- •Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях
- •1. Сведения о персональных компьютерах (стр. 5)
- •Состав компьютера (стр. 5)
- •Программа и программное обеспечение компьютера
- •Виды накопителей информации и ее носителей (стр. 12)
- •2. Понятие и виды информации (стр. 17)
- •3. Обыск (стр. 26)
- •Подготовка к обыску (стр. 27)
- •Проведение обыска (стр. 30)
- •Обзорная стадия обыска (стр. 33)
- •Детальная стадия обыска (стр. 35)
- •4. Выемка (стр. 40)
- •5. Осмотр (стр. 41)
- •Осмотр компьютера (стр. 42)
- •Осмотр дискет (стр. 43)
- •Фиксация результатов изъятия информации (стр. 44)
- •Опечатывание компьютеров и магнитных носителей (стр. 45)
- •6. Транспортировка и хранение компьютерной техники и магнитных носителей (стр. 47)
- •7. Судебная экспертиза (стр. 53)
- •Назначение экспертизы (стр. 57)
- •Предмет, объекты и задачи экспертизы компьютерных систем и компьютерной информации
- •Использованная литература
- •Оглавление
- •Состав компьютера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
- •Подготовка к обыску . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
- •6. Транспортировка и хранение компьютерной техники и
Обзорная стадия обыска (стр. 33)
На обзорной стадии обыска осуществляется обход или обзор объекта, всех помещений организации в целях выяснения объема предстоящей работы, определения тактики обыска. Следователь должен выяснить, какая техника и в каком состоянии находится в подразделениях и отделах организации, у кого находятся ключи от закрытых помещений. На этом этапе следует произвести внимательный осмотр помещений с целью выявления укрывательства вычислительной техники от сотрудников правоохранительных органов. Особое внимание при этом следует обратить на:
состояние охраны помещений (наличие сигнализации, охранных решеток на окнах, металлических дверей, специальных дверных запоров и др.);
внешний вид осматриваемого помещения (наличие специальных столов для ПЭВМ, специальных шкафов или хранилищ для ПЭВМ и сопутствующих предметов);
розетки электросети.
При поиске скрываемой вычислительной техники в первую очередь должны быть осмотрены все охраняемые помещения независимо от типа их охраны и функционального назначения. Для этого можно использовать планы обыскиваемого объекта, имеющиеся в различных службах (строительных, ремонтных, жилищных, пожарных и прочих подразделениях).
Следует обращать особое внимание на подсобные помещения, в которых могут храниться упаковочные коробки от компьютеров. Практика показывает, что их не уничтожают, а приспосабливают для различных хозяйственных нужд. При сокрытии компьютеров на предприятии именно этот факт можно использовать в тактических целях для разоблачения лжи руководителей. При осмотре упаковки из-под оргтехники проверяется соответствие данной упаковки представленным техническим устройствам и соответствующим бухгалтерским документам, подтверждающим их покупку, что может указать следователю на недостачу какой-либо техники. Еще один момент, на который следует обращать внимание при осмотре помещений на предварительном этапе обыска — розетки электросети. Импортные компьютерные вилки несколько больше по размеру, чем отечественные. Они выполняются в соответствии с мировыми стандартами на бытовую технику, поэтому при установке компьютеров и оргтехники либо используются розетки специального стандарта (возможно, импортного производства), либо специальные “переходники”. Иногда для этой цели производят расточку отечественных розеток.
Следует обратить внимание и на наличие групповой установки розеток. Обычно компьютер, используемый в комплекте с принтером, требует одновременно две розетки. Все это достаточно легко определяется при осмотре помещения.
Детальная стадия обыска (стр. 35)
Детальный обыск проводится единолично следователем или группами параллельно во всех помещениях или во встречном направлении. Тщательно обыскиваются все служебные кабинеты, офисы, при необходимости производственные, складские помещения, комнаты отдыха, раздевалки, бытовки, кладовые и все другие имеющиеся помещения. Для лучшей ориентации, особенно в больших зданиях, как при обзорной стадии обыска, можно воспользоваться планами и схемами расположения и планировки отдельных помещений здания и его коммуникаций (лифтов, вентиляции, водостоков, канализационных люков и пр.).
Особое внимание следует обращать на те места, куда заинтересованные лица могли спрятать или “сбросить” интересующие следствие предметы или документы: корзины для бумаг в кабинетах, урны, пепельницы, укромные углы в местах общего пользования, мешки для мусора, помещения для инвентаря уборщиков, а также территорию под окнами здания.
В ходе детальной стадии обыска не следует забывать о разнообразии внешнего вида компьютеров. Поэтому следует обращать внимание и на личные вещи сотрудников, т. к. существует возможность сокрытия портативных компьютеров в столах, шкафах, личных сумках и портфелях сотрудников. Необходимо помнить, что некоторые компьютеры оформлены в виде портфеля “дипломат”.
Для изъятия необходимой информации при обыске по делам об экономических преступлениях особое внимание уделяется работе с компьютерной техникой.
Перед началом работы с компьютером следует принять все меры для того, чтобы оградить специалиста по компьютерам от противодействий персонала обыскиваемого предприятия. Следует учитывать следующие неблагоприятные факторы, которые могут быть созданы сотрудниками:
попытка отключить подачу электроэнергии;
попытка повредить компьютеры и (или) магнитные носители с целью уничтожения информации, находящейся на них;
наличие на компьютере специальных защитных программ, которые, не получив в соответствующий момент специального кода, сами приступают к уничтожению информации;
наличие пароля для доступа к компьютеру или к отдельным программам;
наличие незнакомых следователю или специалисту программно-технических средств как результат постоянного совершенствования вычислительной техники.
Далее с помощью специалиста инженера-электронщика следует осмотреть компьютер и определить, работает он автономно или в сети.
Установив, что компьютер автономный, следует поручить специалисту-программисту осмотреть перечень программ на винчестере. При осмотре должен присутствовать кто-либо из сотрудников предприятия, способный дать пояснения по имеющемуся программному обеспечению ПК.
Предварительно или параллельно с обыском при допросе сотрудников следует выяснить:
с какими программами работает предприятие, (отдел);
каково назначение программ;
используются ли пароли и шифры (если используются, то какие).
При наличии паролей желательна добровольная их выдача.
Если сотрудники отказываются сообщить пароли и коды используемых программ, то компьютер опечатывается и изымается у предприятия. При наличии у прокуратуры или органа МВД собственного компьютера следователю необходимо получить консультацию у специалиста-компьютерщика о совместимости изъятого компьютера с имеющимся. Если компьютеры IBM-совместимые, то достаточно изъять только системный блок, в который входят жесткий диск, процессор, накопители на гибком магнитном диске. Остальную часть компьютера — дисплей, клавиатуру, принтер — следует опечатать.
Затем в условиях прокуратуры следует пригласить специалистов-программистов для “взлома” паролей и кодов.
Если выдача информации происходит добровольно, то для ее изъятия следственная группа должна иметь
дискеты в упаковках или россыпью, предварительно отформатированные;
коробки (желательно пластиковые) для хранения дискет;
пакеты для упаковки дискет в коробке;
материал для опечатывания дискет и компьютеров.
Как уже говорилось выше, на жестком диске обычно хранятся только управляющие программы, а информация по ним может находиться на дискетах. Возможны случаи, когда информация накапливается очень быстро, тогда на винчестере в базе данных может храниться информация за какой-то незначительный временной период, а остальное следует искать на дискетах.
Поиск дискет производится так же, как и поиск обычных документов: около компьютеров на столах, в ящиках столов, в сейфах и других местах, в том числе — в личных вещах работников предприятия и присутствующих в помещениях. Для обнаружения дискет проводится личный обыск этих лиц, а также вещей, им принадлежащих. В идеале каждое подразделение должно иметь журнал учета дискет с указанием информации, записанной на них.
Все обнаруженные дискеты должны быть просмотрены на компьютере и при наличии на них информации, касающейся вопросов расследуемого уголовного дела, незамедлительно изымаются.
При подготовке дискет к изъятию с них необходимо снять копии. Как минимум должно быть две копии:
одна оставляется в качестве контрольного варианта;
другая предназначена для проведения экспертизы.
Лучше иметь три копии документов, тогда третью можно использовать непосредственно для работы следователя.
После копирования информации на дискеты в качестве меры предосторожности следует использовать защиту дискет от записи на всех экземплярах.
На дискетах 5,25 дюйма на правом ребре имеется прорезь для защиты записи. Если заклеить эту прорезь, то произвести запись на эту дискету и, следовательно, “испортить” находящуюся на ней информацию невозможно. Заклеить прорезь можно полоской бумаги, предварительно поставив на нее подпись кого-либо из присутствовавших на обыске (лучше понятых, а не членов оперативной группы).
На дискете 3,5 дюйма защита записи имеет вид защелки и находится в нижнем левом углу дискеты. Для запрещения записи защелку следует отодвинуть так, чтобы закрываемое ею отверстие было открыто. После этого опечатать это отверстие.
Для просмотра большого количества файлов могут привлекаться технические помощники, но их работа должна проводиться в присутствии представителей обыскиваемого предприятия и понятых.
обнаружения дискет проводится личный обыск этих лиц, а также вещей, им принадлежащих. В идеале каждое подразделение должно иметь журнал учета дискет с указанием информации, записанной на них.
Все обнаруженные дискеты должны быть просмотрены на компьютере и при наличии на них информации, касающейся вопросов расследуемого уголовного дела, незамедлительно изымаются.
При подготовке дискет к изъятию с них необходимо снять копии. Как минимум должно быть две копии:
одна оставляется в качестве контрольного варианта;
другая предназначена для проведения экспертизы.
Лучше иметь три копии документов, тогда третью можно использовать непосредственно для работы следователя.
После копирования информации на дискеты в качестве меры предосторожности следует использовать защиту дискет от записи на всех экземплярах.
На дискетах 5,25 дюйма на правом ребре имеется прорезь для защиты записи. Если заклеить эту прорезь, то произвести запись на эту дискету и, следовательно, “испортить” находящуюся на ней информацию невозможно. Заклеить прорезь можно полоской бумаги, предварительно поставив на нее подпись кого-либо из присутствовавших на обыске (лучше понятых, а не членов оперативной группы).
На дискете 3,5 дюйма защита записи имеет вид защелки и находится в нижнем левом углу дискеты. Для запрещения записи защелку следует отодвинуть так, чтобы закрываемое ею отверстие было открыто. После этого опечатать это отверстие.
Для просмотра большого количества файлов могут привлекаться технические помощники, но их работа должна проводиться в присутствии представителей обыскиваемого предприятия и понятых.