Реферат: Расследование преступлений в сфере компьютерной информации   (методические рекомендации)

РАССЛЕДОВАНИЕ
ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
 
(методические рекомендации)


См. статью генерал-майора юстиции Анатолия Родионова, заместителя начальника Следственного комитета при МВД России, заслуженного юриста Российской Федерации "Компьютерные преступления и организация борьбы с ними"

1.  УГОЛОВНО-ПРАВОВАЯ ХАРАКТЕРИСТИКА И КРИМИНАЛИСТИЧЕСКИЕ ОСОБЕННОСТИ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ.


1.1. Введение.

Все быстрее в экономике Российской Федерации идут рыночные преобразования, из года в год увеличивается количество акционерных, совместных, частных предприятий, инофирм и фермерских хозяйств. В связи с этим сегодня в России наблюдается резкое увеличение интереса к безопасности вычислительных систем. Без сомнения, это объясняется в первую очередь развитием банковского бизнеса и широким внедрением современных вычислительных и коммуникационных средств в го сударственные структуры. В связи с этим быстрыми темпами внедряются новые технологии, развивается компьютерная инфраструктура, растет объем получаемой и передаваемой по компьютерным коммуникационным сетям информации зачастую, составляющей новые технологические раз работки и другие, не менее важные сообщения. Поэтому, логичным будет предположение о том, что эта информация будет и уже становится объектом пристального внимания криминальной среды, особенно для завоевания новых сфер влияния.

Ключевым моментом при рассмотрении данного вопроса является исключительная важность и необходимость использования системного подхода к решению данной проблемы. Это объясняется тем обстоятельством, что безопасное функционирование системы в целом обусловливается безопасностью самого слабого звена. Этих слабых звеньев может быть очень много, перечислим только некоторые из них. Во-первых, абсолютная защита компьютерной сети от проникновения в нее сделает вычислительную систему практически недоступной и непригодной для использования, во-вторых, не все возможные пути преодоления систем защиты вычислительных сетей могут быть известны, и следовательно, не всем угрозам может противостоять применяемая система обеспечения безопасности, в-третьих, очень много зависит от "человеческого фактора", а людям свойственно ошибаться. Отсюда вытекает принципиальная важность рассмотрения данной проблемы в комплексе, в противном случае принимаемые меры уголовно-правовой борьбы с компьютерными преступлениями окажутся малоэффективными.

Для упреждения подобных явлений, впервые в уголовном законодательстве Российской Федерации введена уголовно-правовая защита компьютерной информации, так как преступления в этой сфере направлены прежде всего против той части установленного порядка общественных отношений, который регулирует изготовление, использование, распространение и защиту компьютерной информации.

Учитывая новизну этих преступлений, для правильной их квалификации, понимание данного обстоятельства важно для отграничения составов, предусмотренных ст.ст.272 - 274 УК России, от других преступлений, связанных с использованием электронно-вычислительных машин (ЭВМ) и их сетей для совершения преступлений.

Так, ОБЪЕКТОМ преступлений, предусмотренных ст.ст.272 - 274 УК, являются общественные отношения в сфере охраны целостности компьютерной информации, материальных или иных интересов ее собственников.

^ СУБЪЕКТИВНАЯ СТОРОНА ст.272 УК и ч.1 ст.ст.273 - 274 УК характеризуется только прямым умыслом. В ч.2 ст. ст. 273 - 274 УК предусмотрено наступление по неосторожности тяжких последствий. В данном случае - двойная (сложная) форма вины. Деяние виновный совершает умышленно. Отношение к последствиям - неосторожное, т.е. субъект либо предвидит возможность наступления общественно опасных последствий, но без достаточных оснований самонадеянно рассчитывает на их предотвращение, либо не предвидит их наступления, хотя при необходимой внимательности и предусмотрительности должен был и мог предвидеть возможность наступления таких последствий.

СУБЪЕКТОМ указанных преступлений может быть вменяемое лицо, достигшее 16 лет. Субъект ст.274 УК - специальный, им может быть только лицо, имеющее доступ к ЭВМ, их системе или сети.

ПРЕДМЕТОМ данных преступлений является охраняемая законом информация на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети.

В тех случаях, когда компьютерная аппаратура является предметом преступлений против собственности, ее хищение, уничтожение или повреждение подлежит квалификации, соответственно, по ст.ст. 158-168 УК.

Неправомерность доступа - воздействие либо использование определенным лицом такой компьютерной информации, доступ к которой или внесение в нее изменений запрещен, либо ограничен действующими законами и другими нормативными актами.

Уничтожение, блокирование, модификация и копирование компьютерной информации - соответствующие действия с ней на носителе информации, произведенные командой пользователя, осуществляющего неправомерный доступ. Обязательным условием для наступления ответственности за данное деяние состоит в наличии прямой причинной связи между совершенными действиями и наступившими последствиями.

 Использование своего служебного положения 0 возможно со стороны лица, которое организует неправомерный доступ к охраняемой законом компьютерной информации, используя для этого приданные ему властные полномочия в отношении лиц, имеющих доступ к ЭВМ, системе ЭВМ или их сети (например, отдает распоряжение соответствующим работникам о внесении изменений в компьютерную информацию), т.е. он неправомерно воздействует на компьютерную информацию не сам лично, а через своих подчиненных. Использование служебного положения предполагает совершение виновным таких действий, которые находятся в пределах его служебной компетенции, однако выполняются им с нарушением установленного законом или другим нормативным актом порядка их осуществления.

 Имеющим доступ к ЭВМ, системе ЭВМ или их сети будет признано лицо, в чьи служебные обязанности входит работа с данными устройствами, либо их обслуживание. По роду своих занятий эти лица могут находиться в помещении, где расположена компьютерная техника. Они могут иметь право доступа к компьютерной информации, либо не иметь такового.  

Создание программ - процесс, включающий в себя разработку алгоритма, написание программы в кодах языка программирования.

 Внесение изменений - любая модификация кодов программы.

 Несанкционированное уничтожение, блокирование, модификация и копирование - соответствующие действия с информацией на ее носителе, произведенное любым другим способом, кроме как по команде пользователя.

Нарушение правил эксплуатации - невыполнение или в ненадлежащее исполнение инструкций и других документов, регламентирующих условия и правила использования, установки, обслуживания, ремонта и транспортировки средств вычислительной техники и носителей машинной информации.

Правила эксплуатации ЭВМ различных модификаций предусматриваются технической документацией на данное изделие. В соответствии с ними в каждом учреждении, использующем компьютерную технику, разрабатываются внутренние правила ее эксплуатации, которые утверждаются приказами и доводятся до сведения всех лиц, имеющих доступ к ЭВМ, системе ЭВМ или их сети.

Существенный вред и тяжкие последствия - оценочные признаки, определяются следователем и судом в каждом конкретном случае и зависят от многих показателей, относящихся к последствиям воздействия на информацию, применяемым техническим средствам, к содержанию информации, степени повреждения и т.д. В любом случае существенный вред должен быть менее значительным, чем тяжкие последствия, к которым могут быть отнесены гибель людей, причинение вреда их здоровью, срыв или остановка деятельности предприятия и др.

Как было отмечено выше, для преступлений в сфере компьютерной информации общим предметом является именно информация. Она может храниться как на носителе информации вне ЭВМ - дискете, магнитно-оптическом диске, магнитной ленте, лазерном компакт-диске и т.д., так и на жестком диске (винчестере) в электронно-вычислительной машине, разновидностью которой является персональный компьютер, а также в системе и сети ЭВМ на сервере (компьютере большой мощности, предназначенном для централизованного хранения и обработки информации в сети компьютеров).

Важно учитывать, что следователь, в силу специфики своей деятельности, не может обладать достаточно глубокими знаниями и навыками специалиста в области компьютерной техники, которые требуются при исследовании механизма совершения преступления, и может совершить неисправимые ошибки в ходе обследования технической аппаратуры, снятия необходимой информации или изъятия вещественных доказательств. Поэтому, все эти действия необходимо выполнять в присутствии и с помощью специалиста. Участие соответствующего специалиста необходимо также и при производстве допросов, на которых выясняются технические аспекты совершенного преступления.

Следует отметить, что неправомерный доступ к компьютерной информации, внесение в ЭВМ, в систему ЭВМ или их сеть вредоносных программ, нарушение правил эксплуатации ЭВМ, их системы или сети связаны прежде всего с аналогичным для всех составов этой группы проникновением, при котором преступниками совершаются практически одни и те же технические операции. Поэтому, среди общих обстоятельств, подлежащих установлению при расследовании указанных преступлений, необходимо в обязательном порядке выяснить:

1. Характеристику объекта, где совершено преступление:

- технические и конструктивные особенности помещений, связанные с установкой и эксплуатацией вычислительной техники (специальное оборудование полов, потолков и окон, каналы кабельных и вентиляционных шахт, установка и фактическое состояние устройств кондиционирования воздуха, система электропитания и иные особенности);

- особенности установки средств комплекса вычислительной техники (сосредоточены в одном месте или расположены в различных помещениях);

- связь компьютеров между собой посредством локально-вычислительной сети (ЛВС), устройств телекоммуникации и состояние линий связи;

- стуктура, конфигурация сети ЭВМ и внешних информационных связей;

- режим работы.

2. Состав вычислительного комплекса:

- тип, модель, тип и размер энергонезависимых носителей информации и другие характеристики компьютеров;

- наличие и типы периферийных устройств;

- состав и аппаратура организации локальной вычислительной сети;

- наличие, модель и характеристики устройств телекоммуникации;

- используемое программное обеспечение;

- использование программно-аппаратных средств защиты;

3. Организацию работы со средствами вычислительной техники.

4. Способы преодоления программной и аппаратной защиты:

- подбор ключей и паролей;

- предварительное хищение ключей и паролей;

- отключение средств защиты;

- использование несовершенства средств защиты;

- разрушение средств защиты;

- использование специальных программных средств.

5. Содержание и назначение информации, подвергшейся воздействию.

6. Количественные и качественные характеристики информации (объем, включая примерный объем архивной информации, возможность использовать без инсталляции (установки), ключевых дискет и аппаратных ключей-паролей, способ шифрования).

Кроме того, подлежат выяснению обстоятельства, характерные для того или иного вида преступлений данной категории. К таким обстоятельствам относятся:

- режим и фактическое состояние охраны;

- наличие и техническая характеристика охранной сигнализации, вид охранной техники;

- технические средства, использованные при совершении преступления;

- режим доступа к средствам вычислительной техники;

- разграничение доступа к средствам вычислительной техники и машинным носителям;

- организация доступа к ресурсам ЭВМ, сети ЭВМ ( в т.ч. по устройствам телекоммуникации), к кодам, паролям и другой идентифицирующей информации;

- организация противовирусной защиты;

- наличие разработанных правил эксплуатации ЭВМ и документации об ознакомлении с ними.

^ 2.  ОСМОТР МЕСТА ПРОИСШЕСТВИЯ.


2.1.  Подготовка к осмотру места происшествия.

При осмотре места происшествия следователь обязательно должен использовать помощь незаинтересованных специалистов в области установки и функционирования средств электронно-вычислительной техники, программирования, а также специалиста-криминалиста.

Прежде чем приступить к осмотру места происшествия, следователь и участники следственно-оперативной группы должны знать и соблюдать общие правила обращения с вычислительной техникой и носителями информации. Несоблюдение этих правил может привести к потере важной для расследования информации и нанесению материального ущерба, вызванного этими действиями.

2.1.1.  Общие правила обращения с вычислительной техникой и носителями информации.

2.1.1.1. Все включения (выключения) компьютеров и других технических средств производятся только специалистом или под его руководством;

2.1.1.2. Применение средств криминалистической техники - магнитных искателей, ультрафиолетового осветителя, инфракрасного преобразователя, во избежание разрушения носителей информации и микросхем памяти ЭВМ, должно быть согласовано со специалистом;

2.1.1.3. Исключение попадания мелких частиц и порошков на рабочие части компьютеров (разъемы, дисковод, вентилятор и др.);

2.1.1.4. При работе с магнитными носителями информации запрещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (пакетов, коробок);

2.1.1.5. Диапазон допустимых температур при хранении и транспортировке должен варьироваться в температурных пределах от 0 до +50 градусов Цельсия;

2.1.1.6. Со всеми непонятными вопросами, затрагивающими терминологию, устройство и функционирование вычислительной техники необходимо обращаться только к специалисту.

^ 2.2.  Производство осмотра места происшествия.

Осмотр места происшествия следует начать с запрещения доступа к средствам вычислительной техники всем лицам, работающим на объекте.

Принять меры к выявлению и изъятию следов рук, оставшихся на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных устройств. В этих местах обычно остаются следы рук преступников. Кроме того, нельзя исключать возможности доступа в помещение, где находится компьютерная техника и информация посторонними лицами путем взлома, подбора ключей, в т.ч. паролей к электронным замкам, на которых также могут остаться следы. При осмотре кабельных соединений ЛВС требуется убедиться в их целостности, отсутствии следов подключения нештатной аппаратуры.

В связи с возможностью совершения преступлений по сетям телекоммуникации и локальным вычислительным сетям (ЛВС) необходимо установить и зафиксировать в протоколе осмотра расположение всех компьютеров в сети, конкретное назначение каждого компьютера, наличие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. Требуется также выяснить наличие специальных средств защиты от несанкционированного доступа к информации, принять меры к установлению ключей (паролей).

При непосредственном осмотре средств вычислительной техники необходимо отразить их размещение в помещении, предназначение, название (обычно указывается на лицевой стороне), серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие и тип подключенных периферийных устройств (принтеров, сканеров, модемов и т.д.), наличие соединения с ЛВС и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскрытия).

Описывая внешнее состояние вычислительной техники, нужно обращать внимание на места подключения (например, соединительный кабель между коммуникационными портами принтера и системным блоком компьютера) периферийных устройств, винты крепления крышек корпуса, поверхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит могут остаться следы, характер или отсутствие которых должно быть отражено в протоколе. Также, должны быть отмечены наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), нанесенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация.

При осмотре средств электронно-вычислительной техники рекомендуется независимо от того, включен компьютер или нет, описать в протоколе положение всех переключателей на всех блоках и устройствах. При наличии включенной техники зафиксировать в протоколе осмотра состояние индикаторных ламп (включены или нет, каким цветом горят, мигают и с какой частотой), а также информацию, высвечиваемую на всевозможных индикаторах и табло. Описать информацию, высвечиваемую на мониторе, при этом необходимо учитывать, что для предотвращения выгорания экрана в большинстве компьютеров используют специальные заставки - хранители экрана, которые могут быть защищены паролем. В протоколе также должен быть зафиксирован вид этого хранителя. В дополнение к протоколу, кроме составления схемы расположения компьютеров и периферийных устройств в помещении и соединения компьютеров в сети, с помощью видео- или фотосъемки рекомендуется зафиксировать информацию на экране монитора, индикаторных панелях, положение переключателей и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие записи в протоколе.

Перед выключением питания требуется корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, если возможно - на отдельных дискетах, в противном случае на жестком диске компьютера. В протоколе указать имена этих файлов, вид информации, сохраняемой в каждом, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера); выключить компьютер, который подвергся воздействию, а при наличии сети требуется выключить все компьютеры в сети. Если из-за особенностей функционирования системы это невозможно, то следует принять все меры для исключения доступа к информации данного компьютера, по возможности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии.

В ходе осмотра внутреннего устройства компьютера необходимо с помощью специалиста установить наличие внутри компьютера нештатной аппаратуры, следов противодействия аппаратной системы защиты - разрушение или временное изъятие микросхем, отключение внутреннего источника питания (аккумулятора).

При осмотре места происшествия, также следует обращать особое внимание на записи, относящиеся к работе компьютерной техники. В них могут оказаться сведения о процедурах входа-выхода с компьютерной системой, пароли доступа и т.п.

^ 2.3.  Особенности производства некоторых следственных действий.

При производстве следственных или иных действий, в процессе которых изымаются объекты для производства экспертных исследований, необходимо принять все возможные меры для исключения возможной порчи или уничтожения хранящейся в компьютерах информации. Включать и выключать компьютеры, производить с ними какие-либо манипуляции может только специалист в области вычислительной техники, участвующий в производстве данного следственного действия.

Поскольку результаты проводимых экспертных исследований, особенно экспертизы программного обеспечения, напрямую зависят от сохранности информации на внутренних и внешних магнитных носителях, необходимо изъять все образующие ее устройства, независимо от их принадлежности (личная собственность, собственность данного учреждения, и др.). При изъятии, для исключения возможности доступа к компьютерной информации, разукомплектования и физического повреждения основных рабочих элементов, рекомендуется поместить средства вычислительной техники в специальную упаковку (картонные или деревянные коробки, полиэтиленовые пакеты и др.), которые заклеиваются и опечатываются.

Если изъятие всего устройства невозможно или нецелесообразно, следует изъять установленный в нем носитель (носители) информации.

При невозможности изъятия носителей информации, требуется принять меры к исключению доступа к ним заинтересованных лиц. Идеальным средством обеспечения сохранности вычислительной техники является исключение доступа в помещение, в котором она установлена, с одновременным отключением источников электропитания. Если последнее не представляется возможным (компьютер является сервером или рабочей станцией в сети), с помощью специалиста создаются условия только для приема информации. В этом случае опечатываются все необходимые узлы, детали, части и механизмы компьютерной системы. Компьютеры и их комплектующие опечатываются путем наклеивания на разъемы листа бумаги и закрепления его краев на боковых стенках компьютера клеем или клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или стандартных дискетных или иных алюминиевых футлярах, исключающих разрушающее воздействие ударов, различных электромагнитных и магнитных полей и наводок, направленных излучений. Пояснительные надписи могут наноситься только на специальные самоклеящиеся этикетки для дискет, причем сначала делается соответствующая надпись, а потом этикетка наклеивается на предназначенный для этого участок на дискете. Если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер, а пояснительные надписи под этим номером делаются на отдельном листе, который вкладывается в коробку.

Недопустимо приклеивать что-либо непосредственно к магнитным носителям, пропускать через них бечеву, пробивать отверстия, наносить подписи, пометки, печати, прикасаться пальцами или любым предметом к рабочей поверхности носителей, разбирать корпуса лент, винчестеров, дискет, сгибать носители, изменять состояние переключателей, подносить близко к источникам электромагнитного излучения, сильным осветительным и нагревательным приборам, подвергать воздействию воды и влаги.

Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, то до его включения следует проверить находятся ли все компьютеры и периферийные устройства в отключенном состоянии. Участие специалиста при производстве следственных действий в данном случае необходимо и потому, что для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при определенных условиях автоматически производят полное или частичное стирание информации.

Транспортировка и хранение компьютерной техники и информации должны осуществляться в условиях, исключающих ее повреждение, в том числе в результате воздействия металлодетекторов, используемых для проверки багажа в аэропортах. Хранят компьютеры и их комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов, которые часто являются причиной неисправности аппаратуры.

Учитывая нестандартность обстановки, в которой может производиться осмотр места происшествия, вопрос о возможности изъятия компьютерной техники и информации, способе упаковки, транспортировки и хранении изъятых объектов решается следователем в каждом конкретно случае совместно со специалистом. Процессуальный порядок изъятия объектов определяется общими требованиями Уголовно-процессуального кодекса Российской Федерации. В качестве понятых при производстве следственных действий рекомендуется привлекать лиц, обладающих специальными познаниями в области компьютерной техники и информатики.

^ 3. СЛЕДСТВЕННЫЕ ВЕРСИИ.


При выдвижении версий совершения преступлений в сфере компьютерной информации необходимо учитывать, что они совершаются обычно группой из 2 и более человек, хотя не исключена возможность работы преступника - одиночки. В таком случае он сам или, если действует группа, один из ее членов, является либо сотрудником данного учреждения, либо имеет свободный доступ к компьютерам (представитель службы технической или программной поддержки, программист работающий по контракту и т.д.), умеет работать с вычислительной техникой, хорошо представляет, какая информация и где расположена в компьютере. Интерес обычно представляет информация, содержащая государственную или коммерческую тайну (например информация базы данных передвижении оружия, наркотиков и т.д.).

В основном, как правило, информация преступниками копируется на магнитный носитель, хотя не исключена возможность передачи ее по сетям телекоммуникации, распечатки на бумаге, кино-, фото-, видеосъемки изображения экрана и действий оператора или перехват с помощью специальных технических средств. Копирование может осуществляться как на портативный компьютер (Notebook) с подключением его к локальной вычислительной сети, так и непосредственно к последовательному или параллельному порту конкретной ЭВМ с помощью специального кабеля.

Преступление обычно происходит в рабочее время и внешне не отличается от обычной работы в учреждении. Похищенная информация используется в дальнейшем самими преступниками для подготовки хищений или может быть продана заинтересованным лицам.

Учитывая конкретные обстоятельства, следователем могут быть выдвинуты и проверены следующие общие версии:

3.1. Преступление совершено сотрудником данного учреждения, либо лицом, имеющим свободный доступ к компьютерной технике.

3.2. Преступление совершено сторонним лицом, входящим в круг родственников, друзей, знакомых сотрудников учреждений.

3.3. Преступление совершено группой лиц по предварительному сговору или организованной группой с участием сотрудника данного учреждения, либо лица имеющего свободный доступ к компьютерной технике и в совершенстве владеющего навыками работы с ней.

3.4. Преступление совершено лицом или группой лиц, не связанных с деятельностью учреждения и не представляющих ценность компьютерной информации.

Приведенный перечень следственных версий является общим, и в зависимости от конкретной ситуации может быть расширен.

^ 4.  ЭКСПЕРТНЫЕ ИССЛЕДОВАНИЯ.


В зависимости от стоящих перед следствием задач и спецификой объектов исследования для установления конструктивных особенностей и состояния компьютеров, периферийных устройств, магнитных носителей и пр., компьютерных сетей, причин возникновения сбоев в работе указанного оборудования, а также изучения информации, хранящейся в компьютере и на магнитных носителях назначается  компьютерно-техническая экспертиза.

^ 4.1.  Объекты компьютерно-технической экспертизы.

4.1.1. Компьютеры в сборке, их системные блоки;

4.1.2. Периферийные устройства (дисплеи, принтеры, дисководы, модемы, клавиатура, сканеры, манипуляторы типа "мышь", джойстки и пр.), коммуникационные устройства компьютеров и вычислительных сетей;

4.1.3. Магнитные носители информации (жесткие и флоппи-диски, оптические диски, ленты);

4.1.4. Словари поисковых признаков систем (тезаурусы), классификаторы и иная техническая документация, например, технические задания и отчеты;

4.1.5. Электронные записные книжки, пейджеры, телефонные аппараты с памятью номеров, иные электронные носители текстовой или цифровой информации, техническая документация к ним.

В системе Министерства внутренних дел в настоящее время нет специальных экспертных подразделений, которые производят компьютерно-технические экспертизы носителей машинной информации, программного обеспечения, баз данных и аппаратного обеспечения ЭВМ. В связи с этим они могут быть назначены специалистам соответствующей квалификации из внеэкспертных учреждений. В частности, такие специалисты могут быть в информационных центрах, учебных и научно-исследовательских заведениях МВД России. Кроме того, для производства этого вида экспертиз можно привлекать специалистов учебных и научно-исследовательских заведений, не относящихся к системе МВД России, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения для компьютеров, их эксплуатацией и ремонтом. Данный вид экспертиз может быть поручен специалистам в области эксплуатации ЭВМ (системным программистам, инженерам по обслуживанию, непосредственно работающим с данного вида носителями и др.) и программистам, которые обладают соответствующей квалификацией.

При вынесении постановления о назначении компьютерно-технической экспертизы следователем, в постановлении о ее назначении, обязательно указываются серийный номер компьютера и его индивидуальные признаки (конфигурация, цвет, надписи на корпусе и т.д.).

Учитывая, что компьютерно-техническая экспертиза - новый формирующийся род судебных экспертиз, необходимость в которых обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности полезным будет дать краткую характеристику ее возможностей.

В настоящее время в рамках этого рода экспертиз выделяются два вида:

- техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей и пр., компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;

- экспертиза данных и программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на магнитных носителях.

Вопросы, выносимые на разрешение компьютерно-технической экспертизы, в зависимости от вида экспертизы также подразделяются на две группы.

^ 4.2.  Вопросы, разрешаемые технической экспертизой компьютеров и их комплектующих (диагностические).

4.2.1. Компьютер какой модели представлен на исследование? Каковы технические характеристики его системного блока и периферийных устройств? Каковы технические характеристики данной вычислительной сети?

4.2.2. Где и когда изготовлен и собран данный компьютер и его комплектующие? Осуществлялась ли сборка компьютера в заводских условиях или кустарно?

4.2.3. Соответствует ли внутреннее устройство компьютера и периферии прилагаемой технической документации? Не внесены ли в конструкцию компьютера изменения (например, установка дополнительных встроенных устройств: жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и пр., иные изменения конфигурации)?

4.2.4. Исправен ли компьютер и его комплектующие? Каков их износ? Каковы причины неисправности компьютера и периферийных устройств? Не содержат ли физических дефектов магнитные носители информации?

4.2.5. Не производилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?

4.2.6. Каковы технические характеристики иных электронных средств приема, накопления и выдачи информации (пейджер, электронная записная книжка, телефонный сервер)? Исправны ли эти средства? Каковы причины неисправностей?

^ 4.3. Диагностические вопросы, разрешаемые  экспертизой данных и программного обеспечения.

4.3.1. Какая операционная система использована в компьютере?

4.3.2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях, в том числе какие программные продукты там находятся? Каково назначение программных продуктов? Каков алгоритм их функционирования, способа ввода и вывода информации? Какое время проходит с момента введения данных до вывода результатов при работе данной компьютерной программы, базы данных?

4.3.3. Являются ли данные программные продукты лицензионными (или несанкционированными) копиями стандартных систем или оригинальными разработками?

4.3.4. Не вносились ли в программы данного системного продукта какие-либо коррективы (какие), изменяющие выполнение некоторых операций (каких)?

4.3.5. Соответствует ли данный оригинальный компьютерный продукт техническому заданию? Обеспечивается ли при его работе выполнение всех предусмотренных функций?

4.3.6. Использовались ли для ограничения доступа к информации пароли, скрытые файлы, программы защиты и пр.? Каково содержание скрытой информации? Не предпринимались ли попытки подбора паролей, взлома защитных средств и иные попытки несанкционированного доступа?

4.3.7. Возможно ли восстановление стертых файлов? Возможно ли восстановление дефектных магнитных носителей информации? Каково содержание восстановленных файлов?

4.3.8. Каков механизм утечки информации из локальных вычислительных сетей, глобальных сетей и распределенных баз данных?

4.3.9. Имеются ли сбои в функционировании компьютера, работе отдельных программ? Каковы причины этих сбоев? Не вызваны ли сбои в работе компьютера влиянием вируса (какого)? Распространяется ли негативное влияние вируса на большинство программ или он действует только на определенные программы? Возможно ли восстановить в полном объеме функционирование данной программы (текстового файла), поврежденного вирусом?

4.3.10. Каково содержание информации, хранящейся на пейджере, в электронной записной книжке и пр.? Имеется ли в книжке скрытая информация и каково ее содержание?

4.3.11. Когда производилась последняя корректировка данного файла или инсталляция данного программного продукта?

4.3.12. Каков был уровень профессиональной подготовки в области программирования и работы с компьютерной техникой лица, произведшего данные действия с компьютером и программным обеспечением?

^ 4.4.  Вопросы идентификационного характера,  разрешаемые компьютерно-технической экспертизой.

4.4.1. Имеют ли комплектующие компьютера (печатные платы, магнитные носители, дисководы и пр.) единый источник происхождения?

4.4.2. Не написана ли данная компьютерная программа определенным лицом (решается комплексно при производстве компьютерно-технической и автороведческой экспертиз)?

Кроме приведенного выше перечня вопро
AUTOEXEC.BAT: Имя командного файла, который автоматически вы- полняется при загрузке системы.

BIOS: Базовая система ввода/вывода, которая является частью операционной системы, постоянно хранящейся в постоянном запоминающем устройстве машины.

COM: Тип исполняемого файла, в котором привязка уже выполнена и поэтому все адреса уже правильно записаны в файле перед его загрузкой.

CONFIG.SYS: Имя специального файла, который система просматривает при загрузке. Этот файл содержит информацию о параметрах системы и драйверах устройств, которые должны быть установлены, что позволяет установить требуемую конфигурацию системы.

EXE: Исполняемый файл, который требует привязки при загрузке. Не все адреса программы могут быть установлены до тех пор, пока неизвестно ее положение в памяти. EXE-файлы имеют заголовок, который содержит информацию об этой привязке. Эти файлы загружаются немного дольше и требуют больше места на диске, чем файлы ти