- •§ 2. Развитие криминалистики в советский период
- •§ 3. Развитие зарубежной криминалистики
- •§ 2. Методы криминалистики
- •Общая методика идентификационной экспертизы материально – фиксированных изображений
- •Основные теоретические положения трасологической идентификации следообразующих объектовм
- •5. По пригодности работы:
- •Работа со следами ног
- •Классификация следов орудий взломов
- •1. При заряжании:
- •3. При выбрасывании:
- •Описание следственного осмотра ножей
- •24. Понятие «документ» в криминалистике. Общие правила обращения с документами - вещественными доказательствами.
- •27. Подделка документов: виды, признаки и методы обнаружения подделок.
- •28.Общие положения криминалистического учения о внешности человека.
- •30. Правила выведения дактилоскопической формулы и ее значение в дактилоскопической регистрации.
- •31. Понятие криминалистической тактики: понятие, значение и система.
- •3 Раздела:
- •33. Тактический прием, его понятие, свойства и соотношение с процессуальным правилом.
- •36. Понятие, виды и задачи следственного осмотра.
- •2 Стадии:
- •2 Метода осмотра:
- •41Фиксация хода и результатов осмотра места происшествия.
- •42. . Понятие обыска, его задачи цели и подготовка следователя к проведению обыска.
- •43. Тактика обыска в помещении и на местности.
- •44.Тактика личного обыска.
- •45. Особенности тактики выемки
- •46/. Понятие следственного эксперимента и виды.
- •47/ Тактические особенности проведения отдельных видов следственного эксперимента.
- •Тактика производства проверки показаний на месте
- •49. Тактические приемы по оказанию помощи в восстановлении забытого в ходе допроса.
- •50. Стадии допроса и их тактическое значение.
- •51. Тактические приемы изобличения во лжи и склонения к даче правдивых показаний.
- •52. Тактика допроса несовершеннолетних.
- •54. Фиксация результатов допроса. Процессуальные и тактические особенности допроса с использованием аудио-, видеозаписи.
- •1: По способу восприятия:
- •2: По методу:
- •3: По форме:
- •4: По объекту:
- •56. Тактические приемы проведения опознания людей, вещей и трупов.
- •57. Розыскная работа следователя
- •58. Использование моделирования в процессе расследования преступлений.
- •59. Классификация судебных экспертиз.
- •Научные основы методики расследования
- •62.Методика .Структура.Направления.
- •65. Понятие криминалистической характеристики преступлений и ее элементы.
- •68. Взаимодействие следствия, оперативно-розыскных органов и экспертно-криминалистических подразделений в процессе раскрытия и расследования преступлений.
- •69/Криминалистическое изучение личности преступника (обвиняемого).
- •72.Методика расследования заказных убийств
- •73.Методика расследования серийных сексуальных убийств. Методика расследования серийных сексуальных преступлений
- •74. Методика расследования изнасилований.
- •75. . Методика расследования квартирных краж.
- •76. Методика расследования карманных краж.
- •77 Методика расследования грабежей и разбойных нападений.
- •78 Методика расследования растраты и присвоения
- •79.Методика расследования экологических преступлений
- •80.Методика расследования превышения и злоупотребления должностными полномочиями
- •81 Методика расследования взяточничества.
- •82.Методика расследования преступных нарушений правил охраны труда.
- •Первоначальный этап расследования по делам о преступных нарушениях правил техники безопасности и охраны труда.
- •84.Методика расследования преступных нарушений требований пожарной безопасности.
- •85.Методика расследования компьютерных преступлений.
- •86.Методика расследования хищения и сбыта наркотических средств.
- •87.Методика расследования преступных нарушений правил дорожного движения.
- •88.Методика расследования похищения человека
- •89.Методика расследования налоговых преступлений Криминалистическая характеристика преступных нарушений налогового законодательства.
- •90.Методика расследования террористических взрывов.
85.Методика расследования компьютерных преступлений.
Субъекты компьютерных преступлений могут различаться как по уровню их профессиональной подготовки, так и по социальному положению. В частности, выделяют следующие их виды:
а) «хакеры» – лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие их для получения полного доступа к системе и удовлетворения собственных амбиций;
б) «шпионы» – лица, взламывающие компьютеры для получения информации, которую можно использовать в политических, военных и экономических целях;
в) «террористы» – лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях политического воздействия;
г) «корыстные преступники» – лица, вторгающиеся в информационные системы для получения личных имущественных или неимущественных выгод;
д) «вандалы» – лица, взламывающие информационные системы для их разрушения;
е) психически больные лица, страдающие новым видом психических заболеваний – информационными болезнями или компьютерными фобиями.
Для преступлений в области компьютерной информации типичны три типовые ситуации первоначального этапа расследования:
1) собственник информационной системы самостоятельно выявил нарушения целостности и (или) конфиденциальности информации в системе, обнаружил причастное лицо и заявил об этом в правоохранительные органы;
2) собственник самостоятельно выявил названные нарушения в системе, однако не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы;
3) данные о нарушении целостности и (или) конфиденциальности информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).
Во всех этих ситуациях первоначальной задачей расследования является выявление данных о способе нарушения целостности и (или) конфиденциальности информации; порядка регламентации собственником работы информационной системы; круга лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли нарушения целостности и (или) конфиденциальности информации. Решение этих задач позволяет определить свидетельскую базу и выявить круг лиц, причастных к данному деянию, определить размер причиненного собственнику информации ущерба. Эти задачи решаются и достигаются в ходе допросов свидетелей и очевидцев, а также осмотра ЭВМ и машинных носителей и выемок необходимой документации. Важной спецификой первоначальных следственных действий является необходимость привлечения к участию в деле специалистов.
К типичным следственным действиям на данной стадии можно отнести осмотр и фиксацию состояния ЭВМ, машинных носителей допросы очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.
Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.
Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации). Такое место может быть как по месту его службы, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).
Полученные в результате доказательства могут обеспечить основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.
При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств.
Следует принять меры к розыску виновного и поиску его рабочего места, откудн осуществлялось вторжение в информационную систему. При этом осуществляется поиск:
места входа в данную информационную систему и способа входа в систему – вместе и с помощью должностных лиц собственника информационной системы;
путей следования, через которые вошел в «атакованную» систему злоумышленник или проникли его программы – вместе и с помощью должностных лиц иных информационных и коммуникационных систем – до рабочего места злоумышленника.
Круг типовых общих версий сравнительно невелик: преступление действительно имело место при тех обстоятельствах, которые вытекают их первичных материалов; преступления не было, а заявитель добросовестно заблуждается; ложное заявление о преступлении.
Типовыми частными версиями являются: версии о личности преступника (ов); версии о местах внедрения в компьютерные системы; версии об обстоятельствах, при которых было совершено преступление; версии о размерах ущерба, причиненного преступлением.
Спецификой дел данной категории является то, что с самого начала расследования следователю приходится взаимодействовать со специалистами в области компьютерной техники. Понятно, что при современном и интенсивном развитии компьютерных и информационных технологий юрист – следователь не в состоянии отслеживать все технологические изменения в данной области. Специалисты крайне необходимы для участия в обысках, осмотрах и выемках. Поиск таких специалистов следует проводить в предприятиях и учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях. В крайнем случае, могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению (при их непричастности к расследуемому событию), а также специалисты зональных информационно-вычислительных центров региональных УВД МВД России. Соответственно компьютерно-техническая экспертиза может оказать действенную помощь при выяснении следующих вопросов: какова конфигурация и состав ЭВМ и можно ли с помощью этой ЭВМ осуществить исследуемые действия; какие информационные ресурсы находятся в данной ЭВМ; не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ; не являются ли представленные файлы с программами зараженными вирусом и, если да, то каким именно; не являются ли представленные тексты на бумажном носителе записями исходного кода программы и каково назначение этой программы; подвергалась ли данная компьютерная информация изменению и если да, то какому именно и др.
В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходимость в назначении криминалистической экспертизы для исследования документов. Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.
Осмотр и обыск (выемка) особенно в начале расследования являются важнейшими инструментами установления обстоятельств расследуемого события. В ходе этих действий следует детально фиксировать не только факт изъятия того или иного объекта, но и фиксировать процесс обыска и результаты осмотра места происшествия для точного отражения местонахождения этого объекта во взаимосвязи с другими найденными на месте обыска объектами.
Для осмотров, обысков и выемок, сопряженных с изъятием ЭВМ, машинных носителей и информации, характерен ряд общих проблем, связанных со спецификой изымаемых технических средств.
Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах, рукописных, в том число шифрованных записей и пр.
Осмотру подложат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства
Следственные действия могут производиться в целями осмотра и изъятия ЭВМ и ее устройств; поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах; поиска и изъятия информации и следов воздействия
Если ЭВМ не работает, следует:
точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.п.), а также порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения, а затем с соблюдением всех возможных мер предосторожности разъединить устройства ЭВМ, предварительно обесточив их.
Упаковывать все изъятое следует раздельно (с указанием в протоколе и на конверте места обнаружения) и помещать их в оболочки, не несущие заряда статического электричества.
Особенной осторожности требует транспортировка винчестера (жесткого диска). Некоторые системы безопасной остановки («парковки») винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда ЭВМ.
Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск ЭВМ, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.
Более сложной частью осмотра ЭВМ являются поиски содержащейся в ней информации и следов воздействия на нее, поскольку требуют специальных познаний. Существует фактически два вида поиска – поиск, где именно искомая информация находится в компьютере, и поиск, где еще разыскиваемая информация могла быть сохранена.
Как известно, в ЭВМ информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешнем запоминающем устройстве. Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея. Если ЭВМ не работает, информация может находиться на машинных носителях, других ЭВМ информационной системы, в «почтовых ящиках» электронной почты или сети ЭВМ. Детальный просмотр файлов записей и их расположение (которое само по себе может иметь существенное доказательственное значение, отражая группировку информации) целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники изъятых машинных носителей, а их копии.
Следует обращать внимание на поиск так называемых скрытых* файлов и архивов, где может храниться важная информация. Обнаруженные файлы с зашифрованной информацией следует направлять на расшифровку и декодирование пароля соответствующим специалистам. Специальные познания необходимы и для выявления содержащихся в периферийных устройствах ввода-вывода фрагментов программного обеспечения и информации. Так же как и в случае с ОЗУ, данные, найденные на машинных носителях, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра.
В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу: носящие следы совершенного преступления (телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по сетям ЭВМ, пароли и коды доступа в сети, дневники связи и пр.); имеющие следы действия аппаратуры (бумажные носители информации, которые могли остаться, например, внутри принтеров в результате сбоя в работе устройства); описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем); нормативные акты, устанавливающие правила работы с ЭВМ, регламентирующие правила работы с данной ЭВМ, системой, сетью; личные документы подозреваемого или обвиняемого и др.
Допросы свидетелей, подозреваемых и обвиняемых осуществляются с использованием тактических рекомендаций, разработанных в криминалистике применительно к типовым ситуациям. По этим делам особое значение имеет очень хорошее знание личности допрашиваемых лиц.
Доскональное изучение личности допрашиваемого важно не только для правильного выбора тактики его допроса, но и приводит к расширению представлений о круге лиц, имеющих отношение к расследуемому событию, а также дает основание для отнесения лица к соответствующей референтной группе, обобщенное мнение которой может быть использовано для правомерного психологического воздействия при допросе. Все это позволяет сделать допрос более эффективным.
Основными тактическими задачами допроса потерпевших и свидетелей при расследовании дел рассматриваемой категории являются: выявление элементов состава преступления в наблюдавшихся ими действиях, установление обстоятельства, места и времени совершения значимых для расследования действий, способа и мотивов его совершения и сопутствующих обстоятельств, признаков внешности лиц, участвовавших в нем, определение предмета преступного посягательства, размера причиненного ущерба, детальные признаки похищенного, установление иных свидетелей и лиц, причастных к совершению преступления.
Проблемой фиксации показаний по делам о преступлениях в области компьютерной информации является их «перегрузка» специальной терминологией и жаргонной лексикой. Целесообразно в протоколах более подробно акцентировать внимание и фиксировать значения терминов, используемых допрашиваемым при описании известных ему фактов. При описании конфигураций систем или схем движения информации могут оказаться крайне полезными рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.