«Крылов В.В. Информационные компьютерные преступления: Учебное и практическое пособие. – М.: Инфра-М – Норма, 1997. – 285 с. Содержание От автора 1. Информация и информационные отношения как новый криминалистический ...»

Новый УК Российской Федерации не содержит такого разграничения. С точки зрения законодателя, любая программа, специально разработанная или модифицированная для не санкционированного собственником информационной системы уничтожения, блокирования, модификации либо копирования информации, нарушения обычной работы ЭВМ, является вредоносной, и лица, создавшие, использовавшие и распространявшие ее должны быть привлечены к уголовной ответственности.

Существуют различные классификации вирусных программ4. Не все они могут иметь значение для криминалистических исследований, поскольку создание таких классификаций чаще всего подчинено прикладным задачам выявления и уничтожения вирусов.

Для криминалистики же интересны данные, характеризующие последствия действия вредоносных программ и их наиболее явные проявления, позволяющие зафиксировать результаты действия программ, например, в свидетельских показаниях.

Поэтому приведем ряд известных по литературе описаний результатов нападения на информационные системы.

"Троянские программы (кони)".Работа таких программ связана с наличием в них, наряду с внешней полезностью, скрытого модуля, выполняющего различные, часто В соответствии с Законом "О правовой охране программ" программа для ЭВМ — это объективная форма представления совокупности данных и команд, предназначенных для функционирования электронных вычислительных машин (ЭВМ) и других компьютерных устройств с целью получения определенного результата.

См.: Толковый словарь по информатике. М., 1991. С. 52.

О классификациях вирусов см., например: Безруков Н. Я. Компьютерная вирусология. С. 125 —144.

Там же. С. вредные для пользователя, функции. Нередко эти программы распространяются как новые версии уже известных программных продуктов.

Примером такой программы является вирусная программа "SURPRISE", которая при запуске выполняет удаление всех файлов в директории, а затем выводит на экран надпись:

"SURPRISE!" (Сюрприз!)".

Описан случай, когда преступная группа смогла договориться с программистом, работающим над банковским программным обеспечением, о том, чтобы он ввел подпрограмму, которая после установки предоставит преступникам доступ в систему с целью перемещения денежных средств1.

Такие троянские программы, обеспечивающие вход в систему или привилегированный режим работы с ней, называют также "люками" (back door).

Известно, что во время проведения военной операции "буря в пустыне" в Персидском заливе система ПВО Ирака оказалась заблокированной и не смогла адекватно реагировать на вторжение сил противника в воздушное пространство. Высказывается предположение, что закупленная во Франции вычислительная техника, обеспечивающая системы ПВО Ирака, имела управляемые извне "электронные закладки", блокировавшие работу вычислительной системы2. Разновидностью троянских программ являются "логические бомбы и бомбы с часовым механизмом". Работа такой вирусной программы начинается при определенных условиях — наступлении какой-либо даты, времени, иного значимого события. Замечено, что такие программы чаще всего используются обиженными сотрудниками в качестве формы мести нанимателю.

Опубликована история о программисте Горьковского автозавода, который перед своим увольнением встроил в программу, управляющую главным конвейером завода "мину", которая сработала спустя некоторое время после его увольнения и привела к остановке конвейера3.

Другой пример: программист, предвидя свое увольнение, вносит в программу начисления заработной платы определенные изменения, работа которых начнется, если его фамилия исчезнет из набора данных о персонале фирмы4.

В штате Техас программист предстал перед судом по обвинению в удалении более чем 160 000 файлов из компьютера своего бывшего работодателя при помощи вируса 5.

Вирусная программа типа "Червь" представляет собой паразитический процесс, истощающий ресурсы системы. Так, саморазмножающаяся программа "Рождественская открытка" застопорила работу огромной международной системы электронной почты, заняв все доступные ресурсы"6.

Создание вредоносных программ — целенаправленная деятельность, включающая (в самом общем виде):

постановку задачи, определение среды существования и цели программы;

выбор средств и языков реализации программы;

написание непосредственно текста программы;

отладку программы;

запуск и работу программы.

Все эти действия при постановке задачи создания вредоносной программы и наличии объективных следов их выполнения могут быть признаны наказуемыми в уголовном Ярочкин В. П. Безопасность информационных систем. М., 1996. С. 125.

Ефимов А., Кузнецов П., Лукашкин А. Проблема безопасности программного обеспечения военной техники и других критических систем // Защита информации. Конфидент. № 2. 1994. С. 13.

Безруков Н. Н. Указ. соч. С. 81.

Ярочкин В. И. Указ. соч. С. 125.

Файтс Ф., Джонстон П., Кратц М. Компьютерный вирус проблемы и прогноз. Пер. с англ. Ы, 1994. С.

122.

Там же. С. 34.

порядке.

Поэтому кажутся неточными утверждения о том, что выпуск в свет, воспроизведение и иные действия по введению такой программы в хозяйственный оборот являются использованием вредоносной программы1: данные действия более характерны для создания программы.

Внесение изменений вредоносного характера в уже существующую программу, превращающую ее в вирусоносителя, как правило, связано с модификацией программ 2, что может быть при некоторых условиях расценено как неправомерный доступ к компьютерной информации (ст. 272 УК РФ).

';

Использование вредоносных программ подразумевает применение разработанных иным лицом вредоносных программ при эксплуатации ЭВМ и обработке информации.

Следует обратить особое внимание на признак санкционированности наступления опасных последствий при действии вредоносных программ. Очевидно, что собственник информационного ресурса вправе в необходимых случаях (например, исследовательские работы по созданию антивирусных средств и т. п.) использовать вредоносные программы.

Естественно, что для квалификации действий как использование вредоносных программ необходимо доказать, что лицо заведомо знало о свойствах используемой программы и последствиях ее применения. При этом, вероятно, достаточно, чтобы это лицо знало не обо всех вредоносных свойствах программы, а лишь о некоторых из них.

2.2.3.2.4. Распространение вредоносных программ Под распространением программ в соответствии с Законом "О правовой охране программ" (ст. 1) понимается предоставление доступа к воспроизведенной в любой материальной форме программе для ЭВМ или базе данных, в том числе сетевыми и иными способами, а также путем продажи, проката, сдачи внаем, предоставления взаймы, включая импорт для любой из этих целей.

Представляется, что это определение можно распространить и на вредоносные программы.

Следует учитывать, что лица, совершившие эти действия по неосторожности, то есть по легкомыслию или небрежности (см.: ст. 26 УК РФ)3, также подлежат ответственности.

Из этого следует, например, что лица, обнаружившие "вирусную программу", но не принявшие немедленных мер к ее локализации, уничтожению и допустившие таким образом ее дальнейшее распространение, должны быть привлечены к ответственности за свои действия.

2.2.3.3. Нарушение правил эксплуатации ЭВМ (ст. 274) Существует как минимум два вида правил эксплуатации ЭВМ, которыми должны Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под ред. Ю. И. Скуратова и В. М. Лебедева.. С. 419.

См. об этом: 2.2.3.5. Модификация информации.

Текстуально ст. 26 нового УК выглядит следующим образом:

Преступление, совершенное по неосторожности 1. Преступлением, совершенным по неосторожности, признается деяние, совершенное по легкомыслию или небрежности.

2. Преступление, признается совершенным по легкомыслию, если лицо предвидело возможность наступления общественно опасных последствий своих действий (бездействия), но без достаточных к тому оснований самонадеянно рассчитывало на предотвращение этих последствий.

Преступление признается совершенным по небрежности, если лицо не предвидело возможности наступления общественно опасных последствий своих действии (бездействия), хотя при необходимой внимательности и предусмотрительности должно было и могло предвидеть эти последствия.

руководствоваться в своей деятельности лица, работающие с ЭВМ.

Первый вид правил — инструкции по работе с ЭВМ и машинными носителями информации, разработанные изготовителем ЭВМ и периферийных технических устройств, поставляемых вместе с данным экземпляром ЭВМ. Эти правила обязательны к соблюдению пользователем ЭВМ под угрозой, самое меньшее, потери прав на гарантийный ремонт и обслуживание.

Второй вид правил — правила, установленные собственником или владельцем информационных ресурсов, информационных систем, технологий и средств их обеспечения, определяющие порядок пользования ЭВМ, системой ЭВМ и сетью ЭВМ, а также иными машинными носителями информации.

Нарушение и тех и других видов правил, повлекшее причинение предусмотренного уголовным законом вреда собственнику информационного ресурса, является уголовно наказуемым.

Уничтожение информации — наиболее опасное явление, поскольку при этом собственнику информационной системы наносится максимальный реальный вред.

Наиболее опасным разрушающим информационные системы фактором чаще всего являются действия людей: уничтожение информации осуществляется умышленными и неосторожными действиями лиц, имеющих возможность воздействия на эту информацию.

Причины программно-технического характера, связанные с недостатками или сбоями в работе устройств и систем, встречаются реже и связаны главным образом с эксплуатационными ошибками или бракованными элементами устройств.

Несмотря на достаточно широкое в целом использование термина "уничтожение" в общеупотребительной лексике, в юридической литературе уже наметились тенденции, связанные с различиями в трактовке термина "уничтожение информации", введенного законодателем в новом УК РФ.

Так, некоторые ученые считают, что уничтожение информации представляет собой ее удаление с физических носителей, а также несанкционированные изменения составляющих ее данных, кардинально меняющие ее содержание (например, внесение ложной информации, добавление, изменение, удаление записей)1.

Другие полагают, что под уничтожением информации следует понимать ее утрату при невозможности ее восстановления2 или стирание ее в памяти ЭВМ3.

Наконец, ряд специалистов рассматривают уничтожение информации как приведение ее либо полностью, либо в существенной части в непригодное для использования по назначению состояние4.

Исходя из базовых приведенных и сформулированных нами ранее определений мы полагаем, что под уничтожением компьютерной информации следует понимать полную физическую ликвидацию информации или ликвидацию таких се элементов, которые влияют на изменение существенных идентифицирующих информацию признаков.

Вопрос о модификации информации является весьма сложным. В специализированных словарях термин "модификация" используют для обозначения изменений, не меняющих сущности объекта5. Подобные действия над компьютерной Научно-практический комментарии к Уголовному кодексу Российской Федерации в двух томах. Том второй. С. 235.

Комментарий к Уголовному кодексу Российской Федерации / Под ред. А. В. Наумова. С. 664.

Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под ред. Ю. И. Скуратова и В. М. Лебедева. С. 416.

Уголовный кодекс Российской Федерации Постатейный комментарий. С. 58:

Заморин А. П., Марков А. С. Толковый словарь по вычислительной технике и программированию. С. 108.

информацией напрямую связаны с понятиями "адаптации" и "декомпиляции" программ, уже существующими в действующем законодательстве.

Статьей 15 Закона "О правовой охране программ"1 установлено, что лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, вправе без получения дополнительного разрешения правообладателя осуществлять любые действия, связанные с функционированием программы для ЭВМ или базы данных в соответствии с ее назначением, в том числе запись и хранение в памяти ЭВМ, а также исправление явных ошибок (подчеркнуто мною. — В. К.).

Такое лицо вправе без согласия правообладателя и без выплаты ему дополнительного вознаграждения осуществлять адаптацию (подчеркнуто мною. — В. К.) программы для ЭВМ или базы данных.

Статьей 25 Закона "Об авторском праве" предусмотрено, что лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, вправе без получения разрешения автора или иного обладателя исключительных прав на использование произведения и без выплаты дополнительного вознаграждения произвести следующие операции:

1. Внести в программу для ЭВМ или базу данных изменения, осуществляемые исключительно в целях ее функционирования на технических средствах пользователя, осуществлять любые действия, связанные с функционированием программы дли ЭВМ или базы данных в соответствии с ее назначением, в том числе запись и хранение в памяти ЭВМ (одной ЭВМ или одного пользователя сети), а также исправление явных ошибок, если иное не предусмотрено Договором с автором.

2. Воспроизвести и преобразовать объектный код в исходный текст (декомпилировать программу для ЭВМ) или поручить иным лицам осуществить эти действия, если они необходимы для достижения способности к.взаимодействию независимо разработанной этим лицом программы для ЭВМ с другими программами, которые могут взаимодействовать с декомпилируемой программой, при соблюдении следующих условий:

1) информация, необходимая для достижения способности к взаимодействию, ранее не была доступна этому лицу из других источников;

2) указанные действия осуществляются в отношении только тех частей декомпилируемой программы для ЭВМ, которые необходимы для достижения способности к взаимодействию;

3) информация, полученная в результате декомпилирования, может использоваться лишь для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, не может передаваться иным лицам, за исключением случаев, если это необходимо для достижения способности к взаимодействию независимо разработанной программы для ЭВМ с другими программами, а также не может использоваться для разработки программы для ЭВМ, по своему виду существенно схожей с декомпилируемой программой для ЭВМ, или для осуществления любого другого действия, нарушающего авторское право.

Таким образом, законом санкционированы следующие виды легальной модификации программ, баз данных (а следовательно, информации) лицами, правомерно владеющими этой информацией:

а) модификация в виде исправления явных ошибок;

б) модификация в виде внесения изменений в программы, базы данных для их функционирования на технических средствах пользователя;

в) модификация в виде частичной декомпиляции программы для достижения способности к взаимодействию с другими программами.

Рассматривая данную ситуацию, одни юристы полагают, что модификация компьютерной информации — это внесение в нее любых изменений, кроме связанных с адаптацией программы для ЭВМ или базы данных2. Другие считают, что модификация См.: Приложение (5.2.1).

Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под ред. Ю. И. Скуратова информации означает изменение ее содержания по сравнению с той информацией, которая первоначально (до совершения деяния) была в распоряжении собственника или законного пользователя1. Третьи рассматривают модификацию информации как изменение логической и физической организации базы данных2.

Следует, по-видимому, признать, что модификацией информации является и изменение установленного собственником информационной системы маршрута ее следования в системе или в сети ЭВМ. Фактически такая модификация производится не над самой информацией, а над присвоенными ей системой в автоматическом режиме или пользователем системы реквизитами — командами об адресе получателя информации.

Вероятно, это приводит к нарушению стандартного порядка работы ЭВМ и может рассматриваться как элемент соответствующего признака.

Анализ законодательства и мнений специалистов показывает, что под модификацией информации следует понимать внесение в нее любых изменений, обусловливающих ее отличие от той, которую включил в систему и которой владеет собственник информационного ресурса. Вопрос о легальности произведенной модификации информации следует решать с учетом положений законодательства об авторском праве.

Термин "копирование" как изготовление копии объекта не требует дополнительных пояснений.

Тем не менее многие юристы, характеризуя это действие, по сути, дают определение частным случаям копирования.

Так, одни полагают, что копирование — это изготовление второго и последующих экземпляров базы данных, файлов в любой материальной форме, а также их запись в память ЭВМ3. Другие считают, что копирование компьютерной информации — это повторение и устойчивое запечатление ее на машинном или ином носителе4. Третьи понимают под копированием информации ее переписывание, а также иное тиражирование при сохранении оригинала, а также и ее разглашение5.

Важным вопросом является проблема мысленного запечатления полученной информации в процессе ознакомления с нею в памяти человека, без которого, кстати, невозможно ее разглашение. Здесь на первый взгляд возникает некий пробел в уголовноправовой защите конфиденциальности документированной информации, содержащейся в информационных системах.

Если придерживаться понимания термина "копирование" только как процесса изготовления копии документированной информации в виде физически осязаемого объекта, то все случаи проникновения злоумышленников в информационные системы, не связанные с копированием (и иными предусмотренными законодателем действиями и (или) последствиями), но приведшие к ознакомлению с информацией независимо от того, какой режим использования информации установил ее собственник, не являются противоправными.

По-видимому, в подобных ситуациях следует рассматривать совершенные лицом действия с учетом существования других уголовно-правовых запретов, касающихся иных форм информационных преступлений6.

и В. М. Лебедева. С. 415.

Комментарий к Уголовному кодексу Российской Федерации / Под ред. А. В. Наумова. С. 664.

Научно-практический комментарий к Уголовному кодексу Российской Федерации в двух томах. Том второй. С. 235.

Научно-практический комментарий к Уголовному кодексу Российской Федерации в двух томах. Том второй. С. 235.

Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под ред. Ю. П. Скуратова и В. М. Лебедева. С. 415.

Комментарий к Уголовному кодексу Российской Федерации / Под ред. А. В. Наумова. С. 664.

См.: 5.2.10. Уголовный кодекс Российской Федерации (извлечение).

Правовое регулирование копирования информации имеет ряд специфических особенностей.

Следует прежде всего отметить, что Законами "О правовой охране программ" и "Об авторском праве" предусмотрен ряд случаев, когда копирование информации и программ является легальным.

Так, как уже указывалось, ст. 15 Закона "О правовой охране программ" и ст. Закона "Об авторском праве" установлено, что лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, вправе без получения дополнительного разрешения правообладателя осуществлять любые действия, связанные с функционированием программы для ЭВМ или базы данных в соответствии с ее назначением, в том числе запись и хранение в памяти ЭВМ.

Запись и хранение в памяти ЭВМ допускаются в отношении одной ЭВМ или одного пользователя в сети, если иное не предусмотрено договором с правообладателем.

Лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, вправе без согласия правообладателя и без выплаты ему дополнительного вознаграждения изготавливать или поручать изготовление копии программы для ЭВМ или базы данных при условии, что эта копия предназначена только для архивных целей и при необходимости (в случае, когда оригинал программы для ЭВМ или базы данных утерян, уничтожен или стал непригодным для использования) для замены правомерно приобретенного экземпляра. При этом копия программы для ЭВМ или базы данных не может быть использована для иных целей и должна быть уничтожена в случае, если дальнейшее использование этой программы для ЭВМ или базы данных перестает быть правомерным.

Таким образом, легальному пользователю копирование и перенос информации на машинные носители разрешены а) для целей использования информации, б) для хранения архивных дубликатов.

В иных случаях копирование информации без явно выраженного согласия собственника информационного ресурса независимо от способа копирования, вероятно, является уголовно наказуемым.

В связи с этим нельзя согласиться с высказанным в литературе мнением о том, что копирование компьютерной информации от руки, путем фотографирования с экрана дисплея, а также перехвата излучений ЭВМ и другие подобные способы не охватываются содержанием раздела о преступлениях в области компьютерной информации1.

Способ копирования, на наш взгляд, не имеет существенного значения, поскольку защите в рассматриваемом случае подлежит информация (в смысле данного нами определения компьютерной информации), в каком бы месте она не находилась.

С другой стороны, следует признать справедливым утверждение о том, что нельзя инкриминировать лицу копирование информации в случае, когда в ходе проникновения в ЭВМ и ознакомления с находящейся там информацией программные механизмы ЭВМ автоматически скопируют тот или иной файл2.

В то же время в ходе ознакомления с чужой информацией злоумышленник на техническом уровне переносит (копирует) информацию в ОЗУ собственной ЭВМ и просматривает ее на экране. Даже если эта информация не распечатывается на бумажные носители — налицо ее копирование с одного машинного носителя на другой машинный носитель.

Термин "блокирование информации" имеет различные смысловые значения, что и Комментарий к Уголовному кодексу Российской Федс-раиин часть / Под ред. Ю. И. Скуратова и В. М.

Лебедева. С. 415.

Там же. С. 416.

находит свое отражение в его трактовке в литературе. В публикациях по вычислительным системам под "блокировкой" понимается запрещение дальнейшего выполнения последовательности команд, или выключение из работы какого-либо устройства, или выключение реакции какого-либо устройства ЭВМ1.

Некоторые юристы полагают, что блокирование информации — это невозможность ее использования при сохранности такой информации2.

Другие указывают, что блокирование компьютерной информации — это искусственное затруднение доступа пользователей к компьютерной информации, не связанное с ее уничтожением3.

Наконец, ряд специалистов считают, что блокирование представляет собой создание условий (в том числе и с помощью специальных программ), исключающих пользование компьютерной информацией ее законным владельцем4.

Фактически, если незаконное воздействие на ЭВМ или программы для ЭВМ стало причиной остановки ("зависания") действовавших элементов или программ ЭВМ, ее устройств и связанных систем, налицо элемент "блокировки" ЭВМ.

Полагаем, что блокирование — результат воздействия на ЭВМ и ее элементы, повлекшего временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией.

В литературе указывается, что нарушение работы ЭВМ, системы ЭВМ или их сети может выразиться в их произвольном отключении, в отказе выдать информацию, в выдаче искаженной информации при сохранении целостности ЭВМ, системы ЭВМ или их сети5.

Нарушение работы ЭВМ, системы ЭВМ или их сети может рассматриваться и как временное или устойчивое создание помех для их функционирования в соответствии с назначением6.

Статьей 9 п. 3 Закона "Об участии в международном информационном обмене" рассматривается частный случай нарушения работы ЭВМ:

"При обнаружении нештатных режимов функционирования средств международного информационного обмена, то есть возникновения ошибочных команд, а также команд, вызванных несанкционированными действиями обслуживающего персонала или иных лиц, либо ложной информации собственник или владелец этих средств должен своевременно сообщить об этом в органы контроля за осуществлением международного информационного обмена и собственнику или владельцу взаимодействующих средств международного информационного обмена..."

Выше указывалось на сходство с модификацией информации действий по изменению установленного собственником информационной системы маршрута ее следования в системе или в сети ЭВМ и на то, что такая модификация приводит к нарушению стандартного порядка работы ЭВМ и может рассматриваться как элемент понятия "нарушение работы ЭВМ".

Представляется, что в понятие нарушение работы ЭВМ следует включать любую нестандартную (нештатную) ситуацию с ЭВМ или се устройствами, находящуюся в причинной связи с неправомерными действиями и повлекшую уничтожение, блокирование, модификацию или копирование информации.

Толковый словарь по вычислительным системам. С. 51, 143.

Комментарий к Уголовному кодексу Российской Федерации / Под ред. А. В. Наумова. С. 664.

Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под ред. Ю. И. Скуратова и В. М. Лебедева. С. 416.

Научно-практический комментарий к Уголовному кодексу Российской Федерации в двух томах. Том второй. С. 236.

Комментарий к Уголовному кодексу Российской Федерации / Под ред. А. В. Наумова. С. 664.

Комментарий к Уголовному кодексу Российской Федерации. Особенная часть / Под ред. Ю. И. Скуратова и В. М. Лебедева. С. 416.

2.2.3.9. Иные последствия воздействия на компьютерную информацию Иными последствиями воздействия на компьютерную информацию, указанными в Законе, являются тяжкие последствия (ч. 2 ст. 273, ч. 2 ст. 274 УК РФ) и существенный вред (ч. 1 ст. 274 УК РФ).

Оба понятия являются оценочными, и установление объема причиненного собственнику информационной системы вреда в результате воздействия вредоносных программ или нарушения правил эксплуатации ЭВМ будет осуществляться судом с учетом совокупности полученных данных.

2.3. Данные о способе и механизме совершения преступления Элементами криминалистической характеристики преступления любого вида являются данные о механизме совершения преступления, данные о способе совершения преступления, данные об обстановке совершения преступления, данные о свойствах личности лица, совершившего преступление.

В криминалистике под способом совершения преступления понимают объективно и субъективно обусловленную систему поведении субъекта до, в момент и после совершения преступления, оставляющую различного рода характерные следы вовне, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и соответственно определить наиболее оптимальные методы решения задач раскрытия преступления1.

Механизм совершения преступления понимается как система данных, описывающих временной и динамический порядок связи отдельных этапов, обстоятельств, факторов подготовки, совершения и сокрытия следов преступления, позволяющих воссоздать картину процесса его совершения2.

Из приведенных определений следует, что у каждого способа совершения преступления существует свой механизм. Именно обобщенные данные о механизме совершения преступления содержат сведения о наиболее характерных следах преступления. Рассмотрим существующие на сегодняшний день криминалистические знания о компьютерных преступлениях с этих точек зрения.

Выше уже отмечалось, что с появлением нового средства обработки информации компьютер и программное обеспечение могут быть:

а) предметом законных и незаконных сделок, а также предметом хищения как ценные объекты или противоправного использования.

б) инструментом преступной деятельности, например средствами незаконного доступа к удаленным информационным ресурсам, разработки и запуска "компьютерных вирусов", причиняющих существенный материальный ущерб, и др.

в) хранилищем и инструментом обработки информации о преступной деятельности, например данных о действительном состоянии учета и движения материальных ценностей, о партнерах по противоправным сделкам и их содержании.

г) использованы как средство подготовки управленческих решений, которые повлекли негативные результаты3.

Новый уголовный закон определил свою позицию относительно наказуемости конкретных действий с компьютерами и компьютерной информацией.

Прежде всего отметим, что в тех случаях, когда рассматривается проблема безопасности информационных систем, базирующихся на применении компьютерной техники, специалистами обычно имеются в виду конкретные организационные и программно-технические меры, обеспечивающие защиту систем и сетей ЭВМ от действий, которые могут повлечь нарушение целостности и конфиденциальности Криминалистика. С. Криминалистика. С. Компьютерные технологии в юридической деятельности. С. 228.

находящейся в системах информации. Говоря о целостности, подразумевают защиту данных от разрушения и изменения, в том числе и от вирусов. Конфиденциальность понимается как предотвращение возможности использования информации лицами, которые не имеют к ней отношения.

Как следует из вышеизложенного, для преступлений в области компьютерной информации характерны три формы преступного поведения:

а) получение возможности знакомиться и осуществлять операции с чужой компьютерной информацией, находящейся на машинных носителях, т. е. направленные прежде всего на нарушение конфиденциальности информации.

б) изготовление и распространение вредоносных программ, как таких, которые приводят к нарушению целостности, так и направленных на нарушение конфиденциальности информации.

в) и наконец, действия, связанные с нарушением порядка использования технических средств, повлекшие нарушение целостности и конфиденциальности информации.

Поскольку, как видно из приведенных характеристик, действия, указанные в п. "а" и "б", всегда связаны с нарушением порядка использования информационной системы (в том числе и составляющих ее технических средств, т. е. ЭВМ и т. п.), установленного ее собственником (владельцем), при совершении преступлений, предусмотренных ст. 272, 273 УК РФ, всегда присутствуют элементы преступления, предусмотренного ст. 274 УК РФ. Разграничение составов осуществляется по признаку направленности умысла преступника и его статусу в информационной системе.

Специалисты по защите информационных систем, изучающие каналы несанкционированного получения информации злоумышленниками, выделяют следующие возможные направления их действий :

хищение машинных носителей информации в виде блоков и элементов ЭВМ (например, флоппи-дисков);

копирование машинных носителей информации;

копирование документов с исходными данными;

копирование с устройств отображения информации (устройств вывода), выходных документов;

использование визуальных, оптических и акустических средств наблюдения за ЭВМ;

считывание и расшифровка различных электромагнитных излучений и "паразитных наводок" в ЭВМ и в обеспечивающих системах;

запоминание информации;

фотографирование информации в процессе ее обработки;

изготовление дубликатов входных и выходных документов;

копирование распечаток;

использование программных "ловушек";

маскировка под зарегистрированного пользователя;

использование недостатков программного обеспечения и операционных систем;

использование поражения программного обеспечения "вирусами";

подмена и хищение машинных носителей информации и документов;

подмена элементов программ и баз данных;

включение в программы блоков типа "троянский конь", "бомба" и т. п.;

чтение информации из ОЗУ;

несанкционированное подключение к основной и вспомогательной аппаратуре ЭВМ, внешним запоминающим устройствам, периферийным устройствам, линиям связи и др.

Для получения сведений о путях проникновения в информационные системы осуществляется:

использование визуальных, оптических и акустических средств наблюдения за Приводим их с существенными сокращениями за счет чисто технических деталей. Подробнее об этом см.:

Герасименко В. А. Защита информации в автоматизированных системах обработки данных. В 2 кн. Кн. 1. М., 1994. С. 170—174.

лицами, имеющими отношение к необходимой злоумышленнику информации и подслушивание их разговоров;

осмотр и изучение не полностью утилизированных отходов деятельности вычислительных центров;

вступление в прямой контакт с лицами, имеющими отношение к необходимой злоумышленнику информации и получение от них под выдуманными предлогами сведений о каналах проникновения в ЭВМ.

Понятно, что часть из этих действий являются вспомогательными.

Вероятно, приведенное описание возможных способов действий, направленных на нарушение конфиденциальности и целостности информации близко к исчерпывающему.

Злоумышленники, стремящиеся проникнуть в информационные системы, осуществляют воздействие прежде всего на программно-технические устройства:

управления связью с другими пользователями;

управления устройствами ЭВМ;

управления файлами (копирование, удаление, модификация).

Именно устройства управления связью с другими пользователями являются "воротами", открыв которые можно получить доступ к компьютерной информации.

Распространены попытки несанкционированного входа в систему путем проверки всех телефонных номеров организации для определения места присоединения модема или создания специальной программы, автоматически подбирающей код входа в систему.

Такая программа, перебирая возможные варианты, "дозванивается" до входа в систему.

Иначе и проще поступал известный "хакер" Кевин Митник. Он дозванивался до интересующей его организации и по голосовой связи, представляясь вымышленным именем и должностью, уточнял номер телефонного канала, по которому осуществлялся вход в систему.

Первичное обнаружение признаков неправомерных действий посторонних лиц с компьютерами и информацией осуществляется, как правило, специалистами и пользователями, работающими с конкретными ЭВМ.

Косвенными признаками постороннего вмешательства в работу ЭВМ и доступа к информации, вызывающими подозрения, являются:

а) изменения заданной в предпоследнем сеансе работы с ЭВМ структуры файловой системы1, в том числе:

переименование каталогов и файлов;

изменения размеров и содержимого файлов;

изменения стандартных реквизитов файлов;

появление новых каталогов и файлов и т. п.;

б) изменения в заданной ранее конфигурации2 компьютера, в том числе:

изменение картинки и цвета экрана при включении;

изменение порядка взаимодействия с периферийными устройствами (например, принтером, модемом и т. п.);

появление новых и удаление прежних сетевых устройств и др.;

в) необычные проявления в работе ЭВМ:

замедленная или неправильная загрузка операционной системы3;

замедление реакции машины на ввод с клавиатуры:

замедление работы машины с дисковыми устройствами (загрузка и запись информации);

неадекватные реакции ЭВМ на команды пользователя;

О понятии структуры файловой системы см.: 5.1.1.3. Понятие каталога (директории).

О понятии "конфигурация'' см.: 5.1.4.7. Конфигурация компьютера.

Операционная система — специальная программа, обеспечивающая взаимодействие всех устройств ЭВМ между собой и с оператором (пользователем) См. об этом: 5.1.3. 05 операционной системе.

появление на экране нестандартных символов и т. и.

Признаки групп "а" и "б" могут свидетельствовать об имевших место фактах неправомерного доступа к ЭВМ или о нарушении правил ее эксплуатации. Признаки группы "в", кроме того, могут являться свидетельством о появлении в ЭВМ вредоносных программ — "вирусов" (далее для удобства изложения будем использовать этот термин).

Помимо очевидных признаков, связанных с демонстрационным эффектом, характерным для конкретного вируса, на поражение программы, могут указывать также следующие: изменение длины командного процессора (COMMAND.СОМ); выдача сообщений об ошибках чтения/записи при чтении информации, при загрузке программ с дискет и других внешних устройств; изменение длины и/или даты создания программы;

программа выполняется медленнее, чем обычно; возрастание времени загрузки, зацикливание при загрузке: необъяснимые обращения к дискетам и файлам на защищенных дисках; потеря работоспособности некоторых резидентных программ и драйверов; аварийное завершение ранее нормально функционировавших программ;

необъяснимое "зависание" или перезагрузки системы; уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение объема системной памяти или свободной памяти после загрузки; резкое уменьшение доступной дисковой памяти, хотя файлы не добавлялись и не удалялись; появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы 1.

Стандартной реакцией пользователя в таких случаях является повторный запуск ЭВМ, т. е. выключение и новое включение ЭВМ. При появлении после этого тех же или иных признаков пользователь в зависимости от уровня своей компетентности и установленного владельцем или собственником информационных ресурсов порядка пользования ЭВМ либо пытается устранить проблемы сам, либо обращается к администратору системы.

Понятно, что в этот момент пользователь и администратор системы более заинтересованы в восстановлении работоспособности системы и устранении потерь информации, чем в фиксации признаков противоправных действий с ЭВМ.

Поэтому обстоятельства обнаружения первичных признаков компьютерных преступлений в дальнейшем, в ходе следствия, могут найти отражение лишь в свидетельских показаниях (за исключением случаев, когда имеют физические повреждения устройства ЭВМ)2.

Обычно первые случаи проникновения в ЭВМ, где хранится не слишком важная информация, посторонних лиц или "вирусов" не вызывает у администратора активных действий. Лишь повторение таких случаев инициирует активный поиск источника проблем и осуществление мер по противодействию.

Именно на этом этапе целесообразно подключение к проведению дознания компетентных органов.

Большинство современных операционных систем обеспечивают режим коллективного доступа к ресурсам отдельной ЭВМ и присоединение локальной ЭВМ к другим ЭВМ, периферийным устройствам и сетям ЭВМ 3. Как правило, в составе таких операционных систем существуют как средства разделения ресурсов между отдельными пользователями (категориями пользователей), так и средства контроля за действиями конкретного пользователя в области выделенных ему ресурсов со стороны администратора системы.

Безруков Н. Н. Указ. соч. С. 105.

Между тем целесообразно было бы всем владельцам либо собственникам информационных ресурсов установить внутренними актами, определяющими порядок действий пользователей в подобных ситуациях, обязанность фиксации таких признаков.

При этом сети ЭВМ условно можно разделить на локальные, то есть работающие в рамках одной компании, организации, и соединяющиеся между собой на электрическом уровне кабелями, и глобальные, объединяющие локальные сети обычно с помощью модемов и обменивающиеся информацией посредством выделенных или простых телефонных линий.

Вызываемые вирусами эффекты могут быть классифицированы по следующим основным категориям:

отказ компьютера от выполнения стандартной функции;

выполнение компьютером действий, не предусмотренных программой;

разрушение отдельных файлов, управляющих блоков и программ, а иногда и всей файловой системы (в том числе путем стирания файла, форматирования диска, стирания таблицы расположения файлов и др.);

выдача ложных, раздражающих, неприличных или отвлекающих сообщений1;

создание посторонних звуковых и визуальных эффектов;

инициирование ошибок или сбоев в программе или операционной системе, перезагрузка или "зависание" программ или систем;

блокирование доступа к системным ресурсам;

имитация сбоев внутренних и периферийных аппаратных устройств;

ускорение износа оборудования или попытки его порчи2. При возникновении "вирусных" проблем с отдельной ЭВМ, входящей в состав сети, администратор сети обычно пытается локализовать эту ЭВМ с целью недопущения распространения "вируса" по сети, выявления и ликвидации этого "вируса". Одновременно осуществляется поиск источника проникновения "вируса" в ЭВМ.

Наиболее частым случаем проникновения "вируса" в систему является работа пользователя с инфицированными дискетами3. Поэтому адекватной реакцией администратора системы является физическое прекращение работы всех пользователей системы с дисководами и требование о проверке всех пользовательских дискет.

Иногда последнее действие дает результат, и по пояснениям добросовестного пользователя, принесшего инфицированную "вирусом" дискету, удается установить, где именно произошло заражение.

Учитывая, что с помощью специальных "антивирусных" программ "вирусы" идентифицируются, то есть устанавливается тип, а иногда и наименование "вируса", в дальнейшем есть абстрактная возможность проследить шаг за шагом пути его "доставки" в конкретную ЭВМ.

В случаях "вирусной атаки" следует различать последствия этой атаки и действий по ее отражению. Обычно в подобных случаях используются антивирусные программы, подразделяющиеся на:

"детекторы" — программы, определяющие, заражена ли программа тем или иным вирусом;

"ревизоры" — программы, определяющие, внесены ли какие-либо изменения в текст программы или нет;

"фаги" — программы, вырезающие компьютерные вирусы из зараженных программ;

"вакцины" — программы, делающие компьютер в целом или отдельные программы невосприимчивыми к тому или иному типу компьютерного вируса;

"сторожа" — программы, выявляющие попытки выполнить "незаконные" операции с файлами4.

Например, вирус AntiC.1000 считается опасным нерезидентным вирусом. Он заражает *.СОМ и *.ЕХЕфайлы, причем ЕХЕ — файлы делает неработоспособными. Удаляет файлы *.MS. *.C, *.Н. Если вирусу удается удалить 4 и более таких файлов, то он выводит текст: "Ты на С не пиши!!! Это "непечатн."!!! Я вот пишу на Paskale!!!", затем выводит строку "Слушай..." и исполняет мелодию. Другой вирус — Веег. неопасный резидентный вирус. Ничего не уничтожает и не изменяет, но иногда выводит на экран текст:

"Сейчас бы пивка''.

Безруков Н. Н. Указ. соч. С. 106—107.

Гибкий (floppy) диск (дискета) — круглая, чаще пластмассовая пластинка, запаянная в квадратную картонную или пластиковую оболочку. На пластинке с магнитным покрытием через имеющиеся в оболочке отверстия производится запись и считывание информации специальным устройством ЭВМ — дисководом.

Используются дискеты размером 5,25 дюймов, запакованные в конверт из плотной бумаги, наиболее часто встречаются сейчас дискеты размером 3,5 дюйма — в пластмассовой упаковке.

Безруков Н. Н. Указ. соч. С. 5.

Под обстановкой совершения преступления понимается система различного рода взаимодействующих между собой до и в момент преступления объектов, явлений и процессов, характеризующих место, время, вещественные, природноклиматические, производственные, бытовые и иные условия окружающей среды, особенности поведения непрямых участников противоправного события, психологические связи между ними и другие факторы объективной реальности, определяющие возможность, условия и обстоятельства совершения преступления1.

Обстановка преступлений в сфере компьютерной информации характеризуется рядом существенных факторов.

Прежде всего следует указать, что эти преступления совершаются в области профессиональной деятельности. Преступники, как правило, владеют не только специальными навыками в сфере управления ЭВМ и ее устройствами, но и специальными знаниями в области обработки информации в информационных системах в целом.

При этом для корыстных преступлений, связанных с использованием информационных систем, необходимы и специальные познания в соответствующих финансовых, банковских и подобных информационных технологиях.

Для преступлений, касающихся нарушений правил эксплуатации ЭВМ и манипуляций с вредоносными программами, требуются специальные познания в узкой предметной профессиональной области устройств ЭВМ и программного обеспечения.

Все эти преступления всегда связаны с нарушением установленного порядка профессиональной деятельности, о котором лицам становится известно в ходе профессиональной подготовки, и, следовательно, вопросы умысла при оценке этих действий могут решаться достаточно однозначно.

Становится понятно, что для правонарушителей в данной области обычно вполне очевиден механизм нарушения правил пользования информационными ресурсами и его связь с событиями, повлекшими наступление криминального результата.

Большой криминалистической проблемой является характерное для большинства фактов покушения на целостность и конфиденциальность информации разнесение в пространстве и во времени совершения преступления и наступления общественноопасных последствий. Криминалистические методы раскрытия и расследования этих видов преступной деятельности могут быть эффективными только в случае активных оперативно-следственных мероприятий, проводящихся на межрегиональном уровне в пределах одной страны и на межгосударственном уровне — когда преступники использовали средства международного информационного обмена.

В силу указанных пространственно-временных факторов возникает и сложная для решения проблема доказывания причинной связи между действиями лица и наступившим результатом. Такая возможность предоставляется только в случаях точной работы с промежуточными доказательствами, получаемыми при отработке всех информационных систем, которые были задействованы преступником.

Важно учитывать социально-психологические условия, в которых ведется расследование. Настрой общества по отношению к информационным преступлениям под воздействием средств массовой информации периодически меняется. Это обстоятельство влияет на поведение участников расследования. Их отношения к преступлению могут быть совершенно полярными — от полного неприятия преступных действий, повлиявших на интересы некоторых слоев общества в конкретной стране, до возвеличивания отдельных преступников.

Так, российская пресса достаточно "тепло" отзывалась о действиях петербургского компьютерщика В. Левина, ограбившего иностранный City Bank. Вообще, следует отметить, что в российском обществе отношения к таким преступникам как к неким "Робин Гудам" достаточно сильны, поскольку, по-прежнему живы коммунистические идеалы отношения к собственности вообще и к собственности отдельных лиц — в Криминалистика. С. 51—52.

частности.

2.5. Данные о свойствах личности субъекта преступления Уголовный кодекс Российской Федерации разделил "компьютерных преступников" на следующие категории:

лица, осуществляющие неправомерный доступ к компьютерной информации;

лица, осуществляющие неправомерный доступ к компьютерной информации в группе по предварительному сговору или организованной группой;

лица, осуществляющие неправомерный доступ к компьютерной информации с использованием своего служебного положения;

лица, имеющие доступ к ЭВМ (здесь и далее имеется в виду доступ к ЭВМ, системе ЭВМ или их сети), но осуществляющие неправомерный доступ к компьютерной информации или нарушающие правила эксплуатации ЭВМ;

лица, создающие, использующие и распространяющие вредоносные программы.

Уголовной ответственности по УК РФ за преступления рассматриваемого вида подлежат вменяемые лица, достигшие 16 лет.

Зарубежный опыт свидетельствует о том, что субъекты компьютерных преступлений могут различаться как по уровню их профессиональной подготовки, так и по социальному положению. В литературе1 выделяют следующие типы "компьютерных" преступников:

а) нарушители правил пользования ЭВМ. Они совершают преступления из-за недостаточно хорошего знания техники, желания ознакомиться с интересующей их информацией, похитить какую-либо программу или бесплатно пользоваться услугами ЭВМ;

б) "белые воротнички" — так называемые респектабельные преступники:

бухгалтеры, казначеи, управляющие финансами различных фирм, адвокаты, вицепрезиденты компаний и т. п. Для них характерны такие действия, как использование компьютера в целях моделирования планируемых преступлений, компьютерный шантаж конкурентов, мистификация и фальсификация информации и т. д. Целью этих преступных действий является получение материальной выгоды или сокрытие других преступных действий;

в) "компьютерные шпионы". Они представляют собой хорошо подготовленных в техническом и организационном отношении специалистов. Их целью является получение стратегически важных данных о противнике в экономической, технической и других областях;

г) "хакеры", или "одержимые программисты". Эта категория лиц является наиболее технически и профессионально подготовленной, отлично разбирающейся в вычислительной технике и программировании.

Их деятельность направлена на несанкционированное проникновение в компьютерные системы, кражу, модификацию или уничтожение имеющейся в них информации. Зачастую они совершают преступления, не преследуя при этом прямых материальных выгод. Для них могут иметь важное значение мотивы самоутверждения, отмщения за обиду, желание "пошутить" и др. Поскольку данное наименование и тип преступников получили широкое распространение, приведем их более подробное описание2.

Компьютерные технологии в юридической деятельности. С. 234.

Термин "хакер" произошел от английского слова "hack" — рубить, кромсать. Из публикаций, характеризующих этих лиц, следует, что хакер — очень способный молодой человек, работающий за дисплеем по 12—16 часов подряд, до полного изнеможения. Питается урывками. Внешний вид свидетельствует о той, что он не обращает внимания на внешний мир и не слишком интересуется мнением окружающих: джинсы, мятая рубашка, нечесаные волосы. Блестяще знает все подробности операционной системы, языка ассемблера и особенности периферийного оборудования.

У одних основная продукция — маленькие недокументированные системные программы. Обычный метод их создания — "кромсание" чужих программ, что и объясняет смысл термина "хакер". После некоторых переделок в текст обычно вставляется экзотическое собственное прозвище. Цель деятельности — 1.Методика расследования преступлений в области компьютерной информации Методика расследования отдельных видов преступлений представляет собой целостную часть криминалистики, изучающую опыт совершения и практику расследования преступлений и разрабатывающую на основе познания их закономерностей систему наиболее эффективных методов расследования и предупреждения разных видов преступлений1.

Из сказанного можно сделать вывод, что создание полноценной методики расследования преступлений в области компьютерной информации дело будущего, поскольку отечественная практика расследования подобного вида преступлений еще явно недостаточна, чтобы определить типичные для нашей страны закономерности. В то же время уже сейчас можно рассматривать некоторые хорошо известные из отечественной и зарубежной практики элементы преступных действий в этой области и давать практические рекомендации относительно отдельных элементов данной частной методики расследования.

3.1. Проверка оснований к возбуждению уголовного дела Правовой базой2 деятельности по проверке оснований к возбуждению уголовного дела являются требования Уголовно-процессуального кодекса (ст. 108—109 УПК РСФСР) и Федерального закона от 12 августа 1995 г. № 144-ФЗ "Об оперативно-розыскной деятельности''3. Поводы для такой проверки прямо указаны в Законе. Это заявления и письма граждан, сообщения общественных организаций, предприятий, учреждений и их должностных лиц, публикации печати, явка с повинной, непосредственное обнаружение органом дознания, следователем, прокурором или судом признаков преступления (ст. УПК РСФСР).

В ходе такой проверки следователь и орган дознания рассматривают имеющиеся фактические данные для принятия решения о том, совершено ли преступление, и если да, то какое, а также принимают решения о подследственности 4. Именно эти факты дают основание для решения о возбуждении уголовного дела по признакам элементов конкретного состава преступления или об отказе в возбуждении дела.

Понятно, что в ходе доследственной проверки анализируется и определяется степень достоверности и основательности полученных первичных данных, и следствие нередко имеет лишь более или менее обоснованную версию о механизмах происшедших событий.

Способы получения доказательств на стадии доследственной проверки весьма ограничены. Это осмотр места происшествия и найденных на нем объектов, в том числе создание суперпрограммы (операционной системы, игры, вируса, антивируса, языка программирования и т.

п.), которая может "все".

Для других сверхзадача — проникновение в какую-нибудь систему, снятие защиты этой системы или с иного программного продукта.

Третья группа, иногда называемая "информационные путешественники", специализируется на проникновении в чужие компьютеры и сети.

Наконец, четвертые — создатели троянских программ и компьютерных вирусов. Впрочем, этих уже нельзя назвать хакерами, так как "неформальный кодекс" хакеров запрещает использование своих знаний во вред пользователям (См.: Безруков Н. Н. Указ. соч. С. 30).

Американские криминалисты характеризуют "хакеров" следующим образом: стеснительные, 'прикрываются" компьютером, интроверты, непопулярны среди остальных учащихся, весят ниже пли выше нормы, неорганизованные, неряшливы, неграмотно пишут, умные — высокий коэффициент интеллектуальности, плохая успеваемость, пик деятельности в 16—17 лет, красиво говорят, большое самомнение.

Криминалистика. С. 482.

Здесь и далее мы рассматриваем лишь те процессуальные правила, которые непосредственно влияют на криминалистические рекомендации.

Собрание законодательства Российской Федерации, 1995, № 33. ст. 3349.

То есть какой именно из существующих следственных органов обязан производить расследование в данном случае.

трупов, получение заявлений от граждан, истребование у должностных лиц документов и справок, назначение и проведение по поручению следствия ведомственных ревизий.

Доследственная проверка осуществляется органами дознания и в соответствии с Законом "Об оперативно-розыскной деятельности". В ходе осуществления оперативнорозыскной деятельности могут проводиться следующие оперативно-розыскные мероприятия1:

1.Опрос граждан.

2.Наведение справок.

3.Сбор образцов для сравнительного исследования.

4.Проверочная закупка.

5.Исследование предметов и документов.

6.Наблюдение.

7.Отождествление личности.

8.Обследование помещений, зданий, сооружений, участков местности и транспортных средств.

9.Контроль почтовых отправлений, телеграфных и иных сообщений.

10.Прослушивание телефонных переговоров.

10.Снятие информации с технических каналов связи.

11.Оперативное внедрение.

12.Контролируемая поставка.

13.Оперативный эксперимент.

Как видно из приведенного перечня, возможности процессуального исследования обстоятельств происшедшего на этой стадии весьма ограниченны. При этом следует учитывать и краткие сроки доследственной проверки. Обычный срок для принятия решения — 3 дня, в исключительных случаях — 10 дней. Для проведения оперативнорозыскных мероприятий могут быть установлены иные сроки.

Доследственная проверка проводится лишь в случаях, когда следователю, органу дознания в момент поступления материалов о совершенном преступлении не хватает данных для принятия решения или не ясна квалификация совершенного деяния. Учитывая специфику рассматриваемых преступлений, можно предположить, что проверка фактов совершения преступлений в области компьютерной информации будет сводиться к получению следующих данных:

уточнение способа нарушения целостности/конфиденциальности информации;

уточнение порядка регламентации собственником работы информационной системы;

уточнение круга лиц, имеющих возможность взаимодействовать с информационной системой, в которой произошли нарушения целостности/конфиденциальности информации для определения свидетельской базы и выявления круга заподозренных 2;

уточнение данных о причиненном собственнику информации ущербе.

Все эти сведения при их отсутствии в поступивших материалах должны быть истребованы у собственника информационной системы.

Важную роль в сборе данных о совершенном преступлении играют действия должностных лиц собственника информационной системы, осуществляющих процедуры, которые обеспечивают целостность/конфиденциальность информации в системе.

Опубликованные данные свидетельствуют, что исчерпывающая полнота защиты информационных систем может быть достигнута лишь при существенных материальных затратах и выполнении большого объема организационных мероприятий3. Поэтому собственник информационной системы соразмеряет собственные способы защиты системы в зависимости от ценности хранимой в ней информации со своими Закон "Об оперативно-розыскной деятельности" (ст. 6).

Термин "заподозренный" используется в криминалистической литературе в отношении лиц. которые находятся под подозрением у органов следствия или дознания, но не являются подозреваемыми в процессуальном смысле, предусмотренном ст. 122—123 УПК РСФСР. Фактически "заподозренный" — лицо, Б отношении которого выдвинута версия о причастности к расследуемому событию.

См. например: Герасименко В. А. Указ. соч.

организационными и материальными возможностями.

Между тем возможна и необходима дальнейшая разработка национальных рекомендаций общего характера о правилах действий в случаях, когда вторжение в систему правонарушителя возможно или уже произошло. Федеральное бюро расследований США на своей WEB — страничке в INTERNET рекомендует следующие процедуры2, которые любой пользователь компьютера должен осуществить до того, как он станет жертвой компьютерного преступления или после этого:

1. Разместить на входе в систему предупреждение о том, что несанкционированные пользователи могут контролироваться.

2. Установить в системе средства ревизии ее действий.

3. Осуществлять текущий контроль за реакцией системы на нажатие клавиш.

4. Установить средства контроля запросов к системе, прослеживающих путь от системы до локальной телефонной компании.

5. Установить средства определения телефонного номера абонента, обращающегося к системе.

6. Всегда делать и сохранять копии поврежденных или измененных файлов.

7. Обеспечить сохранность старых копий с тем, чтобы иметь возможность продемонстрировать оригиналы информации.

8. Установить и объявить о конкретном собственнике или пользователе информационной системы.

9. Сохранять доказательства несанкционированного вторжения в систему в виде копий и распечаток. Они должны быть подписаны лицом, получившим доказательство.

Доказательство должно сохраняться в месте, доступном одному человеку.

10. Сохранять записи действий с ресурсами, произведенных при восстановлении системы после вторжения3.

Понятно, что выполняя даже приведенные достаточно общие рекомендации, пользователи системы создают благоприятные условия для сбора доказательственной информации в ходе дальнейшего расследования.

3.2. Типичные следственные ситуации первоначального этапа и следственные действия Типовые ситуации — наиболее часто встречающиеся ситуации расследования, предопределяющие особенности методики расследования. Они включают в себя типовые следственные версии, типовые задачи расследования и методы и средства их решения.

Анализ отечественного и зарубежного опыта показывает, что можно выделить три типичные следственные ситуации:

1. Собственник информационной системы собственными силами выявил нарушения целостности/конфиденциальности информации в системе, обнаружил виновное лицо и заявил об этом в правоохранительные органы.

2. Собственник информационной системы собственными силами выявил нарушения целостности/конфиденциальности информации в системе, не смог обнаружить виновное лицо и заявил об этом в правоохранительные органы.

3. Данные о нарушении целостности/конфиденциальности информации в информационной системе и виновном лице стали общеизвестны или непосредственно обнаружены органом дознания (например, в ходе проведения оперативно-розыскных мероприятий по другому делу).

При наличии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а) нарушения целостности/конфиденциальности информации в системе;

Такие рекомендации не могут быть универсальными и должны быть привязаны к национальному уголовнопроцессуальному законодательству.

Перевод с английского в моей редакции. — В. К.

Адрес в INTERNET: FBI web page — http://www.fbi.go.

б) размера ущерба, причиненного нарушением целостности/конфиденциальности информации;

в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности/конфиденциальности информации в системе и характера совершенных виновным действий;

г) отношения виновного лица к совершенным действиям и наступившим последствиям.

Если преступник задержан на месте совершения преступления или сразу же после его совершения для данной ситуации характерны следующие первоначальные следственные действия:

а) личный обыск задержанного;

б) допрос задержанного;

в) обыск по месту жительства задержанного.

К типичным следственным действиям на данной стадии можно отнести осмотр 1 и фиксацию состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы 2 очевидцев, а также лиц. обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.

Важнейшим элементом работы является выемка (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к фиксации состояния рабочего места заподозренного, откуда он осуществил вторжение в информационную систему и где могут сохраняться следы его действий (их подготовки и реализации) в виде записей на машинных и обычных носителях информации. Рабочее место заподозренного может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).

Полученные в результате доказательства могут дать основания для принятия решения о привлечении лица к делу в качестве подозреваемого или сразу в качестве обвиняемого.

При отсутствии заподозренного виновного лица первоначальная задача следствия заключается в сборе с помощью собственника информационной системы и процессуальной фиксации доказательств:

а) нарушения целостности/конфиденциальности информации в системе;

б) размера ущерба, причиненного нарушением целостности/конфиденциальности информации;

в) причинной связи между действиями, образующими способ нарушения, и наступившими последствиями путем детализации способа нарушения целостности/конфиденциальности информации в системе и характера совершенных виновным действий.

Типичные следственные действия для решения указанных задач — осмотр3 и фиксация состояния ЭВМ, сетей ЭВМ и машинных носителей, допросы 4 очевидцев, а также лиц, обеспечивающих работу информационной системы, в том числе должностных лиц, представляющих собственника системы.

Важнейшим элементом работы является выемка5 (предпочтительно с участием специалиста) документов, в том числе на машинных носителях, фиксировавших состояния информационной системы в момент вторжения в нее злоумышленника или его программ и отражающих последствия вторжения.

Одновременно следует принять меры к поиску рабочего места заподозренного, откуда См.:3.3.1. Особенности производства осмотров и обысков См.: 3.3.3. Особенности допросов.

См.: 3.3.1. Особенности производства осмотров и обысков.

См.: 3.3.3. Особенности допросов.

См.: 3.3.1. Особенности производства осмотров и обысков.

он осуществил вторжение в информационную систему. Осуществляется поиск:

места входа в данную информационную систему и способа входа в систему — вместе с должностными лицами собственника информационной системы и с их помощью;

"путей следования" злоумышленника или его программы к "атакованной" системе — вместе с должностными лицами иных информационных и коммуникационных систем и с их помощью.

Такое место, как указывалось, может находиться как у него на службе, так и дома, а также в иных местах, где установлена соответствующая аппаратура, например студенческие вычислительные центры и др.).

В качестве примера действий в ситуации, когда виновное лицо подлежит обнаружению совместными усилиями правоохранительных органов и сотрудников различных информационных систем, рассмотрим следующий случай 1.

Злоумышленник вторгся в компьютерную сеть лаборатории ВВС США (штат НьюЙорк), причем его действия оставались незамеченными несколько дней.

Нападению подверглись три рабочие станции — часть сети лаборатории. Он инсталлировал в систему несколько специальных программ, позволяющих перехватывать нажатие клавиш пользователями системы и таким образом определил пароли пользователей для входа в сеть. Используя полученные пароли и коды, он копировал файлы с военной информацией, но не производил никаких изменений в исходных файлах.

Представители ВВС, обнаружив вторжение, начали наблюдение за действиями злоумышленника и обнаружили, что он, используя их сеть, не только копировал файлы лаборатории, но и связывался через их сеть с INTERNET, пытаясь проникнуть аналогичным способом в другие военные компьютерные сети. Злоумышленник входил в сеть лаборатории через различные сети, находящиеся в Европе, а также через Чили, Бразилию, другие страны.

Для установления его личности и задержания потребовались согласованные действия правоохранительных органов штата Техас (США), информационного центра ведения боевых действий ВВС США, правоохранительных органов Европы, а также страны нахождения преступника. К его поиску были привлечены коммуникационные компании, и с их помощью в ходе наблюдения за действиями преступника удалось выявить его местонахождение в момент сеанса связи. В результате проведенного национальными правоохранительными органами расследования были собраны доказательства, позволяющие получить ордер на обыск в момент, когда он осуществлял связь с компьютерными сетями.

В качестве другой иллюстрации трудностей, которые могут возникнуть на пути розыска компьютерного преступника, упомянем о розыске преступника, входившего в компьютерные сети с помощью компьютера, соединенного с мобильным сотовым телефоном.

При этом номер данного телефона он получил мошенническим путем. Таким образом, необходимо было осуществлять пеленгацию связи с этого телефона2.

Круг типичных ОБЩИХ версий сравнительно невелик:

преступление действительно имело место при тех обстоятельствах, которые вытекают из первичных материалов;

преступления не было, а заявитель добросовестно заблуждается;

ложное заявление о преступлении.

Типичными ЧАСТНЫМИ версиями являются:

версии о личности преступника(ов);

версии о местах совершения внедрения в компьютерные системы;

версии об обстоятельствах, при которых было совершено преступление;

версии о размерах ущерба, причиненного преступлением.

3.3. Тактические особенности отдельных следственных действий Ярочкин В. И. Указ. соч. С. 141—143.

Маркоф Д., Хефнер К. Хакеры. Киев, 1996.

Осмотр и обыск (выемка) по делам данной категории являются важнейшими инструментами установления обстоятельств расследуемого события.

Разработка всех деталей инструментария следователя по исследованию таких специфических объектов в условиях предварительного следствия может быть предметом самостоятельной работы, поэтому остановимся лишь на отдельных особенностях данных следственных действий.

Известно, что главными процессуальными способами изъятия вещественных доказательств являются осмотр, обыск и выемка.

Напомним, что осмотр — это непосредственное обнаружение, восприятие и исследование следователем материальных объектов, имеющих отношение к исследуемому событию1. Обыск — следственное действие, в процессе которого производятся поиск и принудительное изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства. Выемка — следственное действие, в процессе которого производится изъятие объектов, имеющих значение для правильного решения задач уголовного судопроизводства, в тех случаях, когда их местонахождение точно известно следователю и изъятие прямо или косвенно не нарушает прав личности.

Целесообразно осуществлять все эти действия, а особенно обыски и выемки в форме "обысков-осмотров", в ходе которых следует детально фиксировать не только факт изъятия того или иного объекта, но и описывать местонахождение этого объекта во взаимосвязи с другими найденными на месте обыска объектами.

Носители информации, имеющей отношение к расследуемому событию, могут быть с соблюдением установленного УПК РСФСР порядка изъяты и приобщены к уголовному делу в качестве вещественного доказательства.

На носители информации как на предметы материального мира правомерно распространить режим вещественных доказательств, поскольку никаких существенных отличий от уже известных уголовному процессу объектов носители информации не имеют.

Действительно, доказательства — фактические данные, на основе которых в определенном законом порядке орган дознания, следователь и суд устанавливают наличие или отсутствие общественно опасного деяния, виновность лица, совершившего это деяние, и иные обстоятельства, имеющие значение для правильного разрешения дела (ч. ст. 69 УПК). Вещественными доказательствами являются предметы, которые служили орудиями преступления, или сохранили на себе следы преступления, или были объектами преступных действий, а также деньги и иные ценности, нажитые преступным путем, и все другие предметы, которые могут служить средствами к обнаружению преступления, установлению фактических обстоятельств дела, выявлению виновных либо к опровержению обвинения или смягчению ответственности (ст. 83 УПК).

Для участия в обыске и выемке целесообразно приглашать специалиста в области компьютерной техники.

При осмотрах, обысках и выемках, сопряженных с изъятием ЭВМ, машинных носителей и информации возникает ряд общих проблем, связанных со спецификой изымаемых технических средств.

Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств. Например, они могут использовать специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал в дверном проеме магнитное поле такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты.

Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер периодически требовать пароль, и, если Криминалистика. С. 390.

несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Изобретательные владельцы компьютеров устанавливают иногда скрытые команды DOS, удаляющие или архивирующие с паролями важные данные, если некоторые процедуры запуска машины не сопровождаются специальными действиями, известными только им.

Следует предвидеть и возможность возрастания в ходе обыска напряжения статического электричества, которое способно повредить данные и магнитные носители.

Желательно иметь с собой и использовать устройство для определения и измерения магнитных полей (например, компас).

Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры (выше комнатных), влажность, задымленность (в том числе табачный дым) и запыленность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.

Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах и др., шифрованных рукописных записей и пр.

Осмотру подлежат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства.

Фактически оптимальный вариант изъятия ЭВМ и машинных носителей информации — это фиксация их и их конфигурации1 на месте обнаружения и упаковка таким образом, чтобы аппаратуру молено было бы успешно, правильно и точно так же, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.

Следует иметь в виду, что конкретная программно-техническая конфигурация позволяет производить с аппаратурой определенные действия, и нарушение конфигурации или отсутствие данных о точной ее фиксации (так же как на месте обнаружения) может повлиять не только на возможность выполнения на ней опытных действий в ходе следствия, но и на оценку в суде возможности совершения преступления. Так, тип программного обеспечения, загруженного в момент обыска-осмотра в компьютер, может показывать задачи, для которых компьютер использовался. Если, например, имеется программное обеспечение для связи и компьютер соединен с модемом, это явно свидетельствует о возможности данного инструмента выполнять задачи доступа к информации в других ЭВМ.

Высказав эти общие соображения, отметим, что указанные следственные действия могут производиться с целями:

а)осмотра и изъятия ЭВМ и ее устройств и б) поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах, в) поиска и изъятия информации и следов воздействия на нее вне ЭВМ.

В зависимости от этих целей могут использоваться различные приемы исследования.

Как правильно указывается в методических рекомендациях 2, по прибытии на место осмотра или обыска следует принять меры к обеспечению сохранности информации на находящихся здесь компьютерах и магнитных носителях. Для этого необходимо:

1) не разрешать кому бы то ни было из лиц, работающих на объекте обыска или находящегося здесь по другим причинам (далее — персоналу), прикасаться к работающим компьютерам, магнитным носителям, включать и выключать компьютеры;

2) не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;

3) в случае, если на момент начала обыска электроснабжение объекта выключено, то Подробнее об этом см.: 5.1.4.7. Конфигурация компьютера.

Катков С. А., Собецкий И. В., Федоров А. Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации // Бюллетень ГСУ России. №. 4. 1995.

до восстановления электроснабжения следует отключить от электросети все компьютеры и периферийные устройства, находящиеся на объекте;

4) самому не производить никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен;

5) при наличии в помещении, где находятся компьютеры или магнитные носители информации, взрывчатых, легковоспламеняющихся, едких и токсических веществ и/или материалов как можно скорее удалить эти вещества и/или материалы в другое помещение;

6) при невозможности удалить опасные материалы из помещения, где находятся компьютеры или магнитные носители информации, а также при непрекращающихся попытках персонала получить доступ к компьютерам, принять меры для удаления персонала в другое помещение.

Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения.

Если компьютер работает, ситуация для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных.

В данной ситуации:

а) определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его. После остановки программы и выхода в операционную систему иногда при нажатии функциональной клавиши "F3" можно восстановить наименование вызывавшейся последний раз программы1.

Осуществить фотографирование или видеозапись изображения на экране дисплея;

б) остановить исполнение программы. Остановка исполнения многих программ осуществляется одновременным нажатием клавиш2 Ctrl-C, либо Ctrl-Break, либо Ctrl-Q.

Часто для окончания работы с программами следует ввести с клавиатуры команды EXIT или QUIT, иногда достаточно нажать клавишу "Esc" или указать курсором на значок прекращения работы программы;

в) зафиксировать (отразить в протоколе) результаты своих действий и реакции компьютера на них;

г) определить наличие у компьютера внешних устройств-накопителей информации на жестких магнитных дисках (винчестера) и виртуального диска;

д) определить наличие у компьютера внешних устройств удаленного доступа к системе и определить их состояние (отразить в протоколе) результаты своих действий, после чего разъединить сетевые кабели так, чтобы никто не мог изменять или стереть информацию в ходе обыска (например, отключить телефонный шнур — не шнур питания!

— из модема).

е) скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;

ж) выключить подачу энергии в компьютер и далее действовать по схеме "компьютер не работает".

Если компьютер не работает, следует:

а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т. п.);

Некоторые программные сервисные средства, например NORTON COMMANDER, обеспечивающие БЫЗОВ И исполнение программы, имеют возможность просмотра наименований всех ранее вызывавшихся программ.

См.: 5.1.5. Описание действия важнейших клавиш клавиатуры.

б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решением является точная маркировка каждого кабеля и устройства, а также портов, с которым кабель соединяется перед разъединением. Следует маркировать каждый незанятый порт как "незанятый";

в) с соблюдением всех возможных мер предосторожности разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принтеры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования;

г) упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах и магнитных лентах (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества;

д) упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки компьютерной техники;

е) защитить дисководы гибких дисков согласно рекомендациям изготовителя.

Некоторые из них предлагают вставлять новую дискету или часть картона в щель дисковода;

ж) Особенной осторожности требует транспортировка винчестера. Некоторые системы безопасной остановки ("парковки") винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда компьютеру.

Если в ходе осмотра и изъятия все же понадобится запуск компьютера, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.

3.3.1.1.1. Поиск и изъятие информации и следов воздействия на нее в ЭВМ и ее Поиски информации и программного обеспечения гораздо более сложны, поскольку всегда требуют специальных познаний. Существует фактически два вида поиска:

1) поиск, где именно искомая информация находится в компьютере на месте осмотра, 2) поиск, где еще разыскиваемая информация могла быть сохранена.

В компьютере информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешних запоминающих устройствах (ВЗУ) — накопителях на жестких магнитных дисках, оптических дисках, дискетах, магнитных лентах и др.

Напомним, что при включении компьютера в работу электронные устройства персонального компьютера образуют в нем определенный объем так называемой "оперативной памяти" (ОЗУ), которая предназначена для проведения в ней операций над информацией и программами и сохраняет эти программы и информацию в процессе работы. При включении персонального компьютера и/или окончании работы с конкретной программой/данными ОЗУ очищается и готово для ввода новых программ/данных.

Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея1.

Если компьютер не работает, информация может находиться на ВЗУ и других компьютерах информационной системы или в "почтовых ящиках" электронной почты или сети ЭВМ.

Как известно2, информация в ВЗУ хранится в виде файлов, упорядоченных по Подробнее об этом см.: 5.1.5. Описание действия важнейших клавиш клавиатуры.

Подробнее об этом см.: 5.1.1. Важнейшие понятия о хранении информации в компьютере (файловая система).

каталогам (директориям). Детальный осмотр файлов и структур их расположения целесообразно осуществлять с участием специалистов в лабораторных условиях или на рабочем месте следователя. Предпочтительно изучать не подлинники ВЗУ, а их копии, изготовленные системными средствами.

Следует обращать внимание на поиск так называемых "скрытых" файлов и архивов, где может храниться важная информация. При обнаружении файлов с зашифрованной информацией или требующих для просмотра стандартными программами ввода паролей, следует направлять такие файлы на расшифровку и декодирование пароля соответствующим специалистам.

Периферийные устройства ввода-вывода могут также некоторое время сохранять фрагменты программного обеспечения и информации1, однако для вывода этой информации необходимы глубокие специальные познания.

Так же как и в случае с ОЗУ, данные, найденные в ПЗУ, целесообразно в ходе осмотра выводить на печатающие устройства и хранить на бумажных носителях в виде приложений к протоколу осмотра.

Изъятие данных в "почтовых ящиках" электронной почты может осуществляться по правилам наложения ареста и выемки почтово-телеграфной корреспонденции.

Осмотр компьютеров и изъятие информации производится в присутствии понятых, которые расписываются на распечатках информации, изготовленных в ходе осмотра.

Считаем полезным для следователя иметь с собой при проведении названных следственных действий дискету с набором сервисных программ, обеспечивающих:

а)определение свойств и качеств компьютера;

б) проверку исправности отдельных устройств и внешней памяти;

.в) работу с файлами;

г) инструмент для поиска скрытой или удаленной информации.

Подбор таких программ производится опытным путем.

3.3.1.1.2. Поиск и изъятие информации и следов воздействия на нее вне ЭВМ В ходе осмотров по делам данной категории могут быть обнаружены и изъяты следующие виды важных документов, которые могут стать вещественными доказательствами по делу:

а) документы, носящие следы совершенного преступления, — телефонные счета, телефонные книги, которые доказывают факты контакта преступников между собой, в том числе и по компьютерным сетям, пароли и коды доступа в сети, дневники связи и пр.;

б) документы со следами действия аппаратуры. Всегда следует искать в устройствах вывода (например, в принтерах) бумажные носители информации, которые могли остаться внутри их в результате сбоя в работе устройства;

в) документы, описывающие аппаратуру и программное обеспечение (пояснение к аппаратным средствам и программному обеспечению) или доказывающие нелегальность их приобретения (например, ксерокопии описания программного обеспечения в случаях, когда таковые предоставляются изготовителем);

г) документы, устанавливающие правила работы с ЭВМ, нормативные акты, регламентирующие правила работы с данной ЭВМ, системой, сетью, доказывающие, что преступник их знал и умышленно нарушал;

д) личные документы подозреваемого или обвиняемого.

3.3.2. Использование специальных познаний и назначение экспертиз На данном этапе развития средств компьютерных и информационных технологий вопрос о поиске и привлечении специалистов для оказания помощи следователю является крайне актуальным. Понятно, что при таком интенсивном развитии указанных технологий юрист-следователь не в состоянии отслеживать все технологические изменения в данной Об этом говорилось выше: 2.2.2. Понятие "машинные носители".

области. Как уже было показано, специалисты крайне необходимы для участия в обысках, осмотрах и выемках.

Поиск таких специалистов следует проводить на предприятиях и в учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях. В крайнем случае могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению.

Специалисты, привлекаемые в качестве экспертов, могут оказать действенную помощь при решении следующих вопросов (список примерный):

1. Какова конфигурация и состав компьютерных средств и можно ли с помощью этих средств осуществить действия, инкриминируемые обвиняемому?

2. Какие информационные ресурсы находятся в данной ЭВМ?

3. Не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ?

4. Не являются ли представленные файлы с программами зараженными вирусом, и если да, то каким именно?

5. Не являются ли представленные тексты на бумажном носителе записями исходного кода программы, и каково назначение этой программы?

6. Подвергалась ли данная компьютерная информация уничтожению, копированию, модификации?

7. Какие правила эксплуатации ЭВМ существуют в данной информационной системе, и были ли нарушены эти правила?

8. Находится ли нарушение правил эксплуатации ЭВМ в причинной связи с уничтожением, копированием, модификацией данной компьютерной информации и др.

Большую помощь в расследовании могут оказать специалисты зональных информационно-вычислительных центров региональных УВД МВД России. Следует иметь в виду, что в системе МВД начато производство так называемых программнотехнических (или компьютерно-технических) экспертиз.

Как указывает Е. Р. Российская, в рамках данного вида экспертиз можно выделить две их разновидности — техническая экспертиза компьютеров и их комплектующих и экспертиза данных и программного обеспечения1.

Программно-технической экспертизой (ПТЭ) решаются следующие задачи:

1) распечатка всей или части информации, содержащейся на жестких дисках компьютеров (в необходимых случаях) и на внешних магнитных носителях, в том числе из нетекстовых документов (в форматах текстовых процессоров и электронных таблиц Windows, со связями DDE и OLE) и баз данных;

2) распечатка информации по определенным темам (найденной по ключевым словам);

3) восстановление стертых файлов и стертых записей в базах данных, уточнение времени стирания и внесения изменений;

4) установление времени ввода в компьютер определенных файлов, записей в базы данных;

5) расшифровка закодированных файлов и другой информации, преодоление рубежей защиты, подбор паролей;

6) выяснение каналов утечки информации из ЛВС, глобальных сетей и распределенных баз данных;

7) установление авторства, места подготовки и способа изготовления некоторых документов;

8) выяснение технического состояния и исправности компьютерной техники (наличие встроенных устройств и программных средств, адаптация компьютера под конкретного пользователя).

Наряду с этими основными задачами при проведении ПТЭ могут быть решены и некоторые вспомогательные задачи:

1) оценка стоимости компьютерной техники, периферийных устройств, магнитных Российская Е. Р. Судебная экспертиза Б уголовном, гражданском арбитражном процессе. М., 1966. С.

173—179.

носителей и программных продуктов, а также проверка контрактов на их поставку;

2) установление уровня профессиональной подготовки отдельных лиц в области программирования и работы с компьютерной техникой;

3) перевод документов технического содержания (в отдельных случаях)1.

4) В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования возникает необходимость в назначении криминалистической экспертизы для исследования документов.

Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.

Основными тактическими задачами допроса потерпевших и свидетелей при расследовании дел рассматриваемой категории являются: выявление элементов состава преступления в наблюдавшихся ими действиях: установление обстоятельства, места и времени совершения преступления, способа его совершения и сопутствующих обстоятельств, мотивов совершения преступления, признаков внешности лиц, участвовавших в совершении того или иного преступления; определение предмета преступного посягательства, размера ущерба, причиненного преступлением, детальных признаков похищенного; установление иных свидетелей и лиц, причастных к совершению преступления.

Главная проблема фиксации их показаний состоит в перегрузке полученных данных специальной терминологией и жаргонной лексикой. Целесообразно в протоколах более подробно фиксировать значения терминов, используемых допрашиваемым при описании известных ему фактов. При описании конфигураций систем или схем движения информации полезны рукописные схемы, составляемые допрашиваемым и приобщаемые к протоколу допроса.

Наука — часть знаний, формализованных настолько, что их можно передать в процессе обучения. Там, где уровень формализации недостаточен, знания относятся скорее к области профессионального искусства.

Попытка формализовать и структурировать данные всегда приводит к дополнительному, но не менее важному результату — углублению понимания предметной области и устранению в ней противоречий и неточностей.

Одним из важнейших критериев формализации знания является доступность (ясность) широкому кругу лиц, профессионально подготовленных, понятий, с помощью которых осуществляется описание формализуемых явлений. В основе интенсивного развития компьютерных технологий обработки информации главным фактором является непрерывное увеличение потоков данных, поступающих человеку. Возможности отдельного человека активно включиться в многосторонний процесс обмена информационными ресурсами и творчески использовать любые существующие в мире данные и знания в своей повседневной деятельности являются краеугольным камнем развития информатизации и ее технических средств. Однако в этой закономерности заложен и негативный эффект, связанный с тем, что у многих людей пока еще отсутствует психофизиологическая готовность активно участвовать в процессе накопления и обработки информации с помощью новых инструментов. Это обусловлено многократным повышением интенсивности взаимодействия человека с окружающей информационной средой, соответственно растет производительность труда, но при этом возрастает и нагрузка.

Существующий отечественный и мировой опыт показывает, что в тех случаях, когда новые, в том числе компьютерные, технологии обработки информации "навязывались Катков С. А., Собгцкий И. В., Федоров А. Л. Указ. соч.