Поможем в ✍️ написании учебной работы

Имя

Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Выберите тип работыЧасть дипломаДипломная работаКурсовая работаКонтрольная работаРешение задачРефератНаучно - исследовательская работаОтчет по практикеОтветы на билетыТест/экзамен onlineМонографияЭссеДокладКомпьютерный набор текстаКомпьютерный чертежРецензияПереводРепетиторБизнес-планКонспектыПроверка качестваЭкзамен на сайтеАспирантский рефератМагистерская работаНаучная статьяНаучный трудТехническая редакция текстаЧертеж от рукиДиаграммы, таблицыПрезентация к защитеТезисный планРечь к дипломуДоработка заказа клиентаОтзыв на дипломПубликация статьи в ВАКПубликация статьи в ScopusДипломная работа MBAПовышение оригинальностиКопирайтингДругое

Нажимая кнопку "Продолжить", я принимаю политику конфиденциальности

С. П. Кушниренко, Е. И. Панфилова

 

 

УГОЛОВНО-ПРОЦЕССУАЛЬНЫЕ СПОСОБЫ

ИЗЪЯТИЯ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ

ПО ДЕЛАМ ОБ ЭКОНОМИЧЕСКИХ

ПРЕСТУПЛЕНИЯХ

 

Учебное пособие

 

 

Санкт-Петербург

1997

ББК 67.99(2)93

Кушниренко С. П., Панфилова Е. И. Уголовно-процессуаль-ные способы изъятия компьютерной информации по делам об экономических преступлениях: Учебное пособие. СПб., 1997. 56 с.

 

Р е ц е н з е н т ы:

 

1. Заместитель начальника отдела по расследованию особо важных дел прокуратуры Санкт-Петербурга младший советник юстиции И. Е. ИВАНОВ.

2. Профессор кафедры информатики и вычислительной техники Санкт-Петербургской лесотехнической академии им. С. М. Кирова А. М. ПОЛОВКО.

 

 

В работе рассматриваются действия сотрудников правоохранительных органов по изъятию компьютерной информации и проблемы, возникающие в связи с широким распространением средств вычислительной техники.

Рассмотрены проблемы, связанные с изъятием информации из одного автономно работающего компьютера, приводятся понятийное толкование информации и основания для признания компьютерных носителей информации в качестве источников доказательственной информации по делам об экономических преступлениях, даются рекомендации по подготовке к производству следственных действий и проведению осмотра, обыска и выемки компьютерной информации.

Предназначено прокурорско-следственным работникам.

 

 

ISBN 5-89094-023-6

 

 

ВВЕДЕНИЕ

 

Развитие компьютерной техники в настоящее время достигло в России такого уровня, что стало возможным говорить о повсеместном использовании персональных компьютеров (ПК) экономическими субъектами в их практической деятельности.

Компьютеры сегодня незаменимы в организации и проведении учетных и хозяйственных операций, начислении заработной платы сотрудникам, усовершенствовании деятельности различных подразделений, при создании текстовых документов, использовании справочной информации, переводе текстов с одного языка на другой.

Успешно разрабатываются и внедряются компьютерные программы для ведения бухгалтерского и складского учетов, программы функционирования банковских систем. В их разработке принимают участие как фирмы, специализирующиеся на разработке программ, так и отдельные специалисты. На компьютерном рынке ежедневно появляются десятки программ, оказывающих помощь при решении различных вопросов, в том числе - в сфере экономики и права.

Привлечение к работе специалистов в области вычислительной техники позволяет многим экономическим субъектам не только перерабатывать стандартные программы, предлагаемые на рынке программного обеспечения (ПО), но и разрабатывать собственное программное обеспечение.

Разнообразие возможностей ПК дало возможность некоторым фирмам перейти от использования автономных компьютеров к внедрению локальных вычислительных сетей.

Наиболее развитыми в этой области являются компьютерные системы банков. Основываясь на опыте передовых стран, они вплотную подошли к необходимости создания межбанковского обмена информацией и передачи ее по системам компьютерной связи. Такая система позволит производить взаиморасчеты между отделениями одного банка в пределах города, а также внедрить широкую сеть платежей на основе магнитных носителей (например, пластиковых карт) и обмен платежными документами как в рамках России, так и за ее пределами.

В памяти ПК хранятся и обрабатываются огромные массивы информации, способные отразить деятельность организации в полном объеме, ее связи с контрагентами, движение денежных средств. Именно эта информация непосредственно и интересует следственные и налоговые органы, когда есть основания подозревать сотрудников организации в совершении экономических преступлений: хозяйственных, должностных, налоговых, преступлений против собственности.

В подобных условиях действия прокурора, следователя, оперуполномоченного органа дознания по получению информации заметно отличаются от традиционных методов, которые использовались сотрудниками соответствующих служб в докомпьютерной эре.

Проблема получения компьютерной информации ставит огромное число вопросов, поэтому в данном пособии мы остановимся только на аспектах изъятия информации из автономно работающего компьютера, как на наиболее простом варианте работы, и дадим определения основным понятиям, которые могут быть полезны в деятельности по расследованию и раскрытию экономических преступлений, чтобы работники правоохранительных органов могли уверенно чувствовать себя в общении со специалистами относительно новой для них сферы.

Настоящее учебное пособие - первый шаг в работе над этой проблемой. Авторы не ставили перед собой задачу анализа компьютерной информации в ходе расследования по существу ее содержания, поскольку это тема отдельного исследования. В то же время необходимо дать хотя бы начальные сведения об экспертных возможностях системного анализа информационных объектов, чтобы привлечь внимание практиков к появлению нового вида судебной экспертизы. С этой целью в учебное пособие включен раздел 7 “Судебная экспертиза”, подготовленный экспертами Центральной Санкт-Петербургской лаборатории судебной экспертизы В. Вараксиным и Н. Семеновым. Пользуясь случаем, выражаем им благодарность за сотрудничество.

 

Состав компьютера

Компьютер - это комплекс аппаратных и программных средств, предназначенных для обработки данных.

Внешний вид и конструктивное исполнение компьютера могут быть различны. При этом в состав компьютера обязательно входят три основных функциональных компонента.

Под компьютером (ПК) мы будем понимать комплекс устройств, состоящий из:

системного блока с устройством внешней памяти и накопителем на гибком носителе информации;

дисплея (монитора);

устройства ввода информации (клавиатуры), обеспечивающего ввод данных и задание команд для обработки информации.

Печатающее устройство (принтер) не всегда входит в комплект. Оно может быть одно на несколько компьютеров благодаря совместимости блоков.

 

Класс персональных компьютеров сейчас очень разнообразен. Так, на рисунке представлены:

а - настольный ПК, наиболее часто встречающийся в организациях;

б - переносной ПК;

в - наколенный ПК (laptop);

г - блокнотный ПК (notebook);

д - карманный ПК.

Кроме основных устройств в конфигурацию компьютера могут входить и другие блоки, расширяющие возможности такого вычислительного комплекса. Наличие дополнительных устройств не влияет на работу основных блоков. Однако о некоторых из них - наиболее распространенных - следует упомянуть.

Манипулятор является дополнительным устройством для ввода информации. Совместно с клавиатурой он повышает удобство работы пользователя с рядом диалоговых программ, где необходимо быстро перемещать курсор по экрану для выбора пунктов меню или выделения фрагментов экрана. Одним из таких манипуляторов является “мышь”.

Сканером называется устройство, позволяющее вводить в ЭВМ изображения в виде текстовой или графической информации. 

Модем - устройство для обмена информацией с другими компьютерами через телефонную сеть. Они могут быть внутренними (вставляемыми в системный блок) и внешними (подключаемыми как отдельное устройство).

Факс-модем сочетает возможности модема и средства обмена факсимильными изображениями с другими факс-модемами и обычными телефаксными аппаратами.

Все устройства, не входящие в стандартную конфигурацию ПК, могут быть приобретены как в комплекте с компьютером, так и отдельно от него.

Под автономно работающим персональным компьютером мы будем понимать компьютер, который не входит в какую-либо компьютерную сеть и не имеет систем телекоммуникационных связей, т. е. устройств, позволяющих использовать радио-, телефонные и спутниковые системы связи. Это универсальная однопользовательская машина.

Локальная вычислительная сеть связывает ряд ЭВМ, находящихся в одной локальной зоне. Такая зона может быть ограничена одним или несколькими рядом расположенными зданиями или одной организацией. В этом случае информация передается в виде непрерывного сигнала по кабелям, длина которых может достигать нескольких километров.

 

ПОНЯТИЕ И ВИДЫ ИНФОРМАЦИИ

Вся работа компьютерной техники так или иначе связана с информацией. Прежде всего ее необходимо получить и записать в память компьютера. В дальнейшем это могут быть разнообразные процессы, связанные с движением, преобразованием, анализом, хранением, выводом или дальнейшей передачей первоначальной либо измененной (обработанной) информации. В некоторых случаях возможно простое уничтожение информации. Причины уничтожения могут быть самыми разными: от уничтожения использованной информации, потерявшей свою актуальность, до сокрытия следов преступления.

В связи с консервативностью многих “человеческих” представлений понятие “информации” требует специального рассмотрения.

Задача данного раздела пособия состоит в том, чтобы доказать право на признание компьютерной информации наравне с привычной информацией, представленной на различных носителях.

Как известно, согласно ст. 69 УПК РСФСР орган дознания, следствие и суд устанавливают наличие или отсутствие общественно опасного деяния и виновность лица, его совершившего, на основе любых фактических данных, имеющих значение для правильного разрешения дела. Смысловое содержание этих данных и является определенной информацией о тех или иных обстоятельствах уголовного дела.

Однако на практике следствию, а затем и суду информация представляется в виде различных материальных объектов. Это может быть вещь со следами крови, орудие убийства, предмет, принадлежавший потерпевшему или преступнику, документ, подтверждающий хищение на предприятии, и т. д. Все это безоговорочно принимается в суде в качестве доказательств (вопрос об относимости и допустимости этих доказательств в данном случае нас не интересует), несмотря на то, что сами предметы не есть информация. Они - носители информации. Почему же как только речь заходит о компьютерных носителях информации, иногда на следствии, но чаще всего в судах возникают проблемы?

В решении этого вопроса не обойтись без определения понятия информации.

В своей работе “Кибернетика и общество” основоположник кибернетики Ноберт Винер определяет его так: “Информация - это обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств. Процесс получения и использования информации является процессом нашего приспособления к случайностям внешней среды и нашей жизнедеятельности в этой среде”.

В этом определении основной акцент делается на содержание сообщения. Не имеет значения то, отражением чего является полученная информация, какова природа и материальная основа ее возникновения.

С этой точки зрения более точной будет концепция, основанная на философской категории отражения как всеобщего свойства материи, т. к. “катего-рия отражения оказалась тем ключом, который позволил открыть тайну природы информации; именно эта философская категория оказалась методологически плодотворной для проникновения в ее сущность”.

Для правильного решения многих информационно-познавательных задач, в том числе и правовых, чрезвычайно важным является использование принципа адекватности одного объекта другим, что и является сутью информации.

Анализ философской категории движения материи - в частности такой его формы как взаимодействие одного материального образования с другим,- позволяет понять механизм отображения. В этом случае информация есть не что иное, как данные, образующие содержание отображения, т. е. любые реальные изменения любого характера, которые происходят в результате взаимодействия объектов и воспроизводят свойства, характерные черты и особенности одного объекта в другом.

Однако такой подход недостаточен для комплексного решения проблемы информации. В нем не отражаются условия и механизм восприятия информации субъектом, принимающим ее, не даются методологические основы процедур ее обработки, в том числе с помощью средств вычислительной техники.

Более полным в этих условиях является подход, учитывающий закон необходимого разнообразия, основанный на философских категориях различия и отражения.

Отражение - свойство материи, присутствующее там, где возникает взаимодействие двух или более объектов.

Процесс познания начинается с восприятия объекта познания. Воспринимать же любой объект можно только по каким-либо параметрам, например, по размерам, форме, цвету и т. д., отличающим данный объект от окружающей среды.

Используя термины языка логики, можно говорить о том, что различие суть отрицание неразличимости, а сообщение, позволяющее уничтожить такую неразличимость, и есть информация.

Информация существует тогда, когда хотя бы два объекта из совокупности различаются, и она исчезает, когда такие объекты отождествляются.

Основываясь на этой концепции можно считать, что процесс выделения информации состоит в установлении разнообразия объекта познания, что возможно только при реальном существовании такого разнообразия и его отражения, воспринимаемого отражающим объектом или познающим субъектом.

Попробуем доказать идентичность информации, хранящейся на орудии убийства (или на любом другом привычном предмете) и информации на компьютерном носителе.

Нож сам по себе не является объектом исследования криминалиста до тех пор, пока не стал орудием преступления. В этом случае он несет криминалистическую информацию о совершенном преступлении, заключенную в его физико-технических параметрах, следах крови, тканей и проч.

Точно так же носители компьютерной информации не являются объектами криминалистических исследований, пока не несут в себе следов совершенного либо совершаемого преступления. Например, в сфере экономики это могут быть сведения бухгалтерского учета, внесение изменений в финансовые документы, в конкретные учетно-хозяйственные операции, в рамках которых совершается хищение на обследуемом предприятии.

Для нас очень важно то, что такая информация может восприниматься не только субъектом, но и техническим устройством, а также может быть отделена от отображения объекта познания. Поэтому информацию можно переносить в пространстве, сохранять во времени, передавать другому познающему объекту или техническим устройствам. Совокупность операций, проводимых с информацией, называют информационным процессом.

В зависимости от содержания информация может быть:

техническая;

справочная;

социологическая;

экономическая и другая в зависимости от области знаний.

В конце 60-х годов в юридической практике и научной литературе стал появляться термин “правовая информация”, что явилось результатом внедрения первых компьютеров в практическую деятельность юристов.

Сейчас под правовой информацией следует понимать содержание данных (сообщений), использование которых предопределяет решение той или иной правовой задачи или способствует ее решению.

Многообразие видов “правовой информации” и ее источников объясняется множественностью задач и комплексностью функций права. В связи с этим выделяются следующие виды правовой информации:

нормативная (совокупность норм права, содержащихся в законах и подзаконных актах, а также ведомственных инструкциях);

административная;

гражданско-правовая;

уголовно-правовая;

уголовно-процессуальная;

криминалистическая;

криминологическая и проч.

В данном пособии речь пойдет о получении и использовании информации, имеющей значение для раскрытия, расследования и предупреждения преступлений, то есть о криминалистической информации.

Такая информация по экономическим преступлениям содержится в различных данных, отражающих учеты и сведения по организации работы всех подразделений экономического субъекта: бухгалтерии, отделов сбыта и снабжения, складского и транспортного хозяйств, канцелярии, отдела кадров.

В зависимости от структуры конкретного экономического субъекта программное обеспечение для компьютеров может:

приобретаться в специальных фирмах;

заимствоваться в других организациях и модифицироваться для своих нужд;

разрабатываться самостоятельно.

Так, например, наиболее часто используются типовые программы: WEST-1; 1С-бухгалтерия; Финансы без проблем; БЭСТ и проч.

Бухгалтерские программы предназначены для ведения всех видов бухгалтерского учета, подготовки финансовой отчетности, финансового анализа деятельности предприятия. Использование зарубежных программ в этой области невозможно в связи с несовместимостью систем учета. Поэтому пользователи полностью зависят от отечественного рынка программ. Некоторые из предлагаемых программ рассчитаны на автоматизацию отдельных участков бухгалтерского учета - начисление заработной платы, учет товаров, материалов на складах и т. п. Сложность используемых программ и их возможности определяются размером и потребностями каждого конкретного предприятия.

 

 

ОБЫСК

Основанием для обыска является наличие достаточных данных, позволяющих полагать, что в данной организации, учреждении находятся документы и предметы, которые могут иметь значение для дела.

До начала обыска выносится постановление о его производстве, в котором указывается дата и место его вынесения, кем, где и в связи с каким уголовным делом решено произвести обыск, его цели и основания.

Большое значение имеет правильное указание в постановлении адреса и названия обыскиваемой организации, т. к. в одном здании и даже в одном помещении могут арендовать площади сразу несколько фирм. При отсутствии четко определенного места обыска могут возникать конфликтные ситуации в момент проникновения в помещение следователя или оперативно-розыскной группы.

Обыск должен быть санкционирован прокурором и лишь в случаях, не терпящих отлагательства, может быть произведен без санкции, но с последующим письменным сообщением прокурору в суточный срок. В этом случае последнему представляется протокол обыска в соответствии с требованиями ч. 3 ст. 168 УПК РСФСР. К таким исключительным обстоятельствам по делам об экономических преступлениях относятся опасения, что бухгалтерские, первичные и другие документы могут быть уничтожены или спрятаны, информация, хранящаяся в памяти ЭВМ, может быть уничтожена или изменена. Виновные лица могут использовать задержку для подготовки к обыску, а также для фальсификации документов и другой информации, для привлечения лжесвидетелей. Виновные лица могут скрыться сами или спрятать предметы хищения и ценности, приобретенные на похищенные деньги.

 

 

Подготовка к обыску

При подготовке к обыску кроме изучения обстановки и помещения, в котором будет производиться обыск, следует обязательно выяснить:

оснащена ли организация компьютерной техникой (ПЭВМ);

сколько компьютеров в данной организации и каково их распределение по отделам и службам;

какими именно компьютерами (их тип и конфигурация) оснащена организация, каковы их параметры;

какие именно отделы, структуры, подразделения, филиалы компьютеризированы;

какое программное обеспечение они используют;

являются ли компьютеры автономными;

не входят ли они в компьютерную сеть (какую и с кем связаны, каковы используемые средства связи);

существуют ли другие средства компьютерной связи (на-пример, модем, электронная почта и проч.);

где находится центральный компьютер сети;

где и как хранятся файлы: жесткий диск, дискеты;

какова система защиты информации (коды и пароли);

кто непосредственно работает на ПЭВМ (сколько пользователей);

кто является ведущим специалистом по ПЭВМ, программистом, оператором;

кто, кроме сотрудников данного отдела, имеет доступ к данной ПЭВМ;

кто отвечает за достоверность вводимой информации;

какие помещения сдаются под охрану милиции;

какова система охранной сигнализации на предприятии;

какие помещения выходят на местный охранный пункт.

Кроме того, необходимо потребовать схему документооборота организации, утвержденную приказом руководителя в соответствии с п. 2.1 Положения по бухгалтерскому учету “Учетная политика предприятия” ПБУ 1/94, утвержденного приказом Министра финансов РФ от 28.07.94 г. № 100. В схеме должно быть указано, какие стадии бухгалтерского учета компьютеризированы и какие программы для этого используются.

Эти сведения могут быть получены разными способами:

из показаний свидетелей, потерпевших, подозреваемых, обвиняемых и других лиц, допрошенных по указанным вопросам;

из актов проверок контролирующих органов: налоговых и финансовых проверок, актов аудиторских фирм, актов пожарной охраны, экологических, аварийных и других служб, торговых инспекций;

из других документов, в которых содержатся вопросы, связанные с приобретением и использованием компьютерной техники;

из оперативных данных и сообщений органов дознания, полученных по поручению следователя;

из других материалов уголовного дела;

из материалов других уголовных дел.

Самая большая проблема на этом этапе - найти разумный компромисс между неотложным проведением обыска с максимальным использованием фактора внезапности и тщательной его подготовкой. Решение может быть только одно: в зависимости от конкретной следственной ситуации, сложившейся к моменту проведения обыска, следователь сам должен определить тот объем информации, который ему необходим для доступа на предприятие в целом и во все его подразделения, для свободной ориентации в помещениях предприятия и имеющейся на нем оргтехнике, в том числе и компьютерной. В связи с этим необходимо выяснить главный вопрос: имеются ли на обыскиваемом предприятии компьютеры, автономны ли они, в каких помещениях установлены, не входят ли в какую-либо сеть (в этом случае следует определить, где находится цент-ральный компьютер). Эти данные необходимы для правильного выбора тактики проведения обыска и формирования состава оперативно-следственной группы. Без учета подобных вопросов результат обыска может оказаться отрицательным из-за неправильных действий группы на месте его проведения, и следствие потеряет возможность получения важных документов, а значит, и доказательств вины или невиновности подозреваемых.

Получив сведения об обстановке в обыскиваемой организации, следователь должен правильно сформировать оперативно-следственную группу, которой будет поручен обыск. По закону обыск может быть произведен как лично следователем, так и органом дознания по поручению следователя. Тем не менее, следователю целесообразно проводить обыски лично, или, по крайней мере, руководить обыском, если он производится в крупной организации со множеством помещений, с большим документооборотом, когда по тактическим соображениям следует проводить обыск одновременно в нескольких помещениях, контролировать поведение многих лиц сразу, проводить личные обыски сотрудников и т. д.

В зависимости от обстановки в организации в группу, кроме следователя и оперативных работников органа дознания, вклю-чаются специалисты в области экономики, бухгалтерского учета, финансов, технологии по профилю организации, специалисты в области информатики (программисты и инженеры-элект-ронщики), сотрудники МВД для охраны помещений и оперативно-следственной группы, другие специалисты.

Техническая подготовка к обыску должна включать в себя обеспечение транспортом, упаковочными материалами, научно-техническими средствами, спецодеждой для работы в особых условиях (загрязнение, влажность, холод, наличие вредных для здоровья человека веществ и прочее). Необходимо подготовить также средства и специальные материалы для изъятия, упаковки и хранения компьютерной информации.

 

 

Проведение обыска

Перед началом обыска следует спланировать его проведение: время, продолжительность, действия каждого участника группы. Следует предусмотреть проникновение в помещение организации.

Большинство фирм и компаний в настоящее время имеют свою систему безопасности, охрану, которая может быть вооружена и состоять из людей, физически и психологически подготовленных к тому, чтобы препятствовать попаданию на предприятие или в учреждение посторонних лиц. Хотя штурм предприятия не противоречит закону, насильственное проникновение нежелательно, и, по возможности, оно должно быть бесконфликтным. Этого можно достигнуть разъяснением содержания ст. 127 УПК РФ, ст. 26 Федерального закона “О банках и банковской деятельности” в редакции от 03.02.95 г., умением найти общий язык с руководителем или собственником предприятия.

Ссылка на то, что переговоры и убеждения зачеркивают фактор внезапности при обыске, несостоятельна. В случае блокирования входа охраной у работников предприятия может появиться значительно больше времени для сокрытия документов и изменения обстановки на предприятии, чем если бы они находились в поле зрения следователя.

В пользу мирного разрешения конфликтной ситуации совершенно бесспорным является тот аргумент, что недопустима даже малейшая возможность причинения телесных повреждений, увечий, психологических травм ни участникам конфликта, ни случайно оказавшимся поблизости людям. Вряд ли можно оправдать интересами следствия трагические последствия таких ситуаций.

С целью устранения дополнительных поводов для конфликта следователь должен выяснить, какие организации, кроме обыскиваемой, располагаются по данному адресу и какие взаимоотношения между ними существуют, какая из организаций осуществляет охрану здания на входе. Эти сведения помогут правильно определить тактику обыска. Следует учитывать, что родственные, подчиненные либо имеющие общих собственников организации могут иметь общие хранилища документов, общие ПЭВМ, а также могут скрывать важные источники информации по просьбе друг друга.

Перед началом обыска руководителю или собственнику организации, а в их отсутствие - представителю администрации, предъявляется постановление о производстве обыска.

Представитель администрации должен быть ознакомлен с постановлением о производстве обыска, что подтверждается его подписью на данном постановлении.

Посторонние лица (посетители, покупатели, случайные люди и проч.), находящиеся в помещении и не имеющие отношения к проводимому обыску, должны быть удалены из помещения. Следует предусмотреть то обстоятельство, что эти люди могут вынести документы или предметы, значимые для расследования. С целью предупреждения такой возможности личность присутствующих должна быть установлена, а при подозрении могут быть произведены личные обыски.

При обыске в зависимости от обстановки в помещении могут быть отключены телефоны. Сделать это можно и заблаговременно через телефонную станцию, и непосредственно перед началом обыска. Если такая мера предпринимается, то ее следует распространить на все обыскиваемые помещения. В последнем случае сам следователь может при необходимости воспользоваться телефоном. Иногда целесообразно привозить с собой и подключать автоматический определитель номера (АОН), чтобы иметь возможность контролировать входящие звонки, быстро устанавливать абонента и контролировать информацию. При наличии таких телефонов в организации следует снять информацию о входящих звонках с памяти телефона. Иногда такие действия могут облегчить поиск контрагентов заподозренных фирм.

Если установлено, что лица, находящиеся в обыскиваемом помещении, оснащены радиотелефонами или пейджерами, имеет смысл предложить им сдать свою технику следователю на время обыска. Эта мера позволит исключить утечку информации с места обыска. Подобные действия осуществляются как в отношении заинтересованных лиц, так и в отношении всех присутствующих при обыске, т. к. радиотелефоном может легко и незаметно воспользоваться любой. При отказе выдать индивидуальные средства связи добровольно, рекомендуем произвести личный обыск.

По прибытии на место обыска руководитель следственной группы должен принять меры к обеспечению сохранности компьютерной информации. Для этого необходимо:

1. Предотвратить отключение энергоснабжения предприятия, т. е. обеспечить охрану щита напряжения. Иногда в целях предотвращения возможных манипуляций с компьютерной информацией отключить энергопитание следует еще до начала обыска.

2. Не разрешать работу на включенных компьютерах сотрудникам обыскиваемого предприятия или другим лицам, находящимся в помещении.

3. Оградить работающие компьютеры от “случайных” нажатий клавиш.

4. Если на момент обыска электроснабжение в помещении отключено, следует отключить все компьютеры и периферийные устройства, находящиеся в помещении, до восстановления подачи электроэнергии.

5. Предупредить всех участников следственной группы о невозможности самостоятельного проведения каких-либо манипуляций с работающими компьютерами для предотвращения “порчи” находящейся в них информации.

6. Удалить из помещения, в котором находятся средства вычислительной техники, все взрывчатые, легко воспламеняющиеся, едкие и токсические вещества и материалы для предотвращения нежелательных ситуаций.

7. При невозможности принятия указанных мер предосторожности или при попытке персонала предприятия помешать следственным действиям - удалить весь персонал из данного помещения.

Для проведения обыска к каждой группе обыскивающих приглашается не менее двух понятых, которые присутствуют в каждом из обследуемых помещений. Это означает, что если обыск производится одновременно в нескольких помещениях несколькими следователями или оперативными работниками органа дознания по поручению следователя, то при каждом из них должны находиться не менее двух понятых.

Во избежание опорочивания этого следственного действия не следует приглашать понятых из числа работников обыскиваемого предприятия. Не всегда целесообразно приводить понятых со своей группой. Часто оказывается, что это люди из числа внештатных сотрудников МВД, что легко выясняется затем обвиняемыми и служит основанием для ходатайств и жалоб на необъективность отражения результатов обыска в протоколе.

 

 

Обзорная стадия обыска

На обзорной стадии обыска осуществляется обход или обзор объекта, всех помещений организации в целях выяснения объема предстоящей работы, определения тактики обыска. Следователь должен выяснить, какая техника и в каком состоянии находится в подразделениях и отделах организации, у кого находятся ключи от закрытых помещений. На этом этапе следует произвести внимательный осмотр помещений с целью выявления укрывательства вычислительной техники от сотрудников правоохранительных органов. Особое внимание при этом следует обратить на

состояние охраны помещений (наличие сигнализации, охранных решеток на окнах, металлических дверей, специальных дверных запоров и др.);

внешний вид осматриваемого помещения (наличие специальных столов для ПЭВМ, специальных шкафов или хранилищ для ПЭВМ и сопутствующих предметов);

розетки электросети.

При поиске скрываемой вычислительной техники в первую очередь должны быть осмотрены все охраняемые помещения независимо от типа их охраны и функционального назначения. Для этого можно использовать планы обыскиваемого объекта, имеющиеся в различных службах (строительных, ремонтных, жилищных, пожарных и прочих подразделениях).

Следует обращать особое внимание на подсобные помещения, в которых могут храниться упаковочные коробки от компьютеров. Практика показывает, что их не уничтожают, а приспосабливают для различных хозяйственных нужд. При сокрытии компьютеров на предприятии именно этот факт можно использовать в тактических целях для разоблачения лжи руководителей. При осмотре упаковки из-под оргтехники проверяется соответствие данной упаковки представленным техническим устройствам и соответствующим бухгалтерским документам, подтверждающим их покупку, что может указать следователю на недостачу какой-либо техники. Еще один момент, на который следует обращать внимание при осмотре помещений на предварительном этапе обыска - розетки электросети. Импортные компьютерные вилки несколько больше по размеру, чем отечественные. Они выполняются в соответствии с мировыми стандартами на бытовую технику, поэтому при установке компьютеров и оргтехники либо используются розетки специального стандарта (возможно, импортного производства), либо специальные “переходники”. Иногда для этой цели производят расточку отечественных розеток.

Следует обратить внимание и на наличие групповой установки розеток. Обычно компьютер, используемый в комплекте с принтером, требует одновременно две розетки. Все это достаточно легко определяется при осмотре помещения.

 

 

Детальная стадия обыска

Детальный обыск проводится единолично следователем или группами параллельно во всех помещениях или во встречном направлении. Тщательно обыскиваются все служебные кабинеты, офисы, при необходимости производственные, складские помещения, комнаты отдыха, раздевалки, бытовки, кладовые и все другие имеющиеся помещения. Для лучшей ориентации, особенно в больших зданиях, как при обзорной стадии обыска, можно воспользоваться планами и схемами расположения и планировки отдельных помещений здания и его коммуникаций (лифтов, вентиляции, водостоков, канализационных люков и пр.).

Особое внимание следует обращать на те места, куда заинтересованные лица могли спрятать или “сбросить” интересующие следствие предметы или документы: корзины для бумаг в кабинетах, урны, пепельницы, укромные углы в местах общего пользования, мешки для мусора, помещения для инвентаря уборщиков, а также территорию под окнами здания.

В ходе детальной стадии обыска не следует забывать о разнообразии внешнего вида компьютеров. Поэтому следует обращать внимание и на личные вещи сотрудников, т. к. существует возможность сокрытия портативных компьютеров в столах, шкафах, личных сумках и портфелях сотрудников. Необходимо помнить, что некоторые компьютеры оформлены в виде портфеля “дипломат”.

Для изъятия необходимой информации при обыске по делам об экономических преступлениях особое внимание уделяется работе с компьютерной техникой.

Перед началом работы с компьютером следует принять все меры для того, чтобы оградить специалиста по компьютерам от противодействий персонала обыскиваемого предприятия. Следует учитывать следующие неблагоприятные факторы, которые могут быть созданы сотрудниками:

попытка отключить подачу электроэнергии;

попытка повредить компьютеры и (или) магнитные носители с целью уничтожения информации, находящейся на них;

наличие на компьютере специальных защитных программ, которые, не получив в соответствующий момент специального кода, сами приступают к уничтожению информации;

наличие пароля для доступа к компьютеру или к отдельным программам;

наличие незнакомых следователю или специалисту программно-технических средств как результат постоянного совершенствования вычислительной техники.

Далее с помощью специалиста инженера-электронщика следует осмотреть компьютер и определить, работает он автономно или в сети.

Установив, что компьютер автономный, следует поручить специалисту-программисту осмотреть перечень программ на винчестере. При осмотре должен присутствовать кто-либо из сотрудников предприятия, способный дать пояснения по имею-щемуся программному обеспечению ПК.

Предварительно или параллельно с обыском при допросе сотрудников следует выяснить:

с какими программами работает предприятие, (отдел);

каково назначение программ;

используются ли пароли и шифры (если используются, то какие).

При наличии паролей желательна добровольная их выдача.

Если сотрудники отказываются сообщить пароли и коды используемых программ, то компьютер опечатывается и изымается у предприятия. При наличии у прокуратуры или органа МВД собственного компьютера следователю необходимо получить консультацию у специалиста-компьютерщика о совместимости изъятого компьютера с имеющимся. Если компьютеры IBM-совместимые, то достаточно изъять только системный блок, в который входят жесткий диск, процессор, накопители на гибком магнитном диске. Остальную часть компьютера - дисплей, клавиатуру, принтер - следует опечатать.

Затем в условиях прокуратуры следует пригласить специалистов-программистов для “взлома” паролей и кодов.

Если выдача информации происходит добровольно, то для ее изъятия следственная группа должна иметь

дискеты в упаковках или россыпью, предварительно отформатированные;

коробки (желательно пластиковые) для хранения дискет;

пакеты для упаковки дискет в коробке;

материал для опечатывания дискет и компьютеров.

Как уже говорилось выше, на жестком диске обычно хранятся только управляющие программы, а информация по ним может находиться на дискетах. Возможны случаи, когда информация накапливается очень быстро, тогда на винчестере в базе данных может храниться информация за какой-то незначительный временной период, а остальное следует искать на дискетах.

Поиск дискет производится так же, как и поиск обычных документов: около компьютеров на столах, в ящиках столов, в сейфах и других местах, в том числе - в личных вещах работников предприятия и присутствующих в помещениях. Для обнаружения дискет проводится личный обыск этих лиц, а также вещей, им принадлежащих. В идеале каждое подразделение должно иметь журнал учета дискет с указанием информации, записанной на них.

Все обнаруженные дискеты должны быть просмотрены на компьютере и при наличии на них информации, касающейся вопросов расследуемого уголовного дела, незамедлительно изымаются.

При подготовке дискет к изъятию с них необходимо снять копии. Как минимум должно быть две копии:

одна оставляется в качестве контрольного варианта;

другая предназначена для проведения экспертизы.

Лучше иметь три копии документов, тогда третью можно использовать непосредственно для работы следователя.

После копирования информации на дискеты в качестве меры предосторожности следует использовать защиту дискет от записи на всех экземплярах.

На дискетах 5,25 дюйма на правом ребре имеется прорезь для защиты записи. Если заклеить эту прорезь, то произвести запись на эту дискету и, следовательно, “испортить” находящуюся на ней информацию невозможно. Заклеить прорезь можно полоской бумаги, предварительно поставив на нее подпись кого-либо из присутствовавших на обыске (лучше понятых, а не членов оперативной группы).

На дискете 3,5 дюйма защита записи имеет вид защелки и находится в нижнем левом углу дискеты. Для запрещения записи защелку следует отодвинуть так, чтобы закрываемое ею отверстие было открыто. После этого опечатать это отверстие.

Для просмотра большого количества файлов могут привлекаться технические помощники, но их работа должна проводиться в присутствии представителей обыскиваемого предприятия и понятых.

обнаружения дискет проводится личный обыск этих лиц, а также вещей, им принадлежащих. В идеале каждое подразделение должно иметь журнал учета дискет с указанием информации, записанной на них.

Все обнаруженные дискеты должны быть просмотрены на компьютере и при наличии на них информации, касающейся вопросов расследуемого уголовного дела, незамедлительно изымаются.

При подготовке дискет к изъятию с них необходимо снять копии. Как минимум должно быть две копии:

одна оставляется в качестве контрольного варианта;

другая предназначена для проведения экспертизы.

Лучше иметь три копии документов, тогда третью можно использовать непосредственно для работы следователя.

После копирования информации на дискеты в качестве меры предосторожности следует использовать защиту дискет от записи на всех экземплярах.

На дискетах 5,25 дюйма на правом ребре имеется прорезь для защиты записи. Если заклеить эту прорезь, то произвести запись на эту дискету и, следовательно, “испортить” находящуюся на ней информацию невозможно. Заклеить прорезь можно полоской бумаги, предварительно поставив на нее подпись кого-либо из присутствовавших на обыске (лучше понятых, а не членов оперативной группы).

На дискете 3,5 дюйма защита записи имеет вид защелки и находится в нижнем левом углу дискеты. Для запрещения записи защелку следует отодвинуть так, чтобы закрываемое ею отверстие было открыто. После этого опечатать это отверстие.

Для просмотра большого количества файлов могут привлекаться технические помощники, но их работа должна проводиться в присутствии представителей обыскиваемого предприятия и понятых.

 

ВЫЕМКА

Объектами выемки могут быть определенные предметы и документы. К ним можно отнести и компьютерные файлы, если достоверно известно, где и у кого они находятся. В соответствии со ст. 167 УПК РСФСР выемка производится на основании постановления, в котором указывается местонахождение искомых предметов и документов, в связи с чем они подлежат изъятию, их наименование и индивидуальные признаки. Выемка осуществляется в присутствии понятых и представителей организации, руководителя или собственника фирмы, либо уполномоченного ими лица. До начала следственного действия всем присутствующим разъясняются их права и обязанности.

Выемка отличается от обыска тем, что перед изъятием лицо, проводящее следственное действие, обращается к тем, в обладании или владении кого искомые объекты находятся, с требованием выдачи имеющих значение для дела предметов и документов. При этом с большей или меньшей степенью вероятности должно быть известно, где и у кого имеются предметы и документы и какие именно. Это наиболее часто встречающаяся ситуация по делам об экономических преступлениях, поскольку прежде всего следствие интересуют документы заподозренной фирмы, а документооборот известен заранее полностью или в общих чертах в связи с действием “Положения о бухгалтерском учете и отчетности в РФ” от 26.12.94 г., единого для экономических субъектов, независимо от организационно-правовых форм и форм собственности.

Требования лица, проводящего выемку, и производимые им действия носят принудительный характер независимо от того, передаются ли требуемые документы и предметы добровольно или отбираются принудительно. Подготовительная работа к выемке проводится так же, как и к обыску (см. раздел 3).

Не является выемкой истребование следователем (дознава-телем) документов в соответствии со ст. 70 УПК РСФСР. Такой запрос не сопровождается изъятием документов в учреждениях и организациях, в том числе у экономических субъектов.

В таких случаях руководители учреждений, организаций, должностные лица и граждане обязаны представить в органы документы, указанные в запросе, из которых вытекают необходимые по делу фактические данные. Некоторое исключение составляют справки кредитных организаций (банков) по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица. В соответствии со ст. 26 Федерального закона “О банках и банковской деятельности в РФ” в редакции от 3.02.95 г. такие справки кредитные организации выдают органам предварительного следствия по находящимся в их производстве уголовным делам только с согласия прокурора.

 

5. ОСМОТР

По делам об экономических преступлениях, в целях обнаружения следов преступления, чаще всего проводятся осмотры документов и предметов, а также помещений. Значительно реже встречается осмотр местности и места происшествия.

Осмотр помещений имеет много общего с обыском, поэтому рекомендации по проведению обыска и его подготовке (см. раздел 3), можно полностью отнести и к осмотру. Оба следственных действия имеют своей целью обнаружение и изъятие следов преступления и вещественных доказательств, в частности документов. Для достижения этой цели применяются одинаковые приемы и средства. В отличие от обыска в ходе осмотра, кроме отыскания следов преступления, должна быть отражена обстановка, в которой осуществляет свою деятельность экономический субъект. В зависимости от конкретного преступления особое значение могут иметь факты наличия или отсутствия осуществления производственных операций, хранения сырья, материалов, готовой продукции, оборудования того вида и в том количестве, какое следует из документов, наличие или отсутствие самих документов, их реестров, финансовых и учетных операций и другие обстоятельства. Фиксация и исследование этих обстоятельств могут иметь значение для расследования уголовного дела.

Напомним, что при осмотре помещений обращается внимание на обстановку на предприятии или в организации с целью установления того, имеются ли у экономического субъекта автономные компьютеры, локальные или глобальные сети и где они находятся (если обнаружены лишь следы их пребывания в данном помещении).

Учитывая разнообразие в конструктивном исполнении компьютеров, их размерах и малые размеры дискет, следует наиболее внимательно осматривать личные вещи сотрудников и труднодоступные места, т. к. в них легко скрыть и то, и другое.

 

 

Осмотр компьютера

Приступая к осмотру компьютера, следователь и специалист, который должен непосредственно производить все действия, должны придерживаться следующих рекомендаций:

перед выключением питания по возможности закрыть все используемые на компьютере программы. Следует помнить, что некорректный выход из некоторых программ может повлечь за собой уничтожение информации или порчу самой программы;

принять меры к установлению пароля доступа в защищенных программах;

при активном вмешательстве сотрудников предприятия, пытающихся оказать противодействие следственной группе, отключить питание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для изучения информации в спокойной обстановке;

при необходимости консультаций у персонала предприятия, получать их у разных сотрудников данного отдела путем опроса порознь. Такой метод позволит получить максимально правдивую информацию и избежать преднамеренного вредительства;

при изъятии технических средств изымать только системные блоки и дополнительные периферийные устройства (стримеры, модемы, сканеры и проч.), учитывая совместимость техники;

при наличии локальной вычислительной сети необходимо иметь бригаду специалистов для быстрого реагирования на движение информации по сети;

изымать следует все компьютеры (системные блоки) и магнитные носители;

при осмотре документов следует обратить особое внимание на рабочие записи операторов ЭВМ, т. к. часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую очень ценную для следствия информацию;

составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму. По возможности установить их паспортные данные, адреса и место постоянной работы;

записать данные всех людей, обнаруженных в помещении в момент прихода следственной группы, независимо от их объяснений причины нахождения в данном помещении;

составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике, либо часто приходящих в данное помещение.

Если непосредственный доступ к компьютеру возможен и все нежелательные ситуации исключены, при осмотре и работе следователь и специалист должны четко объяснять понятым все совершаемые ими действия.

При осмотре должны быть установлены:

конфигурация компьютера с четким описанием всех устройств;

номера моделей и серийные номера каждого из устройств;

инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;

прочая информация с фабричных ярлыков.

На клавиатуре ярлык обычно находится на ее обратной стороне, а на мониторе и процессоре - на задней стенке. Такая информация, занесенная в протокол осмотра вычислительной техники, может в дальнейшем оказаться важной для следствия. Пример протокола осмотра приведен в Приложении 1.

В ходе осмотра компьютера необходимо также детально переписать содержимое жесткого диска. Если в следственных действиях принимает участие специалист, поручите эту работу ему, предварительно разъяснив важность этой операции.

Если же специалиста нет, необходимо сделать следующее:

при включении компьютера на экране выдается таблица программной оболочки Norton Commanders, жесткий диск может быть разделен на части, поэтому нажмите одновременно две клавиши Alt+F1 - на экране появится картинка с именами всех дисков, которыми оперирует данный компьютер. Если у компьютера два дисковода, что видно из наружного осмотра, то им соответствуют латинские буквы А и В (если дисковод один, буква В отсутствует). Буквы, начиная с С, соответствуют разделению жесткого диска на части. При наличии устройства для чтения лазерных дисков, ему соответствует последняя в списке буква (при одном дисководе ему может соответствовать и буква В). Выделите курсором букву С, нажмите клавишу ENTER, и в левом окне появится список программ, записанных на диске С.

В списке будут записи двух видов - файлы, написанные строчными буквами (это могут быть отдельные программы или служебные файлы) и каталоги, написанные прописными буквами. Если курсор установить на название каталога и нажать клавишу Enter, то на экране появится список файлов, входящих в данный каталог. Каталоги имеют иерархическую структуру и могут быть вложены один в другой. Все их необходимо переписать. Каждая программа занимает определенный объем на диске. Размер программы указан в нижней строке, ограниченной двойной рамкой. Для того, чтобы определить размер целого каталога, после входа в него следует нажать клавишу “большой серый плюс” на цифровой клавиатуре и клавишу ENTER. Каталог (все входящие в него программы) будет выделен другим цветом, а в нижней строке будет указан его объем.

При наличии принтера эту информацию необходимо распечатать, в противном случае ее придется переписать.

Итак, в левом окне находится оглавление диска С. Его же следует вывести в правом окне (для этого нажмите одновременно клавиши Alt+F2). Выведите в окно содержимое первого по списку каталога. Теперь включите принтер, заправьте в него бумагу, а на клавиатуре ЭВМ найдите клавишу Print Screen (третья справа клавиша в верхнем ряду). Нажмите клавишу и на бумаге появится точная копия экрана монитора.

Повторите эту операцию для всех каталогов диска С, каждый раз выдавая картинку на печать. Одновременно можно выдавать два каталога, вызвав их в правом и левом окнах. Когда эта работа будет закончена, следует перейти к следующей части жесткого диска (D, E и т. д.).

Все листы с информацией должны быть подписаны специалистом, который проводил запись информации, старшим группы, понятыми и представителем организации, где производится изъятие. Эта информация обязательно прилагается к протоколу осмотра компьютера. Пример описания приведен в Приложении 1 вместе с протоколом.

 

 

Осмотр дискет

Дискеты обычно обнаруживаются при обыске помещения. Храниться дискеты могут в рабочих столах и личных вещах сотрудников, несгораемых коробках или сейфах. Следует внимательно осмотреть все закрываемые шкафы в помещении с целью обнаружения в них магнитных носителей информации.

Изучать следует все дискеты, даже те, которые являются собственностью сотрудников предприятия. По возможности их просматривают в первую очередь. Если информация на них действительно не имеет значения для следствия, то такие дискеты следует пометить и вернуть владельцам. Если же у специалиста имеются хотя бы малейшие подозрения относительно информации, находящейся на дискетах, они должны быть скопированы, опечатаны и изъяты для проведения тщательной экспертизы.

При копировании информации с дискет необходимо повторить все те же операции, которые были описаны при работе с жестким диском. Причем их следует произвести со всеми изымаемыми дискетами. Для этого дискеты поочередно вставить в дисковод и аналогичным образом распечатать их содержимое.

Перед тем как закончить работу с дискетой, целесообразно снять с нее две копии.

Завершив работу с дискетой, следует:

на дискете 3,5 дюйма открыть окно слева, опечатать его;

на дискете 5,25 дюйма опечатать вырез в верхней части правой стороны.

Эта операция обеспечит защиту записи на данной дискете. В Приложении 2 приводится пример протокола осмотра дискет.

При осмотре дискет с выходной информацией, следует просить предоставления соответствующих бумажных аналогов информации. Если такие документы не предоставляются добровольно, следует обратить особое внимание на их поиск. Возможны случаи несоответствия реальных показателей тем, что выдаются на печать и затем используются в качестве документов. Существуют различные возможности внесения “поправок” в выходной документ, что превращается затем в основание для подлогов и прочих хозяйственных преступлений.

Все документы, полученные в результате работы с дискетами, должны быть подписаны (см. осмотр жесткого диска), упакованы в коробки и опечатаны согласно процедуре.

 

 

Фиксация результатов изъятия информации

Все предметы и документы, обнаруженные в ходе обыска, выемки или осмотра, которые могут иметь значение для дела, должны быть изъяты в строгом соответствии с требованиями закона, чтобы впоследствии они могли быть признаны доказательствами. В связи с этим, в протоколе обязательно должно быть точно отражено, где именно и в каком виде находились данные предметы и документы. Все обратившие на себя внимание предметы в ходе следственного действия откладываются в охраняемое место для исследования по окончании поисков или для немедленного изучения лицом, специально для этого выделенным из следственной группы. Как уже отмечалось, при изъятии компьютерной информации такую работу по просмотру файлов должен осуществлять специалист в области информатики и вычислительной техники.

По окончании следственного действия руководитель группы приходит к выводу о том, какие и в каком именно виде будут изыматься предметы и документы (целиком, по частям, отдельные фрагменты).

Весь процесс и результаты следственного действия должны быть тщательно зафиксированы в протоколе, который должен содержать вводную, описательную и заключительную части.

Вводная часть протокола содержит сведения

о месте и времени проведения следственного действия;

о лицах, производящих обыск, выемку, осмотр;

о лицах, присутствующих при этом;

об основаниях для конкретных следственных действий.

В описательной части протокола отражаются все действия, производимые следственной группой, обстановка, местонахождение и состояние предметов и документов. Следует охарактеризовать и индивидуализировать предмет, указать номер, марку, форму, цвет, размер и пр., чтобы можно было отличить от сходных предметов. Особо выделяются изменяющиеся признаки и особенности, которые со временем могут быть утрачены (влажность, напыление, помарки и т. д.).

При изъятии компьютеров все блоки должны быть пронумерованы, все разъемы опечатаны. На них следует проставить номера, чтобы затем не было путаницы при сборке. Аналогично следует пронумеровать все дискеты, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). Все эти действия должны быть строго зафиксированы в протоколе (и по количеству, и по проставленным номерам).

В заключительной части протокола указываются те предметы и документы, которые изъяты, способы их упаковки и опечатывания. В протоколе фиксируется, какие именно предметы и документы и кому переданы на хранение. Это лицо предупреждается об уголовной ответственности по ст. 185 УПК РСФСР за растрату, уничтожение и повреждение вверенного имущества (что подтверждается распиской данного лица в соответствии со ст. 175 УПК РСФСР).

 

 

Опечатывание компьютеров и магнитных носителей

При изъятии компьютеров и магнитных носителей их следует опечатать.

При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее просто опечатать компьютер можно так:

1. Выключить компьютер.

2. Отключить его от сети.

3. Отсоединить все разъемы. При этом каждый из них должен быть опечатан.

4. На длинную полосу бумаги следует поставить подписи следователя, специалиста, понятых, представителя персонала или администрации и номер. Эту полосу наложить на разъем и приклеить. В качестве клеящего средства использовать липкую ленту или густой клей. При использовании липкой ленты, ее надо наносить так, чтобы любая попытка снять ее нарушала бы целостность бумажной ленты с подписями.

5. Аналогично должен быть опечатан разъем шины (соеди-нительного провода). При этом номера на разъемах блока компьютера и шины должны быть одинаковыми. Для облегчения операции сборки и подключения компьютера в дальнейшем на бумажной полосе, опечатывающей шину, можно указать, к какому блоку должен подключаться разъем. Например: “1 - системный блок”. На другом конце той же шины может стоять надпись “2 - монитор”.

6. Если бумажная лента достаточно длинная, ее можно крепить к боковым поверхностям блоков компьютера, либо к поверхности стенки, но так, чтобы не задевать другие детали.

7. При составлении протокола обыска и изъятия, в нем следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый блок в соответствии с его индивидуальными признаками.

При подготовке к изъятию магнитных носителей, по возможности, на месте в присутствии понятых с них сразу же следует снять копию (желательно две). Затем все носители опечатываются. Если же нет возможности копировать информацию, то все дискеты следует опечатать. Если при осмотре дискет специалист отметил дискеты, не имеющие прямого отношения к цели обыска и изъятия, с них тоже следует снять копии, изъять оригиналы, а одну из копий оставить на предприятии.

Для опечатывания дискет необходимо:

упаковать их в жесткую коробку, опечатать ее;

на листе бумаги сделать описание упакованных дискет: количество, тип каждой из них, что указано на бирках (если они есть);

коробку с дискетами и лист с описанием положить в полиэтиленовый пакет, который заклеивается.

При опечатывании дискет недопустимо производить какие-либо действия с самими дискетами. Аналогично следует опечатать копии, снятые на месте.

Опечатывать периферийные устройства следует только при настоятельном требовании персонала предприятия.

системный блок”. На другом конце той же шины может стоять надпись “2 - монитор”.

6. Если бумажная лента достаточно длинная, ее можно крепить к боковым поверхностям блоков компьютера, либо к поверхности стенки, но так, чтобы не задевать другие детали.

7. При составлении протокола обыска и изъятия, в нем следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый блок в соответствии с его индивидуальными признаками.

При подготовке к изъятию магнитных носителей, по возможности, на месте в присутствии понятых с них сразу же следует снять копию (желательно две). Затем все носители опечатываются. Если же нет возможности копировать информацию, то все дискеты следует опечатать. Если при осмотре дискет специалист отметил дискеты, не имеющие прямого отношения к цели обыска и изъятия, с них тоже следует снять копии, изъять оригиналы, а одну из копий оставить на предприятии.

Для опечатывания дискет необходимо:

упаковать их в жесткую коробку, опечатать ее;

на листе бумаги сделать описание упакованных дискет: количество, тип каждой из них, что указано на бирках (если они есть);

коробку с дискетами и лист с описанием положить в полиэтиленовый пакет, который заклеивается.

При опечатывании дискет недопустимо производить какие-либо действия с самими дискетами. Аналогично следует опечатать копии, снятые на месте.

Опечатывать периферийные устройства следует только при настоятельном требовании персонала предприятия.

 

Назначение экспертизы

Если добытые в ходе осмотра, обыска, выемки, допросов, иных следственных действий фактические данные не могут быть непосредственно положены в основу обвинительного зак-лючения, поскольку для их понимания и использования требуются специальные знания, следователь принимает решение о назначении экспертизы. Такое же решение принимается им в том случае, когда показания разных лиц противоречат друг другу или иным доказательствам по делу и противоречия не могут быть устранены без обращения к специалистам.

Придя к выводу о необходимости назначения экспертизы, следователь должен решить, какие виды экспертных исследований нужно провести, выбрать экспертное учреждение (экс-пертов), определить круг объектов, представляемых на экспертизу, и сформировать вопросы эксперту.

По делам об экономических преступлениях, связанных с применением компьютерной техники, могут быть назначены как традиционные, так и новые виды экспертиз. Из числа традиционных существенное значение для дела имеют судебно-бухгалтерская и судебно-экономическая экспертизы, исследующие вопросы учета и движения денежных средств и материальных ресурсов (правильность начисления заработной платы сотрудникам, расчеты с дебиторами и кредиторами, включая клиентов и контрагентов экономического субъекта и т. п.), вопросы планирования деятельности, квартальной и годовой отчетности, правильности представления сведений в налоговые органы и т. д. Эксперту представляются документы, выполненные на традиционных бумажных носителях (платежные поручения, договоры, ценные бумаги, ведомости, описи, книги учета, опубликованные балансы). Если же часть документов, отображающих деятельность экономического субъекта, исполнена не на бумажных, а на магнитных (или иных компьютерных) носителях информации - традиционных знаний эксперта-бух-галтера (экономиста) становится недостаточно и встает вопрос о привлечении знаний в области компьютерной техники и программирования. В этом случае назначается комплексная экспертиза, в ходе которой эксперты разных специальностей включаются в состав одной экспертной комиссии и совместно решают поставленные вопросы. Комплексная экспертиза назначается и при наличии полного набора “бумажных” документов, если имеются основания полагать, что данные “бумаж-ного” учета искажены и могут не соответствовать данным компьютерного учета.

Не следует забывать и о возможности традиционных криминалистических экспертиз: дактилоскопической (для исследования следов рук на внешних поверхностях компьютеров, принтеров, мониторов, дискет, рабочих мест), почерковедческой (для исследования подписей в платежных и иных документах), технической экспертизы документов (для исследования денег и ценных бумаг, бланков, оттисков печатей и штампов, подчисток и иных подделок “бумажных” документов, способа и времени их изготовления). Если текст документа исполнен с помощью принтеров ЭВМ, факсимильной или копировальной техники, также может быть назначена комплексная экспертиза.

При назначении комплексной экспертизы должен быть решен вопрос о том, кто из экспертов разных специальностей, включенных в состав одной комиссии, будет ведущим. В обязанности ведущего эксперта входит координация работы остальных членов комиссии, переписка со следователем, его консультирование, уточнение экспертной задачи, выработка плана исследований и постановка частных задач экспертам-участ-никам в соответствии с их специальными знаниями, хранение объектов экспертизы, их передача от одного эксперта другому, сбор, сопоставление и обобщение результатов исследований, проведенных всеми членами экспертной комиссии, проведение координационных совещаний экспертов, составление синтезирующей части заключения и формулирование итоговых выводов.

Рекомендуются следующие тактические принципы назначения экспертизы и формирования экспертной комиссии:

а) если изъятые объекты (“бумажные” документы, дактилопленки со следами рук, компьютерная техника, дискеты и др.) могут быть исследованы экспертами разных специальностей независимо друг от друга, то целесообразно назначить не комплексную экспертизу, а комплекс разнородных экспертиз, выполняемых параллельно (одновременно). Это позволит существенно сократить сроки расследования;

б) если однородные объекты изъяты в большом количестве (например, несколько десятков дискет), то следует разбить их на группы сообразно результатам следственного осмотра: по местам обнаружения, по функциональному назначению (диске-ты с программами, дискеты с учетными данными, дискеты со служебной информацией, дискеты с информацией личного характера), по размеру и формату записи данных или по другим, существенным для дела признакам. По каждой группе объектов вынести отдельные постановления и направить для исполнения разным специалистам одновременно. Этот прием также сократит процессуальные сроки;

в) в случае, если один и тот же объект должен быть исследован специалистами в разных областях знаний для решения каждым из них разных вопросов (то есть требуется провести несколько независимых разнородных экспертиз), необходимо выбрать тактически целесообразную последовательность их проведения, в зависимости от обстоятельств дела. Например, при исследовании одного и того же “бумажного” финансового документа, выполненного с применением электронной техники, приоритетное значение для планирования и организации дальнейших следственных действий может иметь один из следующих семи вопросов:

об экономической сущности (содержании) документа;

о лицах, державших в руках документ;

о последовательности нанесения на документ подписи, оттиска печати и основного текста;

о подлинности подписи на документе;

об авторе текста документа;

о техническом устройстве (принтере, факсе, ксероксе, его типе или конкретном экземпляре);

о соответствии или различии текста копии и текста оригинала документа (в том числе, если оригинальный текст содержится в памяти компьютера).

В зависимости от того, какие сведения являются для следователя более важными, в первую очередь назначаются соответственно экспертиза судебно-бухгалтерская, дактилоскопическая, техническая (СТЭД), почерковедческая, автороведческая, кибернетическая.

г) перед назначением экспертиз нетрадиционных объектов и перед принятием решения о последовательности их производства всегда имеет смысл проконсультироваться в экспертном учреждении. В ходе консультаций определить: современные возможности судебной экспертизы по установлению обстоятельств экономического преступления; есть ли в учреждении современное оборудование, ЭВМ, а также специалисты необходимой квалификации (в том числе по компьютерным и электронным системам); если нет, то какие научно-исследова-тельские и научно-производственные учреждения могут иметь соответствующее оборудование или специалистов; имеется ли у экспертного учреждения опыт проведения нетрадиционных экспертиз, каковы его результаты; какие объекты и в каком количестве должны быть представлены на экспертизу; проводить ли следственные действия по изъятию образцов (объем, количество, методика изъятия) с участием эксперта, специалиста или самостоятельно; сроки и стоимость производства исследований, их зависимость от поставленных вопросов и представленных объектов; какие вопросы и в какой степени могут быть решены экспертом; не может ли проведение одних исследований сделать невозможным проведение других (например, опыление дактилоскопическими порошками системных блоков компьютеров или поверхностей дискет приведет к порче дисководов или магнитных носителей информации, а значит, информация не может быть считана и использована в деле. С другой стороны, если вначале исследовать компьютеры и дискеты, то следы пальцев рук эксперта могут наложиться на следы рук преступника или стереть их, что не позволит эксперту провести дактилоскопическую идентификацию личности.

д) при выборе экспертов из числа нескольких претендентов при прочих равных условиях (образование, квалификация, стаж работы) предпочтение следует отдавать сотрудникам государственных экспертных учреждений. Во-первых, сотрудники судебно-экспертных учреждений специализируются на проведении экспертных исследований именно для нужд дознания, следствия и суда, лучше знают проблемы, возникающие в ходе расследования преступлений, и могут дать по ним необходимые советы, имеют опыт выступлений и отстаивания своих заключений в судах, они по сравнению с “гражданскими” специалистами чувствуют себя гораздо увереннее при допросе адвокатами подсудимых. Во-вторых, каждое крупное экспертное учреждение многопрофильно, и в нем можно провести несколько разнородных экспертиз по делу, что избавляет следователя от необходимости пересылать объекты экспертизы из одного места в другое.

Если в экспертном учреждении нет необходимых специалистов (или оборудования), но поблизости имеется научное учреждение, располагающее необходимыми кадрами (вычисли-тельной техникой), то тактически целесообразно назначить комплексную экспертизу, поручив ее проведение обоим учреждениям, ведущим из которых назначить экспертное учреждение (компетенция ведущего учреждения см. выше, п. “а”). Это позволит реализовать описанные преимущества экспертного учреждения. Ведущий эксперт должен обладать навыками системного анализа (например, проводить ситуалогические, слож-ные комплексные и повторные экспертизы), участвовать в научных исследованиях.

Если в поле зрения следователя нет подходящего научного учреждения или информационного центра, то следует решить вопрос о назначении экспертизы в другом городе или регионе.

е) соотношение традиционных и нетрадиционных экспертиз, проводимых по делу следует определять, исходя из количества и значимости информации, содержащейся соответственно на “бумажных” и компьютерных носителях. В случае проведения всех экспертиз в одном экспертном учреждении по аналогичным основаниям выбирается ведущий эксперт, участвующий в проведении итоговой (заключительной) комплексной экспертизы.

В настоящее время судебно-кибернетические экспертизы (в их числе - экспертизы компьютерных систем и компьютерной информации) проводятся в Центральной Санкт-Петербургской лаборатории судебной экспертизы Министерства юстиции РФ и ИЦ ГУВД Московской области.

 

 

СОДЕРЖАНИЕ

 

Введение 3

 

1. СВЕДЕНИЯ О ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРАХ 5

Состав компьютера -

Программа и программное обеспечение компьютера 7

Виды накопителей информации и ее носителей 8

Особенности записи информации в компьютер 10

2. ПОНЯТИЕ И ВИДЫ ИНФОРМАЦИИ 11

Компьютерная криминалистическая информация как доказательство по уголовному делу 14

3. ОБЫСК 19

Подготовка к обыску 19

Проведение обыска 22

Обзорная стадия обыска 24

Детальная стадия обыска 26

4. ВЫЕМКА 28

5. ОСМОТР 29

Осмотр компьютера 30

Осмотр дискет 33

Фиксация результатов изъятия информации 34

Опечатывание компьютеров и магнитных носителей 35

6. ТРАНСПОРТИРОВКА И ХРАНЕНИЕ КОМПЬЮТЕРНОЙ ТЕХНИКИ И МАГНИТНЫХ НОСИТЕЛЕЙ 36

7. СУДЕБНАЯ ЭКСПЕРТИЗА 38

Назначение экспертизы 39

Предмет, объекты и задачи экспертизы компьютерных систем и компьютерной информации 43

 

Рекомендуемая литература 46

Приложение 1 47

Приложение 2 52

 

С. П. Кушниренко, Е. И. Панфилова