Семикаленова

61 мацисжно-компыот^рных'Систем, и, в ^большей мере^ щютрялямжти и систем­ ныеадминистраторы,ведут записи различных параме1ров и опций системы. При этом, как правило, делают заметки в процессе работы над 1ф(»раммными продуктами на различных клочках бумаги, иногда на том, что попалось под руку (коробки, лейблы, вкладыши внешних носителей иифоришщи). Гкщсбншх) рода записи могут сыграть важную роль для следствия. При осмотре до-

•дгмеита спкя№тг&& яостуташ^т €щ ередстввлш решает шотрое о «те жщлинноста. Если докумогг является письменным дока:^твльс1Вом и использу­ ется квас средство установления фшсгов, то при его осмотре пнимание а^рштг ется на те ^шсти до1дгмента, которые удостов^>яют тот или иной факт, либо на содержание документа, удостоверяющее тот или иной факт^.

Обыск (ст. 182 УПК РФ) - состоит в отыскании и принудительном изъятии нэ п(шещеянй, ш«одяво1хся в ведении обыс1шваемс№о Я1ща, ч;^1юв его семьи или организации или у самого обыскиваемого аппа{ттных, про­ граммных компьютерных средств, внешних носителей компьютерной ин­ формации, документов, имеющих зна^кние для расследуемого л^ла. В соот­ ветствии со ст. 182 УПК РФ ббыск производится в тех случаях, когда имеют­ ся достаточные дашпше 1юлапггц что названные предметы идажументына­

ходятся в каком либо помещении, ином месте или у кажхях>-В1/1бо лица. Обыск проводится на основании постановления следователя, в жилище - Шк основа­ нии судебного решения, принимаемого в порядке, установленном статьей

165 УПК РФ. Следователь, с согласия прокурора, возбуждает перед cyfii»f ходат^ство о производстве следственного действия, о чем выносится поста­ новление. Ходатайство о производстве следств^хного действия подлежит рассмотрению единолично судьей не позднее 24 часов с момента поступле­ ния указанного ходатайства. Рассмотрев указанное ходатайство, судья выно-

^^ См., наприм^). Российская Е.Р., Уеов А.И. Судебная ммтыоие^то-Фехннчвоюш экспертиза. - М.: Право н хкоя, 2001.

62 СИТ постановление о разрешении производства сл^дотвенного действия или об от1»зе с указанием мотивов отшаа^^.

При проведении осмотра (обыска) следственной группой решакугся следующие задачи:

-определить границы осмотра (обыска), если его объектами являются местность или помещение;

-]^воить объапгы, поджжшЕщм осмотру;

-установить порядок их осмотра;

-определить, какие технико-1фиминалистическ1ю методы и средства необходимо применить в ходе осмотра ив КЕЖОМ порядке;

-выявить следы, которые могли быть оставлены орудиями преступления (в нашем случае следы применения профаммных щюдуктов);

-определить виды предварительных исследований, которые необходимо провести в процессе осмотра;

-определить, квжие средства за|фепления и изъятия объектов осмотра необходимо применить;

-тфедеяитъ шшравлеяне щальтЯкшето использования информащш, полученной в результате осмотра;

-определить, каххк экспертизы необходимо назначить после проведения следственного OCMOTJ»;

-выявить причины и условия, способствующие совершению преступления**.

Основной задаче руководителя следственной группы и специалистов применительно к программным средствам являетоз обеспечение сохранности

^Угояство-njpouiBceyajamA кодекс Росс^окх^ Федфшош.

^Зиннн А.М. Кримтиишстнка в следетвениых дейстмох: У*|е№о-1фагп1ческое пособие. - М.: Издательство ^Окэвмея»^ издотыаство «Пршо и ЭШЕ^^, W04.

63 инфс^шации, имеющейся на внутренних и веюнших носителях инфо{ииюции. Для этого необходимо*':

1. Предотвратить отключение эн^}госнабжения, обеспечив охрвшу распределительного щита.

2.Захфетитъ сотрудникам и прочим лицам щюизводитъ какие-либо манипуляции с компьютерами и носителями информации.

3.Оградщть fdo&rmasme ктоююп!»! от схуча!Ыых шашпА нл калвиши клавиатуры и кнопки системных блоков и устройств.

4.Предупредить всех сотрудников следственной группы о недопусти­ мости самостоятелыюй манипуляции с компыот^ной техникой и носителя­ ми информации.

5.В качестве понятых пригласить людей» сведущих в компьют^ной тех^псе^. Непонимште смысла 1ф<яюходяо«еш для чежмвеюц приглашюнж)- го в качестве понятого, а позднее допрошенного в суде, может не убедить суд

впризнании тех или иных обстоятельств доказательствами. Понятых в от­ дельных случаях можно приглашать из числа служшщих того 1Ц>едщжятия, организации, учреждения, фирмы или компании, в котсфой Гфоводатся ос­ мотр (обыск), щт условии, что они не (мшнтфесоваю! в исходе дела. В лю­ бом случае, поскольку объектом осмотра выступает дс^югостоящее с^борудо- вание, осмотр или обыск цеяесообраяю производить в присутствии руково­ дства предприятия, оргшшзации, учрежд^шя, фи|»мы, комзгании*^.

^^См., юпример, Зубаха B.C., Усов А.И., Саеяко Г.В., Волке» Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначена и производству ксмпыот^жотехнической экспертизы: Методические рекомеядащш. - М.: ГУ ЭКЦ МВД ^кжии, 2000. Вещественные доказательстм: Инф(^Я||ащммта>1е техяологян щюцессуатааого доказывайяя / Под общ. ред. Д.Ю.И., 1фоф. В.Я. Колдагаа. - М.: Шдктюспо HOl^MA, 2002.

^ См., тщяакр^ Касаткян А.В. Тшпяш с«1бЩ1втт ш msmmaommm каывашяер-

ной иифо{»1а1цш:fffac....канд. юртщ. наук. М., 1997.

^^Преступления в сфере шхзмтютерасМ кнфс^рмпцин: квал^^кацня м тявваыта- ние: Учеб. пособие / под рея. Ю.В. Гавршшва. - М.: КЖ1ЙШД РФ, 2003.

64

6.В случае использования телефонной линии для связи с ^фугими еетями обеспечить отклк^ение телефона.

7.Удалтъ из помещений, в KOTC^»IK Ш1ХОДЯТСЯ КОШ1ЬЮФ^>Ы и носители информации, все взрывчатые, едкие и легковоспламеняющиеся материалы.

8.Точно определить местоположение компьютеров; при этом помнить, что портативные компыотеры типа notebook легко умещаются в небольшую сумжу.

9.При наличии в осматриваемом помещении локальной еети следует точно установить местоположение серверов. Как правило, в крупных компа­ ниях под cepBepi^w вь^це^на слюциагшная комната, вход в котс^ую ограни­ чен. Однако помимо центральной серверной в отделах могут находиться ме­ стные локальные сер1Ю{»1. Определить местоположение компьютеров при наличии шжляылой сет помашет проводаа. Досшточш» 11|юследитъ трассы кабеля или коробкж (в случае, когда кабель спрятан в специальный короб).

10.Следует с^ратить внимание на неподключенные разыпмы на коакси­ альном кабеле и свободные розетки (розетки для подключения компьютеров

влокальную сеть, использующие витую mipy, имеют вид импортных теле­ фонных розеток), тшс как в этих местах, возможно, шкодилмсзк компьютеры или подключались п^зта'гавные компьютеры, котоцялб в момтт П|юведения обыска могут находиться в /футом месте или могут^;пъ сщ^тты.

11.Особое внимшню ож^^ет обратить на места Х|»шя1ия дискет и рру- гих носителей информации. Бели при внешнем осмотре компьютеров в их соспию обнаружены устройства типа стрим^а, магнитооптического накопи­ теля и им подобные, то необходимо найти места хранения жжителей инфсфмации к соответствующим накопителям, поскольку на них »южет находиться криминалистически значимая информацш о программных {фо^а^^ктах, задей­ ствованных в расслс^^мом престуалеиии.

12.На предприятшк, имеющих развитую тяашшую «пъ» й также «ерверы баз данных и приложешй, как правило, производится {>егул1фное архи­ вирование информации на кшсой-либо носитель. Необходимо 01федалить те-

65 СТО хранения данных копий, поскольку на них могут остаты;я сл^да работы программных продуктов, которые были удалены из действующей системы.

13.При осмотре отдельно стоящего компыотера необходимо обратить внимание на то, в каком состоянии он находится. Если компьютер на момент начала осмотра ((^ыска) оказался включен, необходщмо оценить информа­ цию, изображенную на дисплее и определить, какая щюграмма исполняется на даииь^ момеит. В сяучас ps^o&ru сгащщгтшх» npmjmaemiro обеепеч^ия нельзя приступать к каким-либо манипуляциям без гфедваритедьного Ш1зуального осмотра технических средств. Э|фан монитс^ необходимо сфото­ графировать. Опслючить все телефонные линии, подключенные к кс»1пьютеру (если таковые соединения имеются).

И.Также перед отключением компьют^за от сети в ряде случаев необ­ ходимо 11роеиалкш|х^Еть ка^турющ/во и состав ашюрапюго обеспечения самого компьют^>а (перечень использо1Юнных плат). Если выясняется, что в конфигурации компыотера присутствуют платы, не поддающиеся идентифи­ кации специалистом, то опслюч^ше питания целесообразно проводить при помощи вынимания шнура питания из розетки. Это необходимо для того, чтобы избежать актикщни апгацютных блоков, нацеленных та уннчтсмм;ние, переадфесацию, блокировать или модификащво инф(ф1кшции и iq[X>r[»MMных продуктов 1фи отключении KOMnuotefmoft системыбез ч»:6шода1ня рят условий.

15.0бязательно следует выявить администратора сжгтемы и провести его опрос, 1фи кот^юм необходимо юиснить:

-какие операционные систолы устшювлены на катодом из компьютеров;

-какое программное обеспечение используется;

~какие программы ^ициты и ши^ювания исшшьзумугся;

-где ?фанятся общие файлшданныхи реэервш1е копии;

-пароли супервизора и администраторов системы;

-имена и шфоли пользователей.

66 16.^aiiee специалист по информационным технологиям, участвующий в обыске, используя данные, полученные от админис1|Ю1Тора системы, Гфи

помощи специальной техники может произвести осмотр сод^Ж1Шого ком­ пьютерных систем на предмет поиска криминалистически зш1Чимой инфсфмации о программных продуктах. Исследование всех прш^ми^мных ^>едств должно проводиться только с помощью специализированного компьютерно­ го обеомченкя, являскцегеся чаетю ташичеаес»^ о^шщеяшя е11едстнж1юй группы. В(ж используемое специалистом npoqKUtiMHoe обтопечение должно быть лицензированным и позволя*» осуществлять нш-лядный контроль над своей р£^отой.

П.При обн£фужении интересующей следстшж инфо|»1а1№и на отдель­ но стоящих компыоте1К1х ее необходимо за1фепить, для этого щюизводится те котфованне иа щтнее 1цжготовяенмые яосзпели и11формв1фш как Ы1утренние, установленные в спецтехнике, так и внещние (флеш-карты, дискеты и тл.). Если же она обн^ужена в локалыюй сети предщжятня, необходимо провести арест локальной IXTH (объяснение смотри далее).

18.Носитеди, на Koro^ie была переписшш инфорьшщя, должяы быть упаковаш! в пластиксжые к(гробки, Kotmepru (еслиэт«>жесткий диеж, то его необходимо ушисовать в антистатический пакет и предот!Ч)а'ппъ его свобод­ ное ткреиещсияс в упаксяже прт трансш^)Т1фоюсе), котимые необходимо оп^атать по местам вскрытия упшсовки. Если изъятие криминалиетшкски значимой информшщи о программных продуктах 1фоизводится Bi^wcre с CIKтемным блоком, и его невозможно упаковать в шосет шш в ксфоб!^ для транспортировки, то тогда опечатывается сам к(»4пыот^). При этом не сле­ дует пользоваться жидким клеем или другими веществами, котсшые могут испортить техническое средотво. Hae6ojMe просто опечатать компыютер можно так:

1)Выкшо*а1ть компьютер.

2)Отключить его от сети.

3)Отсоединить все разъемы.

67

4)На длинной полосебумаги следует поставить подписи след<мвателя, специалиста, понятых, 1федставителей персожша или админжпрации и номер компьютера. Тонкие полосы следует наложить 1Ш разъ^иы для под­ ключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая по­ пытка ctath ее пщ^шаял целостность %швкной пояоем с тющтсжшл.

5)Такой же бумажной полосой следует опечатать крышку корп>ч» таким образом, чтобы исключить возможность доступа к внутренним эле­ ментам системного блока без нарушения ее целостности^.

19.При составлении протокола обыска и изъятия в нем отдует указы­

вать расположение конкретного средства в помещении, о^ийнью н(мме1ж всех изымютых бжжс» и их ^шц^соше ном^» (по доку||#еитшцд| €^хгалтерии предприятия), если таковые имеются. Если номера полностью отсутст­ вуют, следует подробно описать каяздый блок в соответствии с е1ч> индиви­ дуальными признаками. Когда компьютер во время обыска или осмотра на­ ходится во включенном положении, в протоколе описывается изображение, существукицее на экраш» дисплея, а также данные, отраяшемые Шк рюличных индикато1»х. В протоколе необходимо последовательно фиксировать все ма­ нипуляции, производимые с компьютерным средством специалистсим в целях поиска криминалистически значимой инфс^мации о 1ф01раммных продук- тах, а также полученные результаты. При этом несбходимо, чтобы щюцесс пояснялся и комменттфовался специалистом вслух, в этой ситуа1щи лучше всего вести видеоили фото съемку. При осмотре или обькже ЭВМ, соеди­ ненных в вычислительную сеть, необходимо описывать в протокол; способы соединения осматриваемых компьют^юв, а также сдалать cxi^tiy локалыи^ сети и план расположения компьютеров в помещении. При поиске жртлтшг

^ Вещественные доказательства: Инфс^мациоиные тОоюлогин щктрвсуштшяч} доказывания / Под о&ц. ред. д.ю.н., проф. ВЛ. Коддива. - М.: Издательство НО!*МА, 2002.

^8

диетически значимой информации о программных продуктах такие действия необходимы в связи с тем, что при сетевом решении вопросов компьютери­ зации деятельности предприятия возможно физическое расположение про­ граммы на одном компьютере, а обнаружение следов ее деятельности на дру­ гом компьютере или группе компьютеров. Это возможно в результате того, что сетевое решение открывает доступ к ресурсам одного персонального компьютера сразу нескольким пользователям.

20.Транспортировка и щ^^^т.

Выемка (ст. 183 УПК) - состоит в изъятии аппаратных, профаммных компьютерных средств и внешних носителей информации, имеющих значение для дела, местонахождение которых известно. Порядок проведе­ ния выемки такой же, как порядок проведения обыска за исключением того, что при проведении выемки не разрешается при отказе вьщать вещи или выдачи только части вещей проводить их поиски, даже если известно где они находятся.

Помощь специалиста в области информационных технологий следова­ телю в процессе проведения выемки профаммных продуктов, располагаю­ щихся на различных носителях информации, осуществляется в следующих направлениях:

-фотосъемка, аудио- и видеозапись наиболее важных мо­ ментов выемки, выявление из общей массы нужных документов, предметов (дискет, жестких магнитных дисков, лазерных дисков);

-осмоф совместно со следователем документов или предме­ тов, которые будут изыматься;

-изъятие и фиксация изымаемых предметов и документов и их упаковка и опечатывание в соответствии с предложенными ре­ комендациями;

€9 - содействие в отображении в щютокояе шемки нццишшуализирующих признаков изымаемых предметов ятгдокуьтитов, их

особенностей и состояния на момент выемки.

Фотосъемка, аудиоили видеозапись хода следственного действия Ht- обходима для того, чтобы предупредить возможные попытки заявить о на­ рушениях, якобы допущенных в ходе выемки, обвинить следователя в «подбрвсьтаимяз» иэммаошх объекте» (щэшра!»!, щташттктшче&ш :^чя»юй информации, содерхоццей следы создания и использования программных продуктов), свидетельствующих против обвиняемого, и другие попытки про­ тиводействия (исследованию.

Осмотр дсжументов или предметов, которые будут изыматься, является ответственным моментом данного следственного действия. П^шктика пока­ зывает, что в ряде случаев сгтсутствие аюцшшиста 1фиводнт к тому, что mteсто искомых изымаются предметы и документы, не имеющие отношения к делу. Так при выем]№ текстов программных продуктов необходимо удосто­ вериться в том, что изымаемый тосст является исходным текстсм интере­ сующего следствие программного продукта. Именно участие соответствую­ щего специалиста шниюгает следоватешо выявить прикйож, сю(детеяьствующие об отношении предмета или до1огмента к расследуемому событию.

Важным моментом является точное описание изымаемых объектов, их состояния, ищ1ивидуализирующих признаков, особенно в кех сл^гчаях, когда эти объекты не имеют обозначений типа HOMq>a т.п. В п|жктике иногда встречаются случаи краткого, небрежного описания объектов выемки, отсут­ ствия указания на их индивидуализирующие признаки. Это приводит к обес­ цениванию содержащейся в них информации для процесса доказывания^^.

Тактические приемы подготовки и л|юизводства выюмки, требования к фиксации в протоколе, упаковке н изъятшо объекто» ашиюгичю! тем, копь рые были изложены относительно осмотра и с^лска.

<» Зннин А.М. Кримишшистка в следсшенных тйаштк: Уч0бно-1фвк1яяеское пособие. - М.: ИздателБство «^сзамен», издательство <Лршю и эшюн», 2004.

70 При проведении перечиожнных сяедственных действий во время расследования прес1уш1ений, в которых были использованы программные средства тем или иным образом, необходимо учитывать ряд талстических

особенностей, присущих именно этим преступлениям.

Первой из них является получение максимума инфс^шщии с6 объ­ екте осмотра (обыска, выемки). По вопросу состава этой информации мы С4МГЛШЯШ с щюфесссфом Россюнжой Е.Р. и докгорсм кфидйчвсжих паук. Усовым А.И., которые в своих трудах указывают на то, что она должна со­ стоять из выяснения следующих данных:

*- количество компыотеров и их типы;

-организация электропитания и наличие 1ютч)номных источ­ ников питания;

-используемые носители компьютерных данных;

-наличие локальной сети и выхода в другие сети;

-используемое системное и хфикладное программное обес­

печение;

-налич1К систем защиты инфс^мацин, их типы;

-возможность использовш1ия средств экстренного уничто­ жения компьютфнс^ информации;

-квалификация пользош1те^№й и их вжиямсютношения в кол­

лективе;

-персонал, обслуживающий технику;

-отношения средмипе{хх>нала и с пользова'1елямич:ети. Второй, немаловажной особенностью является, впрочем, как и при

проведении аналогичных деШггвий по де^м, связанным с кoмпьютqpными преступлениями, nojfiop участников сяк|)ативж)й гругаш. В нес 11еоб>н>- димо включить, по возможности, шиосимальное кояичестю специшгастов в области информационно-вычислительной техники и прорраммирования. Именно они должны совершать все необходимые действия по осмотру.