- •Балашов криминалистическая методика расследования отдельных видов преступлений
- •Глава 27. Общие положения методики расследования преступлений
- •Глава 28. Основы методики расследования «по горячим следам»
- •§ 1. Понятие и задачи методики расследования «по горячим следам»
- •§ 2. Тактические особенности проведения отдельных следственных действий, проводимых «по горячим следам»
- •Глава 29. Основы методики расследования преступлений, совершенных организованными преступными
- •§ 1. Понятие и особенности организованной преступности. Криминалистическая характеристика организованной преступности
- •§ 2. Типичные следственные ситуации и содержание начального этапа расследования
- •1. По времени, прошедшем с момента совершения преступления организованной преступной группой:
- •2. По месту нахождения членов организованной преступной группы:
- •§ 3. Дальнейший этап расследования
- •1. Допрос подозреваемых и обвиняемых.
- •2. Обыск (выемка) и осмотр документов.
- •Глава 27. Методики расследования преступлений, совершенных несовершеннолетними (яблоков)
- •Глава 30. Расследование убийств
- •§ 1. Криминалистическая характеристика убийств. Обстоятельства, подлежащие доказыванию
- •§ 2. Начальный этап расследования в ситуации обнаружения трупа с признаками насильственной смерти
- •§ 3. Дальнейший этап расследования по делам,
- •§ 4. Особенности расследования убийств по делам, возбужденным в ситуации, обусловленной исчезновением потерпевшего
- •Глава 31. Расследование половых преступлений
- •§ 1. Криминалистическая характеристика половых преступлений. Обстоятельства, подлежащие доказыванию
- •§ 2. Типичные следственные ситуации и содержание начального этапа расследования
- •§ 3. Дальнейший этап расследования
- •1. Допросы свидетелей.
- •Назначение экспертиз.
- •Глава 33. Расследование грабежей и разбоев
- •§ 1. Криминалистическая характеристика преступлений
- •§ 2. Типичные следственные ситуации и планирование расследования преступлений
- •§ 3. Особенности тактики следственных действий по делам о грабежах и разбоях
- •1. Допросы потерпевшего и очевидцев преступления
- •3. Розыск преступников и похищенных ценностей
- •5. Освидетельствование и судебно-медицинское исследование потерпевшего и подозреваемого
- •6. Получение у потерпевшего и подозреваемого образцов для сравнительного исследования
- •7. Предъявление подозреваемого и похищенного имущества для опознания
- •8. Задержание, обыск подозреваемого
- •9. Следственный эксперимент
- •10. Назначение экспертиз
- •Глава 31. Методика расследования краж (филиппов)
- •Глава 32. Расследование преступлений против собственности путем присвоения или растраты
- •§ 1. Криминалистическая характеристика преступлений
- •§ 2. Типичные следственные ситуации и содержание начального этапа расследования
- •§ 3. Особенности дальнейшего этапа расследования
- •Глава 31. Методика расследования хищений чужого имущества путем мошенничества (яблоков)
- •Глава 32. Методика расследования вымогательства (яблоков)
- •Глава 35. Методика расследования преступного наркобизнеса (ищенко, топорков)
- •§ 1. Характерные особенности преступного наркобизнеса
- •§ 2. Особенности следственных ситуаций,
- •§ 3. Первоначальный этап расследования дел
- •Глава 37. Расследование взяточничества (коррупции)
- •§ 1. Криминалистическая характеристика взяточничества (коррупции)
- •§ 2. Возбуждение уголовного дела, типичные следственные ситуации и планирование расследования
- •§ 3. Тактика производства первоначальных и последующих следственных и иных действий
- •1. Допрос заявителя.
- •3. Обыски.
- •4. Осмотр предмета взятки.
- •6. Допрос взяткополучателя.
- •8. Допросы свидетелей.
- •9. Осмотр места происшествия.
- •10. Допрос обвиняемого.
- •11. Назначение экспертиз.
- •12. Очная ставка.
- •13. Предъявление для опознания.
- •14. Следственный эксперимент.
- •16. Оперативно-розыскные мероприятия.
- •Глава 34. Расследование финансовых преступлений
- •§ 1. Расследование контрабанды
- •§ 2. Расследование лжепредпринимательства
- •§ 3. Расследование фальшивомонетничества
- •Глава 35. Расследование преступлений в сфере компьютерной информации
- •§ 1. Родовая криминалистическая характеристика преступлений. Обстоятельства, подлежащие доказыванию
- •§ 2. Начальный этап расследования
- •§ 3. Дальнейший этап расследования
- •Глава 36. Расследование налоговых преступлений
- •§ 1. Родовая криминалистическая характеристика налоговых преступлений. Обстоятельства, подлежащие доказыванию
- •§ 2. Начальный этап расследования
- •§ 3. Дальнейший этап расследования
- •Глава 38. Расследование преступных нарушений правил техники безопасности труда и пожарной безопасности
- •§ 1. Криминалистическая характеристика преступлений данной категории
- •§ 2. Расследование нарушений правил техники безопасности труда
- •5. Назначение судебно-медицинской экспертизы.
- •1. Допросы свидетелей.
- •2. Назначение экспертиз.
- •3. Допрос обвиняемого.
- •§ 3. Расследование нарушений правил пожарной безопасности
- •3. Допрос должностных и иных лиц.
- •4. Выемка технической документации.
- •5. Назначение судебно-медицинской экспертизы.
- •6. Розыскные мероприятия.
- •2. Допрос обвиняемого.
- •3. Назначение экспертиз.
- •Глава 39. Расследование нарушений правил дорожного движения и эксплуатации транспортных средств
- •§ 1. Криминалистическая характеристика преступлений (происшествий)
- •§ 2. Типичные следственные ситуации и содержание начального этапа расследования
- •1. Осмотр места дорожно-транспортного происшествия.
- •3. Выемка одежды потерпевшего.
- •4. Допросы участников события и очевидцев:
- •6. Судебно-медицинская экспертиза на предмет установления алкогольного либо наркотического опьянения водителя.
- •§ 3. Дальнейший этап расследования
- •1. Допросы свидетелей.
- •2. Выемка (истребование) и осмотр документов.
- •Глава 40. Расследование экологических преступлений
- •§ 1. Криминалистическая характеристика экологических преступлений. Обстоятельства, подлежащие доказыванию
- •§ 2. Типичные следственные ситуации и содержание начального этапа расследования
- •Возбуждение уголовного дела
- •1. Осмотр места происшествия.
- •2. Выемка и осмотр документов.
- •1. Назначение судебных экспертиз
- •2. Допрос обвиняемого
- •3. При необходимости по делам данной категории может быть проведен следственный эксперимент с целью:
§ 2. Начальный этап расследования
При начальном этапе расследования преступлений в сфере компьютерной информации можно выделить три типичные следственные ситуации.
Первая следственная ситуация — преступление произошло в условиях очевидности - характер и его обстоятельства известны и выявлены потерпевшим собственными силами, преступник известен и задержан. Главное направление расследования — установление причинно-следственной связи между несанкционированным проникновением в компьютер и наступившими последствиями, а также определение размера ущерба.
Вторая следственная ситуация — известен способ совершения, но механизм преступления в полном объеме неясен, преступник известен, но скрылся. Главное направление расследования — наряду с указанным выше, розыск и задержание преступника.
Третья следственная ситуация — налицо только преступный результат, а механизм преступления и преступник неизвестны. Главное направление расследования — установление механизма преступления и личности преступника, розыск и задержание преступника.
На начальном этапе расследования проводятся следующие следственные действия: осмотр места происшествия, обыск, выемка, контроль и запись телефонных и других переговоров, допросы подозреваемых (обвиняемых), свидетелей и потерпевших.
Важное значение осмотра места происшествия с целью обнаружения компьютерной техники в первую очередь обусловлено тем, что следы манипуляций с компьютерной информацией остаются на носителях информации (винчестере, компакт-дисках, дискетах и т.п.), и своевременное обнаружение компьютерной техники и грамотное ее изъятие увеличивают доказательственный потенциал компьютерно-технической экспертизы.
Вопрос о необходимости изъятия компьютерной информации следователь решает на этапе подготовки к осмотру, обыску или выемке. Поэтому необходимо еще на подготовительном этапе осмотра или обыска получить достоверную информацию о конфигурации компьютера; выяснить, подключен ли он к сети и с помощью каких технических средств заблокировано помещение (терминал) с компьютерной техникой, каков пароль (электронный ключ доступа) к нему; собрать информацию о том, какие средства охраны и обеспечения безопасности компьютерной информации используются, установлена ли система ее уничтожения, порядке доступа к компьютерной информации, системе электропитания помещений, где установлена компьютерная техника; собрать сведения о сотрудниках, обслуживающих компьютерную технику и т.д.
Если компьютер подключен к сети Интернет, необходимо связаться с провайдером и организовать сохранение и изъятие необходимой компьютерной информации пользователя. Если известно, что компьютеры организованы в локальную сеть, необходимо установив местонахождение всех компьютеров, подключенных к локальной сети, организовать групповой обыск одновременно во всех помещениях (терминалах), где установлена компьютерная техника.
Поскольку компьютерную информацию можно быстро уничтожить, поэтому решающее значение имеет внезапность осмотра (обыска) и обязательное выполнение мероприятий по предотвращению повреждения или уничтожения компьютерной информации. С этой целью необходимо: обеспечить бесперебойное электроснабжение компьютерной техники в момент осмотра (обыска), удалить из помещения (терминала) посторонних лиц и отключить посторонние источники электромагнитного излучения. Осмотр (обыск) необходимо производить с участием специалиста в области компьютерной техники, с приглашением в качестве понятых лиц, знакомых с работой на компьютере.
До момента начала поиска информации в компьютере, необходимо изучить всю техническую документацию на компьютер; осмотреть различные черновые записи пользователя, т.к. зачастую, не надеясь на свою память, они оставляют записи о паролях и изменениях конфигурации компьютера; обнаружить и изъять любые носители компьютерной информации, т.к. большинство пользователей хранят компьютерную информацию на дискетах (компакт-дисках) во избежание ее утраты при выходе компьютера из строя.
Только после этого следует приступать к действиям по преодолению защиты компьютера от несанкционированного доступа. При этом тактика действий по преодолению защиты компьютера от несанкционированного доступа должна избираться исходя из степени защищенности компьютерной информации на момент производства следственного действия, т.к. при некорректном обращении защищенные данные могут быть уничтожены, искажены, спрятаны с помощью специальных программ.
После успешного преодоления защиты компьютера от несанкционированного доступа следует переходить к поиску компьютерной информации, тактика поиска которой зависит от функционального состояния средств компьютерной техники на момент осмотра (обыска). Поэтому следователю необходимо выбирать различные тактические приемы поиска в зависимости от того, работает компьютер на момент начала следственного действия или отключен, т.к. компьютерная информация может быть либо зафиксирована на постоянном физическом носителе, либо храниться в компьютере только в период его работы.
В случае, если компьютер на момент начала осмотра (обыска) оказался включен, необходимо вначале оценить информацию, изображенную на мониторе, и определить, какая программа выполняется в этот момент. Затем необходимо сфотографировать экран монитора, отключить все телефонные линии, подсоединенные к компьютеру, и описать все соединения на задней стенке системного блока компьютера. Если это необходимо, то, вскрыв корпус системного блока, визуально определить конфигурацию компьютера и описать месторасположение электронных плат. В случае выявления при осмотре системного блока неизвестных участникам осмотра (обыска) устройств (платы расширения, нестандартные соединения и т.п.), компьютер необходимо сразу выключить. Затем (до отсоединения проводов) необходимо промаркировать всю систему подключения, все порты и разъемы, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств.
Если конфигурация компьютера стандартна, то следует корректно завершить работу исполняемой в данный момент программы, либо дождаться завершения ее работы до выдачи дополнительных, возможно искомых, данных. При этом присутствующим при осмотре (обыске) необходимо разъяснять все действия следователя и специалиста в ходе манипуляций с компьютером.
Если для поиска информации следователь или специалист используют свои компьютерные программы, то это необходимо отметить в протоколе осмотра (обыска).
В случае обнаружения необходимой компьютерной информации изображение экрана монитора фотографируется, после чего компьютерная информация переписывается на постоянный физический носитель (дискету, компакт-диск) или распечатывается.
Компьютеры и их комплектующие опечатываются, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. В протоколе следственного действия описываются основные технические характеристики изымаемых устройств, серийные номера аппаратуры, их видимые индивидуальные признаки. При этом распечатки компьютерной информации прилагаются к протоколу.
При первом допросе подозреваемых (обвиняемых) необходимо выяснить уровень его подготовки как программиста и все обстоятельства подготовки и совершения преступления: какие изменения в работу компьютера были внесены, какие вирусы использовались, алгоритм функционирования вредоносной программы, на какую информацию и как она воздействует, какие сведения и кому передавались и т.п. Для проверки возможности создания вредоносной программы признавшимся обвиняемым проводится следственный эксперимент.
При первых допросах свидетелей и потерпевших необходимо выяснить: кто имел доступ к компьютерной технике и в помещения (терминал), где она находилась, какие средства защиты использовались, какая информация подверглась вредоносному воздействию, какой вред причинен преступлением и имеются ли способы его уменьшить и т.п.