5. Назначение судебных экспертиз

При расследовании преступлений данной категории помимо традиционных видов экспертиз (криминалистической, дактилоскопической и т.д.) должны проводиться специальные судебные экспертизы – информационно-технологическая и информационно-техническая. Объединяет эти виды судебных экспертиз компьютерная информация, исследуемая, однако, с разных сторон – технологической либо технической. Различаются они и по непосредственным объектам исследования.

Проведение этих судебных экспертиз необходимо как для исследования собственно информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения) информации и представления ее потребителю в условиях функционирования автоматизированных информационных систем и сетей, так и отдельно взятых технических и иных средств обеспечения этих процессов.

К таким техническим средствам относятся компьютерные устройства, включающие в себя системный блок, устройство внешней памяти, устройства ввода и вывода информации, периферийные устройства, а также средства связи и телекоммуникации. К иным средствам следует отнести программы для вычислительных машин. Все эти средства, обеспечивающие обработку информации, и составляют основу информационно-компьютерной технологии.

Объектом информационно-технологической экспертизы является установленный порядок обработки информации, осуществляемый по заданным алгоритмам, т.е. информационная технология, основанная на применении современной информационно-вычислительной техники, средств связи и телекоммуникаций, составляющих основу информатизации общества.

Непосредственными предметами информационно-технологической экспертизы могут быть:

- проектная документация на разработку и эксплуатацию компьютерных систем и сетей, отражающая процессы сбора, обработки, накопления, хранения, поиска и распространения информации;

- документированная информация (документ), т.е. зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать (отдельные документы и массивы документов в информационных системах), в. т. ч. конфиденциальная информация;

- материалы сертификации информационных систем, технологий и средств их обеспечения и лицензирования деятельности по формированию и использованию информационных ресурсов;

- приказы и распоряжения администрации, инструкции, протоколы, договоры, положения, уставы и методики по эксплуатации компьютерных систем и сетей, отражающие порядок формирования информационных массивов и доступа к ним (важнейшими из этих предметов исследования могут быть должностные инструкции сотрудникам соответствующих информационных подразделений);

- схемы движения информации от источников к потребителю с указанием пунктов ее сбора, контроля, накопления, обработки и использования;

- табель распределения выходных данных (перечень пользователей с указанием периодичности, объема и сроков поступления информации), а также другие документы, позволяющие наиболее полно pacкрыть сущность информационной технологии данной компьютерной системы или сети (они обычно прилагаются к техническому заданию на их разработку);

- входные и выходные документы, установленные для данной автоматизированной информационной системы;

- словари, тезаурусы и классификаторы;

- иные эксплуатационные и сопроводительные документы (особое значение для расследования компьютерных преступлений имеют журналы и другие виды учета работы операторов, регистрации сбойных ситуаций и обращений в компьютерную систему или сеть).

Информационно-технологическая экспертиза назначается в тех случаях, когда для возникающих в ходе расследования вопросов требуются специальные познания в технологии информационных процессов.

Возможности этой экспертизы достаточно широки. С ее помощью можно определить:

- соответствие существующего технологического процесса компьютерной обработки информации с проектной и эксплуатационной документацией на конкретную информационную систему либо сеть;

- конкретные отклонения от установленной информационной технологии; непосредственных исполнителей, допустивших нарушение установленной информационной технологии;

- надежность организационно-технологических мер защиты компьютерной информации;

- вредные последствия, наступившие вследствие неправомерного нарушения установленной технологии компьютерной обработки информации;

- обстоятельства, способствовавшие преступному нарушению технологии электронной обработки информации.

При назначении информационно-технологической экспертизы могут быть поставлены следующие вопросы:

- соответствуют ли процессы сбора, обработки, накопления, храпения, поиска и распространения информации установленной проектной и эксплуатационной документацией информационной технологии в данной компьютерной системе или сети;

- если нет, то какие конкретно отклонения от нее допущены;

- кем именно нарушены технологические требования в процессе эксплуатации данной компьютерной системы или сети;

- кто из должностных лиц должен был обеспечить соблюдение установленной технологии электронной обработки данных;

- какие организационно-технологические меры защиты компьютерной системы, предусмотренные эксплуатационной документацией, были приняты;

- какие вредные последствия связаны с нарушением установленной технологии электронной обработки информации;

- является ли указанное отклонение от технологии обработки данных причиной наступивших последствий;

- каковы причины нарушения установленной обработки компьютерной информации;

- какие меры необходимо принять для их устранения.

Объектом информационно-технической экспертизы является техническое обеспечение информационной безопасности компьютерных систем и сетей.

Предметы информационно-технической экспертизы очень разнообразны. Иными словами, это инструменты, c помощью которых осуществляется доступ к информационным технологиям.

Условно их можно разделить на три основные группы:

- Технические средства обработки информации;

- Машинные носители информации и машинограммы, создаваемые средствами вычислительной техники;

- Программные средства и базы данных.

К первой группе относятся: компьютеры, отдельные узлы, устройства ввода и вывода информации; печатающие устройства (принтеры); периферийные устройства; устройства для связи между пользователями (модемы и факс-модемы); технические устройства и приспособления, специально разработанные для обхода средств защиты компьютерных систем и сетей от несанкционированного доступа; технические средства защиты информации и другие устройства.

Ко второй группе относятся: накопители на жестких дисках («винчестеры»); накопители на гибких магнитных дисках (дискеты); устройства для быстрого сохранения всей информации, находящейся на жестком диске (стримеры); оптические диски; пластиковые карты; аудио- и видеокассеты и другие носители информации, обрабатываемые компьютерами.

К третьей группе относятся программы для электронных вычислительных машин и базы данных.

Исходя из анализа предметов этих двух экспертиз, каждая из них имеет свои характерные особенности.

Информационно-техническая экспертиза назначается в том случае, когда в ходе следствия возникает необходимость в специальных исследованиях непосредственно технической части (отдельных узлов, блоков, периферийных устройств, оборудования, составляющих компьютерные системы или сети, пластиковых карт, дисков, дискет, других носителей информации, обрабатываемых компьютерами, а также программных средств).

К ее основным задачам относятся:

определение технического состояния компьютерного оборудования и пригодности его для решения задач, предусмотренных проектной и эксплуатационной документацией на данную автоматизированную систему;

техническое исполнение конкретных технологических информационных процессов и отдельных операций, ставших предметом предварительного следствия, установление конкретного терминала, с которого совершен несанкционированный доступ в данную компьютерную систему или сеть;

восстановление содержания поврежденных информационных массивов, отдельных файлов на магнитных носителях;

выявление технических причин сбойных ситуаций в работе компьютера;

установление подлинности информации, записанной на машинных носителях (дисках, дискетах, пластиковых картах) и внесенных в них изменений;

выявление в программе для ЭВМ разного рода неправомерных изменений, дополнений, вставок преступного характера;

установление вида компьютерного вируса, источника его проникновения в исследуемую систему и причиненные им вредные последствия;

установление соответствия средств защиты информации от несанкционированного доступа и проникновения компьютерного вируса сертификационным требованиям.

Успешное проведение информационно-технической экспертизы зависит от правильной постановки вопросов, основной перечень которых приводится ниже:

- Позволяет ли техническое состояние компьютерного оборудования решать в полном объеме задачи, предусмотренные проектной и эксплуатационной документацией на данную компьютерную систему или сеть?

- С какого терминала и по каким средствам связи и телекоммуникации мог быть совершен несанкционированный доступ в компьютерную систему или сеть?

- Возможно ли восстановить записанную прежде информацию на частично поврежденном машинном носителе? Если да, то каково ее содержание?

- Какова причина выявленных в ходе следствия сбоев данного компьютерного оборудования и можно ли было предотвратить их с помощью технических средств?

- Какие предусмотренные соответствующими правилами действия для предотвращения сбоя, несанкционированного доступа, уничтожения файла, неправомерного копирования компьютерной информации не выполнило данное лицо?

- Имеются ли какие-либо несанкционированные изменения информации, записанные на сменные диски (дискеты)? Если да, то каково их содержание?

- Могла ли быть использована в данной компьютерной системе посторонняя программа без автоматической регистрации ее использования?

- Имеется ли в данной программе преднамеренная «закладка» (зарезервированное место в программе на случай необходимости последующей вставки дополнительных команд)? Если да, то для какой конкретной цели она была предусмотрена, а также кто ее автор?

- Какие средства защиты от вредоносных программ предусмотрены в данной системе, насколько они надежны, имеется ли на них сертификат, и соответствуют ли они его требованиям?

- Каким образом могло произойти заражение данной системы компьютерным вирусом?

- К какому классу (типу) относится вирус, заразивший данную компьютерную систему, и каков источник его происхождения?

- Какой вред причинен данным компьютерным вирусом?

Круг вопросов по двум указанным видам экспертиз предлагаемыми перечнями не исчерпывается. С учетом характера каждого конкретного преступления могут быть поставлены и другие вопросы, объем которых определяется следователем в зависимости от расследуемого события и выяснения обстоятельств информационно-технологического или информационно-технического характера.

Так, по делам о неправомерном доступе к охраняемой законом компьютерной информации перед информационно-технологической экспертизой могут быть поставлены более частные вопросы, относящиеся к режиму ее обработки и охраны, главным образом, к организационно-административным мерам защиты этой информации.

Для проведения информационно-технологической экспертизы необходимы лица, сведущие в области информатики и проектирования информационных систем и технологий, формирования банков и баз данных, а также режима их использования. Для проведения информационно-технической экспертизы необходимы лица, сведущие в области технических средств обеспечения автоматизированных информационных систем и их технологий, т.е. научно-технической продукции, используемой при создании и эксплуатации информационных систем.

В процессе расследования преступлений в сфере компьютерной информации, помимо рассмотренных экспертиз, может возникнуть необходимость производства и других видов экспертиз.

Так, при необходимости установления тождества конкретного принтера по листингу (распечатке), может быть назначена криминалистическая экспертиза. Необходимость в ней может возникнуть также для установления подлинности пластиковых (кредитных) карточек. Такую экспертизу можно назначить с целью восстановления информации на поврежденных частях магнитных носителей.

Назначению идентификационной экспертизы по делам о преступлениях в сфере компьютерной информации должна предшествовать консультация со специалистом с целью определить возможности такой экспертизы, а также какие материалы, сведения и сравнительные образцы для исследования необходимо представить эксперту, с которым следует согласовать формулировку вопросов.

Аналогичная идентификационная задача может быть решена с помощью комплексной компьютерно - технической и судебно - автороведческой экспертизы, позволяющей проверить, не написана ли данная компьютерная программа конкретным лицом.

Для проведения носящих комплексный характер экспертных исследований в сфере компьютерной информации приглашаются высококвалифицированные специалисты в области информатики, вычислительной техники и программирования, а также в области традиционных видов криминалистической экспертизы, экономической, финансовой, бухгалтерской и товароведческой экспертиз.

Среди вопросов, которые могут быть поставлены на разрешение комплексной судебно-бухгалтерской экспертизы и экспертизы программного обеспечения, можно выделить следующие:

- Возможен ли несанкционированный скрытый доступ к программному обеспечению с целью внесения изменений, влияющих на результаты расчетов и отчетность?

- В положительном случае, каков механизм совершения таких изменений, куда и какие изменения были внесены, их последствия?

- Кто из работников банка (либо другого учреждения), обслуживающих и эксплуатирующих эти средства, имеет указанные выше возможности?

- Каков размер материального ущерба, причиненного банку (либо другому учреждению)?

- Какие нарушения правил, регламентирующих ведение бухгалтерского учета и отчетности, могли способствовать образованию ущерба?

- Какая операционная система использована в конкретном компьютере?

- Не вносились ли в программу данного системного продукта какие-либо коррективы, изменяющие выполнение операций (указать каких)?

- Возможно ли получение доступа к конфиденциальной финансовой информации, имеющейся в данной сети? Каким образом может быть осуществлен этот доступ?

Для проведения исследования подобной комплексной экспертизы представляются:

- материалы уголовного дела;

- протоколы допроса лиц, проходящих по уголовному делу;

- первичные бухгалтерские документы по отделу текущих счетов;

- магнитные носители, в том числе содержащие тексты программ, а также резервные копии информации на ЭВМ отдела текущих расчетов за определенный период при наличии соответствующего оборудования в экспертных учреждениях.

Экспертам также предоставляются:

- данные о структуре файлов автоматизированной системы учета банковских операций;

- инструктивные материалы по сопровождению программного обеспечения автоматизированной системы учета банковских операций;

- магнитные носители, отражающие состояние файлов автоматизированной системы учета банковских операций за определенный период времени (когда производились незаконные начисления денег на счет преступника);

- журнал учета передачи смен и сбойных ситуаций (за определенный период);

- инструкция № 8 «О счетах и вкладах в иностранной валюте и рублях»;

- инструкция № 30 по бухгалтерскому учету операций Банка для внешней торговли;

- акт проверки обеспечения безопасности проведения операций по счетам граждан типа «В» и защите информации от несанкционированного доступа при обработке на ЭВМ за определенный период;

- устав банка, приказы, распоряжения, служебные записки, акты проверок, функциональные обязанности и другие документы, регламентирующие служебную деятельность сотрудников вычислительного центра.

Поскольку подлинная информация на машинных носителях при производстве экспертиз и иных следственных действий может быть безвозвратно уничтожена, представляется целесообразным по возможности предварительно скопировать ее и использовать копии при производстве следственных действий.