выемки) намеченные аппаратные средства.

С этой целью необходимо:

- завершить работу компьютерной системы;

- выключить электропитание;

- промаркировать устройства компьютера перед тем, как их отсоединить и изъять, наклеить липкие листы или ленты с указанием даты и подписями следователя, специалиста, понятых и владельца (пользователя) данных аппаратных средств (ими могут быть не только подозреваемый, но и персонал организации – администраторы сети, операторы и т.д.). Рекомендуется, чтобы устройства, соединенные с одним центральным процессом, были помечены одним номером, а каждое устройство должно иметь наклейку в тех местах, к которым подсоединены кабели;

- отсоединить все кабели, предварительно зафиксировав их положение (с помощью фото-видеосъемки). Все кабели, которые соединяют изымаемые устройства компьютера, также маркируются с обоих концов и изымаются. Липкой лентой с подписями участников обыска (выемки) пломбируются все имеющиеся разъемы и кнопки с тем, чтобы исключить возможность включения компьютера и его устройств без нарушения пломбирования;

- опломбировать корпус аппаратного устройства с тем, чтобы исключить возможность его вскрытия;

- разъединить устройства компьютера и упаковать раздельно, с указанием на упаковке съемных машинных носителей информации места их обнаружения. Разъединение рекомендуется начать с периферийных устройств. Упаковка, а затем и вывоз (транспортировка) изъятого оборудования и машинных носителей производятся с учетом рекомендаций изготовителя, указанных в инструкциях, и мер по обеспечению сохранности, предусмотренных для компьютерной техники.

3. Оформить протокол обыска (выемки) – эта процедура несколько отличается от аналогичной по уголовным делам о традиционных преступлениях, поскольку в протоколе этого следственного действия, который целесообразно вести уже по ходу его проведения, поэтапно фиксируются все действия специалиста (с учетом особой специфики расследуемых деяний это рекомендуется делать под его диктовку), а именно:

- точно указывается местонахождение изымаемых устройств и их взаимное расположение относительно друг друга и окружающих предметов;

- описывается внешний вид компьютерного устройства, порядок соединения различных узлов и деталей между собой с указанием имеющихся особенностей (цвета, штампов, надписей и т.д.);

- записываются серии и номера изымаемых устройств, имеющиеся на них следы воздействия, дефекты, иные  индивидуальные признаки;

- излагаются порядок и последовательность разборки компьютерных составляющих;

- отмечаются все заявления присутствующих при обыске (выемке), касающиеся технических аспектов проводимого следственного действия.

К протоколу прилагаются планы и схемы обыскиваемых помещений и расположения в них компьютерного оборудования, фототаблицы с негативами, а также кассеты с записями проводимой в ходе следственного действия видеосъемки.

Протокол подписывается следователем и другими членами следственно-оперативной группы (СОГ), специалистами, понятыми, лицом, у которого произведен обыск (выемка), а также иными присутствовавшими при производстве следственного действия лицами (представителями администрации, технического персонала), имеющими отношение к работе компьютерной сети (при  производстве следственного действия в служебных помещениях).

«все книги     «к разделу      «содержание      Глав: 8      Главы:  1.  2.  3.  4.  5.  6.  7.  8.