- •Криминалистика. Учебник Раздел I. Теория и методология криминалистики Тема 1. Предмет, природа и система криминалистики
- •1.1. Понятие, объект и предмет криминалистики
- •1.2. Задачи криминалистики ее природа
- •1.3. Система криминалистики
- •1.4. Место криминалистики в системе других наук
- •Рекомендуемая литература
- •Тема 2. Методология криминалистики
- •2.1. Общие положения методологии
- •2.2 Философский и общенаучный уровень методов криминалистики
- •2.3 Специальные методы криминалистики
- •2.4 Критерии допустимости методов
- •Рекомендуемая литература
- •Тема 3. Криминалистическая идентификация
- •3.1. Понятие и научные основы криминалистической идентификации
- •3.2. Виды и объекты криминалистической идентификации
- •3.3. Идентификационные признаки
- •3.4. Общая методика идентификационного процесса
- •3.5. Криминалистическая диагностика
- •Рекомендуемая литература
- •Тема 4. Использование специальных знаний в уголовном судопроизводстве
- •4.1. Понятие специальных знаний
- •4.2. Формы и виды использования специальных знаний
- •Рекомендуемая литература
- •Раздел II. Криминалистическая техника Тема 5. Общие положения криминалистической техники
- •5.1. Понятие и система криминалистической техники
- •5.2. Правовые основы применения криминалистической техники
- •5.3. Классификация научно-технических средств, применяемых при расследовании
- •Рекомендуемая литература
- •Тема 6. Основы криминалистической фотографии, видео- и звукозаписи
- •6.1. Понятие, правовые основы и оформление использование фотосъемки, видео- и звукозаписи
- •6.2. Криминалистическая фотография
- •6.3. Криминалистическая видео- и звукозапись
- •6.4. Особенности использования цифровых средств фиксации
- •Рекомендуемая литература
- •Тема 7. Трасология
- •7.1. Общие положения трасологии
- •7.2. Исследование гомеоскопических следов
- •7.3. Исследование механоскопических следов
- •Рекомендуемая литература
- •Тема 8. Одорология (исследование запаховых следов)
- •8.1. Понятие и научные основы работы с запаховыми следами
- •8.2. Изъятие и исследование запаховых следов человека
- •Рекомендуемая литература
- •Тема 9. Кимви (криминалистическое исследование материалов, веществ и изделий)
- •9.1. Понятие, предмет, методы и научные основы кимви
- •9.2. Исследование лакокрасочных и полимерных материалов
- •9.3. Исследование волокнистых материалов
- •9.4. Исследование гсм и нефтепродуктов
- •9.5. Исследование почв
- •9.6. Микрообъекты
- •Рекомендуемая литература
- •Тема 10. Криминалистическое оружиеведение
- •10.1. Основы криминалистического оружиеведения
- •10.2. Судебная баллистика
- •10.3. Исследование холодного оружия
- •10.4. Криминалистическая взрывотехника
- •10.5. Исследование иного оружия
- •Рекомендуемая литература
- •Тема 11. Криминалистическое исследование документов
- •11.1. Общие положения и научные основы исследования документов
- •11.2. Технико-криминалистическое исследование документов
- •11.3. Криминалистическое почерковедение
- •11.4. Криминалистическое автороведение
- •Рекомендуемая литература
- •Тема 12. Криминалистическая фоноскопия
- •12.1. Понятие и научные основы криминалистической фоноскопии
- •12.2. Определение социальных и физиологических характеристик человека по устной речи
- •12.3. Возможности судебных экспертиз
- •Рекомендуемая литература
- •Тема 13. Идентификация человека по признакам внешности (габитоскопия)
- •13.1. Понятие и научные основы идентификации человека по признакам внешности
- •13.2. Признаки внешности человека и источники информации о них
- •13.3. Описание человека по методу "словесного портрета"
- •13.4. Иные способы фиксации внешних признаков человека в криминалистической практике
- •13.5. Возможности криминалистических экспертиз. Пластическая реконструкция лица по черепу
- •Рекомендуемая литература:
- •Тема 14. Уголовная регистрация. Криминалистические учеты
- •14.1. Понятие и назначение уголовной регистрации, ее научные и правовые основы
- •14.2. Объекты регистрации. Способы описания и ведения учетов
- •14.3. Система регистрации
- •14.4. Оперативно-справочные, розыскные и криминалистические учеты
- •14.5. Экспертно-криминалистические учеты
- •14.6. Автоматизированные информационно-поисковые системы
- •14.7. Правила наведения справок об объектах учета
- •Рекомендуемая литература
- •15.1. Информация: понятие и сущность
- •15.2. Информационное отражение события преступления. Сферы и формы отображения события преступления.
- •15.3. Криминалистически значимая информация о преступлении и ее виды
- •15.4. Актуализация информации о преступлении и преступнике
- •Рекомендуемая литература
- •Тема 16. Криминалистическое прогнозирование
- •16.1. Понятие прогнозирования: сущность и значение криминалистического прогнозирования. Отличие криминалистического прогнозирования от эмпирического предвидения
- •16.2. Структура криминалистического прогнозирования.
- •16.3. Методы криминалистического прогнозирования
- •Рекомендуемая литература
- •Тема 17. Изучение личности в уголовном судопроизводстве
- •17.1. Понятие, значение и задачи криминалистического изучения личности
- •17.2. Объем криминалистического изучения личности
- •17.3. Методы криминалистического изучения личности
- •Рекомендуемая литература
- •Тема 18. Учение о криминалистической версии
- •18.1. Криминалистическая версия: понятие, характерные черты, логическая природа
- •18.2. Классификация версий
- •18.3. Процесс построения и проверки версий
- •Рекомендуемая литература
- •Тема 19. Организационные формы расследования
- •19.1. Понятие организационных форм расследования и уровни организации расследования
- •19.2. Виды форм расследования. Характеристика отдельных форм расследования
- •Рекомендуемая литература
- •Тема 20. Ситуации расследования. Тактические решения
- •20.1. Понятие, содержание и значение ситуации расследования
- •20.2. Классификация следственных ситуаций
- •20.3. Понятие, виды, структура и значение тактического решения
- •Рекомендуемая литература
- •Тема 21. Планирование расследования
- •21.1. Понятие, значение, виды и принципы планирования расследования преступлений
- •21.2. Планирование расследования уголовного дела
- •21.3. Планирование отдельных следственных действий
- •21.4. Техника планирования
- •Рекомендуемая литература
- •Тема 22. Криминалистическая тактическая операция
- •22.1. Понятие криминалистической тактической операции
- •22.2. Классификация криминалистических тактических операций. Структура тактической операции
- •22.3. Характеристика отдельных криминалистических тактических операций
- •Рекомендуемая литература
- •Тема 23. Предупреждение и нейтрализация противодействия в уголовном судопроизводстве
- •23.1. Понятие противодействия в уголовном судопроизводстве
- •23.2. Формы и виды противодействия
- •23.3. Субъекты противодействия
- •23.4. Деятельность следователя по нейтрализации противодействия
- •Рекомендуемая литература
- •Раздел IV. Криминалистическая тактика Тема 24. Общие положения криминалистической тактики и тактики отдельных процессуальных действий
- •24.1. Понятие и предмет криминалистической тактики
- •24.2. Структура и задачи криминалистической тактики
- •24.3. Основные категории криминалистической тактики: тактический прием, тактическая комбинация, тактическая рекомендация, тактический риск
- •24.4. Тактика отдельных процессуальных действий
- •24.5. Тактика защиты информации
- •Рекомендуемая литература
- •Тема 25. Общие положения тактики следственного осмотра
- •25.1. Принципы следственного осмотра
- •25.2. Виды следственного осмотра
- •Рекомендуемая литература
- •Тема 26. Тактика осмотра места происшествия
- •26.1. Понятие и задачи осмотра места происшествия
- •26.2. Этапы осмотра места происшествия
- •Рекомендуемая литература:
- •Тема 27. Тактика эксгумации
- •27.1. Понятие, сущность и значение эксгумации
- •27.2. Общие положения тактики эксгумации
- •27.3. Фиксация хода и результатов эксгумации
- •Рекомендуемая литература
- •Тема 28. Тактика освидетельствования
- •28.1. Понятие и задачи освидетельствования
- •28.2. Тактические особенности производства освидетельствования
- •28.3. Особенности тактики проведения освидетельствования судом
- •28.4 Фиксация хода освидетельствования
- •Рекомендуемая литература
- •Тема 29. Тактика следственного эксперимента
- •29.1. Понятие, цели и виды следственного эксперимента
- •29.2. Тактика проведения следственного эксперимента
- •Рекомендуемая литература
- •Тема 30. Тактика контроля и записи переговоров
- •30.1. Понятие, основания и цели контроля и записи переговоров
- •30.2. Тактика производства контроля и записи переговоров
- •Рекомендуемая литература
- •Тема 31. Тактика допроса
- •31.1. Понятие, предмет, виды и значение допроса
- •31.2. Подготовка к производству допроса
- •31.3 Рабочий этап допроса
- •31.4. Тактика допроса в конфликтной ситуации
- •31.5. Тактика допроса в бесконфликтной ситуации
- •31.6. Фиксация хода и результатов допроса
- •Рекомендуемая литература
- •Тема 32. Тактика очной ставки
- •32.1. Понятие, предмет и значение очной ставки
- •32.2. Тактика проведения очной ставки
- •Рекомендуемая литература
- •Тема 33. Тактика предъявления для опознания
- •33.1. Понятие, сущность и задачи предъявления для опознания
- •33.2. Психологические основы предъявления для опознания
- •33.3. Подготовка к предъявлению для опознания
- •33.4. Тактика предъявления для опознания живых лиц
- •33.5. Тактика предъявления лица для опознания в условиях, исключающих визуальное восприятие им опознающего
- •33.6. Тактика предъявления для опознания трупа
- •33.7. Тактика предъявления для опознания предметов
- •Рекомендуемая литература
- •Тема 34. Тактика проверки показаний на месте
- •34.1. Понятие, сущность, виды и задачи проверки показаний на месте
- •34.2. Тактика производства проверки показаний на месте
- •34.3. Особенности фиксации хода и результатов проверки показаний на месте
- •Рекомендуемая литература
- •Тема 35. Тактика задержания
- •35.1. Процессуальная регламентация задержания
- •35.2. Задержание, проводимое после предварительной подготовки и без нее
- •35.3. Тактические приемы задержания
- •35.4. Использование технических средств при задержании
- •35.5. Фиксация хода и результатов задержания
- •Рекомендуемая литература
- •Тема 36. Тактика обыска и выемки
- •36.1. Понятие, объекты, виды и задачи обыска
- •36.2. Подготовка к обыску
- •36.3. Общие положения тактики обыска
- •36.4. Психологические основы обыска
- •36.5 Фиксация хода и результатов обыска
- •36.6. Тактические особенности выемки
- •Рекомендуемая литература
- •Тема 37. Тактика получения образцов для сравнительного исследования
- •37.1. Понятие, виды и значение получения образцов для сравнительного исследования. Требования, предъявляемые к ним
- •37.2. Тактика получения образцов для сравнительного исследования
- •Рекомендуемая литература
- •Тема 38. Тактика назначения и производства судебной экспертизы
- •38.1. Понятие и классификация судебной экспертизы
- •38.2. Тактика назначения судебной экспертизы
- •38.3. Общая методика экспертного исследования
- •38.4. Оценка заключения эксперта
- •Рекомендуемая литература
- •Раздел V. Методика расследования отдельных видов преступлений Тема 39. Расследование убийств
- •39.1. Общая характеристика преступления
- •39.2. Первоначальный этап расследования
- •39.3. Последующий этап расследования
- •39.4. Особенности расследования заказных убийств
- •39.5. Особенности расследования убийств при расчленении трупа
- •Рекомендуемая литература
- •Тема 40. Расследование терроризма
- •40.1. Общая характеристика терроризма
- •40.2. Методика расследования
- •40.3. Возможности предупреждения и пресечения терактов
- •Рекомендуемая литература
- •Тема 41. Расследование преступлений против собственности
- •41.1. Общая характеристика преступлений против собственности
- •41.2. Особенности расследования краж
- •41.3. Расследование грабежей и разбоев
- •Рекомендуемая литература
- •Тема 42. Расследование экологических преступлений
- •42.1. Общая характеристика экологических преступлений
- •42.2. Типичные следственные ситуации по делам об экологических преступлениях
- •42.3. Особенности первоначального этапа расследования
- •42.4. Назначение экспертиз по данной категории преступлений
- •Рекомендуемая литература
- •Тема 43. Расследование преступлений в сфере налогообложения
- •43.1. Общая характеристика преступлений в сфере налогообложения
- •43.2. Проверка информации о признаках налогового преступления
- •43.3. Типичные следственные ситуации по делам о преступления в сфере налогообложения
- •43.4. Особенности первоначального этапа расследования
- •43.5. Особенности последующего этапа расследования
- •Рекомендуемая литература
- •Тема 44. Расследование преступлений совершаемых несовершеннолетними
- •44.1. Особенности возбуждения уголовных дел и планирования при расследовании преступлений совершенных несовершеннолетними
- •44.2. Особенности тактики (производства) отдельных следственных действий
- •44.3. Особенности использования специальных знаний
- •Рекомендуемая литература
- •Тема 45. Расследование преступлений в сфере компьютерной информации
- •45.1. Общая характеристика преступлений в сфере компьютерной информации
- •45.2. Типичные следственные ситуации по делам о компьютерных преступлениях
- •45.3. Особенности первоначального этапа расследования
- •45.4. Последующий этап расследования
- •Рекомендуемая литература
45.2. Типичные следственные ситуации по делам о компьютерных преступлениях
Типичные следственные ситуации по данной категории преступлений можно классифицировать по различным основаниям.
По источнику информации выделяют ситуации, когда:
- преступление обнаружено самим пользователем;
- преступление обнаружено в ходе оперативно-розыскной деятельности;
- преступление обнаружено в ходе прокурорских проверок;
- преступление выявлено при проведении ревизии;
- преступление обнаружено в ходе производства следственных действий по другому уголовному делу.
Наименьшим объемом информации характеризуется первая ситуация, наибольшим - последняя.
Вообще в зависимости от объема информации, имеющейся в распоряжении следствия, можно выделить такие ситуации, как:
- отсутствует информация о способе, мотивах, личности злоумышленника, известны только последствия преступного деяния;
- известны способ, мотивы и последствия преступного деяния, но неизвестна личность злоумышленника;
- имеется информация и о способе, и о мотивах, и о личности злоумышленника.
В зависимости от имеющейся у следствия информации проводится предварительная проверка, в ходе которой должны быть получены: документы, обусловливающие права потерпевшего на компьютерную технику или компьютерную информацию, подвергшуюся атаке; документы, отражающие неправомерно совершенную операцию.
В первых двух ситуациях целесообразно строить расследование по следующей схеме: опрос заявителя и свидетелей - осмотр места происшествия с участием специалистов - проведение ОРМ для установления причин преступления, выявления злоумышленников - допрос свидетелей и потерпевших - выемка и изучение компьютерной техники и документации - задержание злоумышленника - допрос подозреваемого - обыски по месту жительства и работы - назначение и производство судебных экспертиз.
В третьей (максимально информативной) ситуации схема может быть несколько иная: изучение материалов предварительной проверки и возбуждение уголовного дела - осмотр места происшествия - задержание злоумышленника - допрос подозреваемого - обыски по месту жительства и работы подозреваемого - допросы потерпевших и свидетелей - выемка компьютерной техники и документации - назначение экспертиз.
45.3. Особенности первоначального этапа расследования
Одним из самых важных следственных действий на первоначальном этапе расследования компьютерных преступлений является осмотр места происшествия. К проведению осмотра необходимо привлекать специалистов. Первейшей задачей осмотра является определение местонахождения всех компьютеров, объединенных в систему или сеть. Местоположение компьютеров фиксируется в протоколе и отмечается в составленной схеме. В схеме также фиксируется "иерархия" соединений (одноранговая сеть, компьютеры-администраторы и компьютеры-пользователи и т.д.). Определяются способы объединения (локальная сеть, прямое подключение и т.д.). Выявляются способ связи компьютеров (сетевой кабель связи, контакт через ИК-порты, контакт через выход в Интернет и т.д.), аппаратура, используемая для связи компьютеров, нахождение на момент осмотра. Проверяется нахождение компьютера "в сети" или индивидуальная работа, а также конкретный домен или компьютер, с которым осуществляется контакт. Исследуются кабельные соединения сети на предмет проверки их целостности и определения посторонних включений. Выясняется политика администрирования сети (с какого терминала осуществляется управление). Дальнейший осмотр отдельных персональных компьютеров желательно начинать с компьютера-сервера (администратора сети).
При осмотре персональных компьютеров фиксируется выведенная на дисплей информация (желательно не только описать ее, но и сфотографировать), определяется работающая на момент начала осмотра программа (работающие программы). Выполнение программы должно быть остановлено и зафиксирован результат остановки выполняемой программы. Осматриваются и описываются в протоколе (а также могут быть сфотографированы) подключенные к компьютеру внешние устройства (внешние модемы, сканеры, принтеры, web-камеры и т.д.). Определяются тип и модель компьютера и периферийных устройств, проверяется возможное использование внешних накопителей (внешних винчестеров, "флэшек"). Проверяется наличие в дисководах дискет и дисков. При наличии принтера желательно распечатать "дерево каталогов" (перечень каталогов, содержащихся в компьютере). Некоторые авторы (например, Е.С. Лапин, А.Н. Иванов)*(218) предлагают обязательный запуск при осмотре компьютера антивирусных программ, однако нам представляется, что такая проверка не всегда возможна: проверка антивирусными программами пользователя необязательно даст необходимый результат, поскольку у пользователя могут быть устаревшие антивирусные базы; запуск программы с переносного диска серьезно замедляет антивирусную проверку; большой объем винчестера и большое количество файлов на винчестере приведут к слишком продолжительной проверке; вирусы зачастую в первую очередь поражают системную область диска и антивирусные программы. Поэтому нам кажутся возможными осмотр компьютера без антивирусной проверки и последующая загрузка со "спасательной" дискеты. Информация, содержащаяся на компьютере, может быть скопирована на переносные винчестеры. В любом случае копируются на носители системные файлы и файлы протокола (log-файлы). Обязательно проверяются базы программ online- и offline-сетевого общения (электронная почта, mail-агенты, ICQ и т.д.).
Проверяется наличие классических трасологических следов (микрочастиц, следов рук и т.д.). Наиболее вероятные места обнаружения данных следов - клавиши включения и перезагрузки компьютера, кнопки периферийных устройств, клавиатура, розетки, кнопки дисководов и выдвижения дискет, передняя поверхность системного блока, мышь и т.д.
В протоколе фиксируются все манипуляции, произведенные с компьютерными устройствами.
Проверяется возможность отключения компьютера без повреждения обрабатываемых файлов. При отключении компьютеров сети в первую очередь отключается компьютер администратора.
Перед изъятием должен быть решен вопрос об изъятии компьютера целиком или изъятии только жесткого диска компьютера с сохранением на нем данных оперативной памяти. Изымать компьютер целиком (и системный блок, и монитор, и периферийные устройства) желательно, когда исследованию должен быть подвергнут весь компьютер; когда на компьютере установлено уникальное аппаратное обеспечение, с которым связано программное обеспечение (работа компьютера возможна только при его определенной комплектации); когда пользователем установлен пароль на вход (имеется в виду пароль в BIOS); на месте производства следственного действия нет возможности копирования информации жесткого диска и в некоторых иных случаях. При упаковке компьютерной техники фиксируется схема соединений, опечатываются кнопки и разъемы. Каждое устройство упаковывается отдельно в фиксированном положении во избежание повреждений.
Кроме компьютерных устройств, осматриваются и изымаются носители информации: диски, дискеты, съемные винчестеры, "флэшки" и т.д. Описываются их тип, модель, внешний вид, наличие фирменных обозначений, содержащаяся информация, наличие следов пальцев на поверхности носителя. Каждый носитель упаковывается отдельно.
Следует отметить, что любую компьютерную технику и носители следует оберегать от влажности, воздействия высоких или низких температур, электромагнитных полей и т.д.
При осмотре электронных документов определяются их местонахождение (конкретный носитель и "адрес" на носителе, атрибуты файла (архивный, скрытый, системный и т.д.), формат (doc, rtf, html, txt и т.д.), объем файла, время создания и изменения. Далее включается соответствующая программная оболочка (WordPad, Word и т.д.), в которой и открывается файл. В открытом документе изучается содержащаяся информация (по критериям, аналогичным исследованию письменной речи).
Допросы потерпевших и свидетелей. При расследовании данной категории преступлений может быть допрошено руководство организации, на компьютерную технику или компьютерную информацию которой было осуществлено посягательство, или индивидуальные пользователи, технический (программисты, системные администраторы) и обслуживающий персонал, лица, работающие на "пораженном" терминале, а также иные сотрудники организации. В ходе допросов выясняются: время и обстоятельства обнаружения компьютерного преступления; признаки, по которым оно было обнаружено; круг лиц, имеющих доступ к компьютеру; круг лиц, которые могли узнать коды и пароли доступа; круг лиц, обладающих достаточными знаниями и навыками, необходимыми для совершения компьютерного преступления, или интересующихся программированием; используемые на компьютерной технике программы защиты от несанкционированного доступа и антивирусные программы; кто в организации использовал компьютер для целей, не связанных с производственной деятельностью (переписывал игры, программы, фильмы, музыку и т.д.), самостоятельно устанавливал и запускал программы. Следует также установить возможные факты привлечения в организации к решению определенных задач или устранению проблем посторонних нештатных программистов и собрать сведения о них.
При допросе подозреваемого выясняются сведения о его личности, взаимоотношениях с сослуживцами, уровне профессиональной подготовки, опыте по созданию программ конкретного класса, причинах совершения преступления, способе совершения преступления, соучастниках, технических средствах и программном обеспечении, примененных для совершения преступления, источниках финансовых средств для закупки оборудования и программного обеспечения, сведения об источнике получения программного обеспечения и идентификационных данных, способе разработки программ, которыми пользовался злоумышленник, алгоритме их действия, уровне доступа злоумышленника, закрепленных за подозреваемым паролях и терминалах доступа, паролях, кодах доступа к зашифрованной подозреваемым информации и т.д.
Для производства обыска по месту жительства и работы подозреваемого желательно привлечение соответствующего специалиста. Очень важно обеспечить внезапность обыска для воспрепятствования уничтожению информации. После проникновения на объект блокируется доступ пользователей к компьютерам. При обнаружении запущенных программ удаления информации или форматирования выход осуществляется экстренным отключением компьютера. Само изучение компьютерной техники осуществляется аналогично проведению осмотра. Следует учитывать, что подключенные к компьютеру периферийные устройства, а также несколько компьютеров, объединенных в систему или сеть, могут находиться в разных помещениях. При обыске очень важны обнаружение и изъятие не только компьютерной техники и носителей, но также и компьютерных распечаток, отрывочных записей на листах бумаги или в блокноте. При изучении данных записей могут быть обнаружены: план совершения преступления, записи о системе защиты "пораженного" объекта, попытки подбора паролей и имен пользователей и т.д. Обнаруживается и изымается "хакерское", нелицензионное программное обеспечение на дисках и дискетах. Важно также обнаружить телефонные счета (в настоящее время обслуживание доступа в Интернет выделяется в счете отдельной строкой, и по размеру счета можно определить объем использованного интернет-времени).
В ходе обыска следует также обращать внимание на специфическую литературу по программированию, взлому, созданию вредоносных программ и т.д.
Информация о времени доступа в сеть и времени, проведенном в сети, может быть получена путем проведения выемок журналов регистрации или истребования сведений у провайдера.