Как доказательство по уголовному делу

Поможем в ✍️ написании учебной работы

Имя

Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Нажимая кнопку "Продолжить", я принимаю политику конфиденциальности

Значение компьютерной криминалистической информации для раскрытия и расследования экономических преступлений велико. Оно очевидно даже при поверхностном перечислении основных видов сведений, которые хозяйствующие субъекты вводят, хранят, обрабатывают и которыми обмениваются с другими юридическими и физическими лицами с помощью компьютерной техники.

Если для раскрытия преступления - то есть выяснения способа преступления и лиц, его совершивших - достаточно самых общих сведений о той компьютерной информации, которой располагают заподозренные лица и фирмы, то значительно более важной и сложной является задача изъятия этой информации и рассмотрения ее с точки зрения доказывания по уголовному делу. Система учета и документооборота у современных экономических субъектов сплошь компьютеризирована, поэтому следователь должен четко представлять, какие именно фактические данные он может получить с помощью ЭВМ, каково их доказательственное значение и способы введения в уголовное дело в качестве доказательств.

До настоящего времени законодатель однозначно не выразил отношения к информации, хранящейся в памяти ЭВМ, как к доказательству, поэтому суды очень осторожно подходят к ее оценке.

Следователи на свой страх и риск используют данные, полученные с помощью компьютерной техники при доказывании. Полагаем, что назрела необходимость единообразного понимания и использования компьютерной информации.

Согласно ст. 69 УПК РСФСР доказательствами по уголовному делу являются любые фактические данные, на основе которых в определенном законом порядке орган дознания, следователь, суд устанавливают наличие или отсутствие общественно опасного деяния, виновность лица, совершившего это деяние, и иные обстоятельства, имеющие значение для правильного разрешения дела.

Без сомнения, сведения, используемые хозяйствующими субъектами и гражданами при осуществлении предпринимательской и иной деятельности (в том числе и сведения, хранящиеся, обрабатываемые, передающиеся с помощью компьютерной техники) в зависимости от обстоятельств уголовного дела могут иметь значение для установления факта совершения преступления и виновности конкретных лиц, то есть отвечают требованиям относимости. Особенно важны такие сведения при расследовании экономических преступлений. Такие сведения являются фактическими данными, о которых идет речь в ст. 69 УПК РСФСР. Это не только факты, но и сведения о фактах. Например, сведения о сумме начисленной заработной платы работникам предприятия, о дате и сумме перечисления денежных средств на расчетный счет контрагента и прочая информация.

Фактические данные могут быть использованы в качестве доказательств лишь при условии получения их из точно установленных в законе источников, исчерпывающий перечень которых дан в ч. 2 ст. 69 УПК РСФСР. Согласно этому перечню фактические данные, о которых идет речь, не могут быть ничем иным, как документом. В уголовном процессе документом являются различные акты, в которых изложены и удостоверены предприятиями, учреждениями, организациями, должностными лицами и гражданами те или иные обстоятельства и факты, имеющие значение для уголовного дела. Раньше принято было рассматривать в качестве документов только материальные предметы, на которых или при помощи которых зафиксированы сведения об определенных фактах. В подавляющем большинстве это были письменные акты на бумажных носителях. С развитием и усовершенствованием технических средств появились новые средства фиксации, передачи и хранения информации. По необходимости их пришлось вовлекать в уголовный процесс, поэтому постепенно признавались документами фото-, кино-, аудио-, видеоматериалы. Правда, с некоторой оговоркой: они должны были быть переведены на бумажный носитель информации, например, к аудиозаписи обязательно приложение ее стенограммы.

В то же время такие ограничения для документов отнюдь не вытекают из закона, поскольку в ст. 88 УПК РСФСР, посвященной документам как источнику доказательств, нет указаний на конкретный носитель и способ фиксации обстоятельств и фактов. Это позволяет поставить компьютерную информацию в ряд используемых в процессе доказывания документов, поскольку она обладает всеми их признаками, а именно:

1. Документ должен исходить от учреждений, предприятий, организаций, должностных лиц или граждан. Авторами могут быть как официальные, так и частные лица, что актуально для компьютерной информации, хранящейся в ПЭВМ, находящихся в различных учреждениях и предприятиях, а также в личном пользовании граждан. Для характеризуемого вида документов соблюдение определенных атрибутов, реквизитов менее существенно, хотя есть другие важные для работы условия - например, пароли, определенные программы для включения в банковскую сеть и прочие способы входа и выхода из информационного пространства и сохранения данных - характеризующие компетенцию и профессионализм лица, работающего с электронными средствами информации.

2. Документ является доказательством, если сведения о фактах, изложенные в нем, имеют значение для уголовного дела, если с их помощью может быть установлено наличие или отсутствие обстоятельств, подлежащих доказыванию. Об этой характеристике компьютерной информации шла речь выше, здесь лишь напомним, что наиболее важные для доказывания экономических преступлений справочные и удостоверительные данные, описания различных событий, процессов и лиц, данные о деловых операциях, клиентах и партнерах, статистические, учетные, отчетные и другие данные во многих фирмах и у граждан содержатся в банках компьютерной информации.

3. Для изложения в документе сведений об обстоятельствах и фактах могут быть использованы различные способы передачи информации и различные материальные объекты, пригодные для этого. Такими сведениями в ПЭВМ являются тексты, иллюстрации, таблицы, программы и исходные данные для их выполнения, результаты осуществления программ и др. Все они могут фиксироваться в буквенном, цифровом или кодовом (шифрованном) выражении. Для удобства работы с записанными в память компьютера сведениями их размещают в файлах.

Файлом называется поименованная область на диске или другом машинном носителе, в которой могут храниться тексты программ, документы, исходные данные, готовые к выполнению программы и т. д.

Файлы делятся на две категории - текстовые и двоичные. Текстовые файлы предназначены для чтения человеком. Файлы, не являющиеся текстовыми, относятся к двоичным.

Каждый файл на диске имеет обозначение, которое состоит из двух частей - имени и расширения. Имя файла содержит от одного до восьми символов. Если файл имеет расширение (оно не обязательно), то после имени файла следует поставить точку и записать расширение, имеющее от одного до трех символов. Расширение чаще всего помогает определить, какая программа создала файл.

Все файлы записываются в оглавление на машинном носителе и с помощью простейших команд выдаются на экран монитора. По этому оглавлению можно первоначально ознакомиться с содержимым носителя.

При организации массивов информации в машинах существует строгая иерархия данных: элементарное данное, запись, файл. При работе с компьютерными носителями информации следователям чаще всего приходится сталкиваться с двумя видами носителей: винчестером (жестким диском) и дискетами (гибкими дисками).

4. В документе сведения о тех или иных обстоятельствах, фактах выражены в виде описания этих обстоятельств и фактов лицами, от которых документ исходит. В этом отличие документа от вещественного доказательства, где сведения о фактах образуются не в результате описания этих фактов, а в результате непосредственного оставления на материальном объекте следов того или иного события, действия. Бесспорно, компьютерные носители также могут быть вещественным доказательством, если речь идет об изменениях, вносимых в программы или содержание файлов с преступным умыслом. Это возможно, в частности, по делам о компьютерных преступлениях, ответственность за которые введена в России с 1 января 1997 г. Поскольку вещественным доказательством может быть только предмет, который способен воспринимать воздействие других предметов в виде определенных следов и способный сам оставлять следы в окружающей среде, в качестве вещественных доказательств можно рассматривать носители информации - дискету или винчестер, а также сам компьютер, если он или его носители информации служили орудиями преступления, или сохранили на себе следы преступления, или были объектами преступных действий, а также если они могут служить средством к обнаружению преступления, установлению фактических обстоятельств дела, выявлению виновных, то есть в соответствии со ст. 83 УПК РСФСР.

5. Документ приобретает значение доказательства, если он отвечает требованиям допустимости, то есть получен с соблюдением определенной процессуальной формы в соответствии со ст. 70 УПК РСФСР. В материалах уголовного дела должны содержаться данные, указывающие на то, каким образом документ попал в дело. Это могут быть копии запросов следователя, органа дознания или суда и сопроводительное письмо, протокол следственного действия, в процессе которого получен документ. Если документ представлен конкретным лицом, следователь должен установить и зафиксировать реквизиты служебных документов или данные о гражданине, от которого документ исходит. Лицо, представившее документ, допрашивается по сведениям, изложенным в нем, или обстоятельствам обнаружения документа.

Помимо запроса компьютерная информация приобщается к уголовному делу в результате таких процессуальных действий следователя, как обыск, выемка, осмотр.

ОБЫСК

Основанием для обыска является наличие достаточных данных, позволяющих полагать, что в данной организации, учреждении находятся документы и предметы, которые могут иметь значение для дела.

До начала обыска выносится постановление о его производстве, в котором указывается дата и место его вынесения, кем, где и в связи с каким уголовным делом решено произвести обыск, его цели и основания.

Большое значение имеет правильное указание в постановлении адреса и названия обыскиваемой организации, т. к. в одном здании и даже в одном помещении могут арендовать площади сразу несколько фирм. При отсутствии четко определенного места обыска могут возникать конфликтные ситуации в момент проникновения в помещение следователя или оперативно-розыскной группы.

Обыск должен быть санкционирован прокурором и лишь в случаях, не терпящих отлагательства, может быть произведен без санкции, но с последующим письменным сообщением прокурору в суточный срок. В этом случае последнему представляется протокол обыска в соответствии с требованиями ч. 3 ст. 168 УПК РСФСР. К таким исключительным обстоятельствам по делам об экономических преступлениях относятся опасения, что бухгалтерские, первичные и другие документы могут быть уничтожены или спрятаны, информация, хранящаяся в памяти ЭВМ, может быть уничтожена или изменена. Виновные лица могут использовать задержку для подготовки к обыску, а также для фальсификации документов и другой информации, для привлечения лжесвидетелей. Виновные лица могут скрыться сами или спрятать предметы хищения и ценности, приобретенные на похищенные деньги.

Подготовка к обыску

При подготовке к обыску кроме изучения обстановки и помещения, в котором будет производиться обыск, следует обязательно выяснить:

оснащена ли организация компьютерной техникой (ПЭВМ);

сколько компьютеров в данной организации и каково их распределение по отделам и службам;

какими именно компьютерами (их тип и конфигурация) оснащена организация, каковы их параметры;

какие именно отделы, структуры, подразделения, филиалы компьютеризированы;

какое программное обеспечение они используют;

являются ли компьютеры автономными;

не входят ли они в компьютерную сеть (какую и с кем связаны, каковы используемые средства связи);

существуют ли другие средства компьютерной связи (на-пример, модем, электронная почта и проч.);

где находится центральный компьютер сети;

где и как хранятся файлы: жесткий диск, дискеты;

какова система защиты информации (коды и пароли);

кто непосредственно работает на ПЭВМ (сколько пользователей);

кто является ведущим специалистом по ПЭВМ, программистом, оператором;

кто, кроме сотрудников данного отдела, имеет доступ к данной ПЭВМ;

кто отвечает за достоверность вводимой информации;

какие помещения сдаются под охрану милиции;

какова система охранной сигнализации на предприятии;

какие помещения выходят на местный охранный пункт.

Кроме того, необходимо потребовать схему документооборота организации, утвержденную приказом руководителя в соответствии с п. 2.1 Положения по бухгалтерскому учету “Учетная политика предприятия” ПБУ 1/94, утвержденного приказом Министра финансов РФ от 28.07.94 г. № 100. В схеме должно быть указано, какие стадии бухгалтерского учета компьютеризированы и какие программы для этого используются.

Эти сведения могут быть получены разными способами:

из показаний свидетелей, потерпевших, подозреваемых, обвиняемых и других лиц, допрошенных по указанным вопросам;

из актов проверок контролирующих органов: налоговых и финансовых проверок, актов аудиторских фирм, актов пожарной охраны, экологических, аварийных и других служб, торговых инспекций;

из других документов, в которых содержатся вопросы, связанные с приобретением и использованием компьютерной техники;

из оперативных данных и сообщений органов дознания, полученных по поручению следователя;

из других материалов уголовного дела;

из материалов других уголовных дел.

Самая большая проблема на этом этапе - найти разумный компромисс между неотложным проведением обыска с максимальным использованием фактора внезапности и тщательной его подготовкой. Решение может быть только одно: в зависимости от конкретной следственной ситуации, сложившейся к моменту проведения обыска, следователь сам должен определить тот объем информации, который ему необходим для доступа на предприятие в целом и во все его подразделения, для свободной ориентации в помещениях предприятия и имеющейся на нем оргтехнике, в том числе и компьютерной. В связи с этим необходимо выяснить главный вопрос: имеются ли на обыскиваемом предприятии компьютеры, автономны ли они, в каких помещениях установлены, не входят ли в какую-либо сеть (в этом случае следует определить, где находится цент-ральный компьютер). Эти данные необходимы для правильного выбора тактики проведения обыска и формирования состава оперативно-следственной группы. Без учета подобных вопросов результат обыска может оказаться отрицательным из-за неправильных действий группы на месте его проведения, и следствие потеряет возможность получения важных документов, а значит, и доказательств вины или невиновности подозреваемых.

Получив сведения об обстановке в обыскиваемой организации, следователь должен правильно сформировать оперативно-следственную группу, которой будет поручен обыск. По закону обыск может быть произведен как лично следователем, так и органом дознания по поручению следователя. Тем не менее, следователю целесообразно проводить обыски лично, или, по крайней мере, руководить обыском, если он производится в крупной организации со множеством помещений, с большим документооборотом, когда по тактическим соображениям следует проводить обыск одновременно в нескольких помещениях, контролировать поведение многих лиц сразу, проводить личные обыски сотрудников и т. д.

В зависимости от обстановки в организации в группу, кроме следователя и оперативных работников органа дознания, вклю-чаются специалисты в области экономики, бухгалтерского учета, финансов, технологии по профилю организации, специалисты в области информатики (программисты и инженеры-элект-ронщики), сотрудники МВД для охраны помещений и оперативно-следственной группы, другие специалисты.

Техническая подготовка к обыску должна включать в себя обеспечение транспортом, упаковочными материалами, научно-техническими средствами, спецодеждой для работы в особых условиях (загрязнение, влажность, холод, наличие вредных для здоровья человека веществ и прочее). Необходимо подготовить также средства и специальные материалы для изъятия, упаковки и хранения компьютерной информации.

Проведение обыска

Перед началом обыска следует спланировать его проведение: время, продолжительность, действия каждого участника группы. Следует предусмотреть проникновение в помещение организации.

Большинство фирм и компаний в настоящее время имеют свою систему безопасности, охрану, которая может быть вооружена и состоять из людей, физически и психологически подготовленных к тому, чтобы препятствовать попаданию на предприятие или в учреждение посторонних лиц. Хотя штурм предприятия не противоречит закону, насильственное проникновение нежелательно, и, по возможности, оно должно быть бесконфликтным. Этого можно достигнуть разъяснением содержания ст. 127 УПК РФ, ст. 26 Федерального закона “О банках и банковской деятельности” в редакции от 03.02.95 г., умением найти общий язык с руководителем или собственником предприятия.

Ссылка на то, что переговоры и убеждения зачеркивают фактор внезапности при обыске, несостоятельна. В случае блокирования входа охраной у работников предприятия может появиться значительно больше времени для сокрытия документов и изменения обстановки на предприятии, чем если бы они находились в поле зрения следователя.

В пользу мирного разрешения конфликтной ситуации совершенно бесспорным является тот аргумент, что недопустима даже малейшая возможность причинения телесных повреждений, увечий, психологических травм ни участникам конфликта, ни случайно оказавшимся поблизости людям. Вряд ли можно оправдать интересами следствия трагические последствия таких ситуаций.

С целью устранения дополнительных поводов для конфликта следователь должен выяснить, какие организации, кроме обыскиваемой, располагаются по данному адресу и какие взаимоотношения между ними существуют, какая из организаций осуществляет охрану здания на входе. Эти сведения помогут правильно определить тактику обыска. Следует учитывать, что родственные, подчиненные либо имеющие общих собственников организации могут иметь общие хранилища документов, общие ПЭВМ, а также могут скрывать важные источники информации по просьбе друг друга.

Перед началом обыска руководителю или собственнику организации, а в их отсутствие - представителю администрации, предъявляется постановление о производстве обыска.

Представитель администрации должен быть ознакомлен с постановлением о производстве обыска, что подтверждается его подписью на данном постановлении.

Посторонние лица (посетители, покупатели, случайные люди и проч.), находящиеся в помещении и не имеющие отношения к проводимому обыску, должны быть удалены из помещения. Следует предусмотреть то обстоятельство, что эти люди могут вынести документы или предметы, значимые для расследования. С целью предупреждения такой возможности личность присутствующих должна быть установлена, а при подозрении могут быть произведены личные обыски.

При обыске в зависимости от обстановки в помещении могут быть отключены телефоны. Сделать это можно и заблаговременно через телефонную станцию, и непосредственно перед началом обыска. Если такая мера предпринимается, то ее следует распространить на все обыскиваемые помещения. В последнем случае сам следователь может при необходимости воспользоваться телефоном. Иногда целесообразно привозить с собой и подключать автоматический определитель номера (АОН), чтобы иметь возможность контролировать входящие звонки, быстро устанавливать абонента и контролировать информацию. При наличии таких телефонов в организации следует снять информацию о входящих звонках с памяти телефона. Иногда такие действия могут облегчить поиск контрагентов заподозренных фирм.

Если установлено, что лица, находящиеся в обыскиваемом помещении, оснащены радиотелефонами или пейджерами, имеет смысл предложить им сдать свою технику следователю на время обыска. Эта мера позволит исключить утечку информации с места обыска. Подобные действия осуществляются как в отношении заинтересованных лиц, так и в отношении всех присутствующих при обыске, т. к. радиотелефоном может легко и незаметно воспользоваться любой. При отказе выдать индивидуальные средства связи добровольно, рекомендуем произвести личный обыск.

По прибытии на место обыска руководитель следственной группы должен принять меры к обеспечению сохранности компьютерной информации. Для этого необходимо:

1. Предотвратить отключение энергоснабжения предприятия, т. е. обеспечить охрану щита напряжения. Иногда в целях предотвращения возможных манипуляций с компьютерной информацией отключить энергопитание следует еще до начала обыска.

2. Не разрешать работу на включенных компьютерах сотрудникам обыскиваемого предприятия или другим лицам, находящимся в помещении.

3. Оградить работающие компьютеры от “случайных” нажатий клавиш.

4. Если на момент обыска электроснабжение в помещении отключено, следует отключить все компьютеры и периферийные устройства, находящиеся в помещении, до восстановления подачи электроэнергии.

5. Предупредить всех участников следственной группы о невозможности самостоятельного проведения каких-либо манипуляций с работающими компьютерами для предотвращения “порчи” находящейся в них информации.

6. Удалить из помещения, в котором находятся средства вычислительной техники, все взрывчатые, легко воспламеняющиеся, едкие и токсические вещества и материалы для предотвращения нежелательных ситуаций.

7. При невозможности принятия указанных мер предосторожности или при попытке персонала предприятия помешать следственным действиям - удалить весь персонал из данного помещения.

Для проведения обыска к каждой группе обыскивающих приглашается не менее двух понятых, которые присутствуют в каждом из обследуемых помещений. Это означает, что если обыск производится одновременно в нескольких помещениях несколькими следователями или оперативными работниками органа дознания по поручению следователя, то при каждом из них должны находиться не менее двух понятых.

Во избежание опорочивания этого следственного действия не следует приглашать понятых из числа работников обыскиваемого предприятия. Не всегда целесообразно приводить понятых со своей группой. Часто оказывается, что это люди из числа внештатных сотрудников МВД, что легко выясняется затем обвиняемыми и служит основанием для ходатайств и жалоб на необъективность отражения результатов обыска в протоколе.

Обзорная стадия обыска

На обзорной стадии обыска осуществляется обход или обзор объекта, всех помещений организации в целях выяснения объема предстоящей работы, определения тактики обыска. Следователь должен выяснить, какая техника и в каком состоянии находится в подразделениях и отделах организации, у кого находятся ключи от закрытых помещений. На этом этапе следует произвести внимательный осмотр помещений с целью выявления укрывательства вычислительной техники от сотрудников правоохранительных органов. Особое внимание при этом следует обратить на

состояние охраны помещений (наличие сигнализации, охранных решеток на окнах, металлических дверей, специальных дверных запоров и др.);

внешний вид осматриваемого помещения (наличие специальных столов для ПЭВМ, специальных шкафов или хранилищ для ПЭВМ и сопутствующих предметов);

розетки электросети.

При поиске скрываемой вычислительной техники в первую очередь должны быть осмотрены все охраняемые помещения независимо от типа их охраны и функционального назначения. Для этого можно использовать планы обыскиваемого объекта, имеющиеся в различных службах (строительных, ремонтных, жилищных, пожарных и прочих подразделениях).

Следует обращать особое внимание на подсобные помещения, в которых могут храниться упаковочные коробки от компьютеров. Практика показывает, что их не уничтожают, а приспосабливают для различных хозяйственных нужд. При сокрытии компьютеров на предприятии именно этот факт можно использовать в тактических целях для разоблачения лжи руководителей. При осмотре упаковки из-под оргтехники проверяется соответствие данной упаковки представленным техническим устройствам и соответствующим бухгалтерским документам, подтверждающим их покупку, что может указать следователю на недостачу какой-либо техники. Еще один момент, на который следует обращать внимание при осмотре помещений на предварительном этапе обыска - розетки электросети. Импортные компьютерные вилки несколько больше по размеру, чем отечественные. Они выполняются в соответствии с мировыми стандартами на бытовую технику, поэтому при установке компьютеров и оргтехники либо используются розетки специального стандарта (возможно, импортного производства), либо специальные “переходники”. Иногда для этой цели производят расточку отечественных розеток.

Следует обратить внимание и на наличие групповой установки розеток. Обычно компьютер, используемый в комплекте с принтером, требует одновременно две розетки. Все это достаточно легко определяется при осмотре помещения.

Детальная стадия обыска

Детальный обыск проводится единолично следователем или группами параллельно во всех помещениях или во встречном направлении. Тщательно обыскиваются все служебные кабинеты, офисы, при необходимости производственные, складские помещения, комнаты отдыха, раздевалки, бытовки, кладовые и все другие имеющиеся помещения. Для лучшей ориентации, особенно в больших зданиях, как при обзорной стадии обыска, можно воспользоваться планами и схемами расположения и планировки отдельных помещений здания и его коммуникаций (лифтов, вентиляции, водостоков, канализационных люков и пр.).

Особое внимание следует обращать на те места, куда заинтересованные лица могли спрятать или “сбросить” интересующие следствие предметы или документы: корзины для бумаг в кабинетах, урны, пепельницы, укромные углы в местах общего пользования, мешки для мусора, помещения для инвентаря уборщиков, а также территорию под окнами здания.

В ходе детальной стадии обыска не следует забывать о разнообразии внешнего вида компьютеров. Поэтому следует обращать внимание и на личные вещи сотрудников, т. к. существует возможность сокрытия портативных компьютеров в столах, шкафах, личных сумках и портфелях сотрудников. Необходимо помнить, что некоторые компьютеры оформлены в виде портфеля “дипломат”.

Для изъятия необходимой информации при обыске по делам об экономических преступлениях особое внимание уделяется работе с компьютерной техникой.

Перед началом работы с компьютером следует принять все меры для того, чтобы оградить специалиста по компьютерам от противодействий персонала обыскиваемого предприятия. Следует учитывать следующие неблагоприятные факторы, которые могут быть созданы сотрудниками:

попытка отключить подачу электроэнергии;

попытка повредить компьютеры и (или) магнитные носители с целью уничтожения информации, находящейся на них;

наличие на компьютере специальных защитных программ, которые, не получив в соответствующий момент специального кода, сами приступают к уничтожению информации;

наличие пароля для доступа к компьютеру или к отдельным программам;

наличие незнакомых следователю или специалисту программно-технических средств как результат постоянного совершенствования вычислительной техники.

Далее с помощью специалиста инженера-электронщика следует осмотреть компьютер и определить, работает он автономно или в сети.

Установив, что компьютер автономный, следует поручить специалисту-программисту осмотреть перечень программ на винчестере. При осмотре должен присутствовать кто-либо из сотрудников предприятия, способный дать пояснения по имею-щемуся программному обеспечению ПК.

Предварительно или параллельно с обыском при допросе сотрудников следует выяснить:

с какими программами работает предприятие, (отдел);

каково назначение программ;

используются ли пароли и шифры (если используются, то какие).

При наличии паролей желательна добровольная их выдача.

Если сотрудники отказываются сообщить пароли и коды используемых программ, то компьютер опечатывается и изымается у предприятия. При наличии у прокуратуры или органа МВД собственного компьютера следователю необходимо получить консультацию у специалиста-компьютерщика о совместимости изъятого компьютера с имеющимся. Если компьютеры IBM-совместимые, то достаточно изъять только системный блок, в который входят жесткий диск, процессор, накопители на гибком магнитном диске. Остальную часть компьютера - дисплей, клавиатуру, принтер - следует опечатать.

Затем в условиях прокуратуры следует пригласить специалистов-программистов для “взлома” паролей и кодов.

Если выдача информации происходит добровольно, то для ее изъятия следственная группа должна иметь

дискеты в упаковках или россыпью, предварительно отформатированные;

коробки (желательно пластиковые) для хранения дискет;

пакеты для упаковки дискет в коробке;

материал для опечатывания дискет и компьютеров.

Как уже говорилось выше, на жестком диске обычно хранятся только управляющие программы, а информация по ним может находиться на дискетах. Возможны случаи, когда информация накапливается очень быстро, тогда на винчестере в базе данных может храниться информация за какой-то незначительный временной период, а остальное следует искать на дискетах.

Поиск дискет производится так же, как и поиск обычных документов: около компьютеров на столах, в ящиках столов, в сейфах и других местах, в том числе - в личных вещах работников предприятия и присутствующих в помещениях. Для обнаружения дискет проводится личный обыск этих лиц, а также вещей, им принадлежащих. В идеале каждое подразделение должно иметь журнал учета дискет с указанием информации, записанной на них.

Все обнаруженные дискеты должны быть просмотрены на компьютере и при наличии на них информации, касающейся вопросов расследуемого уголовного дела, незамедлительно изымаются.

При подготовке дискет к изъятию с них необходимо снять копии. Как минимум должно быть две копии:

одна оставляется в качестве контрольного варианта;

другая предназначена для проведения экспертизы.

Лучше иметь три копии документов, тогда третью можно использовать непосредственно для работы следователя.

После копирования информации на дискеты в качестве меры предосторожности следует использовать защиту дискет от записи на всех экземплярах.

На дискетах 5,25 дюйма на правом ребре имеется прорезь для защиты записи. Если заклеить эту прорезь, то произвести запись на эту дискету и, следовательно, “испортить” находящуюся на ней информацию невозможно. Заклеить прорезь можно полоской бумаги, предварительно поставив на нее подпись кого-либо из присутствовавших на обыске (лучше понятых, а не членов оперативной группы).

На дискете 3,5 дюйма защита записи имеет вид защелки и находится в нижнем левом углу дискеты. Для запрещения записи защелку следует отодвинуть так, чтобы закрываемое ею отверстие было открыто. После этого опечатать это отверстие.

Для просмотра большого количества файлов могут привлекаться технические помощники, но их работа должна проводиться в присутствии представителей обыскиваемого предприятия и понятых.

обнаружения дискет проводится личный обыск этих лиц, а также вещей, им принадлежащих. В идеале каждое подразделение должно иметь журнал учета дискет с указанием информации, записанной на них.

При подготовке дискет к изъятию с них необходимо снять копии. Как минимум должно быть две копии:

одна оставляется в качестве контрольного варианта;

другая предназначена для проведения экспертизы.

Лучше иметь три копии документов, тогда третью можно использовать непосредственно для работы следователя.

ВЫЕМКА

Объектами выемки могут быть определенные предметы и документы. К ним можно отнести и компьютерные файлы, если достоверно известно, где и у кого они находятся. В соответствии со ст. 167 УПК РСФСР выемка производится на основании постановления, в котором указывается местонахождение искомых предметов и документов, в связи с чем они подлежат изъятию, их наименование и индивидуальные признаки. Выемка осуществляется в присутствии понятых и представителей организации, руководителя или собственника фирмы, либо уполномоченного ими лица. До начала следственного действия всем присутствующим разъясняются их права и обязанности.

Выемка отличается от обыска тем, что перед изъятием лицо, проводящее следственное действие, обращается к тем, в обладании или владении кого искомые объекты находятся, с требованием выдачи имеющих значение для дела предметов и документов. При этом с большей или меньшей степенью вероятности должно быть известно, где и у кого имеются предметы и документы и какие именно. Это наиболее часто встречающаяся ситуация по делам об экономических преступлениях, поскольку прежде всего следствие интересуют документы заподозренной фирмы, а документооборот известен заранее полностью или в общих чертах в связи с действием “Положения о бухгалтерском учете и отчетности в РФ” от 26.12.94 г., единого для экономических субъектов, независимо от организационно-правовых форм и форм собственности.

Требования лица, проводящего выемку, и производимые им действия носят принудительный характер независимо от того, передаются ли требуемые документы и предметы добровольно или отбираются принудительно. Подготовительная работа к выемке проводится так же, как и к обыску (см. раздел 3).

Не является выемкой истребование следователем (дознава-телем) документов в соответствии со ст. 70 УПК РСФСР. Такой запрос не сопровождается изъятием документов в учреждениях и организациях, в том числе у экономических субъектов.

В таких случаях руководители учреждений, организаций, должностные лица и граждане обязаны представить в органы документы, указанные в запросе, из которых вытекают необходимые по делу фактические данные. Некоторое исключение составляют справки кредитных организаций (банков) по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица. В соответствии со ст. 26 Федерального закона “О банках и банковской деятельности в РФ” в редакции от 3.02.95 г. такие справки кредитные организации выдают органам предварительного следствия по находящимся в их производстве уголовным делам только с согласия прокурора.

5. ОСМОТР

По делам об экономических преступлениях, в целях обнаружения следов преступления, чаще всего проводятся осмотры документов и предметов, а также помещений. Значительно реже встречается осмотр местности и места происшествия.

Осмотр помещений имеет много общего с обыском, поэтому рекомендации по проведению обыска и его подготовке (см. раздел 3), можно полностью отнести и к осмотру. Оба следственных действия имеют своей целью обнаружение и изъятие следов преступления и вещественных доказательств, в частности документов. Для достижения этой цели применяются одинаковые приемы и средства. В отличие от обыска в ходе осмотра, кроме отыскания следов преступления, должна быть отражена обстановка, в которой осуществляет свою деятельность экономический субъект. В зависимости от конкретного преступления особое значение могут иметь факты наличия или отсутствия осуществления производственных операций, хранения сырья, материалов, готовой продукции, оборудования того вида и в том количестве, какое следует из документов, наличие или отсутствие самих документов, их реестров, финансовых и учетных операций и другие обстоятельства. Фиксация и исследование этих обстоятельств могут иметь значение для расследования уголовного дела.

Напомним, что при осмотре помещений обращается внимание на обстановку на предприятии или в организации с целью установления того, имеются ли у экономического субъекта автономные компьютеры, локальные или глобальные сети и где они находятся (если обнаружены лишь следы их пребывания в данном помещении).

Учитывая разнообразие в конструктивном исполнении компьютеров, их размерах и малые размеры дискет, следует наиболее внимательно осматривать личные вещи сотрудников и труднодоступные места, т. к. в них легко скрыть и то, и другое.

Осмотр компьютера

Приступая к осмотру компьютера, следователь и специалист, который должен непосредственно производить все действия, должны придерживаться следующих рекомендаций:

перед выключением питания по возможности закрыть все используемые на компьютере программы. Следует помнить, что некорректный выход из некоторых программ может повлечь за собой уничтожение информации или порчу самой программы;

принять меры к установлению пароля доступа в защищенных программах;

при активном вмешательстве сотрудников предприятия, пытающихся оказать противодействие следственной группе, отключить питание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для изучения информации в спокойной обстановке;

при необходимости консультаций у персонала предприятия, получать их у разных сотрудников данного отдела путем опроса порознь. Такой метод позволит получить максимально правдивую информацию и избежать преднамеренного вредительства;

при изъятии технических средств изымать только системные блоки и дополнительные периферийные устройства (стримеры, модемы, сканеры и проч.), учитывая совместимость техники;

при наличии локальной вычислительной сети необходимо иметь бригаду специалистов для быстрого реагирования на движение информации по сети;

изымать следует все компьютеры (системные блоки) и магнитные носители;

при осмотре документов следует обратить особое внимание на рабочие записи операторов ЭВМ, т. к. часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую очень ценную для следствия информацию;

составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму. По возможности установить их паспортные данные, адреса и место постоянной работы;

записать данные всех людей, обнаруженных в помещении в момент прихода следственной группы, независимо от их объяснений причины нахождения в данном помещении;

составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике, либо часто приходящих в данное помещение.

Если непосредственный доступ к компьютеру возможен и все нежелательные ситуации исключены, при осмотре и работе следователь и специалист должны четко объяснять понятым все совершаемые ими действия.

При осмотре должны быть установлены:

конфигурация компьютера с четким описанием всех устройств;

номера моделей и серийные номера каждого из устройств;

инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;

прочая информация с фабричных ярлыков.

На клавиатуре ярлык обычно находится на ее обратной стороне, а на мониторе и процессоре - на задней стенке. Такая информация, занесенная в протокол осмотра вычислительной техники, может в дальнейшем оказаться важной для следствия. Пример протокола осмотра приведен в Приложении 1.

В ходе осмотра компьютера необходимо также детально переписать содержимое жесткого диска. Если в следственных действиях принимает участие специалист, поручите эту работу ему, предварительно разъяснив важность этой операции.

Если же специалиста нет, необходимо сделать следующее:

при включении компьютера на экране выдается таблица программной оболочки Norton Commanders, жесткий диск может быть разделен на части, поэтому нажмите одновременно две клавиши Alt+F1 - на экране появится картинка с именами всех дисков, которыми оперирует данный компьютер. Если у компьютера два дисковода, что видно из наружного осмотра, то им соответствуют латинские буквы А и В (если дисковод один, буква В отсутствует). Буквы, начиная с С, соответствуют разделению жесткого диска на части. При наличии устройства для чтения лазерных дисков, ему соответствует последняя в списке буква (при одном дисководе ему может соответствовать и буква В). Выделите курсором букву С, нажмите клавишу ENTER, и в левом окне появится список программ, записанных на диске С.

В списке будут записи двух видов - файлы, написанные строчными буквами (это могут быть отдельные программы или служебные файлы) и каталоги, написанные прописными буквами. Если курсор установить на название каталога и нажать клавишу Enter, то на экране появится список файлов, входящих в данный каталог. Каталоги имеют иерархическую структуру и могут быть вложены один в другой. Все их необходимо переписать. Каждая программа занимает определенный объем на диске. Размер программы указан в нижней строке, ограниченной двойной рамкой. Для того, чтобы определить размер целого каталога, после входа в него следует нажать клавишу “большой серый плюс” на цифровой клавиатуре и клавишу ENTER. Каталог (все входящие в него программы) будет выделен другим цветом, а в нижней строке будет указан его объем.

При наличии принтера эту информацию необходимо распечатать, в противном случае ее придется переписать.

Итак, в левом окне находится оглавление диска С. Его же следует вывести в правом окне (для этого нажмите одновременно клавиши Alt+F2). Выведите в окно содержимое первого по списку каталога. Теперь включите принтер, заправьте в него бумагу, а на клавиатуре ЭВМ найдите клавишу Print Screen (третья справа клавиша в верхнем ряду). Нажмите клавишу и на бумаге появится точная копия экрана монитора.

Повторите эту операцию для всех каталогов диска С, каждый раз выдавая картинку на печать. Одновременно можно выдавать два каталога, вызвав их в правом и левом окнах. Когда эта работа будет закончена, следует перейти к следующей части жесткого диска (D, E и т. д.).

Все листы с информацией должны быть подписаны специалистом, который проводил запись информации, старшим группы, понятыми и представителем организации, где производится изъятие. Эта информация обязательно прилагается к протоколу осмотра компьютера. Пример описания приведен в Приложении 1 вместе с протоколом.

Осмотр дискет

Дискеты обычно обнаруживаются при обыске помещения. Храниться дискеты могут в рабочих столах и личных вещах сотрудников, несгораемых коробках или сейфах. Следует внимательно осмотреть все закрываемые шкафы в помещении с целью обнаружения в них магнитных носителей информации.

Изучать следует все дискеты, даже те, которые являются собственностью сотрудников предприятия. По возможности их просматривают в первую очередь. Если информация на них действительно не имеет значения для следствия, то такие дискеты следует пометить и вернуть владельцам. Если же у специалиста имеются хотя бы малейшие подозрения относительно информации, находящейся на дискетах, они должны быть скопированы, опечатаны и изъяты для проведения тщательной экспертизы.

При копировании информации с дискет необходимо повторить все те же операции, которые были описаны при работе с жестким диском. Причем их следует произвести со всеми изымаемыми дискетами. Для этого дискеты поочередно вставить в дисковод и аналогичным образом распечатать их содержимое.

Перед тем как закончить работу с дискетой, целесообразно снять с нее две копии.

Завершив работу с дискетой, следует:

на дискете 3,5 дюйма открыть окно слева, опечатать его;

на дискете 5,25 дюйма опечатать вырез в верхней части правой стороны.

Эта операция обеспечит защиту записи на данной дискете. В Приложении 2 приводится пример протокола осмотра дискет.

При осмотре дискет с выходной информацией, следует просить предоставления соответствующих бумажных аналогов информации. Если такие документы не предоставляются добровольно, следует обратить особое внимание на их поиск. Возможны случаи несоответствия реальных показателей тем, что выдаются на печать и затем используются в качестве документов. Существуют различные возможности внесения “поправок” в выходной документ, что превращается затем в основание для подлогов и прочих хозяйственных преступлений.

Все документы, полученные в результате работы с дискетами, должны быть подписаны (см. осмотр жесткого диска), упакованы в коробки и опечатаны согласно процедуре.

Фиксация результатов изъятия информации

Все предметы и документы, обнаруженные в ходе обыска, выемки или осмотра, которые могут иметь значение для дела, должны быть изъяты в строгом соответствии с требованиями закона, чтобы впоследствии они могли быть признаны доказательствами. В связи с этим, в протоколе обязательно должно быть точно отражено, где именно и в каком виде находились данные предметы и документы. Все обратившие на себя внимание предметы в ходе следственного действия откладываются в охраняемое место для исследования по окончании поисков или для немедленного изучения лицом, специально для этого выделенным из следственной группы. Как уже отмечалось, при изъятии компьютерной информации такую работу по просмотру файлов должен осуществлять специалист в области информатики и вычислительной техники.

По окончании следственного действия руководитель группы приходит к выводу о том, какие и в каком именно виде будут изыматься предметы и документы (целиком, по частям, отдельные фрагменты).

Весь процесс и результаты следственного действия должны быть тщательно зафиксированы в протоколе, который должен содержать вводную, описательную и заключительную части.

Вводная часть протокола содержит сведения

о месте и времени проведения следственного действия;

о лицах, производящих обыск, выемку, осмотр;

о лицах, присутствующих при этом;

об основаниях для конкретных следственных действий.

В описательной части протокола отражаются все действия, производимые следственной группой, обстановка, местонахождение и состояние предметов и документов. Следует охарактеризовать и индивидуализировать предмет, указать номер, марку, форму, цвет, размер и пр., чтобы можно было отличить от сходных предметов. Особо выделяются изменяющиеся признаки и особенности, которые со временем могут быть утрачены (влажность, напыление, помарки и т. д.).

При изъятии компьютеров все блоки должны быть пронумерованы, все разъемы опечатаны. На них следует проставить номера, чтобы затем не было путаницы при сборке. Аналогично следует пронумеровать все дискеты, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). Все эти действия должны быть строго зафиксированы в протоколе (и по количеству, и по проставленным номерам).

В заключительной части протокола указываются те предметы и документы, которые изъяты, способы их упаковки и опечатывания. В протоколе фиксируется, какие именно предметы и документы и кому переданы на хранение. Это лицо предупреждается об уголовной ответственности по ст. 185 УПК РСФСР за растрату, уничтожение и повреждение вверенного имущества (что подтверждается распиской данного лица в соответствии со ст. 175 УПК РСФСР).

Опечатывание компьютеров и магнитных носителей

При изъятии компьютеров и магнитных носителей их следует опечатать.

При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее просто опечатать компьютер можно так:

1. Выключить компьютер.

2. Отключить его от сети.

3. Отсоединить все разъемы. При этом каждый из них должен быть опечатан.

4. На длинную полосу бумаги следует поставить подписи следователя, специалиста, понятых, представителя персонала или администрации и номер. Эту полосу наложить на разъем и приклеить. В качестве клеящего средства использовать липкую ленту или густой клей. При использовании липкой ленты, ее надо наносить так, чтобы любая попытка снять ее нарушала бы целостность бумажной ленты с подписями.

5. Аналогично должен быть опечатан разъем шины (соеди-нительного провода). При этом номера на разъемах блока компьютера и шины должны быть одинаковыми. Для облегчения операции сборки и подключения компьютера в дальнейшем на бумажной полосе, опечатывающей шину, можно указать, к какому блоку должен подключаться разъем. Например: “1 - системный блок”. На другом конце той же шины может стоять надпись “2 - монитор”.

6. Если бумажная лента достаточно длинная, ее можно крепить к боковым поверхностям блоков компьютера, либо к поверхности стенки, но так, чтобы не задевать другие детали.

7. При составлении протокола обыска и изъятия, в нем следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый блок в соответствии с его индивидуальными признаками.

При подготовке к изъятию магнитных носителей, по возможности, на месте в присутствии понятых с них сразу же следует снять копию (желательно две). Затем все носители опечатываются. Если же нет возможности копировать информацию, то все дискеты следует опечатать. Если при осмотре дискет специалист отметил дискеты, не имеющие прямого отношения к цели обыска и изъятия, с них тоже следует снять копии, изъять оригиналы, а одну из копий оставить на предприятии.

Для опечатывания дискет необходимо:

упаковать их в жесткую коробку, опечатать ее;

на листе бумаги сделать описание упакованных дискет: количество, тип каждой из них, что указано на бирках (если они есть);

коробку с дискетами и лист с описанием положить в полиэтиленовый пакет, который заклеивается.

При опечатывании дискет недопустимо производить какие-либо действия с самими дискетами. Аналогично следует опечатать копии, снятые на месте.

Опечатывать периферийные устройства следует только при настоятельном требовании персонала предприятия.

системный блок”. На другом конце той же шины может стоять надпись “2 - монитор”.

Для опечатывания дискет необходимо:

упаковать их в жесткую коробку, опечатать ее;

коробку с дискетами и лист с описанием положить в полиэтиленовый пакет, который заклеивается.

Опечатывать периферийные устройства следует только при настоятельном требовании персонала предприятия.

Дата: 2019-11-01, просмотров: 189.

⇐ Предыдущая 1 2 3 456 7 Следующая ⇒