Материал: 422

Выделим несколько рекомендаций по работе с компьютерно-техниче-

скими средствами и самой компьютерной информацией на месте происше-

ствия, которые будут полезными при формировании доказательств, основанных на компьютерной информации:

1)до начала следственных действий желательно иметь сведения, касающиеся марки и модели компьютера, средств связи, операционной системы, периферийных устройств, и любые другие сведения о технических средствах и программном обеспечении;

2)не стоит необдуманно включать или выключать световые приборы в осматриваемом помещении, торопиться и подключать к электросети или отключать от нее компьютерно-технические средства, подлежащие изъятию. Данные действия могут спровоцировать запуск программ по уничтожению либо модификации значимой информации;

3)категорически запрещается производить какие-либо операции с компьютерными средствами, расположенными на месте происшествия, до направления их на компьютерно-техническую экспертизу, и тем более работать на них после изъятия;

4)нельзя допускать к подлежащим изъятию техническим средствам владельца либо посторонних лиц, так как они могут зашифровать или удалить информацию;

5)необходимо принимать меры по установлению пароля доступа к защищенным программам и данным;

6)при активном вмешательстве сотрудников предприятия, стремящихся оказать противодействие следственно-оперативной группе, нужно отключить электропитание для всех компьютеров на объекте, надлежащим образом опечатать их и изъять вместе с магнитными носителями для дальнейшей отправки на компьютерно-техническую экспертизу;

7)если имеются подозрения, следует проверить технические средства на наличие программных «закладок» и вирусов, чтобы в дальнейшем суд не обвинил следствие в умышленном заражении технических средств вирусами при некомпетентном проведении следственных действий;

8)важно зафиксировать при помощи фотосъемки и промаркировать элементы компьютерной системы – это первые шаги при подготовке к изъятию

итранспортировке. В частности, требуется выполнить снимки крупным планом всего компьютерного оборудования с нескольких сторон, в первую очередь спереди и сзади.

Фотографирование и маркирование элементов изымаемой компьютерной системы дает возможность в точности установить первоначальное состояние компьютерной техники при исследовании в лабораторных условиях. Это важно, например, для внешнего модема, где имеется ряд мелких переключателей, положение которых при транспортировке может измениться, что создаст дополнительные проблемы для экспертного исследования;

9)в присутствии понятых и других участвующих в следственном действии лиц нужно надлежащим образом изъять и опечатать все технические средства, сделав пояснительные бирки;

46

10)целесообразно изымать не только системные блоки, но и мониторы, магнитные носители, а также дополнительные периферийные устройства: принтеры, модемы, сканеры и т. п.;

11)важно тщательно проверять документацию, обращая внимание на рабочие и личные записи операторов электронно-вычислительной машины: часто именно в таких записях неопытных пользователей можно обнаружить коды, пароли и другую полезную информацию;

12)следует в списке сотрудников организации найти программистов и других специалистов в области информационных технологий. Не лишним будет установить их паспортные данные, адреса, контактные телефоны и места постоянной работы, если их деятельность в данном учреждении является временной;

13)необходимо записать данные всех лиц, находившихся в помещении

вмомент приезда следственно-оперативной группы, независимо от пояснения ими причин своего пребывания здесь;

14)наконец, нужно составить список всех сотрудников организации, имеющих доступ к компьютерной технике либо часто бывающих в помещении, где она находится.

Практикой выработаны следующие основные принципы, так называемые

«золотые» правила, детализирующие предложенные рекомендации, которыми следует руководствоваться следователю на месте преступления, для соверше-

ния которого могли использоваться компьютеры и информационные технологии. Необходимо:

1) безотлагательно организовать охрану места происшествия; 2) принять неотложные меры для сохранности доказательств на электрон-

ных носителях: обеспечить бесперебойное питание компьютерного оборудования, исключить доступ посторонних лиц в помещение;

3) если компьютер выключен, оставить его выключенным, при этом сфотографировать (по правилам обзорной, узловой и масштабной фотосьемки) сам компьютер, место его расположения, вид спереди и сзади с кабелями и подключенными медиаустройствами;

4) если компьютер включен:

– сделать несколько снимков экрана, если что-то отображается на мони-

торе;

– если экран пуст, пошевелить мышью или нажать «пробел», что активизирует изображение на мониторе, после чего сфотографировать экран. Так как на компьютерной технике могут находится следы рук и микрообъекты, оставленные преступником, выполнять данные действия следует заранее проконсультировавшись со специалистом;

– не использовать компьютер, не производить никаких операций с файлами на нем;

– правильно завершить работу компьютера и подготовить его к транспортировке как вещественное доказательство;

5) в случае, когда имеются предположения о том, что компьютер уничтожает доказательства:

– немедленно выключить компьютер, выдернув кабель электропитания;

47

–если мобильный персональный компьютер не выключается, когда кабель электропитания от него отсоединен, найти и вынуть батарею автономного электропитания. Обычно она расположена на нижней панели и есть специальная кнопка или переключатель, позволяющий извлечь батарею. После того как батарея извлечена, нельзя возвращать ее на прежнее место и хранить в самом мобильном персональном компьютере: извлечение батареи предотвратит его случайный запуск;

6) сфотографировать пространство вокруг компьютерной техники, перед тем как перемещать что-либо из объектов (см. правила в рекомендациях выше);

7) для транспортировки:

–отметить и промаркировать кабели для последующей идентификации подключенных устройств;

–отключить все кабели и устройства от системного блока;

–упаковать комплектующие и транспортировать изъятое как хрупкий груз;

–изъять дополнительные устройства для хранения информации;

9) хранить все медиаустройства, включая системный блок, подальше от магнитов, радиоприемников и других потенциально опасных устройств;

10)изъять инструкции по эксплуатации, документацию и записи на бумаге;

11)при работе с компьютером, подключенным к компьютерной сети, кроме всего перечисленного, для надлежащей сохранности данных необходимо сначала отключить питание роутера или модема;

12)при работе с сервером компьютерной сети/сервером предприятия для надлежащей сохранности данных необходимо:

– сначала проконсультироваться у специалиста по компьютерной технике для дальнейшего оказания им помощи в осмотре;

– обеспечить охрану места происшествия и исключить доступ посторонних

кобъектам на месте происшествия, кроме специалиста, умеющего работать с компонентами компьютерных сетей;

– обеспечить бесперебойное питание сервера, так как его отключение может повлечь повреждение системы, причинение ущерба законной деятельности и, как следствие, привлечение к ответственности лица, проводящего расследование;

13)при работе с устройствами для хранения информации22 для надлежащей сохранности данных необходимо:

– изъять инструкции по эксплуатации, документацию на бумаге;

– запротоколировать все действия, связанные с изъятием устройств для хранения информации;

– хранить их подальше от магнитов, радиоприемников и других потенциально опасных устройств;

14)при работе с карманными персональными компьютерами, мобильными телефонами и цифровыми фотокамерами, устройствами для хранения информации для надлежащей сохранности данных, помимо сказанного, необходимо:

22 Устройства для хранения информации предназначены для хранения компьютерной информации, получаемой с электронных устройств, могут различаться по объему памяти.

48

–учитывать, что карманные персональные компьютеры, мобильные телефоны и цифровые фотокамеры могут содержать информацию во встроенной памяти или на отдельно подключаемых медианакопителях, поэтому нужно изъять дополнительные устройства для хранения информации, например, карты памяти: memory stick, compact flash и т. п. По общему правилу, все действия, связанные с изъятием мультимедийных устройств и их компонентов, как и любых объектов, должны быть процессуально оформлены соответствующим протоколом следственного действия, в котором фиксируется его ход

[60, с. 207];

–поддерживать устройство в заряженном состоянии;

–если устройство не может поддерживаться в заряженном состоянии, организовать исследование специалистом до того, как батарея автономного питания устройства разрядится, так как иначе информация может быть потеряна.

Что касается изъятия электронных носителей информации и копиро-

вания с них информации, то важно учитывать, что при производстве по уголовным делам, указанным в ч. 4.1 ст. 164 УПК РФ, оно не допускается, так как это влечет применение необоснованных мер, которые могут привести к приостановлению законной деятельности юридических лиц или индивидуальных пред-

принимателей, за исключением следующих случаев:

1) вынесено постановление о назначении судебной экспертизы в отношении электронных носителей информации;

2) изъятие электронных носителей информации производится на основании судебного решения;

3) на электронных носителях содержится информация, полномочиями на хранение и использование которой владелец носителя не обладает, либо которая может быть использована для совершения новых преступлений, либо копирование которой, по заявлению специалиста, может повлечь за собой ее утрату или изменение [2, ст. 164].

Согласно общим правилам, закрепленным в ст. 164.1 УПК РФ, электронные носители информации изымаются в ходе производства следственных дей-

ствий с участием специалиста.

По ходатайству законного владельца изымаемых электронных носителей информации или обладателя содержащейся на них информации специалистом, участвующим в следственном действии, в присутствии понятых осуществляется копирование информации с изымаемых носителей на другие электронные носители информации, предоставленные законным владельцем или обладателем содержащейся на изымаемых носителях информации.

Электронные носители, содержащие скопированную информацию, передаются законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации.

О копировании информации и о передаче электронных носителей информации, ее содержащих, законному владельцу или обладателю содержащейся на них информации в протоколе следственного действия делается запись.

49

Следователь в ходе следственного действия вправе скопировать информацию, содержащуюся на электронном носителе. В протоколе следственного действия должны быть указаны примененные при этом технические средства, порядок их применения, электронные носители информации, к которым эти средства были применены, и полученные результаты. К протоколу прилагаются электронные носители, содержащие скопированную информацию [2, ст. 164.1].

Уголовно-процессуальный закон предписывает обязательное участие понятых при осмотре места происшествия, однако, как указывают некоторые авторы, те должны обладать познаниями в области компьютерной техники и технологий [49, с. 5], что на практике трудно представить, в частности, из-за нередкой неотложности производства такого следственного действия. Проблема в том, что понятые, не обладающие специальными познаниями, могут позднее заявить о непонимании происходившего при производстве следственного действия.

Одно из самых распространенных следственных действий при расследовании любого преступления – допрос. Не являются исключением и преступления в сфере компьютерной информации.

При производстве допроса следователю необходимо избирать тактику действий в зависимости от механизма совершения преступления в сфере компьютерной информации [77, с. 27].

Р. С. Белкин верно описал допрос как процессуальное действие, заключающееся в получении показаний (информации) о событии, ставшем предметом уголовного судопроизводства, лицах, проходящих по делу, причинах и условиях, способствовавших совершению и сокрытию преступления [15, с. 64].

Как и иные следственные действия при расследовании преступлений в сфере информационных технологий, допрос обладает определенными особенностями.

На выбор тактики производства допроса влияет достаточность объема информации о расследуемом преступлении. Такие сведения следователь получает из различных источников, как процессуальных (результаты иных проведенных следственных действий), так и непроцессуальных (результаты оперативноразыскных мероприятий). Также при установлении обстоятельств совершения преступлений в сфере информационных технологий необходимы знания об особенностях механизма преступления, возможных орудиях и средствах его совершения.

Бесспорно, залогом успешно проведенного допроса является тщательная подготовка к его производству.

На подготовительной стадии обязательно использование полученных в ходе доследственной проверки материалов.

Н. Г. Шурухнов отмечает, что «…первоначальный допрос на предварительном следствии лица, от которого во время проведения предварительной проверки были получены объяснения, будет являться повторным изложением события, интересующего следствие. Данное обстоятельство имеет определенное значение, так как предварительная проверка создает благоприятную базу для до-

50