ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ
На правах рукописи
Мещеряков Влади р
Алексеевич
ОСНОВЫ МЕТОДИКИ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
Диссертация на соискание ученой степени доктора юридических наук
Специальность — 12.00.09 уголовный процесс, криминалистика и судебная экспертиза; оперативно-розыскная деятельность
Научный консультант:
Заслуженный деятель науки Российской Федерации, доктор юридических наук, профессор Баев О.Я.
2
СОДЕРЖАНИЕ
Введение................................................... 4
Глава 1. Источники и сущность теоретических основ криминалистической методики расследования преступлений в сфере компьютерной информации........................................ 16
1.1.	Становление правоотношений в сфере компьютерной информации и криминализация компьютерных правонарушений.....	16
1.2.	Понятие и сущность преступлений в сфере компьютерной информации..................................................... 31
1.3.	Состав и структура теоретических основ криминалистической методики расследования преступлений в сфере компьютерной информации (цифровой криминалистики)........................... 48
1.4.	Криминалистическая классификация преступлений в сфере компьютерной информации........................................ 65
Глава 2. Методические основы расследования преступлений в сфере компьютерной информации................................ 87
2.1.	Состав, структура и особенности криминалистической характеристики преступлений в сфере компьютерной информации.	87
2.2.	Механизм следообразования при совершении преступлений в сфере компьютерной информации............................... 105
2.3.	Характеристика личности преступников в сфере компьютерной информации............................................. 130
2.4.	Способы совершения преступлений в сфере компьютерной информации.................................................... 145
2.5.	Основные ситуации первоначального этапа расследования преступлений в сфере компьютерной информации.................. 167
Глава 3. Предварительное исследование компьютерных объектов при расследовании преступлений в сфере компьютерной информации.................................................... 176
3.1.	Общие положения предварительного исследования объектов кибернетического пространства................................. 176
3.2.	Обыск и выемка компьютерных объектов............. 220
3.3.	Особенности осмотра отдельных видов компьютерных объектов 	 246
Глава 4. Получение и проверка вербальной информации, связанной с компьютерными объектами........................... 285
4.1.	Допрос.............................................. 285
4.2.	Следственный эксперимент............................ 295
4.3.	Основные возможности компьютерно-технических экспертиз и тактические рекомендации по их назначению............... 301
Заключение............................................... 324
3
Список использованных источников........................... 342
Приложение 1. Образцы отдельных процессуальных документов, отрабатываемых в ходе расследования преступлений в сфере компьютерной информации......................................... 371
Приложение 2. Результаты опроса (анкетирования) оперативных работников МВД, ФСБ, следователей МВД, ФСБ и прокуратуры Центрально-Черноземного региона.................................... 385
4
ВВЕДЕНИЕ
Актуальность темы исследования.
Рост преступности в Российской Федерации в настоящее время вышел на такой уровень, что способен реально угрожать национальной безопасности страны. Только в 1999 г. число преступлений превысило 3 миллиона, а годовой прирост составил 16,3%'.
Качественные показатели, характеризующие современную преступность, говорят о том, что она активно осваивает и использует достижения технического прогресса и новых информационных технологий.
Интенсивное развитие средств информатизации и телекоммуникаций, широкое их внедрение во все сферы человеческой деятельности привели к возникновению нового вида преступлений — преступлений в сфере компьютерной информации, или, как их нередко называют, компьютерных преступлений.
По мнению специалистов в области безопасности компьютерных систем, преступность в сфере компьютерной информации и причиняемый ею ущерб в настоящее время уступает только наркобизнесу и хищению предметов искусства. При этом проведенные исследования показали, что число компьютерных преступлений растет пропорционально росту количества эксплуатирующихся компьютеров и общей численности людей, освоивших их использование.
Анализ, выполненный в 1998 - 1999 гг. сотрудниками ГУЭП МВД России с участием службы безопасности одного из крупных банков Москвы, показал, что только за один месяц в нем пресекается более 200 попыток оплаты товаров через Интернет по фиктивным пластиковым карточкам на сумму около 20 тыс. дол. США.
1 Данные ГИЦ МВД Российской Федерации за 1999 год.
5
Страны Запада столкнулись с проблемой компьютерной преступности значительно раньше (около четверти века назад) и успели накопить опреде
ленный опыт ее решения.
Однако существенные различия в правовой системе, а также специфика правового статуса и деятельности правоохранительных органов, занимающихся выявлением и расследованием преступлений в сфере компьютерной информации иностранных государств и Российской Федерации, привели к тому, что накопленный опыт борьбы с этой категорией преступлений в полной мере не может быть востребован в нашей стране.
Все это привело к тому, что правоохранительные органы оказались не готовы эффективно противостоять преступлениям в сфере компьютерной информации, впервые зафиксированным в главе 28 УК РФ, принятого в 1996 году. По результатам проведенного автором социологического опроса более 88% следователей и оперативных работников правоохранительных органов отметили, что они не готовы к расследованию этого вида преступлений.
Отчасти это обстоятельство предопределило высокие темпы роста преступности данного вида: в 1997 году было возбуждено 33 уголовных дела и в 1998 году 67 уголовных дел по статьям 272, 273, 274 УК РФ2.
Рост количества совершаемых компьютерных преступлений, их высокая латентность, а также резкое увеличение размера наносимого ими ущерба, ставят разработку методики расследования данного вида преступлений в ряд первоочередных задач борьбы с преступностью.
Актуальность исследования данной проблемы и недостаточная ее разработанность (о чем скажем ниже) обусловливается также потребностями дальнейшего развития криминалистической теории, обогащения ее достижениями смежных наук и углубления научных знаний о методике расследования преступлений.
Интерес к проблеме разработки методик расследования преступлений в сфере компьютерной информации среди отечественных исследователей воз-
2 По данным Следственного комитета при МВД России за 1999 год (форма 1Г).
6
ник в начале 90-х годов прошлого столетия и достиг своего максимального уровня к 1999 - 2000 гг.
За последние годы вопросам изучения преступлений в сфере компьютерной информации было посвящено несколько диссертационных работ и публикаций монографического уровня. Одними из первых работ, обозначивших суть проблемы компьютерной преступности и осветивших основные способы совершения данного вида преступлений, были работы Ю.М. Батурина «Проблемы компьютерного права» и Ю.М. Батурина, А.М. Жодзишско-го «Компьютерная преступность и компьютерная безопасность», вышедшие в свет в 1991 году.
Первой отечественной работой, посвященной криминалистическим аспектам борьбы с преступлениями в сфере компьютерной информации, была монография В.Б. Вехова «Компьютерные преступления: Способы совершения и раскрытия». Однако, учитывая ее пионерский характер, она лишь обозначила основные криминалистические аспекты борьбы с компьютерной преступностью и ограничилась рассмотрением криминалистической характеристики преступлений в сфере компьютерной информации.
Существенный вклад в исследование рассматриваемой темы внес В.В. Крылов. Однако вслед за своей первой криминалистической работой «Информационные компьютерные преступления», вышедшей в свет в 1997 году, он отходит от рассмотрения компьютерных аспектов, существенно расширяет область исследований и делает акцент на расследовании преступлений в сфере информации в докторской диссертации «Основы криминалистической теории расследования преступлений в сфере информации» и в изданной на ее основе в 1998 году монографии «Расследование преступлений в сфере информации».
Среди современных работ наиболее заметными с точки зрения вклада именно в криминалистику были работы К.С. Скоромникова «Расследование преступлений в сфере компьютерной информации // В кн. «Руководство для следователей» и «Осмотр места происшествия по делам о преступлениях в
7
сфере компьютерной информации И В кн. «Осмотр места происшествия», изданные в 1999 и 2000 г. соответственно, а также авторского коллектива под
руководством Н.Г. Шурухнова «Расследование неправомерного доступа к компьютерной информации». К сожалению, они затрагивали лишь некоторые аспекты методики расследования или вообще отдельные следственные действия.
Параллельно с развитием общих принципов расследования преступлений в сфере компьютерной информации появились работы, имеющие существенное прикладное значение, в которых обосновывалась необходимость самостоятельного рассмотрения компьютерно-технических экспертиз (Е.Р. Российская «Судебная экспертиза в уголовном, гражданском и арбитражном процессе») и исследовались теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации (диссертационная работа А Н. Яковлева).
Тем не менее, несмотря на солидную, иногда фундаментальную проработку отдельных вопросов расследования преступлений в сфере компьютерной информации и их несомненную практическую востребованность, в настоящее время отсутствуют комплексные работы, посвященные системному, научно-обоснованному рассмотрению вопросов криминалистической методики расследования данного вида преступлений. Это приводит к тому, что лишь отдельные частные рекомендации доходят до практических работников, которые не способны коренным образом повлиять на качество расследования дел данной категории. Это и предопределило необходимость комплексного исследования основ методики расследования преступлений в сфере компьютерной информации как темы данной диссертационной работы.
Актуальность исследования подтверждается и тем, что решаемые диссертантом задачи названы в качестве наиболее важных в принятой недавно Концепции информационной безопасности Российской Федерации.
Объект исследования — деятельность следователей, сотрудников правоохранительных органов, направленная на выявление и расследование пре
8
отуплений в сфере компьютерной информации, а также посвященные этому теоретические разработки.
Предмет исследования — выявление и изучение механизмов образования следов, других закономерностей противоправной деятельности в сфере компьютерной информации, методы и приемы их обнаружения; фиксации и исследования, а также способы рациональной организации расследования данного вида преступлений и проведения отдельных следственных действий.
Целью диссертационного исследования является решение актуальной научной проблемы, находящей свое выражение в выявлении закономерностей совершаемых преступлений и разработке рациональных способов организации расследования, образующих теоретические основы криминалистической методики расследования преступлений в сфере компьютерной информации.
Для комплексного монографического решения рассматриваемой научной проблемы диссертантом поставлены следующие частные задачи:
•	исследовать особенности кибернетического пространства, как среды совершения преступлений в сфере компьютерной информации и выявить его основные факторы, определяющие специфику совершаемых преступлений и методики их расследования;
•	исследовать известные способы подготовки, совершения и сокрытия следов преступлений в сфере компьютерной информации и выявить на этой основе их основные закономерности;
•	разработать криминалистическую характеристику преступлений в сфере компьютерной информации;
•	определить характерные особенности подготовки и проведения отдельных следственных действий при расследовании преступлений в сфере компьютерной информации;
•	разработать рекомендации по рациональной организации расследования преступлений в сфере компьютерной информации;
9
При этом разработка научных конструкций и обоснование названных основных теоретических положений имели прикладное значение для совершенствования уголовно-процессуального законодательства и арсенала методов и средств расследования данного вида преступлений.
Теоретические основы исследования проблемы. В работе использовались такие общенаучные методы диалектической философии, как системный анализ, исторический и логический методы, методы абстракции и аналогии, обобщения и классификации. Дополнительной методологической основой для выработки научных категорий являлись законы формальной логики и лингвистики, основные положения теории информации и кибернетики.
С целью выявления закономерностей предмета исследования использованы методы теории многоуровневых иерархических систем, методы математического моделирования и др.
Диссертационное исследование основывается на Конституции Российской Федерации, федеральном и региональном законодательстве. Проанализированы уголовное и уголовно-процессуальное отечественное и зарубежное законодательство, а также широкий круг подзаконных актов.
Теоретическую базу исследования составили труды отечественных ученых: Т.В. Аверьяновой, А.Б. Агапова, О.Я. Баева, В.И. Батищева, Ю.М. Батурина, А.Р. Белкина, Р.С. Белкина, В.М. Быкова, И.Е. Быховского, В.Б. Вехова, И.А. Возгрина, Т.С. Волчецкой, П.Б. Гудкова, В.И. Жбанкова, А.М. Жодзишского, Г.Г. Зуйкова, И.З. Карася, А.В. Касаткина, С.А. Каткова, А.Н. Колесниченко, Ю.Г. Корухова, В.В. Крылова, В.Д. Курушина, А.М. Ларина, В.А. Минаева, В.А. Образцова, И.Ф. Пантелеева, Н.С. Полевого, А.В. Пушкина, А.Р. Ратинова, В.Ю. Рогозина, Е.Р. Российской, Н.А. Селиванова, К.С. Скоромникова, М.С. Строговича, В.Г. Танасевича, Б.Х. Толеубековой, В.В. Трухачева, С.И. Цветкова, В.Н. Черкасова, С.А. Шейфера, В.И. Шиканова, Н.Г. Шурухнова, А.А. Эксархопуло, Н.П. Яблокова, А.Н. Яковлева и других,
а также зарубежных исследователей: Д. Айкова, Б. Беккера, Д. Гроувера, К. Сейгера, У. Фонсторха и других.
10
Эмпирическую базу работы составили результаты анкетирования 72 оперативных работников МВД и ФСБ, следователей МВД, ФСБ и прокуратуры, работающих в Воронежской области и других регионах Центрального Черноземья.
Также использовались результаты обобщения уголовных дел, рассмотренных Федеральными судами Воронежской области и других областей Центрально-Черноземного региона в период с 1997 по 2000 год и личный опыт работы автора в одном из научно-исследовательских учреждений, занимающемся вопросами информационной безопасности и принимавшего участие в расследовании отдельных преступлений в сфере компьютерной информации в качестве эксперта и специалиста.
Научная новизна полученных результатов. Впервые в отечественной юридической науке на уровне диссертационного исследования проводится комплексная разработка правовых, криминалистических, информационных и технических проблем, возникающих при формировании и совершенствовании методики расследования преступлений в сфере компьютерной информации:
1.	Изучена проблемная ситуация в криминалистической науке и практике расследования преступлений в сфере компьютерной информации, заключающейся в отсутствии эффективных способов разрешения противоречия между:
резким расширением области, быстрой сменой форм и способов преступной деятельности в сфере компьютерной информации, а также внедрением новейших достижений науки и техники в процесс подготовки и совершения преступлений, с одной стороны,
и низким общим уровнем правового регулирования сферы компьютерной информации, медленной реакцией криминалистической науки на возникновение новых способов совершения преступлений в сфере высоких технологий и появлением новых криминалистических объектов и механизмов следообразования, а также отсутствием научно-обоснованных рекомендаций
11
по особенностям проведения основных следственных действий при расследовании преступлений в сфере компьютерной информации с другой.
На основе выявленного противоречия обоснована и сформулирована новая научная проблема разработки теоретических основ создания методики расследования преступлений в сфере компьютерной информации. Эта проблема имеет важное правовое и социально-экономическое значение, особенно в условиях перехода к постиндустриальному (информационному обществу) и построения правового государства в нашей стране. Отличительными особенностями этой новой научной проблемы являются ее междисциплинарный системный характер.
2.	Разработаны теоретические основы создания методики расследования преступлений в сфере компьютерной информации включающие в себя:
а)	Уточненный категориальный (понятийный) аппарат: «кибернетическое пространство», «компьютерное преступление (преступление в сфере компьютерной информации)» «компьютерная информация», «электронно-вычислительная машина», «модификация информации», «блокирование информации» и ряд других.
б)	Обобщенную и систематизированную эмпирическую базу данных об основных видах, закономерностях совершения и особенностях расследования преступлений в сфере компьютерной информации.
в)	Систему основных следственных действий, учитывающих особенности решения специфических задач расследования преступлений в сфере компьютерной информации и удовлетворяющих жестким правовым, процессуальным и тактическим ограничениям.
3.	Выявлен и исследован новый криминалистический объект — «кибернетическое пространство», определяемый как среда совершения преступлений в сфере компьютерной информации и существования нового вида виртуальных следов. Описан механизм следообразования и сформулированы требования к средствам регистрации и закрепления виртуальных следов.
12
4.	Выявлены закономерности способов совершения преступлений в сфере компьютерной информации, обусловленные спецификой «кибернетического пространства», позволившие разработать общую криминалистическую классификацию компьютерных преступлений и разработать методы их формализованного описания. Разработанные системы позволяют автоматизировать процедуры ведения криминалистических учетов и формируют основу для разработки типовых следственных действий по расследованию данного вида преступлений.
5.	Уточнено понятие криминалистической характеристики преступления за счет рассмотрения ее не как совокупности важнейших данных о различных сторонах преступления, а как системы знаний. Впервые в состав криминалистической характеристики преступления предложено ввести методы пополнения системы знаний и методы «вывода» (формирования и выдвижения следственных версий) на ней.
6.	На основе анализа сущности и методов проведения компьютернотехнических экспертиз предложена их классификация по совокупности решаемых задач (подвидам) и глубине проводимых специальных исследований. Впервые обращено внимание на допустимость и целесообразность проведения последовательности экспертиз одного и того же объекта кибернетического пространства различного уровня детальности и с привлечением программно-технических средств различной «мощности» (магнитного носителя информации, протокола обработки информации и т.п.).
Практическая значимость полученных результатов.
Значение диссертации состоит в том, что проведенные исследования и сделанные выводы по ним могут быть использованы в работах по криминалистике, при подготовке учебно-методических материалов, в учебном процессе. Для работников правоохранительных органов даны рекомендации по недопущению и устранению возможных ошибок при расследовании преступлений в сфере компьютерной информации.
13
Теоретическая значимость работы.
Предложенная методология и выявленные основные закономерности применимы в качестве теоретической основы при разработке частных методик расследования преступлений других видов, совершенных с использованием средств информатизации и вычислительной техники, развития общей теории криминалистики, отдельных частных криминалистических учений и других разделов науки криминалистики.
Диссертация содержит результаты как теоретического, монографического ее исследования, так и многолетнего опыта работы автора в одном из научно-исследовательских учреждении министерства обороны Российской Федерации, занимающихся вопросами информационной безопасности.
Основные положения диссертационного исследования, выносимые на защиту.
1.	Определения понятий «кибернетическое пространство», «компьютерная информация», «электронно-вычислительная машина», «модификация информации», «блокирование информации».
2.	Криминалистическая классификация способов совершения преступлений в сфере компьютерной информации.
3.	Криминалистическая характеристика преступлений в сфере компьютерной информации.
4.	Классификация видов компьютерно-технических экспертиз, а также перечень основных вопросов выносимых на ее разрешение.
Апробация результатов исследования. Основные результаты диссертационного исследования опубликованы в двух монографиях: «Преступления в сфере компьютерной информации: правовой и криминалистический анализ». — Воронеж: Воронежский государственный университет, 2001. — И п.л.» и «Словарь компьютерного жаргона — Воронеж, Издательство Воронежского государственного университета, 2001. — 7 п.л.», а также в ряде научных статей.
14
Кроме того, основные результаты диссертационного исследования представлены в виде докладов и выступлений на ряде семинаров и конференций: «Проблемы укрепления законности, усиления борьбы с преступностью и профилактика правонарушений в современных условиях» (Воронеж, ВНИИ МВД, 1996), «Охрана-95», «Охрана-96», «Охрана-97» (Воронеж, ВВШМ, 1995 — 1997), «Организационно-правовые проблемы борьбы с организованной преступностью» (Воронеж, ВВШМ, 1998), а также межведомственном семинаре с участием агентов ФБР «Расследование компьютерных преступлений и обеспечение компьютерной безопасности» (Воронеж, июнь 1999 г.).
Методические разработки диссертанта прошли апробацию при личном производстве им компьютерно-технических экспертиз (заключения эксперта по уголовным делам № 99143675 от 16.06.99 г., № 99118047 от 29.09.99г. и др.) и личном участии в качестве специалиста при расследовании Управлением ФСБ по Воронежской области ряда уголовных дел.
Внедрение результатов исследования.
1.	Результаты диссертационного исследования внедрены в учебный процесс:
•	Воронежского института МВД РФ: использованы при разработке лекционных курсов «Информационная безопасность», кафедрой информатики и применения компьютерных технологий в деятельности органов МВД.
•	Воронежского государственного технического университета: использованы при разработке лекционного курса «Выявление и предотвращение преступлений в сфере компьютерной информации».
•	Воронежского государственного университета: использованы при разработке учебных программ и лекционных курсов «Основы информационного права» и «Правовые основы деятельности в сфере компьютерной информации», факультета прикладной математики и механики.
2.	Разработанные диссертантом примерные образцы процессуальных документов внедрены в следственную практику Воронежской областной
15
прокуратуры, Управления федеральной службы безопасности по Воронежской области, ГУВД Воронежской области и используются при производстве отдельных следственных действий.
Структура диссертации обусловлена поставленной целью и вытекающими из нее частными задачами и состоит из введения, четырех глав, включающих пятнадцать параграфов, заключения, списка использованных источников и двух приложений.
16
ГЛАВА 1. ИСТОЧНИКИ И СУЩНОСТЬ ТЕОРЕТИЧЕСКИХ ОСНОВ КРИМИНАЛИСТИЧЕСКОЙ МЕТОДИКИ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
1.1.	Становление правоотношений в сфере компьютерной информации и криминализация компьютерных правонарушений
Преступность в сфере компьютерной информации обусловлена современным этапом развития общества, — «постиндустриальным обществом». Термин «постиндустриальное общество» возник в конце 50-х гг. XX в. и характеризовался в рационалистических понятиях экономического роста, повышения благосостояния и «технизации» труда. В качестве особенностей данного периода общественного развития выделяют такие его черты, как массовое распространение творческого, интеллектуального труда, качественно возросший объем научного знания и информации, применяемой в производстве, преобладание в структуре экономики сферы услуг, науки, образования, культуры над промышленностью и сельским хозяйством по доле в валовом национальном продукте и числу занятых в них людей, изменение социальной структуры общества.
Середина XX в. (работы Винера и Шеннона и др.) положила начало освоению человечеством информационных технологий, процессов генерации, автоматизированной обработки и передачи информации. Это стало возможным благодаря появлению компьютеров, высокоэффективных средств связи и телекоммуникаций и формированию соответствующего сектора экономики, который в настоящее время не имеет себе равных по темпам развития.
Произошедший технологический скачок привел к существенным изменениям в сложившихся системах коммуникаций. Если в XIX и вплоть до середины XX в. можно было выделить две основные формы коммуникаций:
•	в форме почты, газет, журналов и книг, т е. тех средств, которые печатались на бумаге и распространялись методами физической передачи или хранились в библиотеках;
17
•	в форме телеграфа, телефона, радио и телевидения, т.е. средств, в которых закодированные сообщения или речь передавались средствами радиосигналов или по кабельной связи от человека к человеку (при этом для непосредственного восприятия передаваемой информации человеку было необходимо специальное техническое устройство — телефонный аппарат, радиоприемник, телевизор и т.п.), то в настоящее время происходит их интеграция и слияние в единое информационно-коммуникационное пространство, получившее название «кибернетического пространства»3, в котором стираются существовавшие ранее отличия, что в свою очередь не только предоставляет множество удобств для потребителей информации, но и порождает ряд серьезных проблем с точки зрения права и правоприменителей.
По мере того, как компьютеры все шире используются в коммуникационных сетях в качестве коммутирующих систем, а средства электронной коммуникации становятся неотъемлемыми элементами в компьютерной обработке данных, различия между обработкой информации и коммуникацией исчезают. Процесс технологического слияния коммуникаций и обработки информации в единое «кибернетическое пространство» уже получил свое специфическое название «компьюникация»4.
Основными компонентами информационной инфраструктуры (элементами «кибернетического пространства»), представляющей собой материальную основу общественных отношений в сфере компьютерной информации, являются:
•	средства вычислительной техники или компьютеры (hardware);
•	необходимое программно-математическое обеспечение (software);
•	средства связи и телекоммуникаций (communications).
3 См.: Баев О.Я., Мещеряков В.А. Проблемы уголовно-правового регулирования в сфере компьютерной информации // Правовая наука и реформа юридического образования: Сб. науч, трудов. Вып. 9: Новое в законодательстве Российской Федерации: Проблемы становления и применения. — Воронеж: Издательство ВГУ, 1998.
4 См.: Дайзард У. Наступление информационного века И Новая технократическая волна на Западе. — М„ 1986.
18
При этом достаточно характерная черта развития информационной инфраструктуры — ежегодное увеличение темпов роста количества средств вычислительной техники и людей, использующих ЭВМ в своей работе. Так, в промышленно развитых странах мира насчитывается более 30 000 международных компьютерных сетей, которые обеспечивают деятельность науки, культуры, обороны, экономики, банковской сферы и правоохранительных органов государства. Анализ тенденций развития и фактического материала, приведенного в специальной литературе, показывает, что в настоящее время в мире эксплуатируется более 500 млн. ЭВМ различной сложности и назначения. Более 100 млн. человек ежедневно проводят за компьютером более 4 ч своего рабочего времени, участвуя в создании и переработке различного рода информации.
Все это привело к тому, что на сегодняшний день до 80% служащих в промышленно развитых странах мира работают в сфере производства и переработки информации.
Легкость накопления и передачи информации в «кибернетическом пространстве», особенно в связи с появлением глобальной сети Интернет, привела к его широкому использованию во всех отраслях человеческой деятельности.
Так, на основе сети Интернет стали развиваться и другие направления информационной и коммерческой деятельности со своими специфическими правовыми отношениями.
•	создание электронных магазинов, торгующих практически любыми видами товаров — от жевательной резинки до объектов недвижимости и промышленных предприятий;
•	поиск работы и трудоустройство. Более того, благодаря сети Интернет человек может не только найти себе работу, но и выполнять ее: получать задания от работодателя (например, техническое задание на разработку программного продукта), использовать инструменты, необходимые для своей деятельности (например, необходимые компиляторы, специализированные программные продукты и даже вычислительные ресурсы — память и процес
19
сорное время мощных сетевых ЭВМ), сдавать результаты своей работы (пересылать тексты программ для ЭВМ работодателю в виде сообщений электронной почты или же оставлять их на собственном компьютере, предоставив при этом доступ работодателю на него) и даже получать вознаграждение за свой труд (например, в виде электронного перечисления денег на свою кредитную карточку или предоставления прав доступа к оплаченным работодателем услугам или материальным благам);
•	оказание различного рода услуг: информационных (прогнозы погоды, аналитические обзоры состояния финансовых рынков, биржевая информация и т.п.), консультационных (рекомендации о том, как починить автомобиль или компьютер в конкретной сложившейся у обратившегося ситуации) и даже лечебных (например, оказание психотерапевтической помощи, дистанционная постановка диагноза и рекомендации по корректировке стандартных схем лечения);
•	организация отдыха и платных развлечений весьма широкого спектра: от возможности поиграть в компьютерную игру с другим человеком или компьютером до создания электронных казино с рулеткой и распространения компьютерной порнографии;
•	выполнение определенного объема работ на оборудовании заказчика (например, установка коммутационного программного обеспечения на смонтированное аппаратное обеспечение автоматизированной телефонной станции, удаленная загрузка и настройка параметров обновленной версии программного обеспечения модема и т.п.);
Приведенный перечень применения средств информатизации и новых информационных технологий можно легко расширить5. Однако уже названная совокупность ' направлений человеческой деятельности и возникающие при этом специфические информационные правоотношения свидетельствуют о том, что современная правовая наука оказалась, к
5 Более того, по мнению ряда экспертов, с помощью имеющейся в наличии компьютерной технологии и все расширяющейся сферы ее применения могут быть совершены почти все виды преступлений, за исключением изнасилований См.: Борьба с компьютерной преступностью в рамках ООН // Борьба с преступностью за рубежом. — М.: ВИНИТИ, 1992. — № 5. — С. 70.
20
о том, что современная правовая наука оказалась, к сожалению, не готова к их появлению и эффективному правовому регулированию.
Возникновение «кибернетического пространства» и перенесение в него большого числа «традиционных» общественных отношений породили серьезные правовые и экономические проблемы и в первую очередь заострили вопрос на том, должна ли эта новая область подлежать государственному регулированию или ей лучше развиваться в условиях свободной конкуренции6.
Опыт развития «кибернетического пространства» и анализ его влияния на все сферы человеческой деятельности за последние годы со всей очевидностью показали, что информация в период постиндустриального общества — это реальный товар, за которым стоят огромные деньги, и следовательно, политическая власть. В связи с этим практически все серьезные исследователи приходят к выводу о необходимости государственного регулирования общественных отношений в «кибернетическом пространстве»7.
Данный вывод подтверждается многочисленными примерами в различных областях человеческой деятельности, связанной с массовым использованием достижений науки и техники. Достаточно наглядным является пример с правовым регулированием на автомобильном транспорте и в дорожном движении — одним из первых примеров массового (тиражом в несколько сотен миллионов экземпляров) внедрения технических новинок в повседневную деятельность человека.
В начале XX в., когда автомобили были единичны, их поездки не протяженны и редки, а скорость движения достаточно мала, чтобы причинить серьезный ущерб имуществу или гражданину, необходимости введения правил дорожного движения (регулирующих правовых норм) не было. Однако с ростом количества автомобилей, улучшением их технических характеристик все чаще начинают появляться ситуации, требующие своего правового регулирования. Причем по мере совершенствования техники возникала необхо
6 См.: Красильщиков В. Ориентиры грядущего в постиндустриальном обществе // Общественные науки и современность. — 1993. — №2.
7 См.: Аганбегян А. Информационная экономика // ComputerWeekly. — 1998. — № 2.
21
димость совершенствования механизмов правового регулирования. Помимо правил дорожного движения появляется разрешительная система, включающая введение водительских удостоверений для лиц, управляющих транспортными средствами, талоны технического состояния для транспортного средства (наличие СОг и т.п.).
Первыми к пониманию необходимости правового регулирования в сфере информатизации пришли наиболее развитые промышленные государства и в первую очередь США.
Мировая юридическая мысль, подходя к вопросу становления и развития законодательства в сфере информатизации, не выделяла его в самостоятельное направление и шла следующими основными путями:
•	совершенствование системы патентной защиты изобретений и промышленных образцов, включающей автоматизированные информационные системы, их элементы и программы для ЭВМ;
•	защита прав интеллектуальной собственности (авторское право);
•	лицензирование (в том числе и государственное) средств вычислительной техники, программного обеспечения и средств защиты информации, а также деятельности в области информатизации и использования программ для ЭВМ;
•	защита программного обеспечения на основе законодательства о профессиональных (торговых) тайнах (trade secret), в основном в США;
•	формирование и совершенствование уголовного и уголовно-процессуального законодательства.
Достаточно подробный анализ состояния патентного законодательства и авторского права в области защиты программного обеспечения и автоматизированных информационных систем приведен В.В. Беловым8 на основе правовых систем более 20 наиболее развитых стран мира в области электроники и информатики (Аргентина, Австралия, Бельгия, Болгария, Канада, Китай,
22
Дания, Франция, германия, Греция, Гонконг, Венгрия, Индия, Ирландия, Израиль, Италия, Япония, Южная Корея, Нидерланды, Норвегия, Филиппины, Сингапур, Южная Африка, Испания, Швеция, США).
Юридическая защита программного обеспечения на основе законодательства о профессиональных тайнах появилась в 80-х гг. в связи с широким распространением персональных ЭВМ, что обусловлено практической невозможностью заключения индивидуальных контрактов на поставку программного обеспечения. Профессиональной тайной по существующему законодательству могут быть признаны любая формула, устройство, принцип действия, правила или их совокупность, которые не являются общеизвестными и использование которых в коммерческих целях предоставляет преимущества по сравнению с конкурентами, которым неизвестны эти профессиональные тайны. Характерной особенностью защиты программного обеспечения на основе законодательства о профессиональной тайне является то, что объект защиты не должен быть общеизвестным (защита прекращается, если объект стал общеизвестным, даже из-за несанкционированных публикаций, пояснений или действий, раскрывающих профессиональную тайну) и разработчик программного обеспечения должен гарантировать конфиденциальность всех своих материалов.
Использование всех перечисленных выше подходов к регулированию правоотношений в области информатизации, к сожалению, показало свою невысокую эффективность. На наш взгляд, это обусловлено отсутствием эффективных криминалистических методик вскрытия и доказательства факгов нарушения патентного законодательства, законодательства о профессиональных тайнах и авторского права на объектах программного обеспечения и отсутствием ощутимых санкций уголовно-правового порядка. Все это в значительной степени усложняет, а зачастую делает неэффективным использование данного механизма юридической защиты.
х См.: Защита прав в сфере интеллектуальной собственности / Под ред. В.В. Белова. — М.: Академия экономических наук и предпринимательской деятельности России: Международная академия информатизации, 1995.
23
Все названные проблемы становления информационных правоотношений в полной мере коснулись и нашей страны, где их правовой основой стала действующая Конституция РФ 1993 г., в которой впервые был закреплен правовой статус информации и конкретизированы информационные права и свободы личности, обязанности и полномочия государства. Так, пунктом «и» ст. 71 Конституции РФ определено, что информация и связь находятся в ведении Российской Федерации, а пп. 4, 5 ст. 29 гласят:
«4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
5. Гарантируется свобода массовой информации. Цензура запрещается».
Кроме указанных статей, полностью посвященных установлению информационных правоотношений, в Конституции Российской Федерации содержится ряд статей, рассматривающих информационные правоотношения как условия и гарантии реализации других правоотношений в специфических сферах деятельности. Так, например, ст. 42 гласит: «Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением ».
Таким образом, анализ действующей Конституции показал, что в настоящее время уже можно говорить о становлении самостоятельной подотрасли конституционного права — информационного права, регулирующего общественные отношения, связанные с поиском, получением (производством), передачей, использованием и распространением информации. Отнесение информационного права к отрасли конституционного права, на наш взгляд, не вызывает сомнений, так как оно затрагивает основные права и свободы граждан, а также устанавливает основные понятия и категории, использующиеся смежными отраслями права (гражданским, трудовым, администра
24
тивным), а зачастую и предопределяет методы регулирования правоотношений вокруг информации в этих отраслях
Приведенная точка зрения не является бесспорной, и в настоящее время ведется широкая дискуссия о том, к какой области права будет отнесено информационное право и в каких направлениях ему следует развиваться. Различными учеными предлагался целый ряд соответствующих названий рассматриваемой отрасли законодательства: «право информатики», «право информатизации», «правовая информатика» и ряд других9.
Большинство предлагаемых терминов, на наш взгляд, не отражает ни сути регулируемых правоотношений, ни области (размаха границ) рассматриваемых процессов. Так, например, «правовая информатика» определяется Н.С. Полевым как междисциплинарная отрасль знаний о закономерностях и особенностях информационных процессов в сфере юридической деятельности, об их автоматизации, о принципах построения и методиках использования автоматизированных систем, создаваемых и используемых в юридической деятельности и решении частных правовых задач10. Используя данный подход, мы сужаем область исследования лишь решением правовых задач, в то время как за рамками изучения остаются процессы в информационном («кибернетическом») пространстве, имеющие своей целью удовлетворение потребности в отдыхе и развлечении, приобретение каких-либо материальных ценностей и многие другие.
Наиболее удачным, по нашему мнению, был термин «информационное право», предложенный В.А. Копыловым11 и определяемый как система охраняемых силой государства социальных норм и отношений, возникающих в информационной сфере — сфере производства, преобразования и потребления информации.
9 Право и информатика / Под ред. Е. А. Суханова. — М.: Юридическая литература, 1990.
10 Правовая информатика и кибернетика / Под ред. Н.С. Полевого. — М., Юридическая литература, 1993.
11 См.: Копылов В.А. Информационное право: Учеб, пособие. — М.: Юрист, 1997. — С. 18.; Просвирник Ю.Г. Информационное законодательство: современное состояние и пути совершенствования. — Воронеж. Издательство ВГУ, 2000.
25
Однако и в данном случае дело обстоит весьма непросто. Так, сложность понятия «информационная сфера» привела к тому, что В.А. Копылов не смог текстуально (а именно этой формы представления требует законодательная техника) сформулировать его определение и воспользовался графическим представлением в виде схемы12, которая также не лишена спорных моментов.
Названные трудности и ряд нерешенных до настоящего времени проблем в данном вопросе не устранили актуальности и настоятельной необходимости формирования информационного законодательства. Так, в соответствии с Указом Президента Российской Федерации «Об общеправовом классификаторе отраслей законодательства» № 2171 от 16 декабря 1993 г.13 был определен ряд отраслей законодательства, регулирующих информационные правоотношения.
•	010.315.000 Законодательство об информации и информатизации;
•	010.315.010 Общие вопросы информации и информатизации;
•	010.315.020 Информация;
•	010.315.030 Информатизация.
Внедрение средств информатизации в различные сферы человеческой деятельности не могло не оказать существенного влияния на традиционные правоотношения. С одной стороны, информатизация видоизменила существующие правоотношения (например, покупка товара по сети Интернет с использованием электронных расчетов по кредитной карточке), а с другой — породила новые общественные отношения, которые не были и, зачастую, не могли быть урегулированы действующими нормами права (например, распространение вредоносных программ для ЭВМ — так называемых «программных вирусов», по компьютерной сети).
Осознание самостоятельной роли и необходимости правового регулирования данной группы общественных отношений в сфере компьютерной
12 Там же. с. 27.
26
информации привело к многочисленным попыткам формирования строгой системы информационно-компьютерного (или компьютерного) права. Одними из первых исследований в данном направлении были работы Ю.М. Батурина13 14, который показал, что современные информационные процессы становятся базой для обособления нового вида общественных отношений — информационных, реализующихся на основе и с использованием автоматизированных информационных систем. Данной точки зрения придерживается и отечественный законодатель, что подтверждается достаточно широким перечнем федеральных законов, принятых за последние годы, среди которых в первую очередь необходимо отметить:
•	«Об информации, информатизации и защите информации» № 24-ФЗ от 20 февраля 1995 г.;
•	«О правовой охране программ для электронных вычислительных машин и баз данных» № 3523-1 от 23 сентября 1992 г.;
•	«О правовой охране топологий интегральных микросхем» № 3526-1 от 23 сентября 1992 г.;
•	«Об участии в международном информационном обмене» № 85-ФЗ от 4 июля 1996 г.
Значительное количество правовых норм, посвященных регулированию информационных правоотношений содержится в таких специализированных законах, как «О связи», «О государственной тайне», «О внешней разведке» и других.
В развитие названной законодательной базы Президентом и Правительством РФ было издано значительное количество подзаконных актов, среди которых в первую очередь следует выделить Указ Президента РФ:
•	«О дополнительных гарантиях прав граждан на информацию» от 31.12.93 г. №2334;
13 Собрание актов Президента и Правительства Российской Федерации. — 1993. — № 51. — Ст. 4936; Собрание законодательства Российской Федерации. — 1995. — № 1. — Ст. 46.
14 См.: Батурин Ю.М. Проблемы компьютерного права. — М.: Юридическая литература, 1991.
27
•	«Об основах государственной политики в сфере информатизации» от 20.01.94 г. №170
Необходимо подчеркнуть, что существенным этапом в становлении отечественного информационного законодательства стало принятие Федерального закона «Об информации, информатизации и защите информации». В нем была впервые предпринята попытка конкретизировать основные положения конституционных прав граждан Российской Федерации и дать определения важнейших базовых категорий, и в первую очередь информационных правоотношений. В соответствии с данным законом «информационные правоотношения — это отношения, возникающие при формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации при создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах 15 и информатизации» .
Несмотря на всю важность и базовый характер данного закона, эффективность его существенно снижается из-за использования регламентации важнейших информационных отношений законодательством, которое еще предстоит разработать. Так, А.Б. Агапов подсчитал, что в тексте данного закона, состоящего из 25 статей, содержится 35 отсылочных предписаний, предусматривающих разработку законов Российской Федерации, законов субъектов Российской Федерации и других подзаконных актов15 16.
Серьезная проблема в формировании информационно-компьютерного законодательства заключается в том, что для его осмысления и создания действительно корректных и работоспособных правовых норм требуются глубокие специальные познания в сфере информатики, вычислительной техники,
15 Федеральный закон «Об информации, информатизации и защите информации» И Собрание Законодательства Российской Федерации. — 1995. — № 8. — Ст, 609.
16 Агапов Л.Б. Основы государственного управления в сфере информатизации в Российской Федерации. — М.: Юристъ, 1997.
28
связи и электронике. Причем, следует подчеркнуть, что возможности новых информационных технологий стремительно расширяются — микроэлектронная, компьютерная промышленность и производство средств программного обеспечения не имеют сегодня аналогов ни по темпам развития (появление нового поколения микропроцессоров — каждые полтора-два года, выпуск нового поколения операционных систем — каждые два-три года), ни по своему влиянию на все сферы деятельности человеческого общества.
Как уже отмечалось, высокие темпы развития средств и систем информатизации, а также настоятельная потребность их использования в системах критических применений, таких как АСУ военного назначения, АСУ ядерны-ми энергетическими установками и энергосистемами, в автоматизированных информационных системах, осуществляющих безналичные электронные платежи в кредитно-финансовой сфере, и т.п. привели к необходимости разработки и внедрения определенных правил и порядка использования как самих средств информатизации, так и информации, представленной в машинном виде, строгого разграничения полномочий различных категорий пользователей в таких автоматизированных системах а также к появлению в них систем защиты информации.
Наличие систем защиты информации и отказ в предоставлении доступа к определенным информационным ресурсам и режимам работы автоматизированных систем послужили формальной основой и побудительным мотивом для возникновения правонарушений в сфере компьютерной информации — деятельности по преодолению технических систем защиты информации и нарушению установленного организационно-распорядительными мерами порядка доступа, а также использованию полученной таким образом информации в машинном виде или возможностей по изменению режимов функционирования автоматизированной информационной системы в интересах получения какой-либо корыстной выгоды.
Широкое внедрение сети Интернет не только в деятельность государственных органов, промышленных предприятий и финансовых организаций,
29
но и в дома рядовых граждан привело к резкому увеличению количества неправомерных действий в сфере компьютерной информации. В информационных ресурсах сети своеобразно отразились все общественные проблемы и социальные пороки современного общества. Так, пользователь сети может разместить в ней и свободно получить рецепты производства наркотиков, способы изготовления самодельных взрывных устройств из доступных «подручных» материалов., которые можно купить в хозяйственном магазине или аптеке, переписать на свой компьютер порнографические изображения или мультимедийные журналы, получить полные тексты доктрин идейных руководителей нацизма и мирового терроризма, принять участие в электронной конференции программистов-хакеров, где обсуждаются вопросы несанкционированного проникновения в автоматизированные системы органов государственного управления, Министерства обороны, космических агентств различных стран мира и т.п.
Рост числа автоматизированных систем и диапазона сфер их применения привел к резкому возрастанию количества компьютерных правонарушений и возникновению огромного ущерба от их последствий. Так, по данным компании USA Reseach, которая обследовала 3000 компаний различной величины совместно с руководящими работниками из 500 университетов, 250 исследовательских лабораторий, 500 компаний по программному обеспечению, 500 правительственных и 250 некоммерческих организаций, общее число компьютерных правонарушений в США возросло с 339 000 в 1989 г. до 423 000 в 1990 г. и до 684 000 в 1991 г.17
Опасность противоправной деятельности в «кибернетическом пространстве» трудно переоценить. Так, по мнению специалистов в области безопасности компьютерных систем, преступность в информационной сфере уступает только наркобизнесу и хищению предметов искусства18. При этом
17 Стенг Д., Мун С. Секреты безопасности сетей. — Киев: Диалектика, Информейшн Компьютер Энтерпрайз, 1996.
18 Курило А.П. О проблеме компьютерной преступности // Правовое обеспечение информатизации России. Научно-техническая информация. Серия 1. Организация и методика информационной работы. — 1993. — № 8.
30
проведенные криминологические исследования показали, что число компьютерных преступлений растет пропорционально росту количества эксплуатирующихся ЭВМ и общей численности людей, освоивших их использование19 20.
Широкое внедрение средств информатизации в нашей стране, а также интеграция в мировое информационное пространство дают основания полагать, что в ближайшем будущем все названные выше проблемы высокоразвитых (в информационной сфере) промышленных государств мира перекочуют в Россию и мы столкнемся с еще более резким ростом компьютерных о 20 преступлении и возрастанием тяжести совершаемых деянии .
Складывающаяся в настоящее время ситуация заставляет обратить особое внимание на компьютерные преступления и повышение их социальной опасности.
Это связано, во-первых, с проводимой политикой реорганизации предприятий военно-промышленного комплекса, НИИ, вузов, в результате которой большое количество специалистов высочайшего класса оказываются безработными либо получают нищенскую заработную плату и представляют собой благодатную социальную почву для разработки преступлений в сфере компьютерной информации и высоких технологий, а также участия в их совершении.
Во-вторых, после прекращения «холодной войны» и установления нормальных экономических взаимоотношений с промышленно развитыми странами Западной Европы и США в Россию обрушился поток современных информационных технологий (вычислительной техники, телекоммуникационного оборудования и программного обеспечения и особенно бурно стала внедряться сеть Интернет), которые находят применение практически во всех сферах деятельности человека, в том числе являются традиционными объек
19 Рост компьютерных преступлений И Проблемы борьбы с преступностью в зарубежных странах. — М.:ВИНИТИ. — 1984. — № 12.
20 Причины этого явления достаточно полно отражены в монографиях профессора Ю.М. Батурина: Батурин Ю.М. Проблемы компьютерного права. — М.: Юридическая литература, 1991.; Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. — М.: Юридическая литература, 1991.
31
тами устремлений криминального характера (банки, органы государственного управления и правоохранительные органы), что резко расширяет материальную основу компьютерных преступлений.
В-третьих, даже выявленные факты компьютерных преступлений говорят об исключительных масштабах их последствий. Так, если самое крупное зарегистрированное разбойное нападение на банки и коммерческие структуры в России (налет на центральный офис «Торибанка») позволило преступникам завладеть суммой около 314 625 000 руб., то рядовое компьютерное преступление, связанное с модификацией информации в компьютерной сети РКЦ Центрального банка, могло привести к хищению 68 млрд. руб.
Первые факты несанкционированного доступа, которые можно было назвать преступлениями в сфере компьютерной информации, были зарегистрированы в США уже в середине 70-х гг. При этом рост их количества и тяжесть наступаемых последствий были настолько стремительными, что правоохранительные органы оказались не в состоянии адекватно противостоять этому явлению. Сложившаяся ситуация привела к тому, что уже в конце 70-х гг. стали проводиться систематические работы по криминологическому исследованию компьютерных преступлений и были разработаны первые рекомендации по борьбе с ними.
1.2. Понятие и сущность преступлений в сфере компьютерной информации
В настоящее время количество совершаемых преступлений в сфере компьютерной информации настолько велико, что попытки составить их исчерпывающий перечень и проследить хронологию их совершения, на наш взгляд, не представляется возможным. В связи с этим, исходя из целей настоящей работы, наиболее правильным будет рассмотреть отдельные факты и события как примеры относительно самостоятельных видов совершаемых преступлений в сфере компьютерной информации.
Наиболее часто совершаемым видом преступлений в сфере компьютерной информации является «компьютерное хулиганство». Цель соверше
32
ния таких действий — личное самоутверждение и доказательство профессионализма в сфере программирования и межмашинного информационного обмена. В качестве примеров такого рода деяний можно привести следующие: 17 августа 1996 г. неизвестный хакер разместил на Web-странице Министерства юстиции США21 большое количество фашистских свастик, неприличных картинок и нецензурных надписей. При этом Министерство юстиции было названо «Министерством Несправедливости» (Unjustice Department), а в центре экрана был помещен портрет Адольфа Гитлера с подписью, утверждавшей, что это министр юстиции США. Также на странице были размещены портреты Джорджа Вашингтона и раздетой по пояс актрисы Дженнифер Энистон. Смысл учиненных безобразий объясняла надпись: «Эта страница является нарушением Акта о благопристойности в сообщениях»22. 19 сентября 1996 г. атаке подверглась Web-страница ЦРУ. Экран первой страницы украшала надпись Central Stupidity Agency, дословный перевод которой означает «Центральное Агентство Тупости» или «Центральное Дебильное Управление».
Более опасными преступлениями в сфере компьютерной информации являются проникновения хакеров в автоматизированные финансовые и банковские системы с целью получения возможности перенаправить финансовые потоки
Наряду с «чистыми компьютерными преступлениями» широкое распространение получило использование вьгчислительной техники и новых информационных технологий в преступной деятельности. Так, по мнению Уильяма Бау, занимавшего высокий пост в ФБР, а ныне являющегося вице-президентом корпорации Science Applications International, существенную трудность для правоохранительных органов будет представлять использование преступниками современных технологий шифрования23. По данным ис-
21 Адрес Web-сайта в сети Интернет — http://wnv.nsdoi.gov.
22 LAN Magazine/Русское издание. — 1996. — №11. — С. 11.
23 Сэри Кэлин Криптография угрожает правосудию И LAN Magazine/Русское издание. — 1996. — №11,—С.23.
33
следования, проведенного американскими экспертами, в мире ежегодно совершается, по меньшей мере, 500 преступлений с привлечением средств шифрования, причем их число растет с каждым годом на 50 — 100%24. В подготовленном по результатам исследований отчете говорится об использовании шифрования при организации ряда международных преступлений, таких как взрывы в Нью-Йорском и Токийском метро, шпионская деятельность Олдрича Эймса, а также взрыв в Международном центре торговли.
Несмотря на то, что развитие преступности в сфере компьютерной информации и новых информационных технологий в нашей стране существенно сдерживается отставанием в области вычислительной техники, телекоммуникаций и связи, тем не менее, темпы ее значительны.
Так, первым случаем, занесенным в международный реестр, учитывающий компьютерные преступления, был случай в 1979 г., когда в Вильнюсе на одном из предприятий было совершено хищение денежных средств с использованием ЭВМ на сумму свыше 78 000 руб.
В 1983 г. системный программист Волжского автозавода произвел модификацию программного обеспечения АСУ ТП главного конвейера, в результате чего произошла его остановка на трое суток и был нанесен материальный ущерб, исчисляемый миллионами рублей в ценах 1983 г.25
В 1991 г. было раскрыто хищение 125 000 долларов во Внешэкономбанке СССР. При этом расследование выявило, что путем модификации расчетного алгоритма из-под учета ЭВМ были выведены и подготовлены к хищению еще 750 000 долларов26.
В 1992 г. умышленное внедрение программного вируса в одну из подсистем АСУ Игналинской АЭС привело к аварийной остановке блока27.
24 Encryption and Evolving Technologies in Organized Crime and Terrorism. — Boston, 1997.
25 Курило А.П. О проблеме компьютерной преступности И НТИ серия I. Организация и методика информационной работы — 1993. — № 8. — С. 6
26 Там же. С. 7.
27 Там же. С. 8.
34
В 1994 г. путем внесения изменений в информационные массивы компьютеров РКЦ г. Махачкалы преступники пытались похитить 35 100 557 ООО руб.
Масштабы преступной деятельности в сфере автоматизированных банковских технологий производят впечатление даже на специалистов. Так, по заявлению заместителя начальника управления по борьбе с экономическими преступлениями МВД России, в период с 1994 по 1996 г. российские хакеры совершили более 500 попыток проникнуть в компьютерные сети Центрального банка и сумели похитить оттуда около 250 млрд, руб.28
По данным ГИЦ МВД России доля компьютерных преступлений в общем числе преступных посягательств в финансово-кредитной сфере России (по сложившейся классификации к этим преступлениям относятся мошенничества, совершаемые с использованием как компьютерной техники, так и поддельных пластиковых карточек) в 1997 г. составила 0,02 %. Говоря абсолютными цифрами — при использовании систем электронных платежей чуть более 2 тыс. коммерческих банков и их филиалов уже выявлено более сотни фактов несанкционированного доступа к банковским базам данных через телекоммуникационные сети, что причинило ущерб в размере 20 млн. (деноминированных) рублей29.
В 1998 г. органами МВД было выявлено 54 случая неправомерного использования пластиковых карточек с суммарным ущербом более 1,7 млрд, руб. и 15 преступлений, связанных с незаконным переводом средств на сумму 6,3 млрд. руб. (при этом мошенничества, совершенные посредством пластиковых карточек, были зафиксированы в 12 регионах России, а преступления с использованием компьютерных систем — в трети ее субъектов).
Например, в Москве было пресечено несколько преступлений, в одном из которых преступникам удалось, использовав модем и ставший известным им код идентификации пользователя, перевести средства на сумму 2 млрд.
2* Волков Д. В Россию за идеями // Конфидент. — 1998. — № 1.
29 Аврик С. Хакеры против банков // Банковские технологии. — 1998. — № 8.
35
руб. из филиала одного из банков сначала в его головной офис, а затем в другой коммерческий банк, откуда они попытались снять их по фальшивому платежному поручению. В другом случае экономист одного из московских банков сумел путем несанкционированного входа в компьютерные сети электронных платежей банка, по которым происходило зачисление и списание его валютных средств по корреспондентскому счету в Bank of New York (CHIA), осуществить перечисление более 300 тыс. дол. США на счет московского представительства одной из зарубежных фирм и с помощью соучастников обналичить их.
«Классическое» хищение денежных средств путем направления пользователем электронной системы платежей «Клиент-Банк» подложного платежного поручения было совершено помощником главного бухгалтера одной из коммерческих фирм, в обязанности которого входила подготовка на компьютере платежных поручений. Преступник, воспользовавшись дискетой с электронными подписями распорядителей кредитов, составил фиктивное платежное поручение и незаконно перевел 3,2 млн. дол. США с валютного счета фирмы на заранее открытый по фальшивым документам другой валютный счет, откуда они затем были переведены в один из коммерческих банков США.
Очень быстрыми темпами развивается сеть Интернет и в России. Так, по оценкам специалистов на сегодняшний день услугами Интернет пользуются более 600 тысяч человек и это число ежегодно удваивается. Количество российских Web-страниц только за один год (с сентября 1996 г. по сентябрь 1997 г.) увеличилось в 9 раз и составило примерно 6000’,(). В настоящее время, по оценкам специалистов, их насчитывается уже более 100 000.
Складывающееся положение не могло не отразиться на криминальной ситуации в сети Интернет. Анализ, выполненный сотрудниками ГУЭП МВД России с участием службы безопасности одного из крупных банков Москвы, *
30 Зотов А.Ю. Российский сектор Интернета // Информационные ресурсы России. — 1997. — № 4.
— С. 6.
36
показал, что только за один месяц в нем пресекается более 200 попыток оплаты товаров через Интернет по фиктивным пластиковым карточкам на сумму около 20 тыс. дол. США31 32.
Наибольший общественный резонанс среди всех «компьютерных» преступлений с использованием Интернет получило «дело Владимира Левина» из Санкт-Петербурга, отнесенное по классификации международной уголовной полиции к категории «транснациональных сетевых компьютерных пре-- 32 ступлении» .
Приведенные факты, а также огромный ущерб, наносимый этими деяниями, не мог оставить законодателей всех развитых стран в стороне от необходимости установления уголовно-правовых запретов на подобную деятельность в «кибернетическом пространстве». Анализ уголовного законодательства наиболее промышленно развитых стран мира33 34 показал, что в настоящее время не существует общего понятия компьютерного преступления. По мнению большинства экспертов, это связано с высокой скоростью изменения информационных технологий, а следовательно, изменением в составе субъектов, объектов и видов правоотношений, возникающих в этой сфере
Так, в изданном Министерством юстиции США в 1979 г. «Уголовном кодексе» понятие компьютерного преступления включало в себя три катего-34 рии
«1. Злоупотребление компьютером —ряд мероприятий с использованием компьютера с целью извлечения выгоды, которые нанесли или могли нанести ущерб.
2.	Прямое незаконное использование компьютеров в совершении преступления.
31 См.: Аврин С. Хакеры против банков//Банковские технологии. — 1998. — № 8.
32 См.: Куршии В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность — М.: Новый Юрист, 1998.
33 См.: Горбатов В.С., Полянская О.Ю. Мировая практика криминализации компьютерных правонарушений. — М.: МИФИ, 1998.
34 Михайлов В.А. Криминализация компьютерных правонарушений // Безопасность информационных технологий. — М.: МИФИ, — 1996. — № 3. — С. 18.
37
3.	Любое незаконное действие, для успешного осуществления которого необходимо знание компьютерной технологии.»
Очевидно, компьютерные преступления последнего времени уже никак не могут быть уложены в эти правовые категории.
Серьезное внимание уголовно-правовому регулированию в сфере компьютерной информации стало уделяться и в нашей стране начиная с 1991 г. Так 6 декабря 1991 г. был представлен проект Закона РСФСР «Об ответственности за правонарушения при работе с информацией», который предполагал введение целого ряда новых составов преступлений, связанных с компьютерной информацией35. И уже в ч. 5 Постановления Верховного Совета Российской Федерации о введении в действие Закона Российской Федерации «О правовой охране программ для ЭВМ и баз данных» сказано: «Правительству Российской Федерации до 1 октября 1992 года внести в установленном порядке на рассмотрение Верховного Совета Российской Федерации проекты законов Российской Федерации о внесении изменений и дополнений в Гражданский кодекс РСФСР, в Уголовный кодекс РСФСР, другие законодательные акты, связанные с вопросами правовой охраны программ для электронных вычислительных машин и баз данных.»36, что свидетельствует о признании необходимости уголовно-правового регулирования правоотношений в области информатизации.
Проведенные в данном направлении работы привели к тому, что в 1994 г. был разработан проект закона о внесении дополнений в УК РСФСР, который предусматривал следующие составы преступлений:
•	незаконное овладение программами для ЭВМ, файлами и базами данных;
•	фальсификация или уничтожение информации в автоматизированной системе;
35 Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. — М.: Новый Юрист. 1998.
38
•	незаконное проникновение в АИС, совершенное путем незаконного завладения парольно-ключевой информацией, нарушение порядка доступа или обхода механизмов программной защиты информации с целью ее несанкционированного копирования, изменения или уничтожения;
•	внесение или распространение «компьютерного вируса»;
•	нарушение правил, обеспечивающих безопасность АИС36 37.
Аналогичной точки зрения придерживались и авторы других проектов — коллектив Государственно-правового Управления при Президенте Российской Федерации и авторский коллектив депутатов Государственной Думы (членов Комитета по законодательству и судебно-правовой реформе и Комитета по безопасности). Учет мнения всех авторских коллективов привел к тому, что в проекте УК РФ, опубликованного в Российской газете в феврале 1996 г., появилась глава 29 «Компьютерные преступления», которая впервые в истории российского права предлагала установить уголовную ответственность за пять видов деяний:
•	статья 271 «Самовольное проникновение в автоматизированную компьютерную систему»;
•	статья 272 «Неправомерное завладение программами для ЭВМ, файлами или базами данных»;
•	статья 273 «Самовольная модификация, повреждение, уничтожение баз данных или программ для ЭВМ»;
•	статья 274 «Внесение или распространение вирусных программ для ЭВМ»;
•	статья 275 «Нарушение правил, обеспечивающих безопасность информационной системы».
36 Постановление Верховного Совета Российской Федерации «О введении в действие закона «О правовой охране программ для электронно-вычислительных машин и баз данных» // Софтмаркет. — 1992. — № 22.
37 Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. — М.: Новый Юрист, 1998.
39
В ходе обсуждения проекта нового УК РФ в его окончательной редакции остались только три статьи, объединенные в главу 28 «Преступления в сфере компьютерной информации»: ст. 272 «Неправомерный доступ к компьютерной информации»; ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ»; ст. 274. «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».
Тем не менее, введение названных статей в действующий УК РФ не означает завершения формирования механизма уголовно-правовой защиты деяний в сфере информатизации, а наоборот, лишь ставит ряд фундаментальных правовых вопросов, без решения которых невозможно цивилизованное существование демократического общества в XXI в.
Из-за своей специфической природы и повышенной социальной опасности38 39 компьютерные преступления практически с момента своего появления находились в поле зрения специалистов в области защиты информации, криминологов и программистов. Однако единого и бесспорного взгляда на данный вид преступлений до настоящего времени не выработано.
Условно точки зрения специалистов в данной области можно разделить на три группы:
1.	Расширительное толкование понятия компьютерного преступления,
39 в соответствии с которым к ним относятся посягательства на :
•	связи и отношения людей, опосредующих применение и использование компьютерной техники;
•	вещественный элемент отношений компьютерной безопасности (например, компьютеры, коммутационное оборудование, линии связи);
•	надежность персонала компьютеризованных систем;
38 Так, например, проблемам расследования преступлений в сфере компьютерной информации посвящен целый раздел в кн.: Пособие для следователей. Расследование преступлений повышенной общественной опасности / Под ред. НА. Селиванова и А.И. Дворкина. — М.: Лига разум, 1998.
39 См.. Сюнтюренко О.В., Колонков Ю.М. Проблемы правового обеспечения защиты информации и компьютерной безопасности // Правовое обеспечение информатизации России. Научно-техническая информация серия 1. Организация и методика информационной работы. — 1993. — № 8.
40
•	жизнь гражданского населения — при использовании «интеллектуальных» систем оружия, влекущих разрушение населенных пунктов, не оправданных военной необходимостью;
•	«мир», как состояние человечества — развертывание систем управления стратегическим и ядерным оружием, полностью передающих функции принятия решения компьютерам.
2.	Компьютерных преступлений как самостоятельного вида не существует, их следует рассматривать лишь как квалифицирующий признак обычных, «традиционных» преступлений40. При этом компьютер при совершении преступления выступает в качестве объекта преступления, орудия преступления, средства, на котором подготавливается преступление или среды, в которой оно совершается.
3.	Компьютерные преступления представляют собой самостоятельный вид преступной деятельности, который может и должен квалифицироваться отдельными составами преступлений (данную точку зрения поддерживают, как известно, авторы УК РФ 1996 г.).
Первая точка зрения во многом носит общетеоретический (философско-полемический) характер и ни в коей мере, думается, не может служить основой для разработки действующих правовых норм (например, соответствующих статей УК). Более того, приведенный перечень посягательств в большей степени соответствует вводимому в ряде работ понятию «преступления в информационной сфере» Однако и это понятие, на наш взгляд, не совсем удачно вписывается в принятую кодификацию уголовных преступлений, так как сюда следует отнести преступления, предусмотренные ст. 189 «Незаконный экспорт технологий, научно-технической информации и услуг, используемых при создании оружия массового поражения, вооружения и военной техники», ст. 276 «Шпионаж», ст. 283 «Разглашение государственной тайны», ст. 316 «Укрывательство преступлений» (раздел «Преступления против государственной власти»); ст. 155 «Разглашение тайны усыновления
РОССИЙСКАЯ
государственная
БИБЛИОТЕКА	41
(удочерения)», ст. 129 «Клевета», ст. 146 «Нарушение авторских и смежных прав» (раздел «Преступления против личности») и т.п.
Один из авторов второго взгляда на компьютерные преступления, Ю.М. Батурин, рассматривает компьютер как инструмент, орудие при совершении преступления или непосредственно объект (предмет) преступного посягательства. Данная точка зрения, на наш взгляд, в целом представляется оправданной, но не в полной мере отражает сложившиеся реалии, так как центральную роль квалификации компьютерных преступлений следует отводить не компьютеру, который выступает как орудие преступления (о чем справедливо замечает Ю.М. Батурин), а информации, представленной в специальном виде (пригодном для автоматизированного хранения, обработки, передачи и воспроизведения), а также последствия, которые наступили в результате неправомерного завладения ею, уничтожения или генерации со специальными заданными свойствами. Ведь именно информация, представленная в особом (машинном) виде, является объектом преступления, а различную «окраску» преступление приобретает в зависимости от того, в какой сфере человеческой деятельности эта машинная информация использовалась.
При этом под «компьютером» следует понимать не только электронно-вычислительную машину, но и специальный вычислитель или вообще техническое устройство, способное выполнять действия по хранению, записи, обработке, воспроизведению или передаче информации. Более подробно речь об основных базовых понятиях пойдет в следующем параграфе настоящей работы.
Наиболее обоснованной, на наш взгляд, представляется третья точка зрения, утверждающая, что компьютерные преступления представляют собой самостоятельный вид преступлений.
Проведенный Б. В. Кристальным и Ю. М. Нестеровым анализ свойств и особенностей «кибернетического пространства» (информационной сферы), привел к вычленению самостоятельной предметной области — области соз-
40 Батурин Ю.М. Проблемы компьютерного права. — М.: Юридическая литература, 1991.
42
дания и применения информационных технологий в различных сферах человеческой деятельности, которая как раз и становится средой совершения преступлений в сфере компьютерной информации41 (по терминологии УК РФ). Действующее уголовное и гражданское законодательство уже достаточно четко определило объект преступного посягательства — компьютерную информацию (хотя, на наш взгляд, как было сказано ранее, методологически правильно было бы определить ее как информацию в машинном виде, т.е. в виде, пригодном для ее обработки, хранения и передачи с использованием технических средств и не обязательно компьютеров).
В связи с этим определение «компьютерные» для пояснения понятия преступлений в сфере компьютерной информации является не совсем удачным, однако другого, столь же кратко и емко отражающего суть рассматриваемого явления, в настоящее время в юридической литературе не предложено.
Более того, уже сложилась традиция использования такого понятия, как «компьютерное преступление» и у нас в стране, и за рубежом, которую вряд ли стоит нарушать. Примеров следования таким традициям наука и техника знает весьма достаточно. Например, со времен А. Ампера и до сих пор принято на всех электрических схемах обозначать движение тока от «+» к «-», хотя уже давно известно, что движущимися частицами являются электроны, имеющие отрицательный заряд, т.е. от «-» к «+».
Исходя из принятой точки зрения, что компьютерные преступления представляют собой самостоятельный вид преступной деятельности, и анализа рассмотренных фактов компьютерных преступлений, их содержания и особенностей, постараемся дать определение понятия «компьютерное преступление», делая упор на связь информации с имущественным интересом и с правом на извлечение материальной выгоды из владения и пользования информацией.
41 Кристальный Б.В., Нестеров Ю.М. Информационные права и информатика//Информационные ресурсы России. — 1996. — № 3.
43
Под преступлением в сфере компьютерной информации («компьютерным» преступлением) следует понимать предусмотренное уголовным законом общественно опасное деяние (действие или бездействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или физическому лицу, а также против установленного государством или ее собственником порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба законному владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается и уничтожается, или повлекло иные опасные последствия.
В приведенном определении следует обратить внимание на порядок создания (приобретения), использования и уничтожения информации. В соответствии с действующим законодательством такой порядок может устанавливать не только собственник информации или лицо, им уполномоченное, но и государство. Примером этого может служить случай, когда юридическое или физическое лицо по заказу государства (или по своей инициативе, на конкурсной основе) проводят разработку технологии или изделия, содержащих сведения, составляющие государственную тайну, или выполняют проектирование, производство или установку средств (систем) защиты информации, составляющей государственную тайну (шифровальная или криптографическая аппаратура, средства разграничения доступа и т.п.).
Вместе с тем, в настоящее время не представляется возможным юридически корректно определить понятие «собственника информации», и этот вопрос до сих пор является одним из спорных в современной юридической науке. Для целей нашего дальнейшего исследования мы будем придерживаться точки зрения Федерального закона «Об информации, информатизации и защите информации» № 24-ФЗ, где данное понятие сужается до понятия собственника документированной информации. Причем документированная
44
информация определяется как информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать.
Возникновение специфического объекта преступлений — информации, представленной в виде, пригодном для автоматизированной обработки, уникальной среды ее существования, а также наличие уголовного законодательства (отдельной главы УК РФ), на наш взгляд, позволяет выделять и рассматривать «кибернетическое пространство» как самостоятельный криминалистический объект при расследовании преступлений в сфере компьютерной информации.
Вычленение «кибернетического пространства» как самостоятельного криминалистического объекта в уголовно-правовой и криминалистической литературе в настоящее время является дискуссионным и общепринятое его понимание отсутствует. Однако исследование природы «кибернетического пространства», а также определенный опыт, накопленный при расследовании первых преступлений в сфере компьютерной информации, позволяют сформулировать определение кибернетического пространства.
Под кибернетическим пространством при расследовании преступлений в сфере компьютерной информации следует понимать область возможного нахождения информации, представленной в виде, пригодном для автоматизированной обработки, имеющей существенное значение для установления истины по расследуемому преступлению, и образованную средствами хранения информации, устройствами автоматизированной обработки информации (в том числе средствами вычислительной техники), вспомогательными средствами и системами, а также средствами и системами связи и телекоммуникаций, функционирующими в соответствии с принятым протоколом обработки информации под управлением соответствующего программного и с использованием необходимого информационного обеспечения.
Анализ существа «кибернетического пространства» как самостоятельного криминалистического объекта позволил выявить его основные элементы:
45
•	отдельные помещения или их набор, в которых размещены автоматизированные информационно-вычислительные системы с соответствующим техническим комплексом обеспечения ее деятельности (системы связи, электропитания, заземления и т.п.);
•	средства автоматизированной обработки информации (вычислительные машины и их системы);
•	каналы телекоммуникаций и передачи данных (в том числе звуковые волны и электромагнитные поля);
•	машинные носители информации, обеспечивающие хранение информации в виде пригодном для ее автоматизированной обработки;
•	непосредственно сама информация, представленная в виде пригодном для ее автоматизированной обработки (данные в соответствующих форматах, управляющие программы и т.п.);
•	принятые порядок и последовательность (протоколы — по терминологии теории автоматизированных информационно-вычислительных систем) автоматизированной обработки информации, а также установленные правила и распределение обязанностей между должностными лицами автоматизированной информационной системы.
Выделение и отдельное рассмотрение «кибернетического пространства» как самостоятельного криминалистического объекта обусловлено рядом его существенных особенностей к числу которых следует отнести:
1.	Огромное число состояний «кибернетического пространства». Сложность организации самого «кибернетического пространства» и его основных составных элементов, его изначальная открытость к подключению (или отключению) все новых и новых элементов приводит к тому, что никто заранее не может прогнозировать его состояние и многие явления в нем рассматриваются как практически случайные. Например, практически невозможно заранее установить количество пользователей ИНТЕРНЕТ в течение заданного промежутка времени, нельзя сказать, сколько будет посетителей Web-узла в каждую конкретную минуту, оценить, будет ли доступен тот или
46
иной информационный или вычислительный ресурс. В связи с этим потенциальный преступник в сфере компьютерной информации вынужден учитывать эту неопределенность и предусматривать это в вариантах своего поведения или при подготовке орудия преступления (например, в виде специальных процедур в своих программах). Знание таких мест и особенностей их обработки (протокола информационного взаимодействия) может послужить ключом в поиске орудия преступления в ходе расследования преступления в сфере компьютерной информации.
2.	Высокие скорости изменения состояний «кибернетического пространства». В нем протекают информационные процессы с огромными скоростями, равными быстродействию вычислительных машин (миллиарды операций в секунду). Таким образом, отдельные этапы преступного деяния (например, фиктивные электронные платежи в межбанковских системах расчетов) практически невозможно зафиксировать без предварительной подготовки и без привлечения специального программного и аппаратного обеспечения.
3.	Отсутствие очевидных, «грубых» форм проявления и хрупкость следов информационных процессов в «кибернетическом пространстве». Обычно прибывшая на место преступления следственно-оперативная группа видит отчетливые (пусть их мало и они не дают оснований для полного понимания деталей и тонкостей совершенного преступления) следы преступного деяния, которые, в частности, позволили обнаружившему место происшествия обратиться в правоохранительные органы. Так, при расследовании факта насильственной смерти человека обязательно «наличествует» труп, при краже со взломом — развороченная или взломанная входная дверь в помещение, дверь сейфа и отсутствуют те или иные материальные ценности или объекты, которые должны там находиться. Фиксация этих фактов и вывод о криминальной природе их появления не требуют каких-либо специальных познаний.
47
При совершении преступления в сфере компьютерной информации дело обстоит гораздо сложнее. На месте преступления мы не обнаружим ни развороченного компьютера, ни лежащего «трупа убитой программы». Однако это не означает, что следов преступления нет. Следы есть, но для их обнаружения необходимо обладание, во-первых, специальными познаниями, во-вторых, специальными средствами регистрации следов и, в-третьих, создание специальных условий для их выявления.
Возникающие в ходе автоматизированной обработки информации следы взаимодействия аппаратных и программных средств очень хрупки и зачастую сохраняются лишь до выключения электричества. Более того, технически предусмотренные особенности построения средств автоматизированной обработки информации приводят к тому, что при повторном включении электропитания большинство элементов этих систем приводится в начальное состояние, тем самым, уничтожая большинство следов своего предыдущего функционирования.
4.	Отсутствие устойчивых идентификационных признаков информации. В «кибернетическом пространстве» очень трудно достоверно установить где информация (файл или набор данных) была сгенерирована, какой путь она прошла и где была уничтожена или сколько ее копий было изготовлено. Это связано в первую очередь с тем фактом, что на информацию не распространяются фундаментальные законы материи — законы сохранения. Информация может быть легко воспроизведена без изъятия42 из места ее первоначального нахождения, что существенно затрудняет выявление и расследование преступлений в сфере компьютерной информации.
5.	Использование уникального в своем роде орудия совершения преступления — программы обработки компьютерной информации. Зачастую орудием совершения компьютерного преступления служит специально подготовленная (созданная, написанная) преступником машинная программа, т.е.
42 Впрочем, сам термин изъятие, привычный для юридической и уголовно-правовой терминологии, мало применим при исследовании информационных процессов и преступлений в сфере компьютерной информации.
48
зафиксированная определенным образом последовательность действий вычислительной системы (среды, в которой совершается преступление), которая заложена преступником и направлена на достижение поставленных им целей. Как правило, кроме достижения прямых целей преступления, — модификации определенных данных, блокирования выполнения определенных функций, специфические орудия совершения преступления (специальные программы) выполняют ряд действий для достижения вспомогательных целей, — маскировка и сокрытие следов их действия и уничтожение самого орудия преступления. При этом орудие компьютерного преступления в виде специальной машинной программы существует во времени в среде вычислительной системы (среды совершения преступления) и выполняет заложенные в него функции вне вещественной или энергетической связи между преступником и орудием преступления (автоматически), причем может инициировать свои действия через значительный промежуток времени (несколько месяцев или даже лет).
1.3.	Состав и структура теоретических основ криминалистической методики расследования преступлений в сфере компьютерной информации (цифровой криминалистики)
Криминалистика — система открытая и динамичная. Она впитывает в себя все достижения смежных наук — химии, физики, биологии, математики, и наконец, информатики. При этом происходящие изменения в этих смежных науках приводят к возникновению новых теоретических построений и частных криминалистических теорий. Это вполне закономерно и, как справедливо отмечает Р.С. Белкин, «возникновение, совершенствование, изменение частных криминалистических теорий — процесс непрерывный, ибо непрерывен процесс установления и объяснение фактов»43.
Широкое внедрение средств информатизации в повседневную деятельность человека привело к тому, что «кибернетическое пространство»
43 Белкин Р.С. Курс криминалистики: В 3 т. T.2: Частные криминалистические теории. — М.: Юристъ, 1997. — С. 10.
49
стало средой совершения противоправных действий и преступлений. Специфика среды, а также способов совершения преступлений в сфере компьютерной информации, привели к тому, что сложившаяся система частных криминалистических теорий оказалась не способной удовлетворить потребности практики борьбы с преступлениями в этой новой сфере человеческой деятельности. В связи с этим в последнее время весьма остро встал вопрос о разработке самостоятельной частной криминалистической теории расследования преступлений в сфере компьютерной информации («компьютерных преступлений»).
Необходимость формирования новой частной криминалистической теории, а не модификации уже существующих, обусловлена тем, что не рассматривавшаяся ранее в рамках криминалистики сфера компьютерной информации оказывает свое воздействие практически на все криминалистические учения и частные криминалистические теории:
•	теория идентификации — необходимость разработки методов идентификации компьютерных программ, установление отдельных свойств компьютерной информации и т.п.;
•	учение о фиксации доказательственной информации — необходимость разработки методов регистрации компьютерной информации, методов вычленения информации, имеющей существенное отношение к расследуемому преступлению, из всего объема и т.п.;
•	теория причинности — необходимость разработки методов анализа причинных связей при использовании вредоносных самомодифицирующихся программ и т.п.;
•	учение о следообразовании — необходимость разработки методов анализа следов на магнитном, электромагнитном полях (радиоволнах).
Так, например, в связи с широким использованием информационных технологий в повседневной жизни человеческого общества, а следовательно, и в криминальной деятельности в настоящее время можно говорить о появ
50
лении нового материального носителя следов — поля (например, электромагнитное поле) как одной из форм существования материи.
Если раньше криминалистика изучала и рассматривала в качестве материальных следов отражение деятельности человека на веществе в твердом (сколы, царапины, изломы, характерные деформации и т.п.), жидком (изменение химического состава, концентрации, включение коллоидных частиц и т.п.) и газообразном (концентрации химических веществ, прозрачность, запахи и т.п.) состоянии, то в настоящее время криминалистика сталкивается с необходимостью исследования следов на электромагнитном поле, так как оно становится носителем информации и, следовательно, объектом преступного посягательства в сфере компьютерной информации.
Для формирования новой частной криминалистической теории принципиально важно правильно отграничить предмет рассматриваемой теории, так как только строго определенная совокупность органически взаимосвязанных между собой явлений может быть объединена в самостоятельную криминалистическую теорию44. Неоправданное расширение ее предмета зачастую приводит к низкой практической значимости и неэффективности «красивых» теоретических построений. Так, например, предложенная В. В. Крыловым криминалистическая теория расследования преступлений в области информации45 в качестве предмета теории определяет «закономерности криминальной деятельности в информационной сфере в отношении и с использованием компьютерной и иной документированной информации ...». Таким образом, при определении предмета частной теории используется очень широкая категория — информационная сфера (которая только в действующем УК РФ имеет более десятка соответствующих составов: от разглашения тайны усыновления (удочерения) — ст. 155, до шпионажа — ст. 276) и наряду с компьютерной информацией в предмет названной теории включает
44 См.: Белкин Р.С. Курс криминалистики: В 3 т. Т.2: Частные криминалистические теории. — М.: Юристъ, 1997. — С. 17.
45 См.: Крылов В.В. Расследование преступлений в сфере информации. — М.: Издательство «Горо-дец», 1998.
51
ся иная документированная информация, что сводит воедино различные по своей природе (способу размножения, создания и уничтожения, а следовательно, и соответствующей следовой картине) материальные объекты (информацию на магнитном носителе и бумажный документ) и принципиально не позволяет выявить общие для них закономерности.
На наш взгляд, формирование частной криминалистической теории возможно лишь на основе вычленения однородных материальных объектов и явлений. Такой однородной средой является рассмотренное выше «кибернетическое пространство» и определяемое в действующем УК РФ как сфера компьютерной информации. В связи с этим нам представляется целесообразным для обозначения частной криминалистической теории расследования преступлений в сфере компьютерной информации использовать название «цифровая криминалистика», подчеркивающее суженный предмет ее исследования по сравнению с информационной сферой, рассмотренной в работах В. В. Крылова, и специфическую (дискретную, цифровую) форму представления информации как предмета исследования.
В связи с этим объектом «цифровой криминалистики» (частной криминалистической теории расследования преступлений в сфере компьютерной информации) является деятельность следователей, сотрудников правоохранительных органов, направленная на выявление и расследование преступлений в сфере компьютерной информации, а также посвященные этому теоретические разработки.
Предмет рассматриваемой частной криминалистической теории может быть определен как комплекс механизмы образования следов противоправной деятельности в кибернетическом пространстве, методы и приемы их обнаружения, фиксации и исследования, а также способы рациональной организации расследования преступлений в сфере компьютерной информации.
52
Необходимость возникновения и формирования рассматриваемой самостоятельной частной криминалистической теории обусловлена рядом объективных явлений,- из которых основными, по нашему мнению, являются:
•	резкое развитие информационных технологий и становление специфической среды — кибернетического пространства;
•	резкое увеличение противоправных деяний в сфере компьютерной информации, наносящих огромный материальный ущерб;
•	возникновение минимально необходимой базы нормативноправового регулирования в сфере создания (производства), модификации, распределения, использования и передачи информации;
•	расширение круга материальных объектов, отражающих следовую картину при совершении преступлений в сфере компьютерной информации (появление следов на электромагнитном поле);
•	потребность криминалистической практики в методике и средствах расследования преступлений в сфере компьютерной информации.
«Цифровая криминалистика» (частная криминалистической теория расследования преступлений в сфере компьютерной информации) опирается на мощный фундамент технических, естественных и общественных наук. Взаимосвязь криминалистической теории расследования преступлений в сфере компьютерной информации с основными научными дисциплинами в достаточно общем виде представлена на рис. 1.1.
53
Рис. 1.1. Взаимосвязь «цифровой криминалистики» (частной криминалистической теории расследования преступлений в сфере компьютерной информации) с основными научными дисциплинами криминалистического цикла.
В соответствии с общей методологией научного познания любая научная теория определяется как взаимосвязанная система трех основных эле-46
ментов : основания, ядра и воспроизведения конкретного в соответствующих адекватных понятиях. При этом «основание теории» — это совокупность эмпирических фактов, идеализированных объектов и фундаментальных понятий. «Ядро» представляет собой систему закономерностей и законов взаимосвязи элементов основания теории, а «воспроизведение» — это объяснение известных фактов, предсказание новых явлений и интерпретация основного содержания теории.
Важнейшим элементом любой теории, в том числе и «цифровой криминалистики» (частной криминалистической теории расследования преступ-
46 См.. Проблемы истории и методологии научного познания. — М.: Наука, 1974.
54
лений в сфере компьютерной информации), является определение ее основных категорий и базовых понятий.
Отсутствие в нашей стране опыта уголовно-правового регулирования «компьютерных правоотношений» в области такого достаточно пока необычного для многих (в том числе и для законодателей) объекта, как «кибернетическое пространство», повлекло то, что ряд формулировок уголовноправовых новелл страдает неоднозначностью используемых в них категорий и понятий.
Базовыми понятиями этой проблемы несомненно являются «компьютерная информация» и «ЭВМ — электронно-вычислительная машина»
Понятие информации является весьма многозначным и специалистами различных отраслей науки и техники трактуется различно. Достаточно подробный анализ этого понятия с точки зрения криминалистики и специфики его применения в правовых конструкциях приведен в работе В. В. Крылова. В результате он пришел к выводу о том, что как объект преступного посягательства «компьютерная информация есть сведения, знания или набор команд для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинных носителях, — идентифицируемый элемент информационной системы, имеющей собственника, установившего правила ее использования»47.
В целом приведенное определение достаточно верно отражает содержание и криминалистическую сущность рассматриваемого явления, однако, на наш взгляд, страдает рядом неточностей.
Во-первых, с криминалистической точки зрения наиболее важным для правильной квалификации преступлений в сфере компьютерной информации и их расследования является то, что эта информация представлена в специальном машинном виде, т.е. в виде, предназначенном и пригодном для ее обработки, хранения и передачи с использованием электронных технических средств, список которых значительно шире чем только компьютеры и ЭВМ. При этом вопрос, что же представляет собой информация, — знания, сведе
47 Крылов В.В. Информационные компьютерные преступления. — М.:Инфра*М—Норма, 1997.
55
ния или набор команд, уходит на второй план, так как в машинном виде все представлено одинаково — в виде, определяемом физической природой материального носителя информации. Если это магнитный носитель, то это ориентация магнитных доменов и уровень напряженности магнитного поля; если это оптический носитель (компакт-диск CD-ROM), то это слой вещества с измененными оптическими свойствами, за счет включения специальной оптической маски.
Во-вторых, ограничивать место нахождения компьютерной информации только ЭВМ или машинными носителями вряд ли является оправданным, так как в настоящее время широкое распространение находят автоматизированные информационные системы, построенные на сети ЭВМ, объединенных по радиоканалу. Например, весьма перспективным и экономически оправданным является подключение к сети Интернет через спутниковые каналы связи. При этом практически весь объем принимаемой/передаваемой компьютерной информации проходит через эфир. Для определения места нахождения компьютерной информации нам представляется правильным использование более широкого понятия «материальный носитель информации», введенного Законом Российской Федерации «Об информации, информатизации и защите информации»48 49, в который наряду с машинными носителями информации входят и электромагнитный сигнал, использующийся при информационном обмене между ЭВМ по радиоканалу, электрическому или оптоволоконному кабелю и т.п.
Необходимость учета этой особенности в уголовном законодательстве ряда промышленно развитых государств мира (например, в Канаде) привела к формированию двух относительно самостоятельных групп преступных деяний в сфере информатизации и новых информационных технологий: «компьютерных преступлении» и «коммуникационных преступлении» . От
48 Закон Российской Федерации «Об информации, информатизации и защите информации» // Собрание Законодательства Российской Федерации. — 1995. — № 8. — Ст.609.
49 Крылов В.В. Информационные преступления — новый криминалистический объект // Российская юстиция. — 1997. — № 4.
56
сутствие подобного деления в российском уголовном законодательстве, а также возникновение реальных уголовных дел, связанных с доступом к компьютерной информации через радиоканал порождают необходимость в более тщательной уголовно-правовой проработке этой проблемы.
Так, в УВД Администрации Воронежской области было расследовано уголовное дело в отношении Л., который сконструировал авто сканер, позволяющий снимать информацию из эфира и выделять в ней личные, а также абонентские коды клиентов одной из компаний сотовой телефонной связи. Все это позволяло генерировать свою информацию, которая воспринималась ЭВМ станции сотовой связи и давало возможность «за чужой счет» не только производить длительные личные телефонные переговоры, но и за плату предоставлять такую возможность своим знакомым.
В-третьих, существует большое число информационных систем и сетей, не имеющих своего собственника, однако широко использующихся в серьезных практических приложениях. Ярким примером может служить всемирная сеть Интернет, а также любительская компьютерная сеть FIDONet.
В-четвертых, включение в определение компьютерной информации термина «идентифицируемый элемент информационной системы», на наш взгляд, является неоправданным. Идентификация компьютерной информации в рамках выявления и расследования преступлений в сфере компьютерной информации представляет собой самостоятельную и исключительно сложную криминалистическую задачу, которая в настоящее время не имеет своего однозначного положительного решения. Более того, специфика компьютерной информации, допустимость ее копирования (т е. перемещения без изъятия из первоначального места расположения), отсутствие ярко выраженных индивидуальных свойств приводят к необходимости проведения определенных криминалистических действий по преобразованию информации на материальном носителе в документированную информацию, т е. в такую «организационную форму, определяемую как совокупность:
а)	содержания информации;
57
б)	реквизитов, позволяющих установить источник, полноту информации, степень ее достоверности, принадлежность и другие параметры;
в)	материального носителя информации, на котором ее содержание и
50 реквизиты закреплены» .
При этом идентификация компьютерной информации будет проводиться уже на основе документированной информации.
Таким образом, компьютерную информацию как объект преступного посягательства, на наш взгляд, правильнее было бы определить следующим образом:
Компьютерная информация — это информация, представленная в специальном (машинном) виде, предназначенном и пригодном для ее автоматизированной обработки, хранения и передачи, находящаяся на материальном носителе и имеющая собственника, установившего порядок ее создания (генерации), обработки, передачи и уничтожения.
Вторым базовым понятием, широко использующимся в новеллах УК, посвященных преступлениям в сфере компьютерной информации является ЭВМ. Большинство авторов комментариев УК для пояснения данного понятия используют классическое определение, заимствованное из наук технического цикла, в соответствии с которым под ЭВМ понимается устройство, выполненное на электронных приборах и состоящее из ряда основных функциональных элементов, логических, запоминающих, индикационных и ряда других50 51.
Приведенное определение ЭВМ является сложносоставным и для целей правового регулирования (и тем более уголовно-правового) требует серьезной конкретизации. Отсутствие необходимой детализации в УК неукосни
50 Комментарий Федерального Закона «Об информации, информатизации и защите информации». — М.: Институт государства и права РАН, 1996. — С.15.
51 См. : Советский энциклопедический словарь. М.: Советская энциклопедия, 1982. — С. 1556; Бойко А.II. Комментарий к УК. — М.: Феникс, 1996; Ляпунов Ю.И. Комментарий к Уголовному кодексу Российской Федерации. — М.: КноРус, 1997; Усманов У.А. Комментарий к УК Российской Федерации. Комментарий следователя. — М.; Приор. 1999; Радченко В. И. и др. Комментарий к УК Российской Федерации. — М.: Спарк, 2000; Гусев А. И. Комментарий к уголовному кодексу Российской Федерации для предпринимая елей. — М.: Инфра-М . 2000.
58
тельно приведет к возникновению ряда вопросов не имеющих, на наш взгляд, в настоящее время однозначного юридического разрешения. Например:
•	Следует ли считать ЭВМ (а значит и объектом преступления) телефонный аппарат с микропроцессором, обеспечивающим автоматический «дозвон» по заданному номеру?
•	Следует ли считать ЭВМ электронные кассовые регистраторы, используемые на предприятиях розничной торговли и связи в качестве кассового аппарата, если они фактически состоят из стандартной персональной ЭВМ типа IBM PC и несколько специализированного печатающего устройства для выдачи кассовых чеков, однако имеют юридические документы (технический паспорт и инструкции по эксплуатации), где они не называются ЭВМ?
•	Следует ли считать ЭВМ таксофоны, оборудованные устройствами платежа за телефонные переговоры, пластиковыми магнитными карточками, если в их состав входят микропроцессоры, устройства ввода информации в машиночитаемом виде и другие устройства, образующие классический набор функциональных элементов ЭВМ?
Данный список вопросов может быть продолжен. В.В. Крылов, одним из первых обративший внимание на эту серьезную гносеологическую и криминалистическую проблему, пытается решить поставленные вопросы путем обращения к Общероссийскому классификатору основных фондов52 и на этой основе дает следующее определение ЭВМ: «ЭВМ (электронно-вычислительная машина) есть комплекс электронных устройств, позволяющих производить предписанные программой и/или пользователем операции (последовательности действий по обработке информации и управлению устройствами) над символьной и образной информацией, в том числе осуществлять ее ввод — вывод, уничтожение, копирование, модификацию, передачу информации в сети ЭВМ и другие информационные процессы»53.
52 См.: Общероссийский классификатор основных фондов. Утвержден Постановлением Госстандарта Российской Федерации от 26 декабря 1994 г. № 359. ОК 013-94. Дата введения — 01,01.96.
53 Крылов В.В. Информационные компьютерные преступления. — М.: Инфра• М-Норма, 1997. С. 32.
59
С учетом этого В.В. Крылов предлагает различать ЭВМ и другие устройства информационного оборудования (в терминах Общероссийского классификатора основных фондов), например калькуляторы, на основе возможности (или ее отсутствия) проведения операций над образной информацией.
Нам представляется, что данный подход является некорректным, так как ЭВМ и калькулятор относятся к группе электронно-цифровых устройств. Следовательно, и ЭВМ, и калькулятор оперируют с компьютерной информацией, представленной в цифровом виде, а вопрос о возможности обработки образной информации упирается только в способ кодирования каких-либо образов системой цифр. Таким образом, используя данное определение, мы не получаем физически корректного и юридически однозначного разделения устройств на два непересекающихся класса.
Здесь следует обратить внимание на то, что, например, в американских нормативных актах вместо понятия ЭВМ (компьютера) используется понятие «автоматизированная информационная система» (automated information system — AIS), под которым понимается некоторый агрегат, состоящий из электронного оборудования, аппаратных (hardware) и программных (software) средств, дополнительных устройств (firmware), сконфигурированных для сбора, обработки, хранения или управления данными или информацией54.
На наш взгляд, для правильного понимания сущности ЭВМ и ее отличия от других цифровых устройств информационного оборудования необходимо обратиться к формальным определениям, приведенным в классических работах в области кибернетики55 — науки, успехи которой во многом определили само появление ЭВМ. В соответствии с принятыми в кибернетике подходами, устройства преобразующие информацию, описывают автоматными моделями. Для описания простых устройств, выполняющих какие-либо несложные функции, бывает достаточно использовать модели конечных ав
54 См.: Горбатов В.С., Полянская О.Ю. Мировая практика криминализации компьютерных правонарушений. — М.: МИФИ, 1998.
55 Джордж Ф. Основы кибернетики. — М.: Радио и связь, 1984. — С. 73 — 90
60
томатов, а для более сложных, таких как ЭВМ используют модели машин Тьюринга, т е. бесконечные автоматы. Следовательно, теоретической основой отнесения любого устройства к ЭВМ может быть определение конечности или бесконечности автоматной модели, положенной в его основу.
Понятно, что этот теоретически строгий признак является достаточно сложным для практических работников правоохранительных органов и может быть использован только специалистом при проведении компьютернотехнической экспертизы36. Однако на его основе могут быть построены и достаточно простые рекомендации для определения принадлежности (или не принадлежности) имеющегося устройства к категории ЭВМ.
Дело в том, что любое устройство вычислительной техники обязательно содержит два основных элемента:
•	процессор (или другое электронное устройство), выполняющий функции преобразования информации, представленной в машинном виде, и реализующий одно или несколько действий (программу) по обработке информации;
•	устройство хранения управляющих программ и(или) данных, необходимых для реализации процессором его целевых функций.
Приведенный состав устройства в подавляющем большинстве случаев описывается формальной моделью конечного автомата (т.е. устройства с заранее известным количеством состояний) и, следовательно, не может быть признан ЭВМ.
Если же кроме приведенных элементов в составе исследуемого устройства имеется какое-либо вспомогательное оборудование (приспособление), позволяющее каким-либо образом изменять или перезаписывать управляющие программы и(или) данные, необходимые для реализации процессором его целевых функций, то данное устройство следует признать ЭВМ.
5	6 См.: Катков С.А., Собецкий И.В.. Федоров А.Л. Подготовка и назначение программнотехнической экспертизы. Методические рекомендации И Бюллетень ГСУ России. — 1995. — № 4.
61
Таким образом, для четкого определения ЭВМ в контексте главы 28 УК РФ нам представляется целесообразным дополнить ст. 272 примечанием (этот вид законодательной техники достаточно широко используется в уголовно-правовых нормах — см., например, ст.ст. 192, 285, 290 и др.) следующего содержания:
Под ЭВМ (компьютером) в настоящей статье и иных статьях настоящей главы УК понимается комплекс технических средств, включающий:
•	процессор (или другое электронное устройство), выполняющий функции преобразования информации, представленной в машинном виде, и реализующий одно или несколько действий (программу) по обработке информации;
•	устройство хранения управляющих программ и(или) данных, необходимых для реализации процессором его целевых функций;
•	оборудование (приспособление), позволяющее каким-либо образом изменять или перезаписывать управляющие программы и(или) данные, необходимые для реализации процессором его целевых функций.
Криминалистические особенности «кибернетического пространства» приводят к возникновению ряда проблем, особенно отчетливо проявляющихся на примере расследования преступлений в сфере компьютерной информации. В частности это касается определения места происшествия и его границ.
Так, известный случай с компьютерным преступлением Владимира Левина показал, что гражданин одной страны находясь на ее территории, совершил компьютерное преступление (по электронной системе платежей незаконно перечислил денежные средства) против отделения банка являющегося юридическим лицом другой страны, но располагающемся в третьей стране57. Правильное и однозначное определение понятия «места происшествия» в данном случае позволит не только определить тактику проведения следст-
5	/ Гудков И.Б. Состояние компьютерной преступности в России // Конфидент. — 1996 — № 2. — С.
41.
62
венного осмотра, но и решить не менее существенные задачи: определить по какому законодательству (какого государства) следует квалифицировать совершенное преступление, и определить является ли рассматриваемое деяние уголовным преступлением или нет в целом.
При определении понятия места совершения преступления в сфере компьютерной информации необходимо выделить его отличия от понятия «место происшествия» и его особенности обусловленные специфическим криминалистическим объектом — «кибернетическим пространством», в среде которого совершается данный вид преступлений.
«Место происшествия» — более широкое понятие, которое включает в себя не только место совершения преступления, но и места его подготовки, а также места сокрытия орудий преступления и иных вещественных доказательств. Этот вопрос является достаточно традиционным в криминалистиче-58 скои науке и неоднократно исследовался в специальной литературе .
К числу особенностей понятия места совершения преступления в сфере компьютерной информации, обусловленных «кибернетическим пространством» на наш взгляд следует отнести:
•	Динамическое изменение границ места совершения (фрагмента «кибернетического пространства») преступления.
•	Непродолжительность неизменного состояния места совершения преступления.
•	Исключительно большие территориальные и количественные размеры (количество компьютеров и их географическое расположение) места совершения преступления. Так если преступление в сфере компьютерной информации совершено в среде ИНТЕРНЕТ, то в понятие места преступления могут входить сотни различных автоматизированных систем и десятки тысяч отдельных компьютеров. При этом они будут играть не только пассив-
58 См.: Криминалистика: Учебник / Под ред. И.Ф. Пантелеева, Н.А. Селиванова. - М.: Юридическая литература, 1993; Селиванов Н.А. Осмотр места происшествия. — М., 1960; Быховский И.Е. Осмотр места происшествия. — М., 1973; Винницкий Л. В. Осмотр места происшествия: организационные, процессуальные
63
ную роль в совершении преступления (представлять собой среду для передачи и хранения вредоносных программ и данных), но и активную роль — использовать свои вычислительные ресурсы для установления все новых информационных связей, подбора паролей для несанкционированного доступа к информации и создания потока «ложных запросов» к серверам баз данных. Так при расследовании широко известного факта внедрения программного червя (разновидности вредоносных программ) Робертом Моррисом* 59 в качестве места совершения преступления рассматривалась вся сеть университетов США, насчитывающая более трех тысяч компьютеров, размещенных по территории всех Соединенных Штатов.
• Сложная структура места совершения преступления в сфере компьютерной информации. Во-первых «кибернетическое пространство», в среде которого совершено преступление может образовываться двумя или более фрагментами (автоматизированными системами) расположенными на значительном расстоянии и организованными в соответствии со сложной структурой доступа к информации и вычислительным ресурсам. Во вторых кроме непосредственно автоматизированной информационной системы при формировании «кибернетического пространства» существенную роль играют вспомогательные и обеспечивающие системы: системы электропитания, заземления и т.п.
Представленные особенности приводят к тому, что при расследовании преступлений в сфере компьютерной информации практически не производятся повторные следственные осмотры. Так, анализ доступной практики судебного рассмотрения уголовных дел в сфере компьютерной информации, показал, что не было ни одного факта судебного осмотра места совершения преступления в сфере компьютерной информации (помещений и местности). Это вполне понятно, т.к. «кибернетическое пространство» представляет со
и тактические вопросы. — Караганда, 1986; Баранов Н.Н. Осмотр места происшествия по делам о краж1х из квартир, личных домов, дач. — М., 1997.
59 Моисеенков В.А. Суета вокруг Роберта или Моррис-сын и все, все, все ... // КомпьютерПресс № 11, 1991. С. 7 —20.
64
бой исключительно быстро меняющийся криминалистический объект, который не может долго хранить следы явлений и процессов и следовательно мало будет способствовать проверке и оценке уже имеющихся доказательств путем непосредственного восприятия составом суда обстановки на местности, в помещении или в работающей автоматизированной информационной системе.
Учитывая приведенные особенности, мы можем предложить следующее определение понятия «места совершения преступления в сфере компьютерной информации».
Под местом совершения преступления в сфере компьютерной информации будем понимать совокупность ЭВМ, системы ЭВМ и их сети, образующих фрагмент «кибернетического пространства», содержащий компьютерную информацию, следы, вещественные доказательства и иные явления, имеющие существенное значение для установления истины по делу о совершении преступления в сфере компьютерной информации.
Как видно из предлагаемого определения оно не содержит точного указания на границы места совершения преступления, а содержит характеристику «имеющие существенное значение». Такой подход к указанию границ не случаен, так как он отражает активную роль следователя в их определении, подчеркивает творческий характер его деятельности. Именно следователь на основании полученных данных интерактивного взаимодействия с автоматизированной информационной системой и в результате непосредственного восприятия объектов следственного осмотра на месте, может определить целесообразность включения того или иного технического элемента в границы места совершения преступления в сфере компьютерной информации и учитывать его при планировании и проведении дальнейших следственных действий. Другими словами при проведении осмотра места совершения преступления в сфере компьютерной информации следователь может не устанавливать для себя четкие границы, а ограничиться лишь составлением перечня
65
основных (опорных) информационных узлов на основании которых будет строиться последовательность и порядок осмотра.
Существенную трудность при расследовании преступлений в сфере компьютерной информации создает тот факт, что из-за значительного пространственного размаха места совершения преступления оно подпадает под юрисдикцию сразу нескольких государств, имеющих различные точки зрения законодателя на деятельность в сфере информатизации и их правовую оценку. В связи с этим весьма целесообразным было бы принятие международного соглашения по вопросам сотрудничества правоохранительных органов в сфере выявления и расследования преступлений в сфере компьютерной информации.
1.4.	Криминалистическая классификация преступлений в сфере компьютерной информации
Системное исследование какого-либо предмета или явления, как правило, начинается с четкого уяснения его места в более крупной системе. Существенную помощь в этом оказывает проведение его классификации. В полной мере это касается изучения такого сложного явления как преступление в сфере компьютерной информации.
В настоящее время существует значительное количество различных классификаций преступлений, среди которых в первую очередь следует выделить криминологические классификации60, классификации, используемые в теории защиты информации и информационной безопасности61, а также криминалистические классификации62, которые, исходя из предмета нашего исследования, будут представлять для нас наибольший интерес.
Вопрос о сущности и значении криминалистической классификации преступлений вообще и преступлений в сфере компьютерной информации в
60 См.: Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. — М.: Юридическая литература, 1991.
61 См.: Гайкович В.Ю., Першин А.П. Безопасность электронных банковских систем — М.: Единая Европа, 1994.
66
частности еще далек от своего полного разрешения. Существующие точки зрения, на наш взгляд, можно объединить в две основные группы. Первая группа криминалистов придерживается мнения о том, что криминалистическая классификация преступлений является элементом криминалистической характеристики62 63 64 65, а вторая полагает, что криминалистическая классификация является основанием построения, как криминалистической характеристики, ..64 так и частных криминалистических методик расследования преступлении Существующие разногласия во многом определяется выбором оснований классификации.
Несмотря на различия во взглядах большинство исследователей сходится в одном, — признании главенствующей роли уголовно-правового основания в формировании криминалистической классификации. Так Р.С. Белкин полагает, что такую классификацию необходимо рассматривать как многоуровневую систему, верхний уровень которой строится исходя из уголов-65 но-правового понятия «состава преступления» .
Используя данный подход, рассмотрим существующую уголовноправовую классификацию преступлений в сфере компьютерной информации и на ее основе попытаемся перейти к построению криминалистической классификации.
Действующий УК РФ в разделе IX «Преступления против общественной безопасности и общественного порядка» включает главу 28 «Преступления в сфере компьютерной информации», содержащую 3 статьи:
•	ст. 272 «Неправомерный доступ к компьютерной информации»;
62 См.: Мещеряков В.А. Криминалистическая классификация преступлений в сфере компьютерной информации // Конфидент. — 1999. — №4-5; Крылов В.В. Информационные компьютерные преступления. — М.:Инфра*М-НОРМА, 1997; Вехов В.В. Компьютерные преступления. — М.: Право и закон, 1996.
63 См.: Колесниченко А.Н. Теоретические проблемы методики расследования преступлений // Вопросы криминалистической методологии, тактики и методики расследования. — М., 1973; Возгрин И.А. Научные основы криминалистической методики расследования преступлений. Часть IV. СПб.: Санкт-Петербургский юридический институт МВД России, 1993.
64 См Белкин Р.С. Курс криминалистики. В 3 т. Т.З: Криминалистические средства, приемы и рекомендации. — М.: Юрисгь, 1997.
65 Там же. С. 326
67
•	ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ»;
•	ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети».
Предпринятый различными исследователями анализ содержания и уровня юридической техники данных статей, показал, что они далеко не совершенны и нуждаются в серьезной доработке. Так неоднократно было ука-66 зано на использование неоднозначно толкуемых терминов и понятия , а также на широкое применение оценочных категорий66 67. Серьезное удивление вызывает формулировка ч. 2. ст. 274, в соответствии с которой нарушение правил эксплуатации ЭВМ совершенное умышленно повлекшее тяжкие последствия либо не наказывается (т.к. по сути формулировки не является преступлением вообще), либо наказывается менее строго чем преступление совершенное по неосторожности.
Обращение к истории разработки данных новелл, показывает, что они возникали в ходе постоянной борьбы мнений и не сумели отразить всю специфику регулируемых правоотношений. Опубликованные проекты УК РФ содержали, на наш взгляд, более совершенные и более детальные уголовно-68 правовые нормы .
Названные проблемы уже привели к ряду затруднений с квалификацией некоторых преступных деяний.
Так, в частности, широкое внедрение сети Интернет привело к появлению компьютерной порнографии (изготовлению и распространению изображений, видео- и мультимедийных материалов), рассылаемых по электронной почте. Данное явление за рубежом приобрело такие масштабы, что, например, в Великобритании созданы специальные подразделения по борьбе с компьютерной порнографией. Расширение возможностей отечественных ин
66 Баев О.Я., Мещеряков В.А. Проблемы уголовно-правовой квалификации преступлений в сфере компьютерной информации // Конфидент № 7(23) 1998.
67 Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. — М.: Новый Юрист, 1998.
68
формационных сетей, облегчение их подключения к Интернет приводят к появлению данного вида деятельности и в Российской Федерации. При этом рассылке подлежат не сами видеоизображения, а лишь электронные адреса (указатели) на серверы, где хранятся порнографические изображения и материалы. Таким образом, эти деяния «в чистом виде» не подпадают ни под одну из приведенных статей главы 28, ни под диспозицию ст. 242 «Незаконное распространение порнографических материалов или предметов» Как следствие возникает вопрос о квалификации деятельности «провайдера» (лица, обеспечивающего предоставление услуг связи по доступу в информационную компьютерную сеть) информационной сети, обеспечивающего доступ своих абонентов к серверам с информацией такого содержания.
Серьезные проблемы возникают с квалификацией действий, связанных с неправомочным использованием чужих идентификационных номеров в системах сотовой связи. Особенность данной ситуации заключается в том, что эти идентификационные номера свободно передаются через эфир и могут быть получены практически любым лицом, имеющим необходимый набор технических средств, причем этот набор может быть приобретен на вполне законных основаниях и за умеренную плату.
Весьма значительный опыт уголовно-правовой классификации преступлений в сфере компьютерной информации накоплен в ведущих промышленно развитых государствах мира, который вылился в появление так называемых «Минимального списка нарушений» и «Необязательного списка нарушений», разработанных государствами-участниками Европейского сообщества и официально оформленных как «Руководство Интерпола по компьютерной преступности»69. Так «Минимальный список нарушений» содержит восемь основных видов компьютерных преступлений:
•	компьютерное мошенничество;
•	подделка компьютерной информации; *
68
Проект Уголовного Кодекса Российской Федерации // Российская газета. — 1995. — 25 января.
69
•	повреждение данных ЭВМ или программ ЭВМ;
•	компьютерный саботаж
•	несанкционированный доступ;
•	несанкционированный перехват данных;
•	несанкционированное использование защищенных компьютерных программ;
•	несанкционированное воспроизведение схем;
«Необязательный список» включает в себя четыре вида компьютерных преступлений:
•	изменение данных ЭВМ или программ ЭВМ,
•	компьютерный шпионаж;
•	неразрешенное использование ЭВМ;
•	неразрешенное использование защищенной программы ЭВМ.
Одной из наиболее распространенных из существующих классификаций преступлений в сфере компьютерной информации является кодификатор рабочей группы Интерпола69 70, который был положен в основу автоматизированной информационно-поисковой системы, созданной в начале 90-х гг.
Названные международные кодификаторы и системы классификации, в погоне за всеобщей универсальностью и гибкостью приобрели существенный недостаток. Ввод литеры «Z» привел к хаотическому (с точки зрения криминалистики) смешению уголовно-правовых начал и технических особенностей автоматизированной обработки информации, что несомненно приведет к существенным проблемам при формулировании частных целей и задач расследования преступлений в сфере компьютерной информации.
Оценка сложившегося в области уголовно-правового регулирования положения и насущной необходимости разработки эффективных методик расследования преступлений в сфере компьютерной информации настоя
69 См.: Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. — М.: Новый Юрист, 1998.
70 Там же. С. 53—54.
70
тельно выводит на передний план сугубо криминалистические основания и, в первую очередь, способ совершения преступления. При этом ни в коей мере не отрицается важность учета уголовно-правовых особенностей при построении криминалистической классификации.
В связи с изложенным нам представляется более обоснованной позиция криминалистов, придерживающихся мнения о том, что криминалистическая классификация является основой построения не только криминалистической характеристики, но и системы частных криминалистических методик расследования преступлений.
Тогда криминалистическую классификацию преступлений в сфере компьютерной информации можно определить как полную и непротиворечивую структурно-информационную модель (научную абстракцию), отражающую основные криминалистически значимые элементы данного вида преступлений и их взаимные отношения вложенности и подчиненности.
Учитывая сложившееся в криминалистике определение понятия «способ совершения преступления», а также особенности среды совершения преступлений — «кибернетического пространства» основой криминалистической классификации преступлений в сфере компьютерной информации должен стать анализ объекта преступного посягательства — компьютерной информации как сложного многоуровневого объекта71 и выявление набора элементарных операций на каждом из его уровней.
Проведенный анализ сущности информации, обрабатываемой (используемой) в большинстве автоматизированных систем, а также форм ее представления (существования) показал, что компьютерная информация (как объект преступного посягательства) образует иерархическую структуру с тремя основными уровнями представления — физическим, логическим и семантическим.
71 См.: Мещеряков В.А., Герасименко В.Г. Пуги и средства обеспечения доказуемости правонарушений в сфере компьютерной информации // Материалы конференции. «Безопасность информации» Москва. 14-18 апреля 1997.
71
Физический уровень — уровень материальных носителей информации, где информация представлена в виде конкретных характеристик вещества (намагниченность домена — для магнитных дисков, угол и дальность плоскости отражения лазерного луча — для лазерных компакт-дисков) или электромагнитного поля (амплитуда, фаза, частота).
Учитывая, что практически все применяемые в настоящее время ЭВМ являются цифровыми и используют двоичную систему исчисления, то большие объемы информации могут быть представлены в виде последовательности или поля из элементарных информационных единиц («О» и «1»),
С уголовно-правовой точки зрения на данном уровне компьютерная информация существует только в виде совокупности фактов, сведений (Data-уровень). Например, при копировании ключевой дискеты преступник с использованием специальных средств может считать или скопировать поток двоичных данных с магнитного носителе, но он останется для него единым целым.
Логический уровень — уровень представления более сложных информационных структур (от байта до файла) на основе элементарных компонент физического уровня. Данный уровень включает две группы правил объединения — общие и специальные. Общие правила диктуются физическими основами устройства и техническими особенностями используемых средств обработки информации и не могут быть быстро и произвольно изменены. Примером общих правил объединения множества элементарных информационных единиц в более крупные информационные структуры могут служить количество и порядок нанесения информационных дорожек на магнитном носителе, размер кластера и т.п. При этом специальные правила объединения устанавливаются заказчиками и/или разработчиками автоматизированных информационных систем и достаточно просто изменяемы. В качестве примера специальных правил объединения информации приведем способы объединения информационных полей в записи базы данных, записей и запросов в банках данных и т.п. Поскольку они не обусловлены техническими особен
72
ностями аппаратных средств, то они могут быть быстро изменены (даже в рамках выполнения одной программы) или же просто проигнорированы. Например, записи баз данных можно прочесть не как последовательность записей установленного формата (т.е. файл последовательного доступа), а как файл прямого доступа, состоящий из отдельных байтов.
С уголовно-правовой точки зрения данный уровень можно охарактеризовать как уровень существования программных средств (Program-уровень), реализующих процедуры обработки информации Data-уроън£емантический уровень — уровень смыслового представления информации. На данном уровне можно говорить о содержательной части компьютерной информации, представленной единством двух предыдущих видов (В/ос/с-уровень = Program-уровень + Data-уровень, где «+» — знак объединения).
С уголовно-правовой точки зрения только на этом уровне компьютерная информация «обретает форму товара», т.е. в явном виде проявляются ее полезные «потребительские свойства».
На наш взгляд, такое представление компьютерной информации позволяет учесть не только основные криминалистические проблемы, но и все особенности уголовно-правовой квалификации деяний в рассматриваемой сфере. Так, наличие семантического уровня представления позволяет отграничить (в уголовно-правовом смысле) преступления в сфере компьютерной информации от иных информационных преступлений, совершаемых с использованием средств вычислительной техники и новых информационных технологий (разглашение тайны усыновления в результате доступа к базе данных органов ЗАГС, шпионаж и т.п ).
С точки зрения криминалистики изложенное представление позволяет понять суть происходящих явлений при совершении преступления в сфере компьютерной информации, уяснить виды и способ образования следов и на их основе определить наиболее предпочтительные направления расследования преступлений. Получить осознаваемую информацию (готовую к воспри
73
ятию человеком), т е. семантического уровня невозможно, не преодолев два нижних уровня ее представления. Таким образом, если следователь установил факт того, что преступник добыл информацию из автоматизированной системы и каким-либо образом осознанно воспользовался ею, то, это означает, что у него были средства (орудия) совершения действий на физическом и логическом уровне ее представления. Он владел навыками их использования и специальными познаниями для настройки и подключения. Отсутствие или невозможность выявления хотя бы одного из элементов деятельности подозреваемого в совершении преступления в сфере компьютерной информации на нижнем уровне ее представления заставляет серьезно сомневаться в возможности совершения им самостоятельных действий более высокого уровня и говорит о наличии у него сообщника или невольного пособника.
Представление информации в виде трехуровневой системы позволяет определить исчерпывающий перечень действий на каждом из них и, следовательно, представить любое деяние, описываемое в терминах уголовного законодательства, да и других наук информационного цикла как совокупность элементарных действий соответствующего уровня.
Так, на физическом уровне представления информации технически возможно выполнение лишь трех действий — чтения, записи и разрушения. При этом под разрушением понимается такое воздействие на носитель информации, при котором стандартными средствами чтения информации невозможно получить какое-либо определенное значение, т е. нет ни «О» ни «1». Разрушение информации может быть произведено воздействием мощного внешнего магнитного поля на магнитный носитель информации (дискету или винчестер). Таким образом, традиционно используемые в законодательстве понятия представляют собой последовательность или сочетание названных трех элементарных действий.
Например, «копирование информации» представляет собой строгую последовательность элементарных информационных действий:
•	чтение порции информации с одного носителя;
74
•	запись порции информации на другой носитель.
«Уничтожение информации» это или разрушение информации, или запись новой информации на то место ее носителя, где размещалась уничтожаемая информация. В существующих вычислительных системах удаление или уничтожение информации как раз и происходит путем записи новой информации поверх уничтожаемой (например, утилита Wipeinfo из набора Norton Utility). Также необходимо отметить наличие существенной разницы между действием, выполняемым пользователем автоматизированной системы по уничтожению (удалению) информации (имеющим существенное значение для уголовно-правовой квалификации деяния), и криминалистически значимым (имеющим существенное значение с точки зрения возможности обнаружения и изъятия следов существования информации), действительным удалением информации. Корни различия в двух подходах к понятию «уничтожения компьютерной информации» находятся в способе ее представления на магнитном носителе. Так, для размещения массива информации большого размера в большинстве операционных систем используется подход, при котором весь массив разбивается на небольшие одинаковые блоки (кластеры), которые реально записываются на любые свободные в данный момент времени участки носителя информации. При этом получается, что кластеры могут быть записаны в очень причудливой последовательности. Кластер, содержащий конец информационного массива, может оказаться записанным в самом начале магнитного носителя информации, а кластер с информацией из начала осмысленного информационного блока будет записан в середине носителя. Для того чтобы восстановить логическую последовательность информации, из размещенных таким образом кластеров, используются адресные указатели. Так, каждый кластер информации содержит указатель, в котором записан физический адрес размещения на магнитном носителе следующего информационного блока. Последний кластер содержит адресный указатель со специальным значением, обозначающим конец цепочки (nil). Указатели на адреса первых кластеров всех хранящихся на одном магнитном
75
носителе информации информационных массивов (файлов) размещаются в одном стандартном для каждой операционной системе месте. В широко распространенной операционной системе, использующейся для персональных компьютеров типа IBM PC, это место носит название FAT (File Allocation Table) и размещается в самом начале магнитного носителя информации.
Таким образом, пользователь автоматизированной информационной системы, совершив удаление информационного файла (запустив стандартную команду операционной системы DELETE), выполнил все необходимые действия для уголовно-правовой квалификации его действия как «удаление информации», в то время как в реальности был изменен только первый символ имени удаляемого информационного файла в области FAT магнитного носителя, а весь информационный массив остался неизменным. Внесенная пометка в первом символе имени файла означает, что операционная система может использовать места, в которых находились кластеры удаленного информационного файла для записи другой информации. В связи с этим для осуществления «криминалистически значимого» удаления информации необходимо не только выполнить стандартные действия, но и записать новую информацию на месте удаляемой.
Более сложную комбинацию элементарных действий представляют собой действия по «модификации» и «блокированию» информации. Говоря о модификации, следует подчеркнуть, что целью этого действия является изменение значения информации в желаемом (заданном) направлении, при этом направленность изменения информации — важнейшая характеристика понятия «модификации». Если нет направленности в выполняемых действиях, то это уже не модификация, а уничтожение информации. Установка же какого-либо заранее заданного, без учета текущего значения, представляет собой генерацию или создание информации. Например, если в представленном ранее примере вместо каждой двоичной единицы записать значения «О», то информация будет уничтожена не только на семантическом (смысловом), но и на логическом уровне представления, так как это будет означать посто
76
янное повторение управляющего символа перехода на русский регистр. Модификация означает, что информация не должна быть уничтожена не только на логическом, но и на физическом уровне. Исходя из этого цель модификации будет достигнута уже заданным изменением лишь нескольких двоичных символов в смысловой фразе.
Понятие «блокирования информации» во многом совпадает с понятием «модификация информации» и отличается лишь тем, что модификации подвергается не смысловая, а управляющая информация. Например, для блокирования доступа легального пользователя к базам данных необходимо изменить значение кода доступа этого пользователя в системных файлах администратора безопасности, не изменяя содержания самой базы данных.
Установив внутреннюю структуру информации обратимся к анализу основных операций по ее обработке. Особенности строения среды совершения компьютерных преступлений позволяет выявить совокупность таких элементарных операций из которых, как из кирпичиков формируется любое действие в автоматизированной информационной системе, в том числе и преступление. В соответствии с общей схемой обработки информации основой любого информационного действия является триада: чтение (Read), модификация (Modification) и запись (Write). Учитывая наличие различных уровней представления информации (Data, Program и Block-уровни), формируем набор элементарных операций: Rd, Rp, Rb, Md, Mp, Mb, Wd, Wp, Wb. Дополнив его «пустыми» операциями: «ничего не считано» — Ro, «ничего не модифицировано» — Л/Ои «ничего не записано» — Wo, получаем полный базис для построения криминалистической классификации преступлений в сфере компьютерной информации.
Тогда любое преступление может быть описано следующим образом — RXMXWX, где х — любой из выделенных ранее уровней представления компьютерной информации.
С учетом изложенного криминалистическая классификация компьютерных преступлений будет иметь следующий вид:
77
1.	Уничтожение (разрушение) компьютерной информации
2.	Неправомерное завладение компьютерной информацией или нарушение исключительного права ее использования (ЛХМОЖО).
2.1.	Неправомерное завладение компьютерной информацией как совокупностью сведений, документов — нарушение исключительного права владения (RdM0W0).
2.2.	Неправомерное завладение компьютерной информацией как алгоритмом (методом преобразования) (RpM^o).
2.3.	Неправомерное завладение компьютерной информацией как товаром (R^WJ.
3.	Действие или бездействие по созданию (генерации) компьютерной информации с заданными свойствами (ЛОЛ7ХЖХ).
3.1.	Распространение по телекоммуникационным каналам информационно-вычислительных сетей компьютерной информации, наносящей ущерб абонентам
3.2.	Разработка и распространение компьютерных вирусов и прочих вредоносных программ для ЭВМ (/?0Л/р1Гр).
4.	Неправомерная модификация компьютерной информация (RXMXWX)
4.1.	Неправомерная модификация компьютерной информации как совокупности фактов, сведений (RdMdWdy
4.2.	Неправомерная модификация компьютерной информации как алгоритма (ЛрМрЖр).
4.3.	Неправомерная модификация компьютерной информации как товара с целью воспользоваться его полезными свойствами (2?bAfbFF^,).
Рассмотрим подробнее содержание каждого из приведенных видов преступлений в сфере компьютерной информации.
Уничтожение (разрушение) компьютерной информации наиболее ясный с уголовно-правовой точки зрения вид преступления, который представляет собой физическое уничтожение информации. С точки зрения кри
78
миналистики это наиболее сложный вид преступления, поскольку он практически не формирует никаких традиционных следов. Это обусловлено тем, что целью данного вида преступления является уничтожение информации, в том числе и следов ее существования. Однако, уничтожая компьютерную информацию одного вида и следы ее существования, преступник формирует следы другого вида, обусловленные изменением среды существования компьютерной информации на более низком (детальном) уровне. Исходя из классификационного признака данного вида преступлений (RqMqW*) основной задачей расследования будет установление самого факта разрушения информации и обнаружение орудий (средств) воздействия на информацию).
Неправомерное завладение компьютерной информацией как совокупностью сведений, документов (нарушение исключительного права владения). Это наиболее часто встречающийся класс простейших преступных деяний, к которому относятся, как правило, без должного внимания. Примером данного вида деяний является ознакомление служащего банка с записью в базе данных клиентов о размере вклада того или иного лица, его адресе, виды сделок и т.п.
С криминалистической точки зрения это наиболее простое действие, для осуществления которого не обязательны длительная подготовка, высокая квалификация и разработка специальных приспособлений. В данном случае можно воспользоваться штатным набором средств аппаратного и программного обеспечения автоматизированной системы, в которой осуществляются данные действия. Их результаты могут быть записаны на машинный носитель информации (магнитный или лазерный диск, магнитную ленту и т.п.), бумагу или просто остаться в памяти человека.
Неправомерное завладение компьютерной информацией как алгоритмом (методом преобразования). Данный вид преступления заключается в ознакомлении с использующимся методом расчета каких-либо оценок, алгоритмом принятия решений в экспертной системе или другой автоматизированной системе принятия решений. Примером такого деяния может быть
79
ознакомление с методом расчета вероятности преодоления противоракетной обороны средствами воздушно-космического нападения вероятного противника, ознакомление с использующимся типом (механизмом) системы защиты информации в электронной системе платежей банка и т.п.
Общественная опасность и необходимость квалификации такого рода деяний как преступления очевидна и, на наш взгляд, не вызывает необходимости подробного пояснения. Знание метода расчета вероятности преодоления противоракетной и противокосмической обороны позволит вероятному противнику оценить возможные ответные действия государства на то или иное свое действие (увеличение численности своих средств нападения, модернизацию или замену отдельного вида средств нападения), представителям военно-промышленного комплекса — оценить предстоящие направления государственных заказов конкретных видов вооружения и т.п.
С криминалистической точки зрения это достаточно сложное действие, так как оно предусматривает не только доступ к информации как к совокупности фактов или сведений, но и последующие этапы, связанные с анализом структуры используемых данных, выяснением их смыслового значения, последовательности их применения для получения требуемого результата. Для реализации этого действия необходимо наличие специальных средств анализа программного обеспечения (отладчики, дизассемблеры, интерпретаторы и т.п.), высокой квалификации исполнителей (или хотя бы одного из них). Как правило, такие действия не могут быть проведены в одиночку, так как, во-первых, очень редко бывает, чтобы в одном человеке были воплощены все навыки и умения, необходимые для его совершения, и, во-вторых, чтобы он же имел возможность воспользоваться материальной выгодой от результатов неправомерного завладения информацией как идеей (алгоритмом). В связи с этим преступные деяния такого рода наряду с квалификацией их как преступления в сфере компьютерной информации образуют фабулу промышленного шпионажа, когда крупные фирмы организуют специальные разведывательные операции, проводимые в течение значительного промежутка време
80
ни, по единому замыслу с привлечением большого число исполнителей и направленные на добывание промышленных секретов своих конкурентов.
Неправомерное завладение компьютерной информацией как товаром. Это наиболее распространенный вид преступных деяний, который заключается в копировании программ для ЭВМ или целой информационной системы (банка данных электронного архива и т.п.) без согласия (разрешения) владельца или собственника. Данный вид деяний очень широко распространен в нашей стране как практически единственная форма получения современного программного обеспечения.
Так, по данным экспертов, только одна из тысячи операционных систем Windows-95, функционировавших на персональных компьютерах с процессором Pentium, была приобретена на законных основаниях. Большинство органов государственной власти, в которых эксплуатируется данная операционная система, в том числе правоохранительные органы и органы, призванные обеспечивать информационную безопасность, никогда официально ее не приобретали. Такое положение определяется тем, что профессиональные пользователи не могут платить за новый программный продукт сумму, равную нескольким своим месячным заработным платам. В итоге это влечет появление спроса на деятельность по «взламыванию» систем противодействия несанкционированному копированию и его свободному распространению. Учитывая существующее экономическое положение России, можно предположить, что в ближайшие пять-десять лет ситуация коренным образом не изменится, несмотря на периодические попытки наведения порядка в данной сфере со стороны государства.
По мнению ряда авторитетных специалистов в сфере информатики, в нашей стране существуют три основных способа распространения программных продуктов: воровство, грабеж и обмен краденным. Если не обращать внимания на юридические неточности в формулировке (которые можно простить программисту), то сложившаяся ситуация подмечена достаточ
но точно.
81
Примером такого преступления может быть переписывание программы расчета заработной платы, ведения главной книги бухгалтера, автоматизированного банка данных с адресами предприятий и т.п. При этом цель преступления — воспользоваться полезными свойствами неправомерно полученной информации (программы, базы данных): выполнить расчеты с использованием программы, получить справки, отчеты из баз данных и т.п.
С криминалистической точки зрения это уже более сложное деяние, для которого обязательно использование машинного носителя информации, так как современные программные продукты занимают весьма значительные объемы памяти. Для достижения целей данного вида действий часто бывает недостаточно завладеть только файлами программного продукта, так как для его нормального функционирования зачастую бывает необходимо наличие определенных компонент общего (драйверов периферийных устройств, наличия музыкальной карты и т.п.) или общесистемного программноматематического обеспечения (системы управления базами данных, электронной таблицы и т.п.).
Все три приведенные выше преступления имеют классификационный признак (RXMOW^). Это означает, что их общей чертой является несанкционированное копирование компьютерной информации. Следовательно одной из основных задач расследования данных видов преступлений будет поиск и регистрация одинаковых (идентичных) наборов данных и программ в автоматизированной системе «жертвы» и «преступника».
Распространение по телекоммуникационным каналам информационно вычислительных сетей компьютерной информации, наносящей ущерб абонентам. Весьма распространенным деянием рассматриваемого вида стало «спамерство», т.е. распространение по электронной почте навязчивой, многочисленной и зачастую бестолковой рекламы или иных сообщений. Подтверждением серьезности данного явления стало обращение в суд
82
английской компании Virgin Net на предпринимателя из Суррея Адриана Париса (Adrian Paris)72.
ISP обвиняет Париса, торгующего от имени ProPhoto UK, в рассылке через Virgin Net более четверти миллиона рекламных писем, что вызвало 1500 жалоб. Virgin Net утверждает, что в 1998 г. Парис открыл четыре отдельных счета электронной почты с целью продажи базы данных электронных адресов. Формально он обвиняется в нарушении условий контракта: все пользователи Virgin Net подписывают соглашение о «неприменении системы для рассылки материалов, способных вызывать раздражение, неудобство или тревогу».
Одним из печальных итогов деятельности Париса стало включение компании Virgin Net в черный список Realtime Blackhole List (RBL), что привело к блокированию всех исходящих от нее сообщений.
К данному виду преступных деяний относится и «телефонное пиратство», когда преступники осуществляют несанкционированное подключение в городские и междугородные (международные) телефонные сети. Если внимательно проанализировать сущность данного деяния, то можно выяснить, что несанкционированное подключение к телефонной линии как раз и заключается в генерировании (создании) определенной информации (информационного блока) совпадающей по своим свойствам с информацией истинного абонента и запись ее в компьютер телефонной станции, т.е. полное соответствие классификационному индексу
Размах и тенденции роста числа преступлений данного вида просто впечатляют. Так, в 1998 г. ущерб от несанкционированного доступа в сеть связи только компании ММТ (г. Москва) составил 1 млн. дол. Начиная с 1991 г. размах этого вида деяний вырос в 10 — 12 раз73. Как сообщил председатель Госкомсвязи А. Крупнов на пресс-конференции в Центральном доме журналистов в Москве, 80 % выявленных фактов связано с подключением к радио
72 WWW.COMPUTERRA.RU Джейн Уэйкфилд (Jane Wakefield) Британский ISP затащил спамера в
суд//ZDNet. UK 1999, 20 апреля
83
линиям беспроводных телефонов. При этом противоправная деятельность все больше приобретает организованный характер: так, в 1998 г. была приостановлена работа 10 подпольных пунктов международной связи, а за первый квартал 1999 г. — четыре.
Разработка и распространение компьютерных вирусов. Этот вид деяний является очень распространенным в настоящее время и может соперничать по количеству зарегистрированных фактов разве что только с неправомерным завладением информацией как товаром. Суть данного преступления заключается в написании специальной программы для ЭВМ, обладающей способностью многократного копирования себя и выполняющего другие заданные автором функции (осыпать буквы с экрана дисплея в одну кучу, проигрывать мелодию «Yankee Doodle» и т.п.).
Такой вид «интеллектуального хулиганства» получил широкое распространение в молодежной среде технических вузов, где неспособность написать программный вирус квалифицируется как барьер, лишь после преодоления которого человек становится авторитетным специалистом в области системного программирования.
Неправомерная модификация компьютерной информации как совокупности фактов. Данный вид преступлений получил особенно широкое распространение в автоматизированных банковских системах, так как именно в них записи в полях баз данных отражают определенные денежные суммы или другие сведения, которые имеют конкретное денежное или иное экономическое выражение.
Неправомерная модификация компьютерной информации как алгоритма (метода обработки). Данный вид преступного деяния встречается гораздо реже и заключается не только в получении какого-либо программного обеспечения, но и в его обязательном предварительном анализе. Примером такого рода действий могут служить широко известные случаи преступлений в банковской сфере, когда в алгоритмы выполнения действий с запи
73 См.: Чачин П. Телефонное пиратство // Компьютерра. — 1999. — 21 апреля.
84
сями на счетах (например, взимания процентов и т.п.) вносились незапланированные модификации, при которых с каждой операции на заранее подготовленный счет делались отчисления (так называемые атаки «салями»). Практически все известные на сегодняшний день преступления такого рода совершены разработчиками программного обеспечения, а чаще всего теми, которые его же и эксплуатируют.
Характерными криминалистическими чертами данного преступления являются, во-первых, то, что направление деятельности (научно-техническая разработка), в которое планируется внедрить чужую идею (алгоритм), должно иметь очень большую экономическую или другую значимость. Во-вторых, исполнители должны обладать большим багажом специальных познаний в данной области. В-третьих, для совершения данного преступления необходимо наличие специального технического и программного обеспечения.
Неправомерная модификация компьютерной информации как товара. Данный вид деятельности, также как и неправомерное завладение информацией как товаром, является наиболее распространенным преступлением (на наш взгляд, именно преступлением). Многие фирмы-производители программного обеспечения, стараясь защитить себя от компьютерного пиратства, разрабатывают и используют различные методы защиты от копирования и анализа своих разработок. Однако экономические условия, в которых функционирует наша экономика, а также принципиальная невозможность создания абсолютных средств защиты информации приводят к тому, что, получив программное обеспечение или базу данных однажды законным (или «полузаконным») путем, в него вносится модификация, позволяющая делать неограниченное количество копий и использовать полезные свойства информации как товара без каких-либо ограничений (временных или по числу раз запуска), наложенных разработчиком.
Проведенный анализ предложенной криминалистической классификации показал, что она охватывает все предусмотренные действующим УК РФ виды преступлений в сфере компьютерной информации, а также большинст
85
во описанных в специальной литературе. Преступления, которые не нашли своего места в изложенной классификационной схеме, с криминалистической точки зрения могут быть разбиты на несколько элементов (этапов), которые уже будут отражаться в нашей классификации.
Например, такой часто рассматриваемый способ совершения компьютерного преступления как рассылка вредоносной программы «троянский конь» и получение с его помощью «скриншотов», (изображений экранов мониторов в заданные момента работы пользователей) представляет собой последовательность двух криминалистически значимых элементов:
•	создание (настройка) вредоносной программы (серверной части «троянского коня») и ее рассылка адресатам (RJHpW^
•	получение сообщения от инфицированного компьютера, настройка и выполнение команд клиентской частью «троянского коня»
В этом случае рассмотренное преступное деяние может быть записано следующим образом —	— RdMpWd).
Таким образом, рассмотренный подход к построению классификации преступлений будет отражать исключительно криминалистические особенности, так как в его основе лежат особенности совершения преступных действий, механизм следообразования, одним словом все то, что определяет направления расследования преступлений.
Использование данного подхода коренным образом отличается от существующих по целому ряду моментов.
Во-первых, все известные системы криминалистической классификации в качестве «нижнего этажа иерархии» использовали способ совершения преступления, а для всесторонней характеристики преступления как сложного явления рассматривали различные основания классификации. Следуя в данном направлении, исследователи получали взаимосвязанную систему классификаций, в которых достаточно трудно было выявить приоритет криминалистического начала. В предлагаемом подходе специфика среды совершения преступления практически полностью определяет потенциальные спо
86
собы совершения преступлений и вследствие этого позволяет его детализировать («разложить») на более мелкие (элементарные), но криминалистически значимые и важные действия. При этом свойства этих элементарных действий и их возможных сочетаний образуют уникальный криминалистический портрет преступления в сфере компьютерной информации.
Во-вторых, предложенный подход позволяет ввести формализованное обозначение для каждого из элементарных действий, что позволит получить уникальное описание, своеобразную «формулу», каждого из известных способов совершения рассматриваемого вида преступлений. Введение такой формализации позволит подключить мощный арсенал математических методов для выявления полноты и непротиворечивости создаваемых классификаций, анализа основных криминалистических свойств выявленных и прогнозирования потенциальных способов совершения преступлений, что отвечает современным тенденциям развития общей теории криминалистики74.
74 Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов. — М.: НОРМА, 2000. — С. 74-78.
87
ГЛАВА 2. МЕТОДИЧЕСКИЕ ОСНОВЫ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
2.1.	Состав, структура и особенности криминалистической характеристики преступлений в сфере компьютерной информации
Одной из актуальных проблем развития криминалистической науки является уяснение сути и роли криминалистической характеристики. Несмотря на серьезное внимание, уделяемое ему в настоящее время, этот вопрос далек от своего однозначного понимания.
Анализ практики расследования преступлений позволил выявить совокупность устойчивых признаков и свойств, характерных для конкретного вида преступных деяний, которые начали включаться в арсенал криминалистов. Знание особенностей отдельных видов преступлений давало возможность лицам, ведущим расследование с достаточной степенью вероятности предсказывать основные черты неизвестных элементов преступного деяния, основываясь на определенной категории известных признаков.
Для широко использования данного явления необходимо было его теоретическое осмысление, которое нашло свое выражение в концепции криминалистической характеристики.
Первым данное понятие сформулировал и ввел в научный оборот Л.А. Сергеев, определив криминалистическую характеристику как обстоятельства характеризующие преступление, так и взаимосвязи между их группами. К числу таких обстоятельств он отнес способ совершения, условия в которых было совершено преступление, особенности обстановки, объекта преступного посягательства, субъекта и субъективной стороны преступления75.
В дальнейшем практически все ведущие криминалисты согласились с необходимостью существования такой криминалистической категории, однако высказали собственные взгляды на ее структуру и содержание.
5 См.: Сергеев Л.А. Расследование и предупреждение хищений, совершаемых при производстве строительных работ: Автореф. дис. ... канд. юрид. наук. М_, 1966.
88
Детальный анализ всего спектра мнений провел Р.С. Белкин, на основании которого им предложено определение состава криминалистической характеристики отдельного вида преступлений, включающее: «характеристику исходной информации, системы данных о способе совершения и сокрытия преступления и типичных последствиях его применения, личности вероятного преступника и вероятных мотивах и целях преступления, личности вероятной жертвы преступления, о некоторых обстоятельствах совершения преступления (место, время, обстановка)»76.
Общим мнением всех исследователей данного вопроса было то, что цель выделения криминалистической характеристики в самостоятельную научную категорию (ее предназначение) заключалась в попытке получить средство определения рациональных направления расследования преступлений на основании отдельных известных элементов преступного деяния.
Подтверждением этому являются высказывания ряда криминалистов. В.Я. Колдин подчеркивал, что в криминалистическую характеристику преступлений входит лишь та информация, знание которой способствует расследованию преступлений, облегчая движение мысли следователя от известного к неизвестному77. В.В. Трухачев прямо обратил внимание на то, что «основная функция криминалистической характеристики заключается в прогнозировании оптимальных направлений следственного поиска»78.
Вместе с общим пониманием сущности криминалистической характеристики обозначились узловые моменты и основные точки зрения по ним, которые можно обобщить следующим образом:
Оценка природы криминалистической характеристики.
•	Криминалистическая характеристика представляет собой систему способствующих расследованию признаков объективного характера, прису-
76 См.: Белкин Р.С. Курс криминалистики. В 3 т. Т.З: Криминалистические средства, приемы и рекомендации. — М.: Юристъ, 1997. — С.315-316.
77 См.: Криминалистика социалистических стран / Под ред. В.Я. Колдина. — М. 1986.— С. 122-123.
78 Трухачев В.В. Криминалистический анализ сокрытия преступной деятельности. — Воронеж: Издательство Воронежского государственного университета, 2000. — С. 149.
89
79
щих преступлению как реальному процессу .
•	Криминалистическая характеристика представляет собой научную абстракцию, включающую систему сведений о значимых для расследования 80
типовых признаках и взаимосвязях между ними .
Виды криминалистической характеристики.
•	Существует криминалистическая характеристика отдельного вида -81 преступлении .
•	Наряду с криминалистической характеристикой отдельного вида преступления существует криминалистическая характеристика конкретного (отдельно взятого) преступления79 80 81 82.
•	Вместе с криминалистической характеристикой отдельного вида и конкретного преступления существует общая криминалистическая характеристика, отражающая закономерности преступления вообще83 * 85.
Соотношение криминалистической характеристики и предмета доказывания.
•	Криминалистическая характеристика тождественна предмету доказы-
84
вания .
•	Криминалистическая характеристика включает предмет доказывания
85
в качестве одного из элементов .
79 См.: Артамонов И.И. Методологические аспекты криминалистической характеристики И Криминалистическая характеристика преступлений. — М., 1984.— С. 64; Гуняев В.А. Содержание и значение криминалистических характеристик преступлений // Там же. — С. 59.
80 См.: Колесниченко А.Н., Коновалова В.Е. Криминалистическая характеристика преступлений. — Харьков, 1985. — С.61, Клочков В.В. Криминалистическая характеристика преступлений: состояние и перспективы исследований // Криминалистическая характеристика преступлений. — М., 1984.— С. 64.
81 См.: Белкин Р.С. Курс криминалистики. В 3 т. Т.З: Криминалистические средства, приемы и рекомендации. — М.: Юристъ, 1997. — С.315-316; Баев О.Я. Методические основы расследования преступлений против личности И Расследование преступлений против личности. — Воронеж, 1998. — С. 12.
82 См.: Шиканов В.И. Теоретические основы тактических операций в расследовании преступлений. — Иркутск, 1983. — С. 23-24.
83 См.: Густов Г.А. Понятие и виды криминалистической характеристики преступлений И Криминалистическая характеристика преступлений. — М., 1984.— С. 43-44; Образцов В. А. Криминалистика. Цикл лекций по новой программе курса. — М., 1994. — С. 38.
87 См.: Крылов И.Ф. Криминалистическая характеристика и ее место в системе науки криминалистики и в вузовской программе // Криминалистическая характеристика преступлений. — М., 1984. — С. 32-33.
85 См.: Белкин Р.С. Курс советской криминалистики. В 3 т. Т.З. — М.: Юридическая литература, 1979. — С. 202.
90
•	Криминалистическая характеристика и предмет доказывания совершенно различные категории, различающиеся по гносеологической природе, юридической сущности, функциональной направленности, особенностям содержания и уровню стабильности86 87.
Специфика и особенности преступлений в сфере компьютерной информации практически ничего не добавили в понимание сущности и содержания криминалистической характеристики. Исследуя данный вопрос, криминалисты пытались лишь уточнить состав сведений подлежащих включению в рассматриваемую категорию.
Так, В.Б. Вехов отмечает, что «криминалистическая характеристика компьютерных преступлений отличается от уже известных криминалистической науке преступных посягательств определенной спецификой. По нашему мнению, в первую очередь в нее должны входить криминалистически значимые сведения о личности правонарушителя, мотивации и целеполагании его преступного поведения, типичных способах, предметах и местах посяга-87 тельств, а также о потерпевшей стороне» .
Схожую позицию занимают Н.Н. Лысов88, а также А.С. Шаталов и А.П. Пархоменко89, включая в понятие криминалистической характеристики преступления в сфере компьютерной информации способы совершения компьютерных преступлений, следовую картину, личность преступника и условия способствующие совершению компьютерных преступлений.
Рассматривая лишь один из видов преступлений в сфере компьютерной информации — неправомерный доступ (состав, предусмотренный ст. 272 УК РФ), авторский коллектив под руководством Н.Г. Шурухнова определил со
86 См.: Драпкин Л.Я. Предмет доказывания и криминалистическая характеристика преступлений // Криминалистические характеристики в методике расследования преступлений. — Свердловск, 1978. — С. 11-18: Хмыров А.А. Криминалистическая характеристика преступления и предмет доказывания И Криминалистическая характеристика преступлений. — М., 1984. — С. 48-50.
87 Вехов В. Б. Компьютерные преступления: Способы совершения и раскрытия. — М.: Право и Закон. 1996. С. 28.
88 Лысов Н.Н. Содержание и значение криминалистической характеристики компьютерных престу-
плений И Проблемы криминалистики и методики ее преподавания (тезисы выступлений участников семинара-совещания преподавателей криминалистики) — М.. 1994 — с.54.

91
став криминалистической характеристики следующим образом. «Криминалистическую характеристику неправомерного доступа к компьютерной информации составляют следующие основные данные о:
•	способах совершения преступления и механизме противоправного деяния;
•	способах сокрытия неправомерного доступа к компьютерной информации;
•	орудиях (средствах) совершения противоправного деяния;
•	обстановке и месте совершения преступления;
•	следах преступления;
•	предмете преступного посягательства;
•	лицах совершающих неправомерный доступ к компьютерной инфор-90
мации и др.»
Г.В. Семенов, рассматривая аналогичный вид преступлений (на примере неправомерного доступа к компьютерной информации в системе сотовой связи), предлагает расширить состав криминалистической характеристики за счет включения в нее описания механизма следообразования, а также мотива -91 и цели совершения данного вида преступлении .
В целом приведенные точки зрения на состав криминалистической характеристики преступлений в сфере компьютерной информации согласуются с общим представлением о данной криминалистической категории и достаточно верно учитывают специфику данного вида преступлений, однако, все же страдают рядом общих недостатков, обусловленных сложившимся стереотипом господствующих теоретических взглядов.
89	Шаталов А.С., Пархоменко А. П. Криминалистическая характеристика компьютерных преступлений. // Вопросы квалификации и расследования преступлений в сфере экономики: Сборник научных статей. Саратов: СЮИ МВД России, 1999. — с. 169-173.
90	Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. — М : Щит-М, 1999. — С. 103.
91	Семенов Г.В. Криминалистическая характеристика неправомерного доступа к компьютерной информации в системе сотовой связи / Юридические записки. Вып. 10: Криминалистические средства и методы исследования преступлений. — Воронеж: Издательство Воронежского государственного университета, 1999.—С. 38.
92
Для устранения сложившегося положения, опираясь на богатый накопленный опыт, необходимо по-новому, с позиций современных достижений науки взглянуть на данную проблему.
Итак, первым принципиальным моментом, который необходимо уяснить приступая к рассмотрению криминалистической характеристики, является выяснение природы данной категории.
Не вызывает серьезных сомнений (большинство криминалистов сходятся в этом мнении), что криминалистическая характеристика, несмотря на материальную природу самого преступления, является лишь его информационным отражением и представляет собой научную абстракцию, основное назначение которой сформировать обобщенное обоснование комплекса методических рекомендаций по расследованию определенных видов преступлений.
Анализируя сущность и структуру этой научной абстракции (структурно-информационной модели) большинство исследователей выделяет два основных элемента: совокупность сведений (данных) о наиболее значимых аспектах преступления и взаимосвязи между ними. При этом упор, как правило, делается на совокупности сведений, лишь вскользь упоминая об их взаимоотношениях. В отличие от основной массы криминалистов О. Я. Баев при анализе криминалистической характеристики на первый план вывел взаимообусловленность и взаимозависимость между входящими в нее элементами. В своей работе, посвященной методическим основам расследования преступлений против личности, он писал: «значимость криминалистической характеристики отдельного вида преступлений состоит не столько, может быть, в выделении самих этих элементов как таковых, сколько в установлении взаи-92 мосвязеи между ними» .
К сожалению, мало кто из исследователей заострял свое внимание на природе взаимосвязей включаемых в состав криминалистической характеристики. Проведенный анализ показал, что в рассматриваемой криминалисти-
92	Баев О.Я. Методические основы расследования преступлений против личности // Расследование преступлений против личности. — Воронеж, 1998. — С. 12.
93
ческой категории встречаются самые разнообразные зависимости. В этой связи в первую очередь следует вспомнить работы Н. А. Селиванова и Л. Видонова,93 94 сумевших получить функциональные зависимости между количественно измеряемыми элементами. Достаточно часто встречаются логические зависимости вида «причина — следствие», «часть — целое», «раньше — позже» и т.п. Значительно реже в состав криминалистической характеристики предлагается включить алгоритмические взаимосвязи. Так А. Н. Васильев предлагает в него включить в рассматриваемую категорию, наряду с другими элементами «определение круга лиц, среди которых может находиться ви-94 новныи и проверку этого вывода» .
Наиболее полной и охватывающей все встретившиеся виды взаимосвязей является категория «процедурных взаимосвязей», т.е. ситуации, когда значение одного элемента может быть получено на основании ряда значений других параметров путем выполнения определенных преобразований (процедур).
Теперь, принимая во внимание назначение криминалистической характеристики и учитывая, единодушно отмечаемое всеми исследователями свойство ее системности, можно заметить, что данная категория представляет собой костяк проблемно-ориентированной «системы знаний» об отдельном виде преступлений в кибернетическом понимании этого термина95, так как в ней присутствуют два основных компонента: сведения (данные) об исследуемом явлении (информационная составляющая) и зависимости между ними (процедурная составляющая).
Однако понимание криминалистической характеристики как классической «системы знаний» (базы знаний) не исчерпывается названными элементами, так как не обеспечивается выполнение основной функции — определения рациональных путей расследования отдельных видов преступлений, для
93 См.: Селиванов Н.А. Криминалистические характеристики преступлений и следственные ситуации в методике расследования // Социалистическая законность. — 1977. — № 2. — С. 57.
94 Цит. по Белкин Р.С. Курс криминалистики. В 3 т., Т.З: Криминалистические средства, приемы и рекомендации. —М.. Юристъ, 1997. С. 308-309.
95 Искусственный интеллект. — В 3-х кн. Кн. 2. Модели и методы: Справочник / Под ред. Д.А. Поспелова — М. Радио и связь, 1990. — С. 14-71,
94
достижения этой цели «система знаний» должна включать в свой состав еще как минимум, два элемента:
•	методы пополнения (уточнения) «системы знаний»;
•	методы построения рекомендаций по основным направлениям расследования данного вида преступлений, так называемые «методы вывода на системе знаний», фактически представляющие собой способы определения оптимальных направлений перехода от известных элементов к неизвестным.
К пониманию необходимости включения отдельных из названных элементов в состав криминалистической характеристики уже вплотную подходил ряд криминалистов, однако они не смогли сформулировать их в «чистом» виде и представить как стройную систему взглядов.
Так неоднократно отмечалось, что совершенствование способов совершения преступления, а также количественные и качественные изменения происходящие в структуре преступности приводят к необходимости постоянного дополнения и корректировки содержания криминалистической харак-96 теристики преступления .
Отмечая важность выявления зависимостей между элементами включенными в состав криминалистической характеристики, Р.С. Белкин делает вывод о том, что они могут стать основанием для построения типичных версий по конкретным делам96 97. В предложенном подходе, на наш взгляд, отсутствует промежуточное звено в цепочке логических рассуждений от «оснований для построения типичных версий» до достижения цели создания криминалистической характеристики как самостоятельной категории — «выбора направления и организации расследования». Таким звеном, как раз и является «метод вывода», т.е. способ получения оптимальных направлений расследования из совокупности элементов (сведений и их взаимосвязей) образующих рассматриваемую категорию.
96 Трухачев В.В. Криминалистический анализ сокрытия преступной деятельности. — Воронеж: Издательство Воронежского государственного университета, 2000. — С. 149.
97 Белкин Р.С. Курс криминалистики. В 3 т. Т.З: Криминалистические средства, приемы и рекомендации. — М.: Юристъ, 1997. — С. 316.
95
Если вопрос о необходимости и актуальности самостоятельного рассмотрения «метода вывода», на наш взгляд, не вызывает сомнений, то на целесообразности его включения в криминалистическую характеристику следует остановиться подробнее.
Первым аргументом в поддержку тезиса о том, что «метод вывода» должен входить в состав криминалистической характеристики является его сильная зависимость (фактически возможность применения какого-либо из известных) от способа представления основных фактов и зависимостей между ними.
Далее, выделение «метода вывода», т.е. способа определения оптимального направления перехода от известных элементов к неизвестным, из состава криминалистической характеристики приведет к ее практической невостребованное™. Ярким примером этому может служить весьма незначительное практическое использование выявленных Н.А. Селивановым функциональных взаимосвязей между ее количественными элементами. Несмотря на существенность полученных результатов, практически никто, кроме самого автора, так и не смог ими воспользоваться в практической деятельности по расследованию преступлений. На наш взгляд, именно отсутствие проработанных «методов вывода» или хотя бы работающих рекомендаций по способам их построения, привело к тому, что появляются высказывания о бесперспективности и практической никчемности всей категории криминалистической характеристики.
Новый взгляд на сущность криминалистической характеристики позволяет уточнить понимание традиционных ее элементов, в частности содержания сведений, фактов и признаков, имеющих существенное значение для расследования преступлений.
Обычно, описывая рассматриваемую криминалистическую категорною, приводят перечень таких признаков, не обращая внимания на необходимость указания совокупности их возможных значений. Этот момент как бы всегда
96
подразумевается, но абсолютно забывается при попытках построения конкретных перечней таких признаков для отдельных видов преступлений.
Косвенное упоминание о необходимости учета особенностей представления существенных для расследования преступлений признаков можно найти в работах В.К. Гавло. Он пишет: «Криминалистические характеристики преступлений содержат понятия различной степени абстракции, соответственно этому они имеют различные уровни содержания информации»98.
Действительно, указав в качестве существенного признака место совершения преступления обязательно надо сформировать исчерпывающий (как минимум, максимально полный) перечень его возможных значений: работа, дом, Интернет-кафе, автомобиль и т.п. При этом каждое из названных в качестве возможных значение имеет несколько собственных вариантов реализации. Выделение различных уровней представления информации позволяет строить (выявлять) зависимости различной степени общности.
Назвав элемент криминалистической характеристики, мы обязаны детализировать его содержание. В противном случае о практической полезности упоминания такого слишком общего и неоднозначно воспринимаемого различными людьми понятия не может быть и речи.
Необходимость приведения исчерпывающего (или максимально полного) перечня возможных значений признаков входящих в состав криминалистической характеристики обусловлена тем, что некоторые очевидные для одних людей возможные значения, совсем не очевидны для других. Например, тот факт, что автомобиль стоит рассматривать как место совершения преступления в сфере компьютерной информации совсем не очевидно для большинства практических следователей. В то же время бизнесмены, много работающие с портативными компьютерами и имеющие доступ в Интернет через сотовый телефон, в этом ничего необычного не увидят.
Гавло В. К. К вопросу о криминалистической характеристике преступлений // Вопросы повышения эффективности борьбы с преступностью. — Томск, 1980. — С. 122.
97
Для признаков, имеющих количественное выражение (шкалу измерений) существенное значение имеет выбранная единица измерения. Так, если рассматривать в качестве признака входящего в состав криминалистической характеристики время совершения преступления, то необходимо четко определить в каких единицах его следует измерять — месяцами, неделями, сутками, часами или еще более мелкими. От правильного выбора единицы измерения признака, имеющего количественное значение, зависит возможность установления существенных взаимосвязей. Например, если преступник входил в удаленную автоматизированную систему каждые 20 — 30 часов, а мы измеряем временные интервалы в сутках, то мы не сможем установить и формализовать криминалистически значимую закономерность. Строгая периодичность работы преступника уже образует признак, достойный включения в криминалистическую характеристику, так как может говорить о возможной профессии (области занятости) с вахтовым (сменным) режимом работы и как следствие о месте своего нахождения.
Говоря о зависимостях, входящих в состав криминалистической характеристики, следует отметить такое ее свойство как вес. Это свойство характеризует вероятность существования (долю истинности) взаимосвязи между отдельными признаками рассматриваемого вида преступлений. Вес наиболее общих зависимостей (например, основанных на всеобщих законах природы) будет максимальным — «1». Все остальные зависимости будут иметь значения в диапазоне от «0» — фактически отсутствие какой-либо взаимосвязи, до «1».
На такую вероятностную природу криминалистической характеристики обращал внимание В.И. Шиканов, отмечая, что она «может рассматриваться лишь как вероятностная модель и соответственно использоваться следователем только в качестве ориентирующей информации»99.
Введение веса зависимостей между признаками, включенными в состав криминалистической характеристики, позволяет решать сразу несколько задач.
99 Шиканов В.И. Теоретические основы тактических операций в расследовании преступлений. — Иркутск, 1983. — С. 24
98
Во-первых, варьирование веса зависимостей позволяет учесть эффект накопления знаний о данном виде преступления. Чем чаще встречается зависимость между выделенными признаками, тем выше его вес. Такой механизм дает возможность использовать результаты криминологии, судебной статистики и других смежных дисциплин, а также учитывать различия регионов.
Во-вторых, наличие веса у зависимостей в криминалистической характеристике создает основу для определения оптимального направления следственного поиска. Лицо, проводящее расследование преступления, в первую очередь должно использовать взаимосвязь, имеющую наибольший вес, т.е. спланировать такой набор и последовательность следственных действий, которые позволят подтвердить или опровергнуть версию, выдвигаемую на основании известных значений признаков и зависимости между ними.
В-третьих, подобное математизированное представление обеспечивает возможность формализованного описания криминалистической характеристики преступлений и подключения мощного арсенала математических методов анализа и оптимизации.
Предложенное понимание криминалистической характеристики позволяет по-новому взглянуть на вопрос соотношения рассматриваемой категории с предметом доказывания.
На наш взгляд он, безусловно, входит в криминалистическую характеристику, но не тождественен ей. В изложенной выше модели «системы знаний» предмет доказывания определяет совокупность того, что нужно установить, задает направление следственного поиска (от известных признаков к элементам предмета доказывания) и служит критерием завершения процесса расследования. Более того, сформулированные уголовным законом элементы преступного деяния, подлежащие выяснению в ходе расследования, образуют ту основу («точку отсчета») с которой начинается весь процесс создания криминалистической характеристики как «системы знаний». В первую очередь выявляются взаимосвязи между элементами предмета доказывания, а также перечень других признаков, входящих в эти зависимости. Только по-
99
еле этого устанавливаются все остальные взаимосвязи и признаки. Такой способ построения криминалистической характеристики позволяет сформулировать критерий целесообразности включения нового признака в состав рассматриваемой категории.
Новый признак следует признать существенным с точки зрения расследования преступления и включить его в состав криминалистической характеристики если существует такая зависимость, которая связывает значения данного признака с элементами предмета доказывания или с другими признаками уже входящими в ее состав. При этом целесообразность включения тем выше, чем выше вес связывающей этот признак с другими элементами зависимости.
Новое понимание криминалистической характеристики позволяет существенно прояснить вопрос о возможности существования данной категории для одного отдельного преступления. Для описания единичного преступления и особенно уже раскрытого, по которому провозглашен приговор, из всего рассмотренного выше набора элементов достаточно только совокупности признаков, причем уже их конкретных значений , ведь преступление уже раскрыто и все установлено. При этом в отношении взаимозависимостей между признаками можно лишь сказать, справедливы ли они в данном частном случае или нет. Установленные значения признаков, входящих в состав криминалистической характеристики для конкретного преступления фактически образуют один элемент обучающей выборки для «настройки» вероятностной информационной модели через корректировку значений веса используемых зависимостей. Зависимости, которые проявились (подтвердились) в конкретном преступлении повышают свой вес, а те, которые не подтвердились, его снижают, либо вообще удаляются из состава рассматриваемой категории (при приближении веса зависимости к нулю). Для получения информационной модели адекватно отражающей все существенные элементы преступления необходимо наличие значительного количества расследованных уголов-
100
ных дел. На эту особенность построения криминалистической характеристика
ки неоднократно указывали различные исследователи
Таким образом говорить о криминалистической характеристики единичного преступления, на наш взгляд, по крайней мере, некорректно. Данные понятия соотносятся как обобщенная вероятностная модель некоторого сложного явления («система знаний») и конкретная реализация этого явления на практике. Единичная реализация дает информации о всем явлении не больше, чем одна песчинка может сообщить о песчаной буре.
Итак, подводя итог сказанному
выше, криминалистическую абстракцию, направлений одного вида,
как научную
оптимальных
характеристику следует определить предназначенную для определения следственного поиска при расследовании преступлений организованную в виде «системы знаний» и включающую:
•	совокупность существенных для расследования характерных признаков преступления одного вида;
•	совокупность возможных значений существенных для расследова
ния преступлений признаков;
•	совокупность взаимосвязей между существенными для расследования преступлений признаками и их вес;
•	методы пополнения (уточнения) совокупностей существенных для расследования преступлений признаков, возможных значений этих признаков, а также взаимосвязей между ними;
•	«методы вывода», т.е. способы и приемы получения оптимальных
направлений следственного поиска на основе совокупности существен
ных для расследования преступлений признаков, их конкретных значений и взаимосвязей между ними.
1	0П Трухачев В. В. Криминалистический анализ сокрытия преступной деятельности. — Воронеж: Издательство Воронежского государственного университета, 2000. — С. 149; Роль криминалистической характеристики преступлений в укреплении связи науки криминалистики и практики расследования И Криминалистика и судебная экспертиза. — Киев, 1990. — Вып. 41. — С. 18.
101
Наиболее подходящим способом описания таких сруктурно-информационных моделей является использование аппарата семантических сетей. В самом общем виде криминалистическая характеристика может быть представлена следующим образом.
Уточнив общее понятие криминалистической характеристике преступлений гораздо легче составить представление о нем для преступлений в сфере компьютерной информации.
Как нетрудно заметить, все приведенные в начале данного параграфа примеры определения состава криминалистической характеристики в основном ограничивались описанием совокупности существенных признаков преступлений, практически не обращая внимания на выявление взаимосвязей между ними. Однако даже при таком подходе, на наш взгляд была упущена специфическая роль среды совершения преступлений — кибернетического пространства и его основных характеристик.
Учет такой характеристики среды совершения преступления как вид используемого аппаратного, программного и информационного обеспечения
102
может существенно скорректировать (а иногда и даже полностью определить) ход расследования преступления в сфере компьютерной информации. Например, если известно, что средой совершения преступления был компьютер Macintosh фирмы Apple, то это существенно сужает круг подозреваемых лиц, т.к. данный вид компьютеров в России распространен гораздо меньше, чем компьютеры клона IBM PC с операционной системой Windows и используется в основном для узкого круга практических задач.
Особенности и даже наличие того или иного аппаратного и программного обеспечения в автоматизированной системе, в которой совершено преступление, практически полностью определяют способ совершения преступления, а также арсенал используемых средств и орудий (специальных программ и последовательности их использования).
Приведенное положение в некотором смысле созвучно с мнением И.Ф. Пантелеева101, включавшим в состав криминалистической характеристики (в качестве самостоятельного элемента) применяемые при совершении преступления технические средства. Так, например, большинство уголовных дел, возбужденных в нашей стране по статье 272 УК РФ связано с распространением программ «троянских коней» и несанкционированного получения с их использованием учетных имен («логинов») и паролей входа в сеть Интернет102. В ходе расследования было выяснено, что преступники, были весьма не высокой квалификации и для осуществления несанкционированного доступа и копирования парольно-ключевой информации использовали широко известное средство — программу зарубежного производства «Back Orifice», которую можно было свободно получить в сети Интернет. Это программное средство сопровождалось инструкцией о порядке его использования, которой строго следовали преступники. В данном случае программное средство, использовавшееся в качестве орудия преступления, полностью определило способ совершения преступления. Более того из особенностей технического уст
101 См.: Пантелеев И.Ф. Методика расследования преступлений. — М., 1975.
102 См.: Сенчев Н. Как хакеры закрыли уголовное дело в прокуратуре // Российская газета. — 2000 г. — 19 февраля.
103
ройства используемого орудия преступления (программы «троянского коня») было известно, что оно предназначено для функционирования в среде операционной системы Windows 95, 98 и не могло работать в Windows NT, Unix, Linux и др. Этот факт сразу же определил круг потенциальных объектов преступного посягательства и выявил типовые места возникновения следов совершенного преступления.
По большому счету, преступления в сфере компьютерной информации вообще могут совершаться лишь там, где существуют технические или технологические изъяны в создании автоматизированной системы или организации процесса обработки информации. Дело лишь в том как появился этот изъян (умышленно или случайно из-за исключительной сложности информационных систем) и как субъект, узнавший об этом изъяне, распорядился имеющейся информацией.
С учетом изложенного, в качестве характерных для преступлений в сфере компьютерной информации признаков, в состав криминалистической характеристики следует включить.
•	сведения о предмете преступного посягательства: вид и целевое назначение компьютерной информации, против которой направлено преступление, используемые материальные носители для хранения и обработки этой информации;
•	сведения о среде совершения преступления: вид и особенности аппаратного, программного и информационного обеспечения автоматизированной информационной системы в которой совершено преступление, установленный порядок его функционирования и технологическая схема обработки и защиты информации в соответствии с целевым назначением автоматизированной информационной системы;
•	сведения о личности преступника: пол, возраст, образование, типовой состав и схема взаимосвязей в преступной группе;
•	типовая мотивация и целеполагание преступного поведения при совершении преступлений в сфере компьютерной информации.
104
•	типичные способы подготовки и совершения преступления, способы его сокрытия, в том числе типовые орудия (средства);
•	сведения о типичных обстоятельствах совершения преступления: обстановка, время, место, выполняемая технологическая операция при обработке информации;
•	сведения о следах совершения преступления и типичных последствиях преступлений;
•	совокупность (характеристика) исходной информации в начале расследования преступления.
Характеризуя вид взаимосвязей, включаемых в состав криминалистической характеристики, следует обратить внимание на то, что они должны быть представлены в нескольких формах учитывающих все возможные сочетания исходно известных параметров для получения неизвестных.
В качестве методов пополнения криминалистической характеристики как «системы знаний» о данном виде преступлений представляется возможным использовать известные методы юридических (криминология, судебная статистика и т.п.), а также ряда смежных (социология, психология, математическая статистика) наук. Единственным специфическим требованием является формализованное представление получаемой зависимости и оценка степени ее достоверности (веса, в диапазоне от 0 до 1).
Методы «вывода» на «системе знаний» о данном виде преступлений могут быть построены на основе известных методов оптимизации на взвешенных графах (варианты задачи определения кратчайшего пути и задачи о коммивояжере)103.
Таким образом, предложенное понимание криминалистической характеристики и ее формализованное представление позволит создавать описания важнейших элементов исследуемого вида преступления, которые в свою очередь предоставит возможность:
103
См.: Вентцелъ Е.С. Исследование операций. —М. Наука, 1972.
105
•	пополнения различными исследователями имеющейся криминалистической характеристики новыми элементами (установленными фактами) и зависимостями между ними;
•	привлечения методов формальной математической логики для установления непротиворечивости и полноты описания криминалистической характеристики;
•	привлечения средств вычислительной техники для создания информационно-поисковых и информационно-советующих систем для повышения качества планирования и оптимизации направления расследования преступлений;
•	легкого тиражирования и быстрого распространения достигнутого ведущими специалистами в данной области криминалистики уровня знаний об особенностях конкретного вида преступлений;
•	предложить формализованные критерии целесообразности включения новых элементов криминалистической характеристики и уточнения возможных значений этих элементов.
2.2. Механизм следообразования при совершении преступлений в сфере компьютерной информации
Механизм следообразования, как пишет О.Я. Баев, представляет собой «наиболее стабильный и наиболее значимый элемент такой общей категории, как криминалистическая характеристика преступлений»104. С данной позицией трудно не согласиться, так как, зная тонкости процесса образования следов при совершении преступлений определенного вида, а также возможности каждого из имеющихся в распоряжении следователя следственных действий, можно легко определить последовательность действий по расследованию преступления.
104 Баев О.Я. Методические основы расследования преступлений против личности //Расследование преступлений против личности. — Воронеж: Издательство Воронежского государственного университета. 1998. — С. 11; Пособие для следователя: Расследование преступлений повышенной опасности / Под ред. Н.А. Селиванова и А.И. Дворкина — М.: Издательство «Лига Разум», 1998.
106
В соответствии с классическим определением Р.С. Белкина под механизмом следообразования понимается «специфическая конкретная форма протекания процесса, конечная фаза которого представляет собой образование следа-отображения. Элементами этого механизма являются объекты следообразования — следообразующий, следовоспринимающий и вещество следа, следовой контакт как результат взаимодействия между ними вследствие приложения энергии к объектам следообразования»105 106.
Детально разрабатывая каждый из названных элементов, отечественные ученые пришли к созданию криминалистического учения о механизме следообразования, теоретические положения которого достаточно подробно 106 описаны в криминалистической литературе
В соответствии с положениями названного криминалистического учения все следы совершения любого преступления делятся на две основные группы:
•	«материальные», т.е. зафиксированные в виде изменения внешней среды и объектов ее образующих;
•	«идеальные», т.е. оставшиеся в памяти преступника, соучастников и свидетелей.
Подобное представление, показавшее свою значимость в течение длительного промежутка времени при расследовании всех «традиционных» преступлений, оказалось не достаточно эффективным при оперировании со следами в сфере компьютерной информации. Анализ причин такой неэффективности показал, что существующее учение о механизме следообразования исходит из «механистического» понимания явлений и исследует закономерности, связанные, в основном, с механическим (контактным) взаимодействием следообразующего и следовоспринимающего объектов. При этом понятие
105 Белкин Р.С. Курс криминалистики. В 3 т. Т. 2: Частные криминалистические теории. — М.: Юристъ, 1997. — С.61.
106 См.: Шевченко Б.И. Научные основы современной трасеологии. — М., 1947; Грановский Г.Л. Основы трасологии. — М., 1974; Крылов И.Ф. Криминалистическое учение о следах. — Л., 1976; Железняк А.С. Материальные следы — важнейший источник криминалистической информации. — Омск: Омская высшая школа МВД СССР, 1975.
107
«следа» в большинстве случаев сводилось к «следу-отображению» и определялось как «отображение на одном объекте внешнего строения другого материального объекта»107 108.
Совершенно иную картину можно наблюдать при расследовании преступлений в сфере компьютерной информации. Основными взаимодействующими объектами при совершении данного вида преступлений являются информационные объекты (наборы данных и программы), обладающие сложной иерархической структурой, при рассмотрении которой говорить о внешнем строении (т.е. какой-либо материальной форме проявления) или его особенностях не приходится.
Одним из первых на этот факт обратил внимание А Н. Яковлев, отметивший, что «вовлеченные в событие преступления информационные объекты на машинных носителях лишены такой характеристики, как внешнее 108 строение»
Приведенные обстоятельства вынуждают по-новому взглянуть и уточнить практически все основные элементы криминалистического учения о механизме следообразования.
Базовым понятием рассматриваемого учения является понятие «следа». В соответствии с наиболее общим определением предложенным Р.С. Белкиным «следами преступления являются любые изменения среды, возникшие в результате совершения в этой среде преступления»109. Таким образом, первым делом необходимо четко уяснить сущность и особенности строения среды совершения преступления — «кибернетического пространства».
Особенности компьютерной информации, а также принципы построения автоматизированных информационных систем, позволили предложить следующее представление «кибернетического пространства» как сложносоставного многоуровневого информационного объекта (таблица 2.1).
107 Шевченко Б.И. Научные основы современной трасеологии. — М., 1947, С. 13.
108 См.: Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных носителях информации. Дисс. канд. юрид. наук. Саратов 2000.
109 Белкин Р.С. Курс криминалистики. В 3 т. Т. 2: Частные криминалистические теории. — М.: Юристъ, 1997. — С. 57.
108
Таблица 2.1.
Места нахождения компьютерной информации	Правила или особенности группирования образующих объектов	Оридическое закрепле ние принятого способа объединения
1. Глобальная информационная сеть (например, ИНТЕРНЕТ)		
Аппаратные объекты: •	Совокупность систем связи (зачастую нескольких юридических лиц обеспечивающих функционирование сетей телефонной связи, включая линии междугороднего и международной связи); •	Совокупность локальных вычислительных сетей; •	Совокупность отдельных средств вычислительной техники (персональных компьютеров); •	Вспомогательное оборудование (например, средства и системы защиты информации, шифрования, межсетевые шлюзы и т.п.) Информационные объекты: •	Протоколы информационного обмена в глобальных информационных сетях (семиуровневая модель взаимодействия открытых систем); •	Организация коллективного использования информационных и вычислительных ресурсов локальной вычислительной сети (права доступа, время доступа, пароли и т.п.).	Определяется	по- требностями пользователей в информационном обмене, в вычислительных и информационных ресурсах (в общем случае можно считать практически случайным)	•	Действующие международные договоры и соглашения о порядке информационного обмена и использования глобальных информационных сетей; •	Действующее Российское законодательство в сфере компьютерной информации; •	Действующее законодательство иностранных государств в которых размещены информационные или вычислительные ресурсы используемые в сети; •	Документация на порядок эксплуатации используемого сетевого прикладного программного обеспечения в конкретной организации (Приказы, Инструкции, Положения и т.п.); •	Техническая документация на средства сетевого оборудования (сетевые платы, концентраторы, маршрутизаторы и т.п.); •	Действующие стандарты и соглашения.
109
Места нахождения компьютерной информации	Правила или особенности группирования образующих объектов	Оридическое закрепле ние принятого способа объединения
2. Локальная сеть ЭЕ	1М (система ЭВМ)	
Аппаратные объекты: •	Совокупность средств вычислительной техники (компьютеров) и их взаимные соединения, •	Сетевые платы и другое оборудование, обеспечивающее объединение компьютеров в сеть; •	Линии связи (кабели, витые пары, оптические кабели, шлейфы и т.п.) с элементами подключения к сетевым устройствам; •	Концентраторы,	маршрутизаторы, усилители и др. сетевое оборудование; •	Вспомогательное оборудование (например, средства защиты информации). Информационные объекты: •	Область с параметрами начальной установки сетевых плат (например, внутри микросхемы BIOS на сетевой плате); •	Протоколы информационного обмена в локальной вычислительной сети (семиуровневая модель взаимодействия открытых систем); •	Организация коллективного использования информационных и вычислительных ресурсов локальной вычислительной сети (права доступа, время доступа, пароли и т.п.)	Определяется характеристиками образуемой автоматизированной информационной системы (количеством пользователей, рабочих мест), а также используемой архитектурой локальной вычислительной сети (общая шина, кольцо, звезда, «точка-точка» и т.п.)	•	Действующее Российское законодательство в сфере компьютерной информации110; •	Документация на порядок эксплуатации используемого сетевого (многопользовательского) прикладного программного обеспечения в конкретной организации (Приказы, Инструкции, Положения и т.п.); •	Техническая документация на средства сетевого оборудования (сетевые платы, концентраторы, маршрутизаторы и т.п ); •	Документация на отдельные средства вычислительной техники (персональные компьютеры); •	Документация на отдельные средства сетевого прикладного программного обеспечения.
110 См.: Скоромников К.С. Компьютерное право. Сб. нормативных актов. — М.: Издательство МНЭПУ, 1997.
110
Места нахождения компьютерной информации	Правила или особенности группирования образующих объектов	Оридическое закрепле ние принятого способа объединения
3. Средство вычислительной техники (персональный компьютер, большая ЭВМ, специализированное вычислительное устройство)		
Аппаратные объекты: •	Устройства объединения отдельных элементов в единый комплекс; •	Совокупность элементов средства вычислительной техники и их взаимные соединения. •	Элементы обеспечивающие электропитание, заземление, охлаждение и т.п. •	Переключатели и индикаторы; Информационные объекты: •	Область с параметрами начальной установки (например, внутри микросхемы BIOS); •	Область с элементами используемого программного обеспечения в ПЗУ (например, ROM Basic).	Определяется архитектурой вычислительного средства принятой у конкретного производителя	•	Действующее Российское законодательство в сфере компьютерной информации; •	Документация на порядок эксплуатации используемого прикладного программного обеспечения в конкретной организации (Приказы, Инструкции, Положения и т.п.) •	Документация на средство вычислительной техники (персональный компьютер) -технический паспорт, приказ о вводе в эксплуатацию и т.п.; •	Документация на отдельные элементы средства вычислительной техники;
4. Элемент средства вычислительной техники или отдельный носитель информации		
Аппаратные объекты: •	Объекты микроэлектроники с элементами монтажа (микросхемы с маркировкой, разъемы, соединения и т.п.); •	Переключатели и индикаторы Информационные объекты: •	Область с параметрами начальной установки (например, загрузочный сектор для винчестера, порты конфигурации для периферийного оборудования); •	Область с характеристиками структуры отдельного элемента (например, таблица разбиения физического носителя на несколько логических, места ее хранения и т.п.) •	Совокупность	информационных структур 1 уровня	|	Определяется используемой технологией хранения информации в элементе вычислительной техники конкретного производителя и конкретной операционной системе	•	Документация на элемент средства вычислительной техники; •	Документация на используемое общее программное обеспечение; •	Действующие стандарты и рекомен-цации.
111
Места нахождения компьютерной информации	Правила или особенности группирования образующих объектов	Оридическое закрепле ние принятого способа объединения
5. Информационная структура 1 уровня (логический носитель информации} 	 			
Информационные объекты: •	Область с характеристиками информационной структуры 1 уровня (например, FAT - таблица размещения файлов, количество копий FAT, места их размещения на логическом носителе и т.п.); •	Совокупность	информационных структур 2 уровня.	Определяется используемой технологией хранения информации в конкретной операционной системе (например, MS-DOS, UNIX или PICK)	•	Документация на используемое общее программное обеспечение; •	Действующие стандарты и рекомендации.
6. Информационная структура 2 уровня (файл)		
Информационные объекты: •	Область с характеристиками информационной структуры 2 уровня; •	Совокупность	информационных структур 3 уровня.	Определяется используемой файловой системой в конкретной операционной системе (например, MS-DOS, UNIX или WINDOWS)	•	Документация на используемые прикладные программы; •	Документация на используемое общее программное обеспечение; •	Документация на используемое общесистемное программное обеспечение; •	Действующие стандарты и рекомендации.
7. Информационная структура 3 уровня (запись файла)		
Информационные объекты: •	Область с характеристиками информационной структуры 3 уровня •	Совокупность элементарных информационных групп	Определяется используемой технологией хранения информации в конкретной прикладной или общесистемной программе (СУБД, электронной таблице и т.п.)	•	Документация на используемые прикладные программы; •	Документация на используемое общесистемное программное обеспечение; •	Действующие стандарты и рекомендации (ГОСТы России, ANSC - США, рекомендации CODASYL и т.п.)
8. Элементарная информационная группа		
• Слово (16, 32, 64 или более бит, размещенных рядом друг с другом)	Определяется архитектурой микропроцессора, его разрядностью	• Документация на используемый микропроцессорный набор
• Байт (8 бит, размещенных рядом друг с другом)	—	—
112
Места нахождения компьютерной информации	Правила или Особенности группирования образующих объектов	Ори д ическое закрепл е ние принятого способа объединения
• Бит (0 или 1)	Двоичная система исчисления, используемая в вычислительной технике и особенности элементной	базы (триггеры с двумя состояниями)		
Анализ состава и особенностей строения среды совершения преступлений в сфере компьютерной информации наталкивает на вывод о резком изменении соотношения материальных и идеальных следов в пользу идеальных, что обусловлено способом представления информации на каждом из уровней. На этот факт указывают практически все авторы специальной криминалистической литературы, однако они не делают следующего важного шага в своих рассуждениях относительно природы образующихся следов компьютерного преступления.
На наш взгляд, при расследовании преступлений в сфере компьютерной информации мы сталкиваемся с особой группой следов, так называемыми «виртуальными» следами, т.е. следами, сохраняющимися в памяти технических устройств, в электромагнитном поле, на носителях машиночитаемой информации, занимающей промежуточное положение между материальными и идеальными.
К числу таких следов могут быть отнесены отдельные файлы в автоматизированной информационной системе, кластеры на магнитном носители, информация передаваемая в эфире посредством электромагнитной волны и т.п.
Необходимость выделения следов такого рода в самостоятельную группу, несмотря на ее внешнюю проблематичность, объективно обусловлена целым рядом специфических свойств, определяющих перспективы их регистрации, извлечения и использования в качестве доказательств при расследовании совершенного компьютерного преступления.
113
•	Во-первых, «виртуальные следы» существуют объективно на материальном носителе, но не доступны непосредственному восприятию. Для их извлечения необходимо обязательное использование программнотехнических средств, что сближает эту группу с материальными следами, но не делает их таковыми.
Особенностью используемых программно-технических средств является то, что они основаны на использовании стандартов, опирающихся на принятые производителями аппаратного и программного обеспечения соглашения и договоренности при их создании. Поясним этот тезис подробнее. Например, для обнаружения следов характерной царапины на гильзе патрона используется обычный микроскоп, увеличивающий изображение за счет преломления и преобразования лучей света. При этом используемые микроскопом для выполнения своих функций законы преломления являются всеобщими и неизменными от одного микроскопа к другому. В связи с этим обнаруживаемые с использованием микроскопа следы царапины на гильзе, во-первых, объективны, так как не зависят от какой-либо договоренности разработчиков или владельца оружия, во-вторых, жестко связаны с самим оружием, из которого был произведен выстрел данного патрона, и, в-третьих, достаточно устойчивы, т.е. их трудно уничтожить бесследно.
Совсем другая ситуация складывается вокруг средств вычислительной техники — основного компонента среды совершения преступлений в сфере компьютерной информации. Как известно, вся информация в цифровой технике кодируется с помощью «О» и «1». Однако вопрос о том, какую характеристику и какой ее количественный уровень признать за «О», а какой за «1», является прерогативой разработчика соответствующей техники, а в некоторых случаях даже и пользователя этой системы (например, при использовании нейронных вычислительных систем). Так, например, в одной системе уровень напряжения в 5 Вольт может быть признан «1», а уровень 3 Вольта — «О», в другой системе все может быть с точностью до наоборот 5 Вольт — «О», 3 Вольта — «1». Такая сложная картина складывается уже на уровне фи
114
зического представления элементарной информационной единицы — 1 бита. Еще большими условностями обставляются более крупные информационные блоки. Например, размер записываемого информационного блока (т.е. размер порции информации, считываемой или записываемой на магнитный носитель за одну операцию обращения к внешнему носителю) на магнитный носитель при одном способе разметки равен 512 байтам, а при другом — 1024 байта и т.п. Использование при считывании различных кодировок информации приводит к совершенно различным результатам при использовании одинаковой исходной последовательности бит информации.
В связи с этим обнаруживаемые с использованием программнотехнических средств «виртуальные» следы, во-первых, субъективны, так как определяются тем, каким способом (с использованием каких соглашений) они были считаны, во-вторых, не имеют жесткой связи с устройством, осуществившим запись информации, являющейся «виртуальным» следом, и в-третьих, весьма неустойчивы, так как могут быть легко уничтожены (например кратковременным воздействием внешнего мощного магнитного поля, или даже просто продолжительным хранением под прямыми солнечными лучами).
•	Во-вторых, получаемые «виртуальные» следы внутренне не надежны (благодаря своей природе), так как их можно неправильно считать (например, используя программно-технические средства, основанные на различных соглашениях, легко подделать). Практически невозможно различить одинаковые информационные объекты и т.п. В данном случае напрашивается характеристика «виртуальных» следов как субъективных (о чем мы говорили выше), что сближает их с идеальными следами, но опять таки не отождествляет с ними. «Виртуальные» следы хранятся не в памяти человека, а на материальных объектах (лазерных оптических дисках, магнитных дискетах и т.п.) и получаются с использованием технических средств, действующих в строгом соответствии с заложенными в них алгоритмами.
Учет этих особенностей, а также тот факт, что любая цифровая автоматизированная информационная система представляет собой дискретный ав
115
томат, характеризующийся определенным состоянием, позволяет предложить определение «виртуального» следа. Виртуальный след — это любое изменение состояния автоматизированной информационной системы (образованного ею «кибернетического пространства»), связанное с событием преступления и зафиксированное в виде компьютерной информации (т.е. информации в виде, пригодном для машинной обработки) на материальном носителе, в том числе и на электромагнитном поле.
Данное определение ни в коей мере не отрицает традиционного понимания такой криминалистической категории как след, а лишь уточняет, дополняя его возможностью электромагнитного взаимодействия между следообразующим и следовоспринимающим объектом, а также таким возможным носителем следа-отображения, как электромагнитное поле.
Предпосылки такого расширения понятия следа можно найти в работах ряда отечественных криминалистов. Так В.С. Сорокин указывал, что следом являются изменения в окружающей обстановке, связанные с совершенным преступлением. Причем эти изменения «могут выражаться в перемещении предметов или веществ, отсутствии или наличии их в определенном месте, потере или приобретении каких-либо свойств»111. В данном случае потеря или приобретение каких-либо свойств в определенной мере может рассматриваться как изменение состояния автоматизированной информационной системы.
ГЛ. Грановский, рассматривая виды воздействий, при которых образуются следы, выделял физические, химические и биологические воздействия112. Однако под физическими воздействиями он понимал удары, сдвиги и другие механические воздействия, в то время как его расширительное толкование включает эффекты электромагнитных взаимодействий, т.е. запись и считывание информации с машинных носителей.
111 См.: Сорокин В.С. Обнаружение и фиксация следов на месте происшествия. —М., 1966.
112 См.: Грановский Г.Л. Основы трасологии. Особенная часть. —М., 1974.
116
С учетом предложенного определения, виды следов, образующихся при совершении преступления в сфере компьютерной информации, могут быть представлены следующим образом:
1.	Материальные следы.
1.1.	Отпечатки пальцев.
1.2.	Микрочастицы.
1.3.	Документы на бумажном носителе.
1.3.1.	Рукописные документы.
1.3.2.	Документы, выполненные с использованием средств автоматизации.
1.4.	Иные материальные следы (характерные повреждения материальных объектов — царапины, сколы и т.п ).
2.	Виртуальные следы.
2.1.	Компьютерная информация (появление, исчезновение, модификация).
2.1.1.	Информация в эфире (электромагнитная волна).
2.1.2.	Информация на магнитном диске.
2.1.2.1.	Служебная информация.
2.1.2.2.	«Полезная» (смысловая) информация.
2.1.3.	Информация на оптическом (магнитооптическом) диске.
2.1.3.1.	Служебная информация.
2.1.3.2.	«Полезная» (смысловая) информация.
2.1.4.	Информация на магнитной ленте.
2.14.1.	Служебная информация.
2.1.4.2	. «Полезная» (смысловая) информация.
2.1.5.	Информация в кристалле (процессоре, микросхеме ПЗУ и т.п.).
2.2.	Изменения характеристик (режимов функционирования) информационных процессов в автоматизированных информаци
онных системах.
117
2.2.1.	Изменение привычного темпа (замедление или ускорение) выполнения типовых операций.
2.2.2.	Отказ в выполнении типовых операций (отказ в доступе, запуске программы и т.п.).
2.2.3.	Нестандартное выполнение типовых (стандартных) действий (выдача сообщений об ошибках, неадекватных сообщений и т.п.).
2.2.4.	Изменение стандартной последовательности выполнения типовых технологических операций.
3.	Идеальные следы в памяти обвиняемых, потерпевших, свидетелей.
Учитывая, что традиционно рассматриваемые материальные и идеальные следы, а также действия по их извлечению, исследованию и использованию достаточно подробно описаны в многочисленной специальной литературе113 114, мы остановимся подробнее только на особенностях «виртуальных» следов.
Одним из наиболее часто встречающихся в настоящее время видов преступлений в сфере компьютерной информации как уже отмечалось явля-ется распространение вредоносных программ типа «троянский конь» (например, Back Orifice, Dolly 16 и т.п.) с целью несанкционированного получения информации и паролей с компьютеров «жертв». Данные действия квалифицируются по двум статьям УК РФ (ст. 272 «Неправомерный доступ к компьютерной информации» и ст. 273 «Создание, использование и распространение вредоносных программ для ЭВМ»), На примере данного вида преступлений рассмотрим особенности механизма образования «виртуальных» следов и основных действий по их обнаружению.
Сущность и опасность вредоносных программ типа «троянский конь» заключается в том, что они скрытно, путем обмана (под видом рекламы, ка
113 См.: Грановский Г. Л. Основы трасологии. —М., 1974; Крылов И.Ф. Криминалистическое учение о следах. — Л., 1976; Белкин Р.С. Курс криминалистики. В 3 т. T. 2: Частные криминалистические теории. — М.: Юрист, 1997; Белкин А.Р. Теория доказывания. —М., 1999.
114 См.: Безруков Н.Н. Компьютерная вирусология: справочное руководство. — Киев: Украинская советская энциклопедия, 1991.
118
кой-либо полезной прикладной программы или особо популярной компьютерной игры) доставляются на компьютер жертвы (например, в качестве прикрепленного к посланию электронной почты исполняемого файла) и запускаются на нем. После запуска эти программы могут выполнить какую-либо простенькую отвлекающую функцию (обещанную в сопроводительном послании) или просто выдать сообщение о невозможности выполнения полезной функции. Кроме этого они записывают тело вредоносной программы в заранее установленное место на компьютере «жертвы» (главная цель данного вида вредоносных программ), прописывают условия ее активизации в системный реестр, обеспечивая тем самым запуск программы при каждом включении компьютера. Запущенная вредоносная программа устанавливает соединение с провайдером сети Интернет и настраивает определенный номер порта ввода/вывода компьютера-жертвы в режим, при котором к нему можно скрытно подключиться удаленному компьютеру. Вторая (сопряженная) часть такой вредоносной программы, установленная на компьютере преступника, последовательно опрашивает (посылает фиксированную последовательность данных) заданный диапазон IP-адресов на возможность удаленного подключения к фиксированному порту ввода/вывода. Наткнувшись на подготовленный первой частью вредоносной программы компьютер-жертву, между ними устанавливается скрытный канал информационного обмена, при котором компьютер преступника получает возможность полного управления компьютером-жертвой — копирование с него текущего образа экрана монитора (так называемого «скриншота») любой размещенной на нем программы, создание каталога или копирование любого файла на удаленный компьютер-жертву, запуск на нем любой программы и т.п.
Следообразующий объект и его характеристики.
В зависимости от этапа совершения данного вида преступления будет существовать различный набор следообразующих объектов. На этапе внедрения программы «троянского коня» это сообщение электронной почты с прикрепленным исполняемым файлом в специальном формате, а на этапе ак
119
тивизации к нему добавится еще соответствующий исполняемый файл. При этом основными (важнейшими с криминалистической точки зрения) характеристиками следообразующих объектов будут:
•	размер программ и сообщения электронной почты с присоединенным файлом;
•	дата и время создания/получения и/или модификации файлов и сообщения,
•	отдельные атрибуты (например, признак архивного, скрытого или системного файла, уровень важности и конфиденциальности полученного сообщения) файла и сообщения;
•	характерные записи (фрагменты) исполняемых программ или файлов конфигурации, позволяющие идентифицировать конкретный экземпляр вредоносной программы. Например, адрес электронного почтового ящика, куда следует отсылать выкраденные пароли, логины и IP-адрес компьютера.
Помимо самих файлов вредоносной программы (т.е. некоторого аналога традиционно рассматриваемого орудия преступления) следообразующими объектами также будут:
1.	Файлы, использующиеся для электронной рассылки «троянских коней»:
•	стандартная почтовая программа (The Bat!, MS Outlook Express и т.п., входящие в стандартный набор операционной системы или офисного набора программ) или иная специализированная программа рассылки почтовых сообщений — вид используемой почтовой программы, ее версия и текущие настройки;
•	текстовые файлы или файлы в специальном формате (согласованном с программой рассылки почтовых сообщений), содержащие списки рассылки и вспомогательные данные — даты и время рассылки, количество попыток повторения и т.п.;
•	файлы программ, обеспечивающие удаленное соединение компьютера и содержащие номера телефонов, «логины» (учетные имена для входа в
120
сеть), пароли, скрипты (наборы автоматически выполняемой последовательности команд) и т.п.
2.	Файлы компилятора, использующегося для создания (программирования или настройки) самой вредоносной программы:
•	Версия, настройки и параметры. Эти данные в ряде компиляторов автоматически включаются в тело создаваемой с их помощью программы.
•	Используемые библиотеки компилятора, операционной системы или других пакетов прикладных программ. Ряд программ рассчитан на обязательное присутствие на компьютере определенных библиотек или пакетов прикладных программ. Например, известны случаи, когда вредоносные программы типа «троянский конь» для рассылки украденной парольно-ключевой информации используют коммуникационные средства программы обмена информацией в реальном времени ICQ (фирмы Mirabilis).
Следовоспринимающий объект.
Учитывая, что при совершении рассмотренного выше преступления в сфере компьютерной информации используется как минимум два компьютера (преступника и жертвы), то следовоспринимающих объектов также будет несколько.
На компьютере «жертвы» такими объектами будут:
•	Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы). На компьютере жертвы должны появиться файлы с программами, представляющими собой первую часть вредоносной программы «троянский конь». Как правило, это два файла: один исполняемый файл (непосредственно сама программа), а второй файл содержит параметры конфигурации и вспомогательные данные, необходимые для работы исполняемого файла. Имена этих файлов могут быть произвольными (легко и без изменения функциональных возможностей программы заменяются преступником), но они должны иметь фиксированную (одну и ту же) длину, а также дата и время создания/модификации этих фай
121
лов должны соответствовать дате и времени установки этих программ на компьютер-жертву.
•	Системный реестр операционной системы Windows 9x/NT. Соответствующие разделы системного реестра должны включать указания на размещение и параметры установленных программных файлов.
•	Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации.
•	Файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы.
•	Файлы конфигурации программ удаленного соединения компьютера с информационной сетью.
На компьютере правонарушителя такими объектами будут:
•	Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы). На компьютере жертвы должны появиться файлы с программами, представляющими собой вторую (управляющую) часть вредоносной программы «троянский конь».
•	Системный реестр операционной системы Windows 9x/NT. Соответствующие разделы системного реестра должны включать указания на размещение и параметры установленных программных файлов.
•	Скопированные с компьютера-жертвы файлы данных и программы, а также так называемые «скриншоты» (графические изображения экрана монитора) с компьютера-жертвы.
•	Файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы. Здесь могут быть обнаружены присланные с компьютера-жертвы значения паролей и «логинов» для входа в информационную сеть, копии украденной электронной корреспонденции и т.п.
122
•	Файлы конфигурации программ удаленного соединения компьютера с информационной сетью. В этих файлах могут быть обнаружены логины и пароли компьютера-жертвы, его адресная книга, используемые скрипты и т.п.
•	Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации.
Даже беглый анализ особенностей следообразующих и следовоспринимающих объектов, мест возникновения и способов извлечения виртуальных следов для различных видов преступлений в сфере компьютерной информации в среде различных операционных систем (например Windows 9x/NT, Linux и т.п.) показал, что это достаточно большая и самостоятельная работа, которая может послужить основой для создания специализированных криминалистических справочников (например «Windows 98 глазами криминалиста» или «MS Outlook Express для криминалиста»).
Необычность рассмотрения «виртуальных» следов приводит к тому, что большинство следователей не готовы к их выявлению и закреплению в соответствии с действующим законодательством. По данным А. В. Касаткина115 только 14% следователей работают на ЭВМ на уровне пользователя, а 56% не имеют даже элементарных представлений о принципах работы ЭВМ. В то же время 92% программистов считают, что на современном уровне развития вычислительной техники без участия профессионала высокого уровня найти в компьютере «спрятанную» информацию не опасаясь ее уничтожить очень сложно.
Учитывая приведенные данные, из сложившегося положения существует два возможных выхода:
•	Создание специализированных следственных подразделений, укомплектованных специалистами, владеющими всеми необходимыми знаниями и навыками для поиска и обращения с «виртуальными» следами. Это могут
115 Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений. Дисс. ... канд юридич. наук. — М., 1997.
123
быть подразделения в составе МВД, ФСБ или прокуратуры. Учитывая высокие требования по их технической оснащенности они могут формироваться по территориально-окружному принципу.
•	Законодательное закрепление обязательности участия специалиста в проведении следственных действий, связанных с обнаружением и фиксацией «виртуальных» следов. При этом желательно участие одного и того же специалиста во всех соответствующих следственных действиях одного уголовного дела (включение по существу в следственную бригаду), так как это позволит ему более качественно выполнить свои обязанности, а следователю полнее использовать его специальные навыки и познания для уяснения как общей картины преступления, так и отдельных эпизодов или фактов (явлений).
Используемые программно-технические средства поиска и обнаружения виртуальных следов.
В настоящее время в виду отсутствия специализированных криминалистических средств выявления и изъятия виртуальных следов в повседневной деятельности правоохранительных органов используется достаточно широкий набор стандартных программных средств общего применения, которые условно можно разделить на два основных класса: универсальные (многоцелевые) и специализированные (выполняющие определенный круг задач) программные средства. В свою очередь универсальные программные средства могут быть разбиты на следующие группы:
•	Командные оболочки (Volcov Commander, Norton Commander, Dos Navigator, FAR и т.п.).
•	Антивирусные пакеты программ (AVP, Dr. Web, AidsTest, Norton Antivirus).
•	Сервисные утилиты (PC Tools, Norton Utility и т.п.).
•	Стандартные утилиты (Copy, Fc и т.п.) и средства операционных систем.
Специализированные программные средства также могут быть двух основных групп:
124
•	Прикладные программы, такие же как на компьютере преступника и компьютере «жертвы». Это, как правило, те же программные продукты, которые использовались на компьютере преступника или на компьютере-жертве, например, почтовые, бухгалтерские или иные программы, настроенные по тем же конфигурационным файлам и параметрам.
•	Специальные программные средства контроля основных событий и выявления критических событий, фактов и данных. Например, программы-шпионы Investigator116, HDSENTRY117 и т.п.
Анализ имеющейся практики использования перечисленных программно-технических средств показал наличие ряда существенных с точки зрения криминалистики недостатков. К числу таких общих недостатков следует отнести
•	Отсутствие режима поиска файла по его точному размеру или заданному диапазону. В ряде случаев при расследовании преступлений, связанных с распространением вредоносных программ, удается точно установить лишь размер этой программы, т.к. имена файлов легко изменяются и маскируются под другие полезные программы.
•	Отсутствие режима одновременного поиска нескольких заданных фрагментов текста (подстрок) за один проход анализатора. Если существующие программные средства на поиск заданной подстроки на жестком диске размером более 5—10 Гб затрачивают несколько минут, то поиск нескольких подстрок уже превращается в несколько десятков минут и даже часов. При этом отсутствует возможность автоматической смены искомых подстрок поиска, что приводит к необходимости постоянного внимания к выполняемому действию со стороны следователи и специалиста, участвующего в выполнении данного следственного действия.
•	Наличие такого режима (и отсутствие предусмотренной возможности его отменить) копирования файлов на внешние магнитные носители, при ко
116 Берд Киви Находка для шпиона // Компьютерра. 2000. № 41. — С. 8.
125
тором изменяются даты и время создания/модификации файлов. При стандартном режиме копирования датой и временем создания скопированного файла становится дата и время осуществления копирования. Это приводит к тому, что, во-первых, теряется криминалистически важная информация об истинной дате и времени создания файла, во-вторых, получаются ситуации, когда дата и время создания файлов оказывается более поздней, чем дата последней модификации, что, в свою очередь, требует специального пояснения со стороны специалиста в протоколе следственного действия.
•	Отсутствие режима выбора глубины (детальности) создаваемых копий информационных объектов. В ряде случаев недостаточно скопировать только содержимое файла. Например, при расследовании преступлений, связанных с созданием и распространением программных вирусов, необходимо создать полный информационный аналог исследуемого объекта, т.е. использовать посекторное или даже побитное копирование.
Наличие такого набора недостатков, использующихся в настоящее время средств поиска, обнаружения и изъятия (копирования) виртуальных следов, а также тот факт, что большинство из них являются зарубежными разработками, для которых отсутствуют исходные коды программ (что не позволяет с большой степенью уверенности судить о всех их функциях и возможностях), приводит к выводу о необходимости создания отечественного специализированного программного средства (желательно доступного в исходных кодах), которое после соответствующей процедуры сертификации уполномоченными государственными органами могло бы использоваться в своей деятельности всеми правоохранительными органами.
Серьезные трудности в применении рассмотренных и создаваемых в настоящее время специализированных программно-технических средств обусловлены отсутствием в действующем УПК РСФСР и обсуждаемом проекте УПК РФ норм, регламентирующих как саму возможность, так и отдельные
117 См.: Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных носителях информации. Дисс. ... канд. юридич. наук. Саратов 2000.
126
особенности их использования. Одним из возможных выходов из сложившегося положения было бы включение в УПК РСФСР статьи 1412 следующего содержания.
Статья 1412. Применение специальных программно-технических средств
При производстве отдельных следственных действий для обнаружения и фиксации следов совершения преступления, а также иной компьютерной информации, имеющей значение для дела и находящихся в памяти ЭВМ, системы ЭВМ или их сети, могут быть применены специальные программно-технические средства.
Следователь принимает решение о применении специальных программно-технических средств до начала следственного действия и уведомляет об этом всех лиц, участвующих в проведении данного следственного действия.
В случае использования при проведении отдельных следственных действий специальных программно-технических средств в протоколе следственного действия должны быть указаны объекты, к которым они были применены, а также сведения отражающие:
наименование, версию и основные цели использования специальных про-граммно-технических средств;
установленные действующими федеральными стандартами параметры цифровой подписи для используемого программно-технического средства;
порядок их начальной установки (использования) или приведения в работоспособное состояние;
порядок и условия их подключения, запуска или приведения в работоспособное состояние для выполнения своего функционального назначения;
порядок и условия выдачи результатов применения специальных технических и программных средств.
127
В формулировке предлагаемого проекта данной статьи следует обратить внимание на обязательность указания всех существенных характеристик используемых программно-технических средств, позволяющих их однозначно идентифицировать. Как известно, любой программный продукт может быть легко переименован, а его содержимое легко (или с определенными трудностями) модифицировано в требуемую сторону. В связи с этим приведение в протоколе одного названия или версии используемого программного продукта будет явно недостаточно. Однозначную идентификацию программного средства можно произвести только с использованием так называемой хеш-функции, вопросы создания и проверки которой достаточно полно регламентированы действующим федеральным государственным стандартом118.
Названные проблемы идентификации используемых следователем про-граммно-технических средств, доказательства их чистоты (отсутствия программных вирусов, различного рода закладок и т.п.) и идентичности известным диктует необходимость создания единого для всех правоохранительных органов набора специализированных средств, что в свою очередь требует создания системы испытания и сертификации вновь создаваемых программных продуктов.
Действия по извлечению и фиксации виртуальных следов.
С точки зрения уголовно-процессуального законодательства поиск и извлечение материальных следов совершения преступления осуществляется в рамках трех основных следственных действий — осмотра, обыска и выемки. Специфическая природа «виртуальных» следов приводит к тому, что говорить о проведении выемки в их отношении, на наш взгляд, не приходится. «Виртуальные» следы (компьютерную информацию) нельзя изъять, их можно только скопировать или уничтожить.
С технической точки зрения для обнаружения и фиксации «виртуальных» следов в рамках следственного осмотра и обыска могут проводиться
118 ГОСТ Р 34.11-94 «Функции хеширования».
128
различные операции с использованием всего спектра программнотехнических средств рассмотренных ранее.
Поиск фиксированного файла (по имени, по фрагменту имени или подстроке внутри файла) может быть произведен с использованием любой командной оболочки, например FAR, с использованием режима «Alt+F7».
Просмотр системного реестра может быть произведен с использованием стандартной программы операционной системы Windows 9x/NT — regedit, в которой предусмотрены режимы поиска заданных подстрок.
Поиск заданной информации и непосредственный просмотр содержимого отдельных кластеров магнитных носителей информации, а также их копирование может быть произведен с использованием специализированных утилит, например, DiskEdit из набора Norton Utility.
Копирование обнаруженных файлов с виртуальными следами преступления в сфере компьютерной информации может быть осуществлено с использованием любой командной оболочки, например, FAR, с использованием режима «F5» или стандартной утилитой операционной системы «Сору».
Значительно сложнее действия по выявлению и регистрации таких «виртуальных» следов, как изменение характеристик информационных процессов. В этом случае необходима обязательная регистрация определенных параметров процесса обработки информации в автоматизированной системе в течение определенного промежутка времени (интервала наблюдения). Полученная совокупность значений регистрируемых параметров на всем интервале наблюдения образует «виртуальный» след второго типа (в смысле предложенной ранее классификации — 2.2).
Скоротечность процессов обработки информации, как правило, не позволяет регистрировать изменения их параметров ручным способом и требует привлечения средств автоматической регистрации (специальных программ). Поскольку средства регистрации представляют собой программы для ЭВМ, то и получаемые с их использованием «виртуальные следы» будут
129
представлять собой компьютерную информацию и будут записаны на магнитных носителях.
Действующий уголовно-процессуальный закон не учитывает описанных особенностей «виртуальных» следов и, как следствие, правоприменители не признают их в качестве полноценных доказательств, несмотря на их существенную информативность.
Анализ зарубежного законодательства показал, что «виртуальные» следы, такие как системные журналы, файлы регистрации и т.п. воспринимаются как доказательства. Так в США любая компьютерная информация или электронный документ признаются свидетельством, основанном на слухах. А поэтому для его принятия в качестве доказательства сторона, представляющая ее, должна убедить суд в том, что:
•	документ создавался в определенное время знающим человеком или по информации, полученной от такого человека;
•	документ создавался в ходе регулярной деловой практики;
•	ведение документации было обычной практикой ведения деловых
-119 операции
При этом если что-либо указывает на его недостаточную надежность, то доказательство не будет принято.
Высокая информационная емкость «виртуальных» следов при расследовании преступлений в сфере компьютерной информации, а также зарубежный опыт их использования в уголовном судопроизводстве, говорит о необходимости серьезного осмысления и глубокой уголовно-процессуальной проработке вопросов придания им доказательственной силы.
Одним из первых шагов в этом направлении, на наш взгляд, могло бы быть введение в УПК РСФСР статьи, закрепляющей возможность фиксации результатов отдельных следственных действий на машинных носителях информации примерно следующего содержания.
119 См.: Горбатов В.С., Полянская О.Ю. Мировая практика криминализации компьютерных правонарушений. — М.: МИФИ, 1998. — 128 с.
130
Статья 1761. Фиксация результатов отдельных следственных действий на магнитных носителях информации
Для документирования результатов отдельных следственных действий следователь вправе использовать магнитные, магнитооптические, оптические и иные машиночитаемые носители информации.
Запись информации с результатами отдельных следственных действий на машиночитаемые носители должна осуществляться с использованием сертифицированных установленным порядком программно-технических средств в установленном формате, обеспечивающем воспроизводимость записанной информации.
В целях обеспечения неизменности хранящейся на машиночитаемых носителях информации результатов отдельных следственных действий должна использоваться технология цифровой подписи, установленная действующими федеральными государственными стандартами, реализуемая с использованием подготовленных установленным порядком программнотехнических средств.
В случае записи результатов отдельных следственных действий на машиночитаемый носитель информации следователь должен сделать соответствующую отметку в протоколе данного следственного действия.
2.3. Характеристика личности правонарушителей и мотивов совершения преступлений в сфере компьютерной информации
Рассмотрение и анализ личности «компьютерного» преступника занимает особое место в криминалистической характеристике преступлений в сфере компьютерной информации, так как является исключительно важным с точки зрения выявления и расследования таких преступлений. Результаты проведенных опросов показали, что 41% следователей и 38% судей отмечают важность исследования личности преступников совершающих преступления в сфере высоких технологий, поскольку по данным делам модель поведения
131
преступника и круг его интересов весьма специфичны120. В данной категории дел четко выявляется закономерность: чем изощреннее и технически сложнее преступление в сфере компьютерной информации, тем меньшее количество людей способны его совершить. Зачастую складываются ситуации, когда один лишь способ совершения преступления или используемое средство (орудие) может практически однозначно указать на человека его совершившего.
Поскольку преступления в сфере компьютерной информации впервые появились за рубежом, то первые работы, посвященные исследованию личности «компьютерных» преступников были выполнены также за рубежом121. Первые отечественные публикации, вышедшие в конце 80-х начале 90-х годов122 не отличались оригинальностью при рассмотрении личности хакеров и практически целиком базировались на иностранной статистике. Лишь в качестве иллюстрации справедливости сделанных выводов были использованы примеры из реальной деятельности правоохранительных органов бывшего Советского Союза. В связи с этим сформировалось мнение, что отдельный портрет отечественного хакера составлять не имеет смысла, поскольку хакер — существо максимально космополитичное и мало чем отличается от своего западного собрата.
С этим мнением нельзя согласиться, так как, характеризуя людей занимающихся программированием живущих в нашей стране и за ее пределами, в разделе «общее» можно выделить только то, что они используют одну и ту же вычислительную технику и одинаковые языки программирования. Это обусловлено в первую очередь принципиально разными условиями общественной и социальной жизни в России и за рубежом. Даже если некоторые черты отечественных и иностранных хакеров совпадают, то это обстоятель
120 См. Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений. Дисс. ... канд. юрид. наук — М.: ЮИ МВД, 1997.
12 Технологии в преступном мире: Компьютерные и телекоммуникационные технологии / Авт,-сост. В.Н. Соколов. —Мн.: Литература 1998.
122 См.: Батурин Ю.М. Проблемы компьютерного права. — М.: Юридическая литература, 1991; Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. — М.: Юридическая литература, 1991.
132
ство имеет различные причины. Там он может себе позволить такой стиль поведения, манеру одеваться и т.п., а в нашей стране он вынужден это делать, ибо для него это психологический способ (зачастую единственные) уйти от реальных проблем и конфликтов между желаниями и возможностями. В связи с этим отдельное рассмотрение личности отечественного хакера (правонарушителя в сфере компьютерной информации) представляется не только оправданным, но и весьма перспективным направлением «цифровой» криминалистики.
Большинство авторов в той или иной мере касавшихся вопросов исследования преступлений в сфере компьютерной информации, считают, что все причастные к совершению компьютерного преступления (или хотя бы один из них) являются технически одаренными и в какой-то мере уникальными людьми, которые обязательно обратили на себя внимание работающих или проживающих рядом с ними людей.
Однако следует помнить, что преступление в сфере компьютерной информации представляет собой достаточно сложное явление, в орбиту которого вовлекается достаточно большое количество людей с различными навыками, умениями, типовыми чертами характера и т.п. При этом каждый из этих людей может играть различную роль в совершении компьютерного преступления и. следовательно, в разной мере может претендовать на основное место в характеристике личности типового правонарушителя в сфере компьютерной информации.
В соответствии с общими представлениями о распределении ролей при совершении преступления в сфере компьютерной информации, можно выделить следующие относительно самостоятельные формы соучастия и совершения: организатор, исполнитель и соучастник.
Заметим, что при рассмотрении типовых свойств личности преступника в сфере компьютерной информации, как правило, имеют в виду исполнителя, непосредственно связанного с созданием орудия преступления (специ
133
альной программы, набора данных), его применением или внедрением в автоматизированную информационную систему.
Мы также будем придерживаться обозначенного подхода, и по мере необходимости акцентировать внимание на особенностях других типов компьютерных преступников.
Образ мышления. В литературе длительное время не обращалось внимания на то, что длительное взаимодействие с ЭВМ, строгими (в плане дисциплины мышления) науками приводит к существенному изменению психологии людей, их поступков и как следствие их характеров и даже судеб. Люди профессионально использующие в своей деятельности вычислительную технику либо изначально обладали некоторыми природными особенностями отличающими их от «обычных» людей, либо на их мышление накладывает отпечаток специальное образование и длительная профессиональная деятельность.
Обобщенно эти особенности можно сформулировать следующим образом:
•	Стремление четко сформулировать любую возникающую проблему, выделить основные и второстепенные элементы. Наряду с положительными эффектами это свойство приводит к тому, что второстепенным элементам практически не уделяется внимания. Четкое логическое обоснование поведения при выполнении какой-либо профессиональной задачи запросто может соседствовать с «хаотическим» поведением в быту.
•	Сильно развитое формальное (с точки зрения математики и логики) мышление, которое зачастую подводит в реальной жизни. Например, если написано заявление, то считается что на него обязательно будет ответ, причем ответ может быть положительным или отрицательным и никаким другим. Появление уклончивых ответов или вообще их отсутствие не укладывается в «общую схему» и вызывает раздражение.
•	Стремление к точности, четкости и однозначности в языке. Это приводит к манере в разговорах задавать уточняющие вопросы и часто переспрашивать отдельные детали, что зачастую вызывает раздражение собеседника.
134
При всем при этом обращает на себя внимание постоянное использова-123 ние компьютерного жаргона мало понятного непосвященным
Пол, возраст и образование. В соответствии со сложившимися к настоящему времени представлениями компьютерные преступники делятся на три основные возрастные группы: 11-15 лет, 17-25 лет и 30-45 лет. В основе данной классификации лежат результаты работы первой международной конференции Интерпола по компьютерной преступности.
При этом считается, что первая возрастная группа в основном совершает кражи через кредитные карточки и телефонные номера, «взламывая» коды и пароли больше из-за любознательности и самоутверждения. Вторая группа это студенты, которые в целях повышения своего «познавательного» уровня похищают информацию из различных банков данных. Третья группа включает в себя хакеров, умышленно совершающих компьютерные преступления с целью получения материальной выгоды, а так же ради уничтожения или -124 повреждения компьютерных сетей
На наш взгляд такая классификация и характеристика возрастных групп компьютерных преступников не учитывает отечественной специфики. Очень трудно представить себе одиннадцатилетнего российского подростка, взламывающего коды и пароли в отечественных автоматизированных информационных системах или снимающего деньги с украденной кредитной карты из-за целого ряда причин. Во-первых, существующие отечественные финансовые автоматизированные системы конечно далеко не идеальны, но, тем не менее, способны устоять перед «натиском» одиннадцатилетнего ребенка. Во-вторых, для взлома пароля необходимо владение каким-либо языком программирования на среднем уровне (для составления программы автоматического набора необходимого номера и перебора возможных паролей) или умение корректно воспользоваться существующими в Интернете хакерскими программами. Учитывая отечественные учебные программы по ин-
123	См.: Мещеряков В.А. Словарь компьютерного жаргона. Воронеж: Издательство ВГУ, 1999.
124	Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухно-ва. — М.: Издательство «Щит-М», 1999.
135
форматике, уровень жизни населения (а, следовательно, распространенность современной вычислительной техники и возможности доступа в Интернет) необходимого уровня одаренный ребенок на наш взгляд достигает только к 14-15 годам.
Совершенно непонятным является верхнее ограничение возраста 45 годами. Как представляется верхнего возрастного предела компьютерных преступников не существует. Более того, в районе пенсионного возраста появляется мотив совершения рассматриваемого вида преступлений — месть за увольнение с хорошо оплачиваемой работы, появившийся значительный объем свободного времени, богатый профессиональный опыт в сфере информационных технологий и необходимая материально-техническая база.
В связи с изложенным выше представляется более оправданным разбить отечественных правонарушителей в сфере компьютерной информации на две возрастные группы: первая группа 14 — 20 лет, а вторая группа с 21 года и старше.
Представители первой возрастной группы — это старшие школьники или студенты младших курсов высших или средних специальных учебных заведений, которые активно ищут пути самовыражения и находят их, погружаясь в виртуальный мир компьютерных сетей. При этом чаще всего ими движет скорее любопытство и желание проверить свои силы, нежели корыстные мотивы. Понимание и умелое использование этого фактора позволит следователю установить нормальный психологический контакт с представителем данной возрастной группы и рассчитывать на его активную помощь при проведении расследования.
Компьютерные преступники, входящие во вторую возрастную группу представляют более серьезную опасность. Это уже вполне сформировавшиеся личности, обладающие высокими профессиональными навыками и определенным жизненным опытом. Совершаемые ими действия носят осознанный корыстный характер, при этом, как правило, предпринимаются ме
136
ры по противодействию раскрытию преступления и введения следствия в заблуждение.
Практически все известные отечественные преступники в сфере компьютерной информации — мужчины. Появляющиеся утверждения о том, что 125 в последнее время увеличивается процент женщин-хакеров , статистическими данными не обоснованы.
Средства к существованию и профессия. Примерно до 20-25 лет у «компьютерного преступника» серьезных средств к существованию нет, и он находится на иждивении родителей или существует за счет стипендии или случайных приработков. Затем, он устраивается на работу, связанную с новыми информационными технологиями в учреждения наиболее динамично развивающегося в данный момент сектора экономики (в свое время биржи, затем банки, сейчас рекламные компании, телекоммуникационные или компьютерные фирмы), что позволяет ему решить свои первоочередные проблемы. Первой крупной покупкой, несомненно, является собственный компьютер. Далее может появиться сложная бытовая техника или даже подержанный автомобиль.
В расходах он не притязателен; однако существует постоянная статья материальных «издержек» — обновление и модернизация используемой компьютерной техники. Это требует достаточно частых (новое поколение аппаратного обеспечения появляется каждые два года) и существенных (порядка нескольких сотен или даже тысяч долларов) «инвестиций» для получения которых он готов выполнять какую-нибудь, связанную с компьютером работу (например, электронная верстка различного рода изданий, создание и администрирование Web-страничек в крупных фирмах и т.п.).
Известны случаи привлечения таких специалистов организованными 126 преступными группами для осуществления неправомерного доступа к информации в банковские системы.
125	Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухно-ва. —М.: Издательство «Щит-М», 1999.
126	Хакер // Совершенно секретно. — 1998. — № 11.
137
Особую опасность с точки зрения совершения преступлений в сфере компьютерной информации представляют профессионалы в области новых информационных технологий. Первоначальное представление об уровне информированности и возможной причастности к совершенному преступлению может дать примерный список должностей обслуживающего персонала типичной автоматизированной информационной системы и возможности каждой из этих должностей (исходя из их функциональных задач) по добыванию информации необходимой для совершения преступления в сфере компьютерной информации.
Таблица 2.2
Категория риска	Должностная категория
Высокий риск	•	Системный администратор •	Системный программист •	Администратор системы безопасности
Средний риск	•	Инженер вычислительной системы •	Прикладной программист •	Пользователь автоматизированной информационной системы с правом ввода информации
Ограниченный риск	• Связист • Пользователь автоматизированной информационной системы с правом ввода информации
Низкий риск	•	Работники вспомогательных служб (электрики, сантехники, уборщики и т.п.) •	Посторонние лица
В реальных автоматизированных системах функции нескольких из приведенных должностей могут выполняться одним человеком или полностью отсутствовать (в зависимости от особенностей построения автоматизированной системы). Так, в частности, для автоматизированной системы отделения банка, управляющий банком является пользователем (хотя и с очень большими правами) и с точки зрения реальной возможности совершения
138
преступления в сфере компьютерной информации относится к категории лиц с ограниченным риском.
Каждый из перечисленных выше категорий сотрудников, взаимодействующих с автоматизированной системой, в соответствии со своей категорией риска может нанести больший или меньший ущерб системе, сыграть ту или иную роль в подготовке и совершении преступления в сфере компьютерной информации.
Для характеристики возможностей названных выше категорий сотрудников из числа взаимодействующих с автоматизированной информационной системой рассмотрим три основные (фактически являющиеся базисом любой операции с компьютерной информацией в автоматизированной системе) вида действий:
Копирование — т.е. нарушение исключительного права пользования информацией ее собственником или законным владельцем — получение доступа к элементам автоматизированной информационной системы, обеспечение возможности регистрации обрабатываемой и передаваемой информации, ее копирование на магнитный или бумажный носитель.
Блокирование — создание условий, когда отдельные компоненты или ресурсы автоматизированной информационной системы становятся временно недоступными для легального пользователя, либо теряют работоспособность.
Модификация — злоумышленник не только получает доступ к компонентам или ресурсам автоматизированной информационной системы, но и манипулирует с ними, внося изменения в структуру элементов автоматизированной системы или вводя поддельные («ложные») данные.
Возможности каждой должностной категории сотрудников взаимодействующих с автоматизированной системой в плане реализации тех или иных действий представлены в таблице, где приняты следующие обозначения:
«О» — отсутствие возможностей;
«Ч» — частичные возможности;
«П» — полные возможности;
139
Таблица 2.3.
Должностные категории пользователей	Копирование	Блокиро-вание	Модификация
Администратор системы безопасности	П	П	П
Системный администратор	П	П	П
Системный программист	П	П	П
Прикладной программист	Ч	П	Ч
Инженер вычислительной системы	ч	Ч	Ч
Пользователь автоматизированной информационной системы с правом ввода информации	п	П	П
Пользователь автоматизированной информационной системы без права ввода информации	ч	О	О
Связист	ч	Ч	О
Работники вспомогательных служб	ч	ч	О
Посторонние лица	ч	О	О
Заметим, что приведенные данные являются личным мнением автора, которое сложилось в результате многолетнего общения с различными категориями сотрудников вычислительных центров. Опыт показывает, что при оценке угроз информационной безопасности информационных систем ни в коей мере не стоит недооценивать возможности непрофессионалов.
Приведенные оценки информированности и потенциальной опасности различных категорий сотрудников, взаимодействующих с автоматизированной информационной системой позволяют определить очередность допросов и их приоритетность для каждого конкретного случая, что, в конечном счете, позволит сократить требуемое время получения необходимой для расследования преступления информации.
Характер. Компьютерный преступник обладает очень свободолюбивым и эгоцентричным характером, не терпит никакого давления над собой. Как отмечают исследователи, — «уникально сочетает в себе восторженный романтизм с самым, что ни на есть, гнусным цинизмом», что часто порождает проблемы в нормальном общении с людьми. Для иллюстрации данного факта достаточно привести факт наличия в большинстве региональных любительских информационных сетей конференции, где происходят постоянные разборки всевозможных конфликтов и выяснение отношений друг с другом (на
140
пример, в региональной сети ФИДО 2:5025 это конференция — «cool») и посмотреть их трафик (интенсивность и объем передаваемых сообщений).
Он ведет «ночной» образ жизни, так как в это время достаточно свободны телефонные линии, действуют льготные тарифы на доступ к платным информационным сетям, и никто не мешает.
Взаимоотношения в семье. Тесных семейных отношений у компьютерного правонарушителя, как правило, не складывается. Родители не обращают должного внимания своему подрастающему ребенку и даже радуются, что он часами просиживает возле компьютера, а не проводит время где-нибудь по улице. Они считают, что лучше проводить все свободное время у них на глазах, чем посещать молодежные компании, где могут появиться алкоголь или наркотики. Сложившееся положение периодически стимулируется родителями путем приобретения более современных комплектующих к компьютеру.
Компьютерный правонарушитель достаточно тепло относится к своим родителям и близким, в частности, за то, что они его не трогают. В личной жизни длительный период времени его сопровождает семейная неустроенность, и он ведет холостяцкий образ жизни.
Взаимоотношения с противоположным полом, как правило, не складываются в реальной жизни, зато бурно проявляются в виртуальном мире компьютерных сетей. Известны факты возникновения достаточно трогательных и продолжительных взаимоотношений в сетях ICQ и IRC, которые затем переходили в реальные знакомства. Однако, искусственные «виртуальные миры» полны неожиданностей и никто не знает кто реально скрывается за женским «NickName» (сетевым псевдонимом), за присланной по электронной почте фотографией.
Жилище и быт. Это квартира или отдельная комната в квартире. Особого внимания обустройству жилья и поддержанию порядка в нем не уделяется.
Логическим центром жилища является компьютер. Мало у кого из настоящих хакеров системный блок компьютера аккуратно завинчен и не имеет
141
каких-либо внешних визуальных изъянов (зияющие отверстие от привода CD ROM, высовывающийся шлейф для подключения жесткого диска и т.п.). Все это обусловлено высоким темпом изменения состава и конфигурации программного и аппаратного обеспечения. Постоянно подключаются какие-то устройства, устанавливаются, а затем уничтожаются компьютерные игры, новые программы и т.п. Из-за этого в жилище хакера строго порядка никогда не бывает. Разбросанные лазерные диски, технические описания, книги по программированию, крепежные винтики, джамперы, обрывки распечаток — это его нормальная атмосфера. При этом сложившийся «порядок» бдительно охраняется от попыток вмешательства кого-либо.
Внешний вид и одежда. Они находятся на одном из последних мест в списке ценностей настоящего «компьютерного» преступника. Им уделяется ровно столько времени и средств, сколько этого требуется для поддержания его на минимально приличном уровне. В гардеробе преобладает свободная, спортивного типа одежда (зачастую неряшливая или безвкусно подобранная), протертые джинсы и многое повидавший свитер, массивная обувь спортивного типа — кроссовки или горные ботинки с могучим рельефом на подошвах, длинная прическа.
Питание. В питании абсолютно неприхотлив. Регулярного питания, как правило, никогда не бывает. Чаще всего он питается на своем излюбленном месте — прямо у компьютера, причем как дома, так и на работе, меню самое непритязательное.
Особое место в рационе занимает пиво. Следует отметить, что среди компьютерных профессионалов сложился своеобразный культ этого напитка — это и непременный атрибут задушевной беседы или технического спора, и единица оплаты за оказанные услуги, и символ почитания более опытных новичками и начинающими (например, считается хорошим тоном в любительских автоматизированных информационных системах периодическое угощение системного оператора — «ноды», своими пользователями — «пойнтами») и т.п.
142
Увлечения. В подавляющем большинстве случаев он имеет склонности к точным наукам и представляет профессии технического или точного характера, при этом проявляет повышенный интерес к абстрактными видами искусства (полумистическим литературным произведениям, фантастическим видеофильмам с философским подтекстом) и нетрадиционным религиозным учениям (буддизм, различного рода братства и секты). Особое отношение у него к фантастике и фэнтези.
Как правило, знает английский язык или как минимум хорошо читает на нем. В первую очередь это результат ежедневного взаимодействия с импортной вычислительной техникой и программным обеспечением. Любит играть в компьютерные игры в стиле фэнтези, где математически описан некий мир: звездные войны, любовные аферы, поиски приключений. Особое место в этом ряду занимает компьютерная игра Quark и ее многочисленные клоны, где игрок пробирается по полуподвальным лабиринтам, уничтожая огромное количество монстров и другой «нечисти».
Ряд исследователей отмечают, что хакеры образуют свою особую субкультуру, наподобие объединения рокеров, металлистов, панков и пр.127 128
Мотивы совершения преступлений. Анализ существующей криминалистической литературы посвященной исследованию преступлений в сфере компьютерной информации показал, что уже предложено несколько подходов к классификации личности компьютерных преступников по мотивам совершения преступлений.
Так, В.Б. Вехов, проводя исследования личности «компьютерного
128 правонарушителя» разделил их на три группы
1.	Лица, отличительной особенностью которых является устойчивое сочетание профессионализма в области компьютерной техники и программирования с элементами своеобразного фанатизма и изобретательности. Ха
127 См.: Букин Д. Хакеры. О тех, кто делает это И Рынок ценных бумаг, 1997, № 23. — С.54 — 57; Букин Д. Underground киберпространства // Рынок ценных бумаг, 1997, № 18. — С. 104 — 108.
128 См.: Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под ред. акад. Б.П. Смагоринского — М.: Право и закон, 1996.
143
рактерной особенностью преступников этой группы является отсутствие у них четко выраженных противоправных намерений. Практически все действия совершаются ими с целью проявления своих интеллектуальных и профессиональных способностей.
2.	Компьютерные преступления могут совершаться лицами, страдающими «компьютерными фобиями».
3.	Профессиональные компьютерные преступники с ярко выраженными корыстными целями, так называемые «профи». В отличие от первой переходной группы «любителей» и второй специфической группы «больных», преступники третьей группы характеризуются многократностью совершения компьютерных преступлений с обязательным использованием действий, направленных на их сокрытие, и обладающие в связи с этим устойчивыми преступными навыками.
В.	В. Крылов выделил следующие виды субъектов преступлений в сфере компьютерной информации129:
а)	«хакеры» — лица, рассматривающие защиту компьютерных систем как личный вызов и взламывающие их для получения полного доступа к системе и удовлетворения собственных амбиций;
б)	«шпионы» — лица, взламывающие компьютеры для получения информации, которую можно использовать в политических, военных, и экономических целях;
в)	«террористы» — лица, взламывающие информационные системы для создания эффекта опасности, который можно использовать в целях политического воздействия;
г)	«корыстные преступники» — лица, вторгающиеся в информационные системы для получения личных имущественных или неимущественных выгод;
129 См.: Крылов В.В. Расследование преступлений в сфере информации — М.: Издательство «Горо-дец», 1998.—С. 231-232.
144
д)	«вандалы» — лица, взламывающие информационные системы для их разрушения;
е)	психически больные лица, страдающие новым видом психических заболеваний — информационными болезнями или компьютерными фобиями.
На наш взгляд признать эти классификации адекватно отражающими суть рассматриваемого явления, к сожалению, нельзя.
Думается, нельзя серьезно рассматривать в качестве компьютерных преступников лиц страдающих «компьютерными фобиями» и иными информационными болезнями. Сам термин «фобия»130 означает боязнь, страх перед, чем-либо, в данном случае перед компьютером. В соответствии с этим человек, страдающий «компьютерной фобией» не может эффективно использовать компьютер в своей деятельности и тем более совершить преступление в сфере компьютерной информации. Примеры, связанные с разрушением локальных вычислительных сетей и уничтожением средств вычислительной техники никакого отношения к рассматриваемому виду преступлений не имеет.
Также вряд ли стоит выделять в качестве самостоятельной категории компьютерных террористов. Дело в том, что основная цель террориста — посеять своими действиями ужас и страх среди широкого круга населения. В нашей стране говорить о возможности повлиять на сколь-нибудь значительные массы людей посредством Интернета (особенно в провинциальных городах) или иных компьютерных систем пока к счастью рано.
С учетом изложенной точки зрения и анализа имеющегося опыта расследования преступлений в сфере компьютерной информации можно выделить следующие основные мотивы их совершения:
•	Месть;
•	Достижение денежной выгоды, в том числе за счет продажи полученной информации;
•	Хулиганство;
130 Советский энциклопедический словарь. — М.: Издательство «Советская энциклопедия», 1982. —
С. 1432.
145
•	Любопытство;
•	Профессиональное самоутверждение.
Приведенные типовые мотивы совершения преступлений в сфере компьютерной информации и основные черты правонарушителей не являются абсолютными и не всегда ярко выражены, но, тем не менее, достаточно полно отражают опыт по расследованию данного вида преступлений, накопленный в настоящее время и отраженный в специальной криминалистической литературе.
2.4. Способы совершения преступлений в сфере компьютерной информации
В общем случае преступление в сфере компьютерной информации в своем типовом развитии проходит ряд последовательных стадий, которые достаточно специфичны с точки зрения следообразования и возможности обработки (выявления, исследования, использования оценки) возникших в результате совершения преступления следов:
•	выбор цели (автоматизированной информационной системе) преступного посягательства;
•	выбор компьютерной информации (предмета преступного посягательства) хранящейся в персональном компьютере, локальной вычислительной сети, распределенной телекоммуникационной системы (АСУ);
•	предварительный сбор информации об объекте преступного посягательства, организации его работы и технологии обработки информации на нем, характеристиках и составе используемого математического обеспечения;
•	планирование совершения преступления, вовлечение и подготовка исполнителей преступления;
•	непосредственно воздействие на информацию в машинном виде путем внесения модификации или снятия копии информационного файла;
•	проявление (получение) желаемого эффекта воздействия на информацию в объекте преступного посягательства;
146
•	сокрытие прямых и косвенных следов компьютерного преступления.
Описанием способов совершения преступлений в сфере компьютерной информации специалисты по информационной безопасности начали заниматься более 20 лет назад. Так одной из первых публикаций, содержащих довольно подробный анализ методов и способов несанкционированного проникновения в автоматизированные системы приведен в работе Л. Дж. Хоффмана131 132. Несмотря на то, что в этой работе автор опирается на материалы исследований 1975 го-132 да , они не потеряли своей актуальности и в настоящее время.
Позднее эти описания практически дословно воспроизводились в специальной литературе по информационной безопасности133, а затем криминологии134 и криминалистике135. Однако, многократное заимствование описаний способов совершения преступлений в сфере компьютерной информации привело к появлению существенных искажений смысла и важных технических особенностей первоначально описанных приемов. Добавление к этому повышенного интереса со стороны писателей-фантастов и режиссеров фильмов-боевиков, а также достаточно низкую подготовку широкого круга людей в сфере вычислительной техники и новых информационных технологий в свою очередь вызвало к жизни мифы о всемогуществе компьютерных преступников и невозможности правоохранительных органов противостоять их коварным действиям. К сожалению, в настоящее время такие весьма искаженные представления о возможностях и способах совершения преступлений в сфере компьютерной информации перекочевывают на страницы специальных журналов и серьезных научно-практических изданий136.
131 См.: Л. Дж. Хоффман Современные методы защиты информации — М.: Советское радио, 1980.
132 См.: Linde RichardR. Operating System Penetration, Proceedings 1975 NCC p.361-368.
133 См.: Герасименко В.А. Защита информации в автоматизированных системах обработки данных. — М.: Энергоиздат 1994.
134 См.: Батурин Ю.М.. Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. — М.: Юридическая литература, 1991.
135 См.: Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия / Под ред. Б.П. Смагоринского — М.: Право и Закон, 1996.
136 Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухно-ва. — М.: Издательство «Щит-М», 1999, с.109-110.
147
Так, В.В. Сергеев приводит «леденящий душу» способ совершения компьютерного преступления в банковской сфере137. «Организованная преступная группа численностью до 30 человек вовлекает в свою деятельность и сотрудников банка и работников телефонной станции (причем, даже в различных населенных пунктах), снимает 10-12 квартир в различных частях населенного пункта, устанавливает в них компьютеры, подключенные к телефону и по команде из «центра управления криминальной операцией» осуществляет проникновение в компьютерную сеть банка путем опосредованного доступа.
Несколько атакующих компьютеров отсекаются системой защиты, а остальные получают требуемый доступ. Один из прорвавшихся компьютеров блокирует систему статистики сети, которая фиксирует все попытки доступа. В результате этого другие прорвавшиеся компьютеры не могут быть обнаружены и зафиксированы. Часть из них приступает к взлому нужного сектора сети, а остальные занимаются фиктивными операциями с целью дезорганизации работы предприятия, организации, учреждения и сокрытия преступления»138 139.
«При успешном осуществлении операции главный исполнитель в период прохождения фиктивных платежных поручений вводит через свой компьютер основное поручение и ставит его первоочередным на обработку и отправку по указанным адресам. После этого главный исполнитель вводит фиктивные платежные поручения с целью сокрытия основной проводки. Сразу же после оплаты основного платежного поручения фиктивные платежные поручения дезорганизуют систему взаиморасчетов банка со своими кли-139 ентами и на некоторое время полностью парализуют ее»
На наш взгляд приведенное описание способа совершения преступлений в сфере компьютерной информации настолько технологически абсурдно и не основано на реальных технических возможностях, а также знаниях осо
137 См.: Сергеев В.В. Компьютерные преступления в банковской сфере // Банковское дело, 1997, № 2, с. 27-28.
13х Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухно-ва. — М.: Издательство «Щит-М», 1999, с. 105-106.
139 Там же с. 109-110.
148
бенностей функционирования технических систем, что может быть использовано только при написании сценария очередного голливудского боевика. В связи с этим мы не будем подробно разбирать все нелепости и некорректности содержащиеся в этом и некоторых других примерах описаний способов совершения преступления в сфере компьютерной информации, а приведем и прокомментируем с учетом реалий сегодняшнего дня перечень «атак операционных систем общего типа», приведенный в названной классической работе 1975 года и послуживший основой для всех последующих описаний140.
•	Атаки на основе «асинхронности». Большинство современных вычислительных систем, в том числе и персональные компьютеры параллельно выполняют несколько вычислительных процессов. При этом выполняемые процессы взаимодействуют между собой и один процесс может изменить некоторые общие параметры, которые другой процесс на законном основании проверил, но еще не использовал. Результаты взаимодействия асинхронных процессов такого рода могут быть самыми неожиданными. Так зарегистрирован случай, когда после сохранения на диске текстового файла, обрабатываемого текстовым редактором MS Word в нем, кроме самого создаваемого текста, оказался фрагмент файла электронной таблицы, обрабатываемой одновременно на этом же компьютере с использованием MS Excel. Данное явление объясняется стремлением к наивысшей интеграции всех инструментальных средств входящих в пакет MS Office и достаточно подробно обсуждено на страницах журнала Компьютерра и в ИНТЕРНЕТЕ на сайте данного журнала141.
•	Атаки на основе «просмотра». В данном случае осуществляется просмотр и поиск привилегированной (например, системные журналы, системные реестры и т.п.) или закрытой (файлы паролей,) информации. В ряде операционных систем, таких как MS Windows 95/98, MS-DOS, PC-DOS боль-
r
140 Linde Richard R. Operating System Penetration, Proceedings. NCC — 1975 — p. 361 — 368.
141 www.computerra.ru
149
шинство привилегированных файлов и закрытой информации хранятся в незащищенном виде и могут быть просмотрены любым пользователем.
•	Атаки на основе включения «между линиями». В данном случае оконечное оборудование (терминал, модем и т.п.) включается в канал связи, синхронизируется в работе с истинным оконечным оборудованием и включается в работу, когда законный пользователь неактивен, но еще удерживает канал межмашинного обмена.
•	Атаки на основе «тайного кода». Данный случай представляет собой доработку выявленных недостатков функционирующего на предприятии программного обеспечения, при котором кроме устранения основной причины вносятся дополнительные функции, позволяющие автору доработки проникать в автоматизированную систему неавторизованным способом.
Известный случай преступления совершенного во Внешэкономбанке и рассмотренный в первой главе данной работы представляет собой классический пример атаки данного вида.
•	Атаки на основе «отказа в доступе». В данном случае используется программа, захватывающая права привилегированного пользователя на первоочередное использование ресурсов вычислительной системы (памяти и внешних устройств) и проведение планомерного отказа в доступе законным пользователям.
•	Атаки на основе «индуцирования ошибок». При такой атаке создается программа производящая внутри себя ряд ошибок и сохраняющая в общедоступных местах вычислительной системы информацию о поведении операционной системы (вектор состояния или дамп памяти) и системы защиты информации. После этого нарушитель может с использованием обычных средств получить эту информацию и составить впечатление о защитных механизмах атакуемой системы.
•	Атаки на основе «взаимодействующих синхронных процессов». В данном случае одновременно (с максимально возможной степенью) запускается два или более процесса использующих одни и те же ресурсы вычисли
150
тельной системы. При этом большинство операционных систем (даже рассчитанных на мультизадачную работу) реально выполняет все операции только последовательно, разрывая каждую операцию на отдельные порции (кванты) и сохраняя их промежуточные результаты. Одновременное обращение к одним и тем же ресурсам может вызывать различные, нестандартные (не предусматриваемые разработчиками) ситуациями, которыми может воспользоваться злоумышленник.
•	Атаки на основе «разъединения линии». Атаки данного типа предусматривают подключение к линии связи с последующим отключением истинного пользователя. При этом истинный пользователь отключается от вычислительного ресурса до посылки истинным абонентом подтверждения о завершении сеанса информационного обмена.
•	Атаки на основе «маскировки». В данном случае преступник использует идентификационные имена, пароли и другие, необходимые для вхождения в автоматизированную информационную систему данные, полученные путем подслушивания, подкупа или каким-либо другим «традиционным» (нетехническим) путем.
•	Атаки типа «NAK». Свое имя данный способ проникновения в автоматизированные информационные системы получил из-за ключа телетайпа «NAK», используемого для выполнения операции кратковременного прерывания какого-либо процесса. В большинстве операционных систем существует возможность прерывания какого-либо процесса для выполнения другой команды или программы с последующим возвращением к выполнению прерванного процесса. Как правило, проектировщики уделяют слишком мало внимания защите прерванного информационного процесса и злоумышленник (преступник) может скопировать или внести изменения в состояние прерванного процесса.
•	Атаки на основе «обмана оператора» или администратора. В данном случае преступник предпринимает действия, направленные на обман
151
оператора, администратора или иного специалиста обладающего знаниями критичной парольной информацией.
•	Атаки на основе «перестановочного программирования». В данном случае злоумышленник подготавливает специальные программы, осуществляющие перебор всех возможных изменений в позициях или порядке входных информационных элементов для выявления нестандартной (не предусмотренной разработчиками) реакции автоматизированной информационной системы.
•	Атаки на основе «поэлементной декомпозиции». При осуществлении атаки такого рода происходит разбиение критичной информации (паролей, идентификационных имен и т.п.) на элементы и по отдельным фрагментам предъявляется системам защиты информации атакуемой автоматизированной информационной системы. Анализируя реакцию системы защиты информации (время реакции и ее разновидности) злоумышленник получает возможность изучить строение защитных механизмов и преодолеть их. Одной из разновидностей данного метода является получение тождественной копии программного обеспечения, установленного в атакуемой автоматизированной информационной системе, реассемблирование его исполняемого кода или выполнение на специально подготовленной вычислительной среде (на компьютере «под отладчиком»),
•	А таки типа «Piggy back». В данном случае злоумышленник подключается к линии информационного взаимодействия и генерирует ложные сообщения об отказе в доступе, возврате сообщения как ошибочном и т.п. При этом регистрируются действия правомерного пользователя, которые начинает попытки повторного подключения к информационной системе другими различными способами.
•	Атаки на основе «троянского коня». Впервые данный термин был введен Эдвардсоном и означал установку злоумышленником-программистом в атакуемую программу «точку входа» и ее дальнейшее использование для скрытного проникновения. В настоящее время данным термином также на
152
зывается и создание специальных программ, которые наряду с известными полезными функциями выполняют недокументированные и вредоносные функции. Например, известны факты создания вредоносных программ, имеющих одинаковое имя, размер и другие «внешние» параметры, совпадающие с широко известными и распространенными программами типа Norton Utility, Rar.exe и т.п.
Учитывая время разработки рассмотренного перечня способов совершения преступлений в сфере компьютерной информации они в основном ориентированы на неправомерное проникновение в отдельные компьютеры и небольшие локальные вычислительные сети. В настоящее же время наибольший интерес представляют способы совершения преступлений в сфере компьютерной информации в среде (с использованием) глобальной информационной сети ИНТЕРНЕТ.
В 1996 г. американским Computer Security Institute на основании исследования, проведенного им по заданию Международной группы по компьютерным преступлениям ФБР США, был составлен «Обзор компьютерной безопасности и преступлений», из которого вытекает, что наиболее часто используемыми способами совершения преступлений в сфере компьютерной информации являются следующие142:
1.	Подбор паролей, ключей и другой идентификационной или аутентификационной информации (brute-force);
2.	Подмена IP-адресов (IP-spoofing) — метод атаки, при котором злоумышленник подменяет IP-адреса пакетов, передаваемых по Интернету или другой глобальной сети, так, что они выглядят поступившими изнутри сети, где каждый узел доверяет адресной информации другого;
3.	Инициирование отказа в обслуживании (denial of service) — воздействия на сеть или отдельные ее части с целью нарушения порядка штатного функционирования;
4(18).
142 Характерные способы совершения хакерских взломов сетей // Открытые Системы. — 1996. — №
153
4.	Анализ трафика (sniffer), т.е. его прослушивание и расшифровка с целью сбора передаваемых паролей, ключей и другой идентификационной или аутентификационной информации;
5.	Сканирование (scanner) — метод атаки с использованием программ, последовательно перебирающих возможные точки входа в систему (например, номера TCP-портов или телефонные номера) с целью установления путей и возможностей проникновения;
6.	Подмена, навязывание, уничтожение, переупорядочивание или изменение содержимого данных/сообщений, передаваемых по сети (data diddling).
7.	Другие типы атак и диверсий.
Частота использования названных видов атак представлена на рис. 2.1.
Рис. 2.1. Частота используемых способов совершения преступлений в сфере компьютерной информации
До недавнего времени считалось, что широкое использование сети ИНТЕРНЕТ для совершения «традиционных» преступлений и собственно «компьютерных» преступлений было наиболее характерно для зарубежных, наиболее развитых в промышленном отношении стран. Однако, на сегодняшний день российские «хакерские» группировки уже ни в чем не уступают зарубежным и отличаются высокой технической оснащенностью и исключительно высоким интеллектуальным уровнем.
154
Говоря о других, часто включаемых в криминалистические описания способах совершения преступлений в сфере компьютерной информации, следует отметить, что они либо совпадают по своей сути с описанными (однако имеют более броское название — «мистификация», «маскарад» и т.п.), либо не имеют ничего общего с компьютерной информацией, как объектом преступления. Например, при описании такого способа, как атака «за дураком»143 упущено из виду, что целью способа является проникновение в помещение, где размещена вычислительная система, но никак не доступ к компьютерной информации или ее модификация. Проникнув таким способом в помещение, где стоит компьютер, преступник может не суметь преодолеть программную систему защиты информации (не сможет ввести правильный пароль при включении питания компьютера и т.д.).
При описании таких способов атаки как «электромагнитный перехват», как правило, не учитывается то, что перехватываемая информация не пригодна для непосредственной автоматизированной обработки и представляет собой лишь фрагменты «картинок» выдаваемых на дисплеи вычислительной системы. Таким образом «электромагнитный перехват» представляет собой пример атаки типа «просмотра», только выполняемый с использованием специальных технических средств. Здесь, на наш взгляд, необходимо отметить, что все встречающиеся описания «электромагнитного перехвата» ничего не говорят о конкретных примерах и частоте его использования при совершении реальных преступлений. Дело в том, что включая данный способ из одной работы в другую авторы не обращают внимания на его техническую актуальность в современных условиях. Если обратиться к истории и техническим основам возможности осуществления такого способа доступа к компьютерной информации, то мы увидим, что ее основным источником (излучателем регистрируемой электромагнитной энергии) является кабель, соединяющий видеокарту, размещенную в корпусе компьютера и монитор. Учитывая, что в
143 См.: Вехов В.Б. Компьютерные преступления:: способы совершения и раскрытия / Под ред. Б.П. Смагоринского — М.: Право и Закон, 1996.
155
настоящее время большинство мониторов является аналоговыми или аналого-цифровыми, то для их работы используются высокие частоты и высокое напряжение. Все это в сочетании с длиной соединительного кабеля около 1-1,5 метров, который фактически выполняет роль излучающей антенны, образует необходимый набор средств для излучения информативного сигнала в пространство на расстояния до нескольких сот метров. Однако здесь же следует заметить, что активно внедряемые в настоящее время на компьютерный рынок плоские LCD-мониторы построены на других физических принципах и не используют в своей конструкции электронно-лучевых трубок (и, как следствие, в них не применяется высокочастотное излучение), что практически сводит на нет возможности традиционно описываемого электромагнитного перехвата информации.
Все остальные элементы вычислительной системы размещаются внутри системного блока и каких-либо существенных электромагнитных излучений не осуществляют по целому ряду причин:
•	во-первых, элементы размещены внутри металлического корпуса, который представляет достаточно мощный экран способный закрыть существующее излучение;
•	во-вторых, напряжения питания большинства элементов имеют весьма низкие значения — как правило 12 В (максимум 24 или 36 В для экзотических периферийных устройств), а сам микропроцессор менее 4 В (причем сейчас конструкторы интенсивно борются за снижение напряжения питания);
Кроме того, достигнутые тактовые частоты работы микропроцессоров (до 1 — 1,5 ГГц на AMD Athlon и Intel Pentium IV) и скорости передачи информации внутри элементов компьютера настолько велики, что, даже записав какие-либо информативные электромагнитные излучения, требуется весьма сложная и дорогостоящая специализированная аппаратура для выделения искомой информации.
Установка так называемых «жучков» (различного рода подслушивающих устройств) представляют собой обыкновенный способ подслушивания и
156
прямого отношения к преступлениям в сфере компьютерной информации, на наш взгляд, не имеют.
Проведенный анализ, известных описаний способов совершения преступлений в сфере компьютерной информации показал, что они в основном ► характеризовали либо технические детали несанкционированного доступа, либо касались только уголовно-правовой характеристики преступлений. К сожалению, до настоящего времени нам не встречалось каких-либо комплексных описаний способов совершения преступлений в сфере компьютерной информации, которые бы наряду с подробным и корректным описанием технических деталей механизма реализации преступления содержали бы криминалистически значимые моменты, обеспечивающие точную уголовноправовую оценку и позволяющие правильно построить расследование этих преступлений.
В соответствии с ранее приведенной классификацией преступлений в сфере компьютерной информации способы их совершения могут быть описаны следующим образом (таблица 2.4).
Таблица 2.4.
Этапы совершения преступления	Способы реализации криминалистических этапов совершения преступления	Способы сокрытия следов реяли-зации криминалистических этапов совершения преступления
Уничтожение (разрушение) информации —Индекс «RoMoWx»		
1. Выбор объекта преступного посягательства	1.1. Расспросы ближайшего окружения о наличии объекта преступного посягательства 1.2. Исследование рекламных материалов в печати, электронных сетях	1.1.1. Использование косвенных вопросов относительно объекта преступного посягательства 1.2.1. Использование чужого почтового ящика электронной почты или изменение имен (реквизитов) запросов
2. Подготовка инструментария несанкционированной модификации (орудия преступления)	2.1. Подбор стандартного программно-технического средства 2.2. Изготовление специальных электронных устройств (электромагнитных генерато- J22B)		
3. Уничтожение информации	3.1. Уничтожение (ненаправленная модификация) данных в интерактивном режиме работы с использованием отладчика или специального ре-	3.2.1. Установка режимов использования стандартных программных продуктов без образования резервных копий (ВАК-файлов) 3.2.2. Создание командных файлов
157
Этапы совершения преступления	Способы реализации криминалистических этапов со-вершения преступления	Способы сокрытия следов реал и-зации крим иналистических эта-пов совершения преступления
	жима работы редактора текста 3.2. Уничтожение одного или нескольких байтов (записей, файлов) данных с использованием штатных средств удаления и копирования файлов 3.3. Применение специальных электронных устройств в непосредственной близости вычислительной системы	для уничтожения временных (TEMP, ТМР) файлов и организация пустых потоков вывода (типа «» NULL») 3.2.3. Использование имен файлов, директорий и парольной информации широко используемой в других программных системах
Неправомерное завладение информацией как совокупностью сведений, документов — нарушение исключительного права владения информацией —Индекс «RdMoW0»		
1. Выбор субъекта владеющего объектом преступного посягательства	1.1. Расспросы ближайшего окружения о наличии объекта преступного посягательства 1.2. Исследование рекламных материалов в печати, электронных сетях	1.1.1. Использование косвенных вопросов относительно объекта преступного посягательства
2.	Ознакомление (копирование) информации - объекта преступного посягательства	2.1.	Копирование информации на свой носитель «в открытую» (с согласия владельца) используя стандартные режимы копирования 2.2.	Несанкционированное (без разрешения владельца) копирование информации на свой носитель 2.3.	Считывание информации с экрана дисплея	2.1.1. Копирование информации в общем потоке (например весь винчестер). 2.2.1. Использование режимов «просмотрщика» (вьюверов) в стандартных операционных оболочках (типа Norton Commander, Windows)
3. Размещение полученной информации (установка программного продукта) в вычислительной системе злоумышлении ка	3.1. Копирование машинной информации с полученных носителей в автоматизированную систему злоумышленника. 3.2. Установка объекта посягательства его владельцем на носитель вычислительной системы злоумышленника (в качестве демонстрации), после которой он (владелец) его удаляет	стандартными средствами.	3.1.1. Изменение внешних признаков объекта посягательства (имен каталогов и файлов) 3.2.1.Специальная подготовка вычислительной среды, в которую владелец будет устанавливать объект посягательства (подмена стандартных средств удаления файлов, установка программ - перехватчиков паролей и т.п.) 3.2.2. Удаление машинной информации после выделения интересующих данных
4. Выделение интересующих данных из информационного набора представленного в машинном виде	4.1. Запуск объекта посягательства под управлением отладчика (типа PERISCOP, SYSSHELL и т.п.). 4.2. Реассемблирование и выявление основных элементов программы и внутренних дан-	
158
Этапы совершения преступления	Способы реализации кри-миналистических этапов со-вершения преступления	Способы сокрытия следов реали-зации криминалистических эта-пов совершения преступления
	ных. 4.3. Просмотр машинной информации программами про-смотрщиками - «вьюверами»	
5. Получение (реализация) выгоды от использования незаконно полученной информации как идеи	5.1. Создание программного модуля повторяющего основную идею алгоритма, формы ввода исходных данных, вывода результатов работы программы и использование его в своей деятельности и/или выпуск в свет в качестве собственного программного продукта	5.1.1.	Создание программного продукта с использованием другого языка программирования (отличного от используемого в объекте посягательства) 5.1.2.	Перекомпоновка (изменение состава и расположения) основных аудиовизуальных элементов программы, изменение используемой цветовой палитры, введение избыточных элементов программы не несущих смысловой нагрузки 5.1.3.	Проведение рекламно - информационной компании с разъяснением преимуществ своего программного продукта путем противопоставления с объектом посягательства
Неправомерное завладение информацией как алгоритмом (методом преобразования) — Индекс «RpMoWo»		
1. Выбор субъекта владеющего объектом преступного посягательства	1.1. Расспросы ближайшего окружения о наличии объекта преступного посягательства 1.2. Исследование рекламных материалов в печати, электронных сетях	1.1.1. Использование косвенных вопросов относительно объекта преступного посягательства
2. Ознакомление (копирование) информации — объекта преступного посягательства	2.1. Копирование информации на свой носитель «в открытую» (с согласия владельца) используя стандартные режимы копирования 2.2. Несанкционированное (без разрешения владельца) копирование информации на свой носитель	2.1.1. Копирование информации в общем потоке — например весь винчестер
3. Размещение полученной информации (установка программного продукта) в вычислительной системе злоумышленника	3.1. Копирование машинной информации с полученных носителей в автоматизированную систему злоумышленника 3.2. Установка объекта посягательства его владельцем на носитель вычислительной системы злоумышленника (в качестве демонстрации), после которой он (владелец) его	3.1.1. Изменение внешних признаков объекта посягательства (имен каталогов и файлов). 3.1.2. Изменение меток внутри файлов и использованием отладчика или специальной программы просмотрщика-«вьювера». 3.2.1. Восстановление удаленного стандартными средствами объекта посягательства с использованием
159
Этапы совершения преступления	Способы реализации криминалистических этапов со-вершения преступления	Способы сокрытия следов реяли-зации криминалистических этапов совершения преступления
	удаляет	стандартными средствами	программ системных утилит (типа UnErase и т.п). 3.2.2. Специальная подготовка вычислительной среды в которую владелец будет устанавливать объект посягательства (подмена стандартных средств удаления файлов, установка программ - перехватчиков паролей и т.п.).
4. Анализ объекта посягательства и выявление идеи (алгоритма)	4.1.	Запуск объекта посягательства под управлением отладчика (типа PERISCOP, SYSSHELL и т.п.) 4.2.	Реассемблирование и выявление основных элементов программы 4.3.	Запуск объекта посягательства со специально подготовленным набором исходных данных	4.2.1. Использование условных («кодированных») комментариев при реассемблировании исследуемой программы.
5. Получение (реализация) выгоды от использования незаконно полученной информации как идеи	5.1. Создание программного модуля повторяющего основную идею алгоритма, формы ввода исходных данных, вывода результатов работы программы и использование его в своей деятельности и/или выпуск в свет в качестве собственного программного продукта	5.1.1.	Использование другого языка программирования. 5.1.2.	Перекомпоновка (изменение состава и расположения) основных аудиовизуальных элементов программы, изменение используемой цветовой палитры, введение избыточных элементов программы не несущих смысловой нагрузки. 5.1.3.	Проведение рекламно - информационной компании с разъяснением преимуществ своего программного продукта путем противопоставления с объектом посягательства
Неправомерное завладение информацией как товаром —Индекс «RbMoWa»		
1. Выбор субъекта владеющего объектом преступного посягательства	1.1. Расспросы ближайшего окружения о наличии объекта преступного посягательства 1.2. Исследование рекламных материалов в печати, электронных сетях	1.1.1. Использование косвенных вопросов относительно объекта преступного посягательства 1.2.1. Использование чужого почтового ящика электронной почты или изменение имен (реквизитов) запросов
2. Копирование информации — объекта преступного посягательства	2.1. Копирование информации на свой носитель «в открытую» (с согласия владельца) используя стандартные режимы копирования 2.2. Несанкционированное (без разрешения владельца)	2.1.1. Копирование информации в общем потоке - например весь винчестер
160
Этапы совершения преступления	Способы реализации криминалистических этапов совершения преступления	Способы сокрытия следов реализации криминалистических этапов совершения преступления
	копирование информации на свой носитель	
3. Размещение полученной информации (установка программного продукта) в вычислительной систем злоумышленника	3.1. Установка объекта посягательства с полученных злоумышленником носителей 3.2. Установка объекта посягательства его владельцем на носитель вычислительной системы злоумышленника (в качестве демонстрации), после которой он (владелец) его удаляет	стандартными средствами	3.1.1. Изменение внешних признаков объекта посягательства (имен каталогов и файлов) 3.1.2. Изменение меток внутри файлов и использованием отладчика или специальной программы просмотрщика-«вьювера». 3.2.1. В осстановление удаленного стандартными средствами объекта посягательства с использованием программ системных утилит (типа UnErase и т.п.) 3.2.2. Специальная подготовка вычислительной среды в которую владелец будет устанавливать объект посягательства (подмена стандартных средств удаления файлов, установка программ - перехватчиков паролей и т.п.)
4. Получение (реализация) выгоды от использования незаконно полученной информации как товара.	4.1. Использование объекта посягательства по его функциональному назначению	4.1.1.	Подготовка командных файлов обеспечивающих перенаправление вывода идентифицирующей информации (типа префикса «» NULL» для MS-DOS) 4.1.2.	Подготовка и одновременный с объектом посягательства запуск собственных программ - заставок 4.1.3.	Выдача результатов использования объекта посягательства сначала в файл для его последующего редактирования стандартными средствами, а затем на бумагу или другой носитель
Распространение информации, наносящей ущерб пользователям. — Индекс «RoMjWd»		
1. Подготовка спе-циализ иро ван н ых средств генерации информации	1.1. Сбор стандартных средств генерации информации (графических редакторов, почтовых программ, «файловых роботов», редакторов WEB-страниц, средств генерации и администрирования WEB-серверов) и адаптация их для решения специфических задач (создание библиотек фрагментов, использование типовых шаблонов, макросов и командных файлов)	1.2.1. Установка режимов использования стандартных программных продуктов без образования резервных копий (ВАК-файлов) 1.2.2. Создание командных файлов для уничтожения временных (TEMP, ТМР) файлов и организация пустых потоков вывода (типа «» NULL»)
161
Этапы совершения преступления	Способы реализации кри-миналистических этапов совершения преступления	Способы сокрытия следов реализации криминалистических этапов совершения преступления
	1.2. Разработка специализированных инструментальных средств	
2. Создание генерация информации	2.1. Формирование информации стандартными и изготовленными инструментальными средствами	2.2.1.	Установка режимов использования стандартных программных продуктов без образования резервных копий (ВАК-файлов) 2.2.2.	Создание командных файлов для уничтожения временных (TEMP, ТМР) файлов и организация пустых потоков вывода (типа «» NULL») 2.2.3.	Использование имен файлов, директорий и парольной информации широко используемой в других программных системах
3. Распространение (выпуск в свет) информации	3.1.	Рассылка сгенерированной информации по электронным сетям в режиме «циркуляра» 3.2.	«Выкладывание» сгенерированной информации в общедоступных директориях WEB узла, почтового сервера и помещение справочной (рекламной) информации о ней в электронной конференции 3.3.	Передача информации другим пользователям в машинном виде (на дискете 3.4.	Прикрепление сгенерированной информации (включение ее внутрь) к программным вирусам	3.1.1. Использование чужого почтового ящика электронной почты или изменение имен (реквизитов) 3.2.1. Использование чужих WEB-узлов для размещения распространяемой информации 3.2.2. Динамическое изменение электронных адресов места внесения информации в автоматизированную информационно - вычислительную сеть
Разработка и распространение компьютерных вирусов и иных вредоносных программ — Индекс «R„MpWp»		
1. Выбор и изучение технической	базы создания программных вирусов	1.1. Приобретение и установка аналогичного программного продукта на собственной вычислительной установке 1.2. Исследование рекламных материалов в печати, электронных сетях, изучение стандартов информационного обмена, технической документации и специальной литературы	
2. Подготовка тех-	2.1. Подбор стандартного про-	-
162
Этапы совершения преступления	Способы реализации криминалистических этапов со-вершения преступления	Способы сокрытия следов реализации криминалистических эта-пов совершения преступления
нологической базы и инструментария создания программных вирусов	граммно-технического средства создания и отладки программ (ассемблеров, отладчиков, трассировщиков) 2.2. Разработка уникальных программ создания программных вирусов	
3. Разработка и испытание программных вирусов	3.1. Прикрепление (включение внутрь) к «полезным» программам 3.2. Присвоение файлам с программным вирусом имен широко известных «полезных» программ или утилит (атака типа «маскарад»)	3.1,1.	Установка режимов использования стандартных программных продуктов без образования резервных копий (ВАК-файлов) 3.1.2.	Создание командных файлов для уничтожения временных (TEMP, ТМР) файлов и организация пустых потоков вывода (типа «» NULL») 3.1.3.	Уменьшение объема и распределение кода программного вируса по различным файлам 3.2.1. Использование эффектов полиморфизма при написании программных вирусов 3.2.2. Использование стандартных имен широко распространенных программных продуктов
4. Распространение (внедрение)	про- граммных вирусов	4.1. Передача дискет с программами в которых включены программные вирусы 4.2. Распространение программных продуктов в виде файлов с именами широко известных «полезных» программ или утилит (атака «маскарад»)	4.2.1. Стирание информации из системных журналов, списков истории запуска в операционных оболочках 4.2.2. Корректировка содержания таблиц FAT (размещения файлов)
Неправомерная модификация информации как совокупности фактов, сведений — Индекс «RjMdWd»		
1. Выбор объекта преступного посягательства	1.1. Расспросы ближайшего окружения о наличии объекта преступного посягательства 1.2. Исследование рекламных материалов в печати, электронных сетях	1.1.1. Использование косвенных вопросов относительно объекта преступного посягательства 1.2.1. Использование чужого почтового ящика электронной почты или изменение имен (реквизитов) запросов
2. Детальное изучение объекта преступного посягательства	2.1. Участие в эксплуатации объекта преступного посягательства 2.2. Использование обслуживающего персонала (подкуп, запугивание, «игра на профессиональный интерес») для сбо-	2.1.1. Устройство на второстепенные должности и в обслуживающий, неквалифицированного персонал не имеющий прямого отношения к эксплуатации объекта преступного посягательства (уборщики, слесари, электрики и т.п.)
163
Этапы совершения преступления	Способы реализации кри-миналистических этапов совершения преступления	Способы сокрытия следов реализации криминалистических этапов совершения преступления
	ра сведений об особенностях работы объекта преступного посягательства 2.3. Сбор информации с помощью технических средств (перехват побочных электромагнитных излучений, «картинок» монитора, выброшенных распечаток) 2.4. Приобретение и установка аналогичного программного продукта на собственной вычислительной установке	2.2.1. Установление контактов с обслуживающим персоналом на основе симпатии
3. Размещение орудия преступления на вычислительной системе объекта преступного посягательства и его инициирование	3.1. Модификация данных в интерактивном режиме работы с использованием отладчика или специального режима работы редактора текста 3.2. Подмена одного или нескольких файлов данных с использованием	штатных средств удаления и копирования файлов	3.2.1. Очистка системных журналов, файлов хранения историй в используемых командных оболочках и т.п.
Неправомерная модификация информации как алгоритма — Индекс «RpMpWp»		
1. Выбор объекта преступного посягательства	1.1. Расспросы ближайшего окружения о наличии объекта преступного посягательства 1.2. Исследование рекламных материалов в печати, электронных сетях	1.1.1. Использование косвенных вопросов относительно объекта преступного посягательства 1.2.1. Использование чужого почтового ящика электронной почты или изменение имен (реквизитов) запросов
2. Детальное изучение объекта преступного посягательства	2.1.	Участие в эксплуатации объекта преступного посягательства 2.2.	Использование обслуживающего персонала (подкуп, запугивание, «игра на профессиональный интерес») для сбора сведений об особенностях работы объекта преступного посягательства 2.3.	Сбор информации с помощью технических средств (перехват побочных электромагнитных излучений, «картинок» монитора, выброшенных распечаток) 2.4.	Приобретение и установка аналогичного программно-	2.1.1. Устройство на второстепенные должности и в обслуживающий, неквалифицированного персонал не имеющий прямого отношения к эксплуатации объекта преступного посягательства (уборщики, слесари, электрики и т.п.) 2.2.1. Установление контактов с обслуживающим персоналом на основе симпатии 2.3.1. Аренда помещений или регулярное использование помещений имеющих общие стены (перегородки), прямую видимость или общие коммуникации (сеть электроснабжения, радиофикации, отопление и т.п.) с местом расположения объекта преступного посягательства
164
Этапы совершения преступления	Способы реализации кри-миналистических этапов со-вершения преступления	Способы сокрытия следов реализации криминалистических этапов совершения преступления
	го продукта на собственной вычислительной установке	
3. Подготовка инструментария несанкционированной модификации (орудия преступления)	3.1. Подбор стандартного программно-технического средства 3.2. Разработка уникальной программы модификации информации	3.1.1. Длительный сбор средств системного программирования 3.1.2. Просмотр обмена электронных конференций по соответствующей тематике и сбор модулей «CRO-отмычек
4. Размещение орудия преступления на вычислительной системе объекта преступного посягательства и его инициирование	4.1. Установка орудия преступления в вычислительную систему объекта преступного посягательства с согласия собственника (пользователя) под видом другой, полезной программы («троянский конь») 4.2. Нелегальная установка орудия преступления в вычислительную систему объекта преступного посягательства	4.x. 1. Маскировка орудия преступления под другую «полезную» программу 4.х.2. Встраивание механизма самоликвидации после выполнения целевой функции 4.x.3. Распределение орудия преступления по различным файлам с использованием механизма передачи управления и кодирования. 4.х.4. Специальная подготовка вычислительной среды в которой инициатором выполнения целевой функции орудия преступления будет собственник (владелец) объекта посягательства 4.х.5. Привязка начала выполнения целевой функции орудия преступления к моменту времени или внешнему событию
Неправомерная модификация информации как товара —Индекс «RpMpWp»		
1. Выбор объекта преступного посягательства	1.1. Расспросы ближайшего окружения о наличии объекта преступного посягательства 1.2. Исследование рекламных материалов в печати, электронных сетях	1.1.1. Использование косвенных вопросов относительно объекта преступного посягательства 1.2.1. Использование чужого почтового ящика электронной почты или изменение имен (реквизитов) запросов
2. Подготовка инструментария несанкционированной модификации (орудия преступления)	2.1. Подбор стандартного программно-технического средства 2.2. Разработка уникальной программы модификации информации	2.1.1. Длительный сбор средств системного программирования 2.1.2. Просмотр обмена электронных конференций по соответствующей тематике и сбор модулей «СЯС»-отмычек
3. Размещение орудия преступления на вычислительной системе объекта преступного посягательства и его инициирование	3.1. Установка орудия преступления в вычислительную систему объекта преступного посягательства с согласия собственника (пользователя) под видом другой, полезной программы («троянский конь»)	3.x. 1. Маскировка орудия преступления под другую «полезную» программу 3.x.2. Встраивание механизма самоликвидации после выполнения целевой функции З.х.З. Распределение орудия пре-
165
Этапы совершения преступления	Способы реализации кри-миналистических этапов совершения преступления	Способы сокрытия следов реализации криминалистических этапов совершения преступления
	3.2. Нелегальная установка орудия преступления в вычислительную систему объекта преступного посягательства	ступления по различным файлам с использованием механизма передачи управления и кодирования. З.х.4. Специальная подготовка вычислительной среды, в которой инициатором выполнения целевой функции орудия преступления будет собственник (владелец) объекта посягательства 3.x.5. Привязка начала выполнения целевой функции орудия преступления к моменту времени или внешнему событию
Автоматизированные системы, являющиеся средой совершения преступлений, представляют собой исключительно сложные организационнотехнические системы, состоящие из огромного количества элементов и подсистем (аппаратных и программных). При их эксплуатации требуются согласованные, безошибочные действия операторов, обслуживающего персонала, а также контроля и восстановления программного обеспечения. Сложность автоматизированных систем настолько велика, что все же не является редкостью сбои оборудования, программного обеспечения и ошибочные действия персонала. Все это представляет собой благоприятные условия для маскировки совершаемых компьютерных преступлений.
Особенную уверенность в удачном исходе сокрытия следов преступления преступнику придает тот факт, что последствия и эффекты, наблюдаемые при сбоях программного обеспечения и аппаратуры очень похожи на проявления следов компьютерного преступления. Во время работы системные программисты, операторы, пользователи, обслуживающий персонал, в соответствии со своими функциональными возможностями, могут допускать следующие ошибки: уничтожение запрещенного для удаления файла; изменение защищенного для изменения файла; некорректная установка программного обеспечения, несоблюдение режима безопасности.
166
Как было указано ранее, одним из специфических черт компьютерного преступления является использование специфического орудия преступления — средств программно математического воздействия, объектов с уникальными свойствами. Уникальность средств программно математического воздействия заключается в том, что преступник изготавливая программу, закладывает в нее последовательность действий, начало которых и очередность выполнения может быть привязана к событиям внутри «атакуемой» автоматизированной системы или к конкретному значению времени. В частности, необходимое действие, внедренная преступником программа, может произвести по прошествии нескольких дней или даже месяцев.
Анализ известных способов совершения преступлений в сфере компьютерной информации, а также обзор специальной литературы позволяет раскрыть содержание типовых способов «опережающего» сокрытия следов компьютерного преступления следующим образом:
1.	Использование в качестве орудия преступления средства программно математического воздействия со свойствами вирусной природы (т.е. способностью саморазмножения и самоуничтожения более ранней копии). Это позволяет скрыть место и способ проникновения в автоматизированную систему.
2.	Использование значительных временных задержек (или привязка к какому либо событию в «атакуемой» автоматизированной системе — например, запуску конкретной программы) между моментом внедрения средства программно математического воздействия и моментом совершения преступных действий. Такие задержки могут исчисляться несколькими неделями и даже месяцами.
3.	Включение в исполняемый код средства программно математического воздействия специальных механизмов защиты от анализа с использованием отладчиков и дизассемблеров. В частности использование таких свойств программных вирусов при котором после каждого его срабатывания тело программного вируса не будет содержать ни одной общей подстроки с прежней реализацией (эффекты «полиморфизма»).
167
4.	Включение в алгоритм средства программно математического воздействия элементов неопределенности. Так, например, развиваемое в настоящее время вероятностное программирование основано на том факте, что все элементарные операции, выполнение которых необходимо для достижения заданной цели не всегда (а зачастую никогда) находятся в отношении строгого следования. Отношения строгого следования и предшествования, как правило, имеют место для двух-трех, реже нескольких элементарных операций. Таким образом, при построении полного алгоритма возникает возможность комбинирования цепочками связанных элементарных операций, что позволяет существенно затруднить анализ функций средства программно математического воздействия.
5.	Использование для внедрения в «атакуемую» автоматизированную информационную систему средств программно математического воздействия людей не подозревающих о их роли в совершении компьютерного преступления.
2.5.	Основные ситуации первоначального этапа расследования преступлений в сфере компьютерной информации
Анализ известных фактов совершения компьютерных преступлений, а также возможных ситуаций, с которыми придется сталкиваться при выявлении и расследовании преступлений в сфере компьютерной информации позволил объединить их в четыре основные группы:
1.	Ситуация «По хвостам». Данная ситуация характеризуется тем, что обнаружены (зафиксированы) результаты преступления в сфере компьютерной информации (уничтожены файлы, наблюдаются эффекты воздействия компьютерных вирусов, обнаружены следы несанкционированного доступа к охраняемым информационным ресурсам, опубликованы в печати сведения которые не могут быть получены иначе как несанкционированным доступом в защищенную информационную систему, появились «пиратские» копии программного обеспечения и т.п.).
При этом основной задачей расследования является установление преступника (или их группы), и выявление всех существенных обстоятельств
168
совершения преступления. Данная следственная ситуация, на наш взгляд, является наиболее распространенной и, к сожалению, наиболее сложной для следователя. Характерной ее особенностью является то, что между фактом совершения преступления в сфере компьютерной информации и моментом наступления его последствий может пройти, и как правило, проходит весьма значительный промежуток времени, что приводит к исчезновению большинства следов его совершения.
2.	Ситуация «Сигнал». Данная ситуация характеризуется тем, что получено заявление (информация) о том, что некто осуществляет подготовку или совершил преступление в сфере компьютерной информации. При этом основными задачами расследования в данном случае является установление истины относительно:
•	факта совершения преступления (было ли оно на самом деле как утверждается в заявлении) или приготовления к его совершению;
•	участия или неучастия лица названного в заявлении в совершении преступления;
•	существенных особенностей по фактам излагаемых в заявлении.
При этом большое значение имеет вид заявления (анонимно оно или нет, способ его получения и т.п.), а также получено оно до совершения преступления («Сигнал-До») или же после этого («Сигнал-После»), Вид заявления позволяет судить о степени информированности источника заявления, прогнозировать реальность наступления событий, о которых сообщается в заявлении (если они еще не наступили), а также оценить их размах и возможные последствия. Известны случаи, когда анонимным заявлением о подготовке к совершению преступления в сфере компьютерной информации инициировалось проведение ряда мероприятий по их расследованию, под последствия которых маскировались следы совершения реального преступления. Учитывая низкую квалификацию работников правоохранительных органов и служб собственной безопасности организаций сфере вычислительной техники и новых информационных технологий, а также решительность их
169
неквалифицированных действий преступники полностью маскировали свои действия и «чужими руками» уничтожали все следы.
Ситуация «Сигнал-После» во многом схожа с ситуацией «По хвостам», однако при этом, как правило, предположительно известны (на основании полученного заявления) лица (или лицо) совершившие преступление в сфере компьютерной информации и промежуток времени между фактом совершения преступления и началом его расследования существенно меньше, чем в ситуации «По хвостам». В связи с этим в данной ситуации большое значение имеет оперативное проведение первоначальных следственных действий.
Ситуация «Сигнал-До» характеризуется наличием определенного промежутка времени позволяющего провести подготовительные мероприятия для фиксации факта совершения компьютерного преступления (что уже само по себе является серьезной криминалистической задачей). В данной ситуации весьма полезным будет проведение оперативных мероприятий, и привлечение специальных технических средств, позволяющих зарегистрировать все динамические проявления преступления — «клавиатурный почерк» потенциального преступника, используемые пароли, сетевые адреса, специальные команды и программные средства, используемые преступником и т.п. Однако, следует особо подчеркнуть, что все оперативные и технические мероприятия (особенно установление средств дистанционного наблюдения и прослушивания, сбор исходящей информации и приходящей в адрес потенциального преступника по сети, электронной почте и т.п.) должны проводиться в строгом соответствии с требованиями уголовно-процессуального закона и Федерального закона «Об оперативно-розыскной деятельности».
3.	Ситуация «С поличным». Данная ситуация характеризуется тем, что лицо, совершающее преступление в сфере компьютерной информации застигнуто в момент его совершения. Кроме традиционных способов задержания преступника на месте преступления в данном случае могут быть варианты регистрации факта преступления с использованием специальных технических средств. Например, обратив внимание на «определенное поведение»
170
средств администрирования и защиты информации системный администратор автоматизированной системы может обнаружить факт совершения преступления в сфере компьютерной информации (неправомерный доступ к охраняемым информационным ресурсам, незаконное копирование информации и т.п.) и с помощью стандартных средств администрирования установить рабочее место с которого оно осуществляется. При этом основной задачей расследования является установление существенных обстоятельств по делу, позволяющих правильно квалифицировать данное уголовно наказуемое деяния. На наш взгляд, это довольно редкая ситуация, которая при умелых и оперативных действиях следователя позволяет зафиксировать не только все основные статические следы преступления в сфере компьютерной информации, но и большинство динамических, — используемые пути и способы несанкционированного проникновения в автоматизированную систему, недостатки средств информационной безопасности автоматизированных систем, связанные с их некорректным взаимодействием со стандартными средствами обработки информации и т.п. В данной ситуации чрезвычайно важным является проведение первоначальных следственных действий буквально «по горячим следам», т.е. не выключая работающие технические средства обработки информации и связи, не разрывая установленных информационных связей.
4.	Ситуация «Профилактика». Данная ситуация характеризуется тем, что следы совершения преступления в сфере компьютерной информации выявляются как правило случайно при проведении повседневной работы по обработке информации, проведении плановых мероприятий по защите информации или в ходе работы службы безопасности организации (учреждения). Например, при осмотре выносимого с охраняемой территории имущества (компьютер повезли на ремонт на его винчестере оказалась записанной «критическая» информация — фрагмент программного обеспечения используемого в повседневной деятельности организации, программный вирус, баланс банка и т.п.) или при досмотре вещей гражданина, при пересечении государственной границы в аэропорту, обнаружена дискета с файлами чертежей пер
171
спективного летательного аппарата и т.п. При этом основной задачей расследования является установление:
•	факта совершения преступления в сфере компьютерной информации (является ли зарегистрированное деяние нарушением охраняемых уголовным законом правоотношений в сфере автоматизированной обработки информации — глава 28 УК Российской Федерации, или же это проявление других видов информационных преступлений — глава 29 УК Российской Федерации (статья 276 «Шпионаж») или глава 22 УК Российской Федерации (статья 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну»);
•	участия задержанного лица в совершении преступления, а также выяснение его роли;
•	существенных особенностей совершения преступления в сфере компьютерной информации.
В зависимости от особенностей возникновения ситуации «Профилактика», например, если удается сохранить в тайне факт получения информации, свидетельствующей о возможности совершения, или очень полезным бывает проведение оперативных мероприятий.
Несмотря на весьма незначительный срок, прошедший с момента включения в действующий уголовный кодекс специальных статей, посвященных преступлениям в сфере компьютерной информации, уже предпринято несколько попыток разработки схем расследования данного вида преступлений (работы К.С. Скоромникова144, В.В. Крылова145 и авторского коллектива под руководством Н.Г. Шурухнова146 и др.).
144 Пособие для следователя: Расследование преступлений повышенной опасности / Под ред. Н.А. Селиванова и А.И. Дворкина — М.: Издательство «Лига Разум», 1998.
145 См.: Крылов В.В. Расследование преступлений в сфере информации — М.: Издательство «Горо-дец», 1998.
146 Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова — М.: Издательство «Щит-М», 1999.
172
На основе анализа указанных работ, а также исходя из накопленного опыта, общая схема расследования преступлений в сфере компьютерной информации может быть представлена следующим образом:
1.	Установление факта преступления в сфере компьютерной информации и выяснение его особенностей и деталей.
2.	Выявление способа получения материальной или иной выгоды для субъекта совершившего преступление в сфере компьютерной информации.
3.	Установление способа совершения преступления в сфере компьютерной информации.
4.	Установление круга лиц совершивших преступление и выявление роли каждого из участников.
5.	Установление размера причиненного ущерба вследствие совершения . преступления в сфере компьютерной информации.
6.	Определение условий и обстоятельств, способствовавших осуществлению преступления в сфере компьютерной информации.
Остановимся более подробно на каждом из названных элементов.
Установление факта преступления в сфере компьютерной информации и выяснение его особенностей и деталей.
На данном этапе расследования необходимо установить действительно ли имеется факт преступления в сфере компьютерной информации (квалифицируемого по статьям 272-274 УК РФ) или же это «традиционное» преступление (квалифицируемого по другим статьям Уголовного кодекса), но совершенное с использованием средств вычислительной техники и новых информационных технологий. От правильного решения данного вопроса зависит и весь ход дальнейшего расследования. Если имеет место «традиционное» преступлением, но совершенное с использованием специфических орудий и средств преступления, то методика его расследования должна базироваться на типовой для данного вида преступления и лишь учитывать специфику используемых орудий и средств. В случае же «чистого» преступления в
173
сфере компьютерной информации следователь должен использовать специальные методики, разработанные для именно данного вида.
Для установления факта совершения преступления в сфере компьютерной информации целесообразно использование следственных осмотров, обысков и выемок.
Выявление способа получения материальной или иной выгоды для субъекта совершившего преступление в сфере компьютерной информации. Это обязательный этап проведения расследования преступления, позволяющий взглянуть на всю совокупность имеющихся сведений о совершении преступления как на единое целое и понять механизм его совершения. Любое техническое действие (модификация информации, ее копирование или уничтожение) проводится во имя конечных, осязаемых для преступника целей. Например, незаконное получение денег по поддельному счету в банковской сфере, проникновение в защищаемую область (физическую или виртуальную) по поддельному паролю, идентификационным данным и т.п.
Для решения данной задачи целесообразно привлечение экспертов и специалистов в сфере информатизации и в той области, где используется автоматизированная система ставшая объектом преступного посягательства (например, в сфере ценных бумаг, сфере биржевой торговли и т.п.). Серьезную помощь в данном вопросе могут оказать статистические и криминологические данные, данные криминалистических учетов и различного рода оперативная информация.
Установление способа совершения преступления в сфере компьютерной информации. Говоря о способе совершения преступления, мы понимаем достаточно широкий круг вопросов, таких как установление места проникновения, времени и набора преодоленных средств защиты информации, используемые аппаратные и программные средства, привлекаемый к совершению преступления круг лиц (в том числе и неподозревающих об этом) и т.п.
174
Основными следственными действиями способными решить названный круг задач являются назначение экспертиз и проведение допросов.
Установление круга лиц совершивших преступление и выявление роли каждого из участников.
Как показала практика расследования уголовных дел в сфере компьютерной информации, они, как правило, не совершается в одиночку. Для такой преступной деятельности в той или иной мере необходимо привлечение соучастников и/или невольных пособников. Это связано, в первую очередь, со сложностью среды совершения преступления — автоматизированной информационной системы в конкретной сфере человеческой деятельности (фрагмента «кибернетического пространства»). Для осуществления преступления в сфере компьютерной информации необходимо наличие слишком широкого круга знаний, навыков, умений и полномочий в автоматизированной информационной системе, которые, как правило, не может быть сосредоточены в одном человеке.
Основными следственными действиями способными решить данную задачу, несомненно, является допрос и в определенной мере следственный эксперимент. Определенную пользу в данном вопросе может оказать программно-техническая экспертиза и данные криминологических исследований относительно частоты встречающихся сочетаний навыков и умений у различной категории лиц проходящих по делу и их роли в совершении преступления.
Установление размера ущерба причиненного преступлением в сфере компьютерной информации. Данная задача является достаточно сложной, т.к. ущерб не может быть зачастую оценен какой-либо точной цифрой из-за огромного числа факторов влияющих на его размер.
Так, например, в случае неправомерного доступа к информации в автоматизированной информационной системе на основе локальной вычислительной сети, в результате которого эта система стала неработоспособной, необходимо учитывать следующие факторы:
175
•	время, на которое системы были выведены из строя и стоимость этого времени для конкретной автоматизированной системы;
•	время на проверку целостности системы и стоимость этого времени у специалистов соответствующего уровня;
•	время на устранение уязвимых мест и стоимость этого времени у специалистов соответствующего уровня;
•	время на восстановление сервиса и стоимость этого времени у специалистов соответствующего уровня;
•	ущерб из-за невозможности исполнять свои обязанности сотрудниками «потерпевшей» организации из-за неработоспособности автоматизированной информационной системы.
Оценка ущерба от более сложных способов совершения преступлений в сфере компьютерной информации, рассмотренных ранее представляет собой еще более сложную задачу, которую следователь уже не может решить самостоятельно. В связи с этим основным способом решения данного круга задач является назначение соответствующей компьютерно-технической экспертизы.
Определение условий и обстоятельств способствовавших осуществлению преступления в сфере компьютерной информации. Данный круг задач требует проведения серьезного анализа имевших место нарушений действующих правовых норм и технических правил. Учитывая наличие значительных противоречий в действующих нормативных документах, и неурегулированности ряда информационных правоотношений эта задача выливается в серьезную исследовательскую работу, которую следователь не должен решать самостоятельно. Решение данной задачи может быть возложено на экспертную организацию или отдельного эксперта.
176
ГЛАВА 3. ПРЕДВАРИТЕЛЬНОЕ ИССЛЕДОВАНИЕ КОМПЬЮТЕРНЫХ ОБЪЕКТОВ ПРИ РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
3.1.	Общие положения предварительного исследования объектов кибернетического пространства
Следственный осмотр при расследовании преступлений в сфере компьютерной информации, представляет собой следственное действие, состоящее в непосредственном и/или опосредованном (через специальные технические и программные средства) интерактивном восприятии следователем предметов, документов и явлений в целях установления обстоятельств, входящих в предмет доказывания по уголовному делу.
Одной из основных причин изменения понимания такого достаточно традиционного следственного действия как следственный осмотр при расследовании преступлений в сфере компьютерной информации является возникновение нового криминалистического объекта — «кибернетического пространства».
Несмотря на криминалистическую специфику «кибернетического пространства» как объекта следственного осмотра, основой тактики проведения данного следственного действия являются (что аксиоматично) нормы уголовно-процессуального закона, т.к. они включают не только законодательно установленные условия его производства, но ряд тактических приемов и рекомендаций, показавших свою оптимальность во всех мыслимых ситуациях, возникновение которых возможно в практике расследова-~ 147 ния преступлении
Действующий УПК, в качестве объектов следственного осмотра называет: место происшествия; местность не являющаяся непосредственным местом происшествия; помещение не являющееся местом происшествия; пред-
147
Баев О.Я. Тактика следственных действий: Учебное пособие - Воронеж: НПО «Модек», 1995.
177
меты и документы; труп; обвиняемый, подозреваемый, свидетель и потер-- 148
певшии
Анализ содержания «кибернетического пространства» позволил выявить его основные элементы, образующие самостоятельные или относительно самостоятельные объекты следственного осмотра:
•	отдельные помещения или их совокупность, в которых размещены автоматизированные информационно-вычислительные системы с соответствующим техническим комплексом обеспечения ее деятельности (системы связи, электропитания, заземления и т.п.);
•	средства автоматизированной обработки информации (вычислительные машины и их системы);
•	каналы телекоммуникаций и передачи данных;
•	машинные носители информации, обеспечивающие хранение информации в виде пригодном для ее автоматизированной обработки;
•	информация, представленная в виде пригодном для ее автоматизированной обработки (данные в соответствующих форматах, управляющие программы и т.п );
•	средства реализации протоколов автоматизированной обработки информации, а также установленные правила и распределение обязанностей между должностными лицами автоматизированной информационной системы взаимодействия.
Особенности этого следственного действия при расследовании исследуемого вида преступлений обуславливаются, на наш взгляд, следующими факторами:
Во-первых, при расследовании преступлений в сфере компьютерной информации следователь не может ограничиться только непосредственным восприятием объектов и явлений. Он должен использовать специальные программные и технические средства для собирания и изучения (восприятия)
|	4Х Комментарий к Уголовно-процессуальному кодексу РСФСР 3-е издание, переработанное и дополненное (с учетом последних изменений и дополнений) — М.: «Юрайт», 1999; Баев О.Я. Тактика следст-
178
информации представленной в виде пригодном для автоматизированной обработки (компьютерной информации).
Во-вторых, при расследовании преступлений в сфере компьютерной информации следователь кроме непосредственного (или через специальные технические и программные средства) восприятия объектов и явлений осуществляет интерактивный обмен информацией с «кибернетическим пространством», в котором было совершено преступление. При этом он не просто пассивно наблюдает за состоянием «кибернетического пространства», но и активно воздействует на него (сам или через соответствующего специалиста), вводя необходимые команды в средства вычислительной техники, вызывая необходимую реакцию автоматизированной информационной системы, считывая информационные файлы по указанным адресам, распечатывая информацию на бумажных носителях или выдавая ее на экран дисплея.
Анализ первого опыта расследования уголовных дел в сфере компьютерной информации* 149 показал, что большинство из них было квалифицировано по статьям 272-274 УК РФ методом исключения, т е. по принципу: кражи (ст. 158 УК РФ) — нет, т.к. у владельца (собственника) имущество не изымалось, мошенничества (ст. 159 УК РФ) — нет, т.к. подозреваемый никогда не видел потерпевшего и никогда не был в организации, ставшей объектом преступного посягательства; причинения имущественного ущерба собственнику по неосторожности в крупном размере (ст. 169 УК РФ) — нет, но есть компьютер (ЭВМ или иное микропроцессорное средство автоматизированной обработки информации) в котором хранилась информация, имеющая решающее отношение к делу (т.е. доступ и завладение которой привели к возможности наступления общественного опасных последствий) — значит, имеем дело с преступлением в сфере компьютерной информации.
В связи с этим, приступая к расследованию преступления и проводя первоначальные следственные действия, следователь помимо традиционных
венных действий: Учебное пособие - Воронеж: НПО «Модек», 1995 — С. 23.
149 Гудков П.Б. Состояние компьютерной преступности в России // Конфидент. — 1996. — № 2. —
С. 41.
179
задач150 ставит перед собой задачи уяснения существа и особенностей преступного деяния, расследованием которого он занимается, т.к. от этого существенно зависит направление и ход дальнейших следственных действий. При этом следователь сталкивается с необходимостью разбираться в подробностях функционирования автоматизированных информационных систем, в принятом порядке обработки информации и т.п., где, как правило, испытывает существенную нехватку специальных знаний в области новых информационных технологий.
Все это приводит к появлению ряда специфических особенностей следственного осмотра, более присущих такому следственному действию как обыск. В частности, это касается определенного ограничения прав и свобод граждан в сфере информационных отношений, а также вторжения в область информационных интересов предприятии и учреждений, в помещениях которых совершено преступление в сфере компьютерной информации. Это обусловлено целым рядом причин.
Во-первых, любая автоматизированная система, или отдельный компьютер, размещены в каком-либо помещении, которое имеет своего собственника, и проникновение в которое для проведения следственных действий требует строго выполнения определенных уголовно-процессуальным законом предписаний.
Во-вторых, проводя следственный осмотр, следователь вынужден знакомиться с информацией персонального характера или информацией составляющей коммерческую тайну предприятия. Это существенно осложнит проведение следственного осмотра, особенно после принятия Законов РФ «О персональных данных» и «О коммерческой тайне», которые в настоящее время находятся на рассмотрении Государственной Думы. Проведение следственного осмотра компьютеров работающих в банковской сфере и обеспе
150 См.: Виницкий Л.В. Осмотр места происшествия: организационные, процессуальные и тактические вопросы. — Караганда, 1986.; Баранов Н.Н. Осмотр места происшествия по делам о кражах из квартир, личных домов, дач. — М., 1997.Ефимичев С.П., Кулагин Н.И., Ямпольский А.Е. Следственный осмотр. Волгоград, 1983; Филиппов А.Г. Осмотр места происшествия. — М., 1976.
180
чивающих проведение электронных платежей может потребовать их выключения из работы в режиме реального времени и помешать бесперебойной работе банковского учреждения, что в свою очередь может нанести существенный материальный ущерб, как самому банковскому учреждению, так и его клиентам. Сходные проблемы могут возникнуть при следственном осмотре автоматизированных информационных систем органов государственного управления, систем телекоммуникаций и связи (автоматических телефонных станций), объектов энергетики и т.п.
Еще одной характерной особенностью следственного осмотра при расследовании преступлений в сфере компьютерной информации является его вынужденная однократность, что существенно повышает требования к подготовительному этапу проведения осмотра и требует разработки специальных рекомендаций по его проведению. При этом следует подчеркнуть, что осмотр может быть проведен и многократно, однако его информативность (целесообразность) будет существенно снижена* или практически сведена к нулю, т.к. при совершении компьютерного преступления возникает очень мало материальных следов, срок сохранения которых в неизменном состоянии крайне мал.
Основными задачами следственного осмотра при расследовании преступлений в сфере компьютерной информации являются:
1. Выяснение существа и обстоятельств деяния, свидетельствующие о нем как о преступлении в сфере компьютерной информации. Данная задача является одной из основных при проведении следственного осмотра от качественного решения которой зависит не только ход и результаты следствия, но сама обоснованность возбуждения по данному факту уголовного дела. При этом следователь должен уяснить, совершено ли преступление против компьютерной информации, либо компьютер и средства вычислительной техники использовались лишь как орудия подготовки и совершения какого-либо «традиционного» преступления.
181
Так, например, при расследовании одного из уголовных дел было установлено, что преступниками с использованием специальных технических средств были изготовлены и реализованы партии поддельных банковских билетов Центрального банка Российской Федерации достоинством 50 000 и 100 000 рублей. При проведении следственного осмотра квартир, в которых проживали подозреваемые и использовавшейся ими вычислительной техники следствие установило, что таким комплектом технических и программных средств, которым располагали преступники, невозможно изготовить не только сами поддельные купюры, но и необходимый его информационный образ (графический файл с изображением денежных знаков). Полученная информация позволила с одной стороны правильно квалифицировать преступное деяние, подтвердив первоначальное мнение о «традиционном» преступлении (квалифицируемом по ст. 186 УК Российской Федерации «Изготовление или сбыт поддельных денег или ценных бумаг»), с другой стороны — установить роль преступников в совершенном преступлении, и правильно построить тактику дальнейших следственных действий, что позволило обнаружить место изготовления файла с изображением денежных знаков и лиц его изготовивших.
2 Определение непосредственного объекта и предмета преступного посягательства. Под предметом преступного посягательства при расследовании преступлений в сфере компьютерной информации на наш взгляд, следует понимать отдельное техническое средство обработки информации или их систему, образующую основу существования среды совершения компьютерного преступления. Дело в том, что преступник использует персональную ЭВМ или локальную вычислительную сеть одного учреждения для проникновения к компьютерам или локальным вычислительным сетям другого учреждения. Так, практически все зарегистрированные факты проникновения к конфиденциальным информационным ресурсам NASA и ПЕНТАГОНА были осуществлены через вычислительные сети ИНТЕРНЕТ, ARPA и др. с использованием большого числа промежуточных вычислительных сис
182
тем (в том числе и персональных компьютеров), расположенных на значительном расстоянии друг от друга и даже на других континентах. При этом были задействованы вычислительные системы абсолютно безобидных учреждений (фирм по продаже прохладительных напитков, игровых салонов, учебных заведений) ничего не имеющих общего с преступным миром, хакерством и прочего рода «кибернетическим хулиганством».
Таким образом, осуществляя следственный осмотр какого либо объекта «кибернетического пространства», следователь должен получить ответ на вопрос - реализуется ли в осматриваемом объекте конечная цель преступного деяния, или данный объект является всего лишь промежуточным звеном на пути к другому объекту? В зависимости от ответа на данный вопрос существенно меняется тактика дальнейших следственных действий. Если осматриваемый объект является конечным в цепочке достижения цели преступного посягательства, то тут же или в дальнейшем необходимо установить круг лиц, использующих данный объект в своей деятельности, определить пути и формы использования результатов автоматизированной обработки информации в данном объекте и т.п. Если осматриваемый объект является лишь промежуточным звеном в достижении цели преступного посягательства, то необходимо в первую очередь установить наличие информационных и технологических связей с другими объектами «кибернетического пространства» и определить условия их возникновения и поддержания.
Под непосредственным объектом преступного посягательства понимаются общественные отношения, связанные с получением имущественных или неимущественные выгод, которые может достичь преступник путем неправомерного доступа к информации и (или) манипуляции с ней. Дело в том, что информация не представляет большой ценности сама по себе, особенно в компьютерном виде (практически не пригодном для непосредственного восприятия человеком). Ее ценность обусловлена теми материальными объектами, правами и ресурсами которые она отражает, например электронные деньги (пластиковая карточка) или право доступа в закрытые помещения (элек
183
тронный пропуск) и т.п. В связи с этим преступник, осуществляя несанкционированный доступ к компьютерной информации, должен представлять конкретный способ получения какой-либо выгоды (суть любого корыстного преступления) от своего деяния.
3.	Выяснение способа совершения преступления. Под способом совершения преступлений в сфере компьютерной информации, как ранее подробно обосновывалось, понимается последовательность согласованных по месту и времени действий по использованию стандартных (типовых), модифицированных или специально разработанных программных и/или аппаратных средств в составе средств (систем) автоматизированной обработки информации, направленных на достижения конечных противоправных целей и образующих состав преступления.
4.	Выяснение места, времени, и обстоятельств совершения преступления, Данная задача является достаточно традиционной для следственного осмотра и не нуждается в пространных комментариях. Однако следует специально подчеркнуть, что специфика преступлений в сфере компьютерной информации требует исключительно точной регистрации времени и места совершения того или иного действия.
Так, например, мало указать, что информационный файл был создан 20 февраля — необходимо установить максимально точное время: часы, минуты, секунды и по возможности более мелкие единицы времени. Необходимость этого обусловливается тем, что многие пользователи автоматизированных систем знают, что значительное количество информационных объектов (файлов, логических дисков и т.п.) а также основных операций с ними (создание, модификация и т.п.) автоматически регистрируется и для скрытия следов своих действий часто изменяют эти параметры. Однако, автоматическая регистрация этих параметров производится сразу в нескольких местах, причем их количество и места хранения определяется администратором (или пользователем) автоматизированной системы. Таким образом, даже очень квалифицированный, но посторонний пользователь автоматизированной ин
184
формационной системы может не найти все места хранения регистрационной информации и не уничтожить следы своего действия. Тогда несогласованность в дате и времени возникновения или преобразования информационных объектов, имеющих жесткую логическую связь, дает основания полагать наличие умышленных действий по сокрытию следов манипуляции с информацией в автоматизированной системе и отвергнуть версию о случайном характере возникновения аппаратного или программного сбоя.
Точная регистрация времени возникновения или модификации каких-либо информационных объектов может дать косвенную информацию о месте их создания. Так в первых поколениях персональных ЭВМ (на базе микропроцессора Intel 80286 и 80386) достаточно слабым техническим элементом являлась литиевая батарейка, обеспечивающая непрерывный ход системных часов персонального компьютера в том числе при выключенном электропитании. После трех - четырех лет эксплуатации эта батарейка «садилась» и системные часы либо начинали существенно отставать (причем каждые по-своему) либо вообще останавливались.
Таким образом, зарегистрировав точную дату создания или модификации последовательности логически очень жестко связанных файлов можно получить информацию о характеристиках вычислительной системы с помощью которой была получена эта последовательность файлов. Так в одной из организаций был обнаружен «троянский конь»151 (программа выполняющая вредоносные функции, но замаскированная по названию и размеру под широко распространенную сервисную программу), который парализовал на несколько дней практически всю ее деятельность. Исследование этой вредоносной программы показало, что она разработана на языке программирования С с использованием компилятора Turbo С v.2.0 фирмы Borland International.
151 См.: Безруков Н.Н. Компьютерная вирусология: Справочное руководство. Киев: Укр.сов. эн-цикл., 1997.
185
В результате оперативной работы был установлен предполагаемый разработчик данной программы у которого был произведен осмотр персональной вычислительной машины. На данном компьютере был обнаружен исходный текст вредоносной программы, парализовавшей деятельность организации, и установленный компилятор языка программирования Turbo С v.2.0. Подозреваемый показал, что исходный текст программы на языке С он получил вместе с другими программами по электронной почте и использовал ее только в исходном текстовом виде (т.е. не пригодном к выполнению на ЭВМ) для изучения особенностей прямого обращения к информации хранимой на винчестере (жестком магнитном диске).
Однако, сравнение даты и времени создания исходного текстового файла с программой на языке С и исполняемого файла (с расширением .EXE) вредоносной программы и показало, что они созданы один после другого, т.е. в соответствии с логической структурой подготовки работоспособной программы. Проведенный эксперимент показал, что промежуток времени между последней модификацией исходного текстового файла с программой на языке С и временем создания исполняемого файла вредоносной программы, поразившей автоматизированную информационную систему, точно соответствует времени необходимому на компиляцию исходной программы на языке С на персональной ЭВМ (с быстродействием используемого процессора, установленным объемом оперативной памяти и быстродействием периферийных устройств) установленной у предполагаемого разработчика программы. Получение этой информации и предъявление ее подозреваемому привело к его полному признанию в содеянном.
В случае полной остановки системных часов, в соответствии с технической спецификацией, устанавливалось единое начальное время — 1 января 1980 года 0 часов 00 минут и все информационные объекты получали его в качестве регистрационного признака момента создания или модификации. На ранних версиях операционных систем (типа MS-DOS версии с 3 по 5) при копировании файла на другие магнитные носители с использованием стан
186
дартных средств широко распространенных операционных систем дата соз-дания/модификации файла не изменяется. В связи с этим наличие информационного объекта с указанной датой и временем создания/модификации дает косвенную информацию о месте его возникновения.
Исключительно важную роль информация о времени, а также сами показания системных часов (отставание, ускорение или нестабильность их хода) играет в работе сложных автоматизированных информационных систем, состоящих из большого количества ЭВМ, расположенных на значительных расстояниях друг от друга. Большое количество фактов несанкционированного проникновения к информационным ресурсам через сеть ИНТЕРНЕТ как 152 раз и связано с изменением показании системных часов
5.	Выяснения размера и вида ущерба, причиненного потерпевшему. Данная задача является достаточно сложной и вряд ли может быть решена следователем лишь при проведении следственного осмотра. Однако качество ее решения, а зачастую и сам факт возможности ее решения во многом определяется теми сведениями, которые получил следователь при проведении первоначального следственного осмотра. Как правило, при совершении преступлений в сфере компьютерной информации ущерб, причиненный собственнику (владельцу) автоматизированной информационной системы в среде которой это преступление совершено складывается из следующих основных компонент: ,
•	ущерб от невозможности осуществлять свою основную деятельность (невозможность осуществлять электронные платежи в банках, производить электронные торги и т.п.);
•	ущерб от выведения из строя аппаратного обеспечения средств автоматизированной обработки информации;
•	ущерб от нарушения целостности (в данном случае приведения в не-восстанавливаемое неработоспособное состояние ) программного и информационного обеспечения.
187
Оценка ущерба от невозможности осуществления своей основной деятельности потерпевшей организацией должна проводиться только с привлечением специалиста в сфере бухгалтерского учета. При этом весьма желательно, чтобы привлекаемый специалист был знаком с особенностями и спецификой бухгалтерского учета средств вычислительной техники, программного обеспечения и другого рода нематериальных активов связанных с приобретением и/или продажей авторских прав на производство (модификацию), эксплуатацию и тиражирование программного продукта.
Для решения задачи оценки ущерба от выведения из строя аппаратного обеспечения, в первую очередь, необходимо получение исчерпывающей бухгалтерской документации, касающейся учета средств автоматизированной обработки информации (как программных, так и аппаратных). При этом следует обратить внимание на то, что многие коммерческие организации не отражают стоимость средств вычислительной техники как единого оборудования, а учитывают ее как совокупность отдельных комплектующих. Это позволяет не включать средства вычислительной техники в состав основных фондов (и как следствие уменьшить размер уплачиваемых налогов) и, учитывая, что отдельные комплектующие по своей цене могут быть отнесены к разряду малоценных и быстроизнашивающихся активов, списать их через один год эксплуатации или же в момент начала использования. В связи с этим, получается, что компьютер есть, но по документам бухгалтерской отчетности он уже давно списан либо полностью, либо списано все кроме монитора (как самая дорогая часть, которую труднее всего подвести под разряд малоценных активов).
Весьма существенным моментом является выяснение соответствия между данными бухгалтерского учета средств автоматизированной обработки информации и реальными его характеристиками. Например, указав в бухгалтерской отчетности - «персональный компьютер IBM РС» и указав его цену сотрудники предприятия оставляют огромное поле деятельности для различ-
152 См.:Д. Стенг, С. Мур Секреты безопасности сетей. Киев: 1СЕ «Диалектика». 1996.
188
ного рода махинаций. Так под этой записью может находиться как морально устаревший компьютер на базе процессора Intel 80286 (ценой чуть более 50$) так самый современный компьютер на базе процессора Pentium IV (ценой превышающей 1000$). Этим иногда пользуются сотрудники, обладающие определенными должностными полномочиями, заменяя современные компьютеры в организации своими личными, устаревшими моделями (современная модификация известного способа совершения преступления — замены одних товарно-материальных ценностей другими однотипными, но меньшей стоимости).
Еще большее поле для преступлений такого рода появляется при учете отдельных комплектующих. Цена одного и того же устройства, например жесткого магнитного диска, в зависимости от его объема и фирмы производителя может варьироваться почти в 56 раз.
Аналогичная ситуация обстоит и с бухгалтерским учетом программного обеспечения. В соответствии с действующими инструкциями по ведению бухгалтерского учета программные средства должны учитываться на счету «прочие нематериальные активы». Однако, учитывая сложившееся экономическое положение, а также особенности российского менталитета практически все использующееся в настоящее время программное обеспечение (кстати, стоимость которого нередко превышает добрый десяток тысяч долларов) приобретается пиратским путем и никак не учитывается. Такое положение вещей характерно не только для мелких коммерческих организаций, но так же дела обстоят и в крупных государственных организациях, в правоохранительных органах, федеральной службе безопасности и ряде других структур, т.е. в тех органах государства, которые призваны стоять на страже правопорядка.
Таким образом, при решении данной задачи следственного осмотра следователь должен установить полный перечень программных продуктов, а также список информационного обеспечения (баз данных) использующихся в данной организации и получить подтверждения легальности их происхожде
189
ния. Большинство легально приобретенных программных продуктов сопровождается специальным сертификатом. Причем ряд фирм при изготовлении сертификата используют достаточно сложную полиграфию и специальные средства защиты (водяные знаки и голограммы), что позволяет их легко отличить от копии и подделки.
Существует значительная часть так называемого условно бесплатного (shareware) или бесплатного (freeware) программного обеспечения. Этот вид программных продуктов должен содержать в оформлении своей заставки прямое указание на свой статус и не содержать указаний о какой либо специальной защите авторских или иных прав.
Приведенная ситуация сложилась, на наш взгляд, в основном, благодаря отсутствию жесткого систематического контроля за квалифицированным ведением бухгалтерского учета специфических средств автоматизированной обработки информации и низкой специальной подготовке большинства руководителей организаций, эксплуатирующих эти средства, в сфере новых информационных технологий.
Существенную трудность при решении задачи оценки величины ущерба, причиненного совершением компьютерного преступления, представляется то, что в настоящее время отсутствует какая-либо нормативнометодическая база по стоимостной оценке аппаратных средств автоматизированной обработки информации и общедоступного (в плане оперативности и легкой технической реализуемости) регистра программных средств. Существующие методические рекомендации по подготовке и назначению программно-технической экспертизы! 53 данного вопроса практически не затрагивают.
В качестве примерной основы для создания требуемых методических рекомендаций нам представляется целесообразным использовать норматив-
113 См.: Катков С.А., Собецкии И.В., Федоров А.Л. Подготовка и назначение программнотехнической экспертизы. Методические рекомендации // Бюллетень ГСУ России. — 1995. — № 4.
190
ный документ по оценке стоимости автомобильной техники, использующийся в настоящее время в лабораториях судебной автотехнической экспертизы.
6. Выяснение лица совершившего преступление, а также состава и роли каждого соучастника, в случае совершения преступления группой лиц. Как показывает практика расследования преступлений в сфере компьютерной информации, они не могут быть совершены лицом без специальной подготовки в сфере новых информационных технологий. Более того, простого знания основ вычислительной техники бывает для этого явно не достаточно, т.к. для успешного проведения преступных манипуляций с информацией в машинном виде необходимо знание особенностей и специфики организации процесса обработки информации в конкретной автоматизированной информационной системе. Таким образом, в первую очередь при проведении следственного осмотра необходимо установить перечень лиц взаимодействовавших с автоматизированной информационной системой в среде которой совершено преступление. При этом в круг таких лиц следует включить не только программистов и системных администраторов, непосредственно работающих со средствами обработки информации, но и специалистов вспомогательных служб (связистов, электриков и т.п.), а также обслуживающий персонал (различного рода техников и даже уборщиц) так или иначе имевших доступ в помещения где располагаются устройства автоматизированной информационной системы. Следует иметь в виду, что в современных автоматизированных системах границы «кибернетического пространства» (образованного средствами автоматизированной обработки информации) не определяются пределами одного помещения или даже здания и в этом случае круг рассматриваемых лиц должен быть расширен за счет тех лиц, которые достаточно часто взаимодействуют с автоматизированной информационной системой с удаленных рабочих мест (из дома, других организации и даже, воз-можно, с другого континента по сети ИНТЕРНЕТ).
Одновременно с выяснением круга лиц так или иначе взаимодействовавших с автоматизированной информационной системой необходимо полу
191
чение максимально полных данных о степени их подготовки в сфере информационных технологий. Эти сведения можно получить в первую очередь от специалистов службы информационной безопасности предприятия (в настоящее время, как правило, все банки и достаточно крупные предприятия имеют такое подразделение в составе службы безопасности), а также из показаний работников организации. При этом, оценивая уровень специальной подготовки человека, нельзя ориентироваться только на должность, в которой он работает. Известны случаи, когда специалисты исключительно высокой квалификации устраивались на работу в качестве уборщиков или электриков, получали доступ к персональным компьютерам или линиям межмашинного обмена и в вечернее время, когда большинство сотрудников отсутствует на своих рабочих местах, производили необходимые им манипуляции с информацией, программным и аппаратным обеспечением.
Особое внимание следует уделить тем сотрудникам, которые владеют языком программирования низкого уровня (ассемблером) и писали когда либо программы управления нестандартными специфическими для данной организации устройствами. Если такого рода работы выполнялись сторонними специалистами, то следует выяснить, кто с ними взаимодействовал в ходе выполнения ими работы или кто поддерживает с ними связи (как деловые, так и личные) в настоящее или недавнее время.
Существенную пользу при расследовании дел, связанных с изготовлением и распространением программных вирусов может оказать сбор текстов программ заведомо написанных известными людьми (т.е. сбор образцов стиля написания программ, которые в дальнейшем могут быть использованы для идентификации автора программного вируса). Различный уровень знаний и практического опыта приводит к тому, что одну и ту же функциональную задачу (например, вывод данных в порт, или обработку какой либо критической ситуации) различные специалисты запрограммируют по-разному. Причем приемы, которыми пользуется каждый специалист, являются достаточно устойчивыми. Он не сочиняет способ и форму решения типовой задачи (ситуа
192
ции) каждый раз заново, а, как правило, использует прием, использовавшийся им ранее (копирует из имеющейся у него заготовки). Все это дает надежду на возможность идентификации автора вредоносной программы (программного вируса) по особенностям стиля написания программ. Однако необходимым условием является наличие значительного объема экземпляров программ (текстов на одном из языков программирования) заведомо написанных этим специалистом.
7. Выяснение обстоятельств, способствовавших и/или сопутствующих совершению преступления. Важнейшими обстоятельствам, которые подлежат первоочередному выяснению в ходе проведения следственного осмотра является порядок автоматизированной обработки потоков информации и их соответствующее юридическое закрепление, т.е. совокупность документов организации (приказов, распоряжений и инструкций), устанавливающая распределение функции по автоматизированной обработке информации между должностными лицами организации и закрепляющие их основные обязанности и полномочия в этой сфере. Важность выяснения такого рода обстоятельств обусловлена тем фактом, что в ряде составов преступлений в сфере компьютерной информации (например, статья 274 УК Российской Федерации «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети») при формулировании диспозиции используются понятия «правила эксплуатации ЭВМ», «лица имеющие доступ к ЭВМ» и т.п. которые могут быть установлены только исходя из организационно-распорядительных документов.
К сожалению в настоящее время далеко не все руководители организаций и учреждений осознали необходимость четкой правовой регламентации процедуры и порядка автоматизированной обработки информации, использования средств вычислительной техники, что выражается либо в полном отсутствии какой либо документации, либо в использовании типовых (во многом уже устаревших) положений заимствованных из организации работы больших вычислительных центров. Такое положение вещей приводит к существенному затруднению процедуры доказывания виновности в ходе проведения расследования, а
194
на помощь со стороны молодых людей, студентов, людей интересующихся новыми информационными технологиями. Думается, не будет нарушением принципа не заинтересованности понятых в деле, если следователь при осмотре привлечет понятых к участию в выполнении действий, технического характера: производству измерений, составление набросков схем (планов) осматриваемого места размещения средств вычислительной техники, коммуникаций, линий связи и т.п. Напротив, это закрепит в памяти понятых ход и результаты осмотра.
Во-вторых, не только необходимо чтобы понятые были не заинтересованы в рассматриваемом деле (требования ст. 135 УПК), но и желательно что бы они были незнакомы с лицами, работающими в организации где производится следственный осмотр или по возможности не сталкивались в ходе своей деятельности с данной организацией. При этом следует иметь ввиду не только личное, но и «заочное» знакомство (через информационновычислительные сети: ИНТЕРНЕТ, ФИДО и т.п.), когда люди знают друг друга по электронным псевдонимам (очень нравящимся хакерам) или кратким крылатым фразам (так называемым ORIGIN — сообщениям размером не более одной строки помещаемым в конце электронного послания и позволяющего идентифицировать пользователя информационной системы).
Это связано с тем, что в ходе проводимого следственного действия понятым может стать известна информация личного характера (при осмотре электронных писем и сообщений), а также сведения составляющие коммерческую или государственную тайну. В этом случае следователю необходимо предпринять меры к предотвращению разглашения сведений конфиденциального характера: предупредить об этом понятых, сделав соответствующую запись в протоколе следственного действия или же взять подписку о неразглашении установленного образца. Анализ первых уголовных дел в сфере компьютерной информации показал, что необходимость таких действий возникает при расследовании преступлений связанных с кредитно-финансовой сферой, когда понятые в ходе следственного осмотра ознакамливаются с ор
195
ганизацией электронных платежей, владельцами и содержанием банковских счетов, сведениями позволяющими судить о степени надежности того или иного банковского учреждения.
В-третьих, при проведении следственного осмотра в организациях, где возможно ознакомление со сведениями составляющими государственную тайну необходимо принятие мер к тому чтобы выбрать понятых из числа лиц имеющих соответствующую форму допуска. Несмотря на кажущуюся надуманность данного положения оно является весьма жизненным и достаточно часто встречающимся в повседневной практике. Дело в том, что из-за значительной стоимости средств вычислительной техники и новых информационных технологий они в первую очередь внедряются в наиболее ответственных местах - кредитно-финансовой системе государства, органах государственного управления, правоохранительных органах и т.п., как раз там, где и создается и обрабатывается информация конфиденциального характера.
Участие в следственном осмотре обвиняемого, подозреваемого, потерпевшего и свидетеля. Данное положение сформулировано в законе не как обязательное для исполнения во всех случаях, а носит альтернативный характер. Следователь вправе, а не обязан привлекать указанных лиц к участию в данном следственном действии. Также отметим, что обвиняемый и другие названные выше лица не присутствуют при осмотре, а участвуют в его производстве. Поэтому непременным условием для их привлечения к осмотру является их согласие или желание принять участие в следственном осмотре того или иного объекта.
Как неоднократно отмечалось в работах О.Я. Баева и других криминалистов, привлечение к участию в следственном осмотре обвиняемого (подозреваемого) целесообразно, в следующих случаях156:
1.	Обвиняемый (подозреваемый) дал показания, связанные с возможностью обнаружения при следственном осмотре с его участием следов, пред
156 Баев О.Я. Тактика следственных действий: Учебное пособие — Воронеж: ПНО «Модек», 1995. — С. 32—45; Быховский И.Е. Производство следственных действий (ответы на вопросы следователей). — Л., 1984; Подголин Е.Е. Тактика следственных действий. —Л. 1986.
196
метов и других вещественных доказательств совершения им преступления в сфере компьютерной информации, либо свидетельствующие о знании им специфических особенностей доступа в автоматизированные системы (пароли, используемые идентификаторы) и технологии автоматизированной обработки информации в них.
В данной ситуации при расследовании преступлений в сфере компьютерной информации привлечение обвиняемого (подозреваемого) может существенно ускорить процесс расследования, так как, например, вскрытие файлов зашифрованных обвиняемым (подозреваемым) без его участия (специалистами и экспертами) может потребовать весьма значительного времени, зачастую во много раз превышающего сроки, отводимые на проведение расследования преступления уголовно-процессуальным законодательством.
В то же время следователь должен быть готов к тому, что стремление обвиняемого (подозреваемого) принять участие в следственном осмотре может быть продиктовано стремлением уничтожить сохранившиеся, по его мнению, улики или убедиться в не обнаружении следствием существенных доказательств. Этот фактор особенно ярко выражен при расследовании преступлений в сфере компьютерной информации, так как обвиняемый (подозреваемый), как правило, убежден в слабой подготовке следователя в области новых информационных технологий и надеется его легко провести. В то же время специфика формирования и сохранения следов в «кибернетическом пространстве» позволяет надеяться на их легкое уничтожение, даже вне близкого прямого физического контакта с ними.
В связи с этим следователь должен более тщательно готовиться к проведению следственного осмотра с участием обвиняемого (подозреваемого), разработать жесткий временной регламент его проведения не позволяющий лицам участвующим в осмотре отвлекаться на дополнительные действия и ни в коем случае не идти на поводу у обвиняемого (подозреваемого) допуская его к выполнению каких либо самостоятельных действий с вычислительной техникой и средствами связи. Весьма целесообразным (а по большинству дел
197
в сфере компьютерной информации обязательным) представляется приглашение на проведение следственного осмотра с участием обвиняемого (подозреваемого) специалиста, который мог бы оперативно (непосредственно в ходе выполнения действий) оценивать адекватность действий выполняемых обвиняемым (подозреваемым) и их направленность на достижение тех целей которые были поставлены следователем и в случае необходимости (по предварительному согласованию со следователем) пресечь действия обвиняемого (подозреваемого) направленные на уничтожение следов или вещественных доказательств своего преступления.
2.	Следственный осмотр того или иного объекта с участием обвиняемого (подозреваемого) может повлечь изменение его показаний, вызывающих сомнения в своей правдивости.
В таких случаях целью осмотра, служит не обнаружение в ходе осмотра компьютерной информации или обстоятельств, о которых дал показания обвиняемый. Однако при этом необходимо убедиться, что не обнаружение указанных обвиняемым (подозреваемым) файлов, записей, или их следов явилось следствием ложности его показаний, а не были повреждены (уничтожены) при проведении следственных действий или экспертиз. В данной ситуации существенно возрастают требования к отработке заключительной стадии следственного осмотра, анализу его результатов и уточнению возможных причин не обнаружения фактов, указанных обвиняемым (подозреваемым).
3.	Есть основание полагать, что участие обвиняемого (подозреваемого) в осмотре того или иного объекта позволит преодолеть установку допрашиваемого на дачу ложных показаний и отрицание совершения им преступления.
Значительную роль в данной ситуации играет психологическая подоплека проводимого следственного действия. Как неоднократно отмечалось в специальной литературе лица способные совершить преступление в сфере компьютерной информации имеют весьма завышенное мнение о собствен
198
ных умственных способностях, своей технической одаренности157 158. Они считают, что обладают таким уровнем понимания тонкостей вычислительной техники и особенностей автоматизированной обработки информации, которая недоступна большинству других специалистов в этой сфере и тем более следователю-юристу. В данной ситуации демонстрация следователем высокого знания тонкостей осматриваемого устройства вычислительной техники, автоматизированной системы, ее особенностей (полученных, например, из предварительных консультаций со специалистами в подготовительной стадии проведения следственного действия), владение специфическим компьютерным жаргоном при комментировании своих действий, может привести к 158 желаемому результату
Проведение следственного осмотра с участием потерпевшего (свидетеля) в тактическом плане характеризуется двумя основными ситуациями159:
1. Без участия потерпевшего (свидетелей) нельзя определить цель и непосредственный объект преступления в сфере компьютерной информации, объекты нуждающиеся в осмотре, границы осмотра и его частные задачи.
В полной мере данная тактическая особенность касается расследования преступлений в сфере компьютерной информации. Как было указано ранее огромное число состояний «кибернетического пространства», возможность взаимодействия с удаленными информационными и вычислительными ресурсами через глобальные информационные сети существенно затрудняет определение номенклатуры объектов и границ следственного осмотра. Существенную помощь при этом может оказать свидетель или представитель организации, которой действиями преступника нанесен ущерб. Однако следует учитывать с кем из представителей «потерпевшей» организации приходится иметь дело следователю. Как показывает анализ расследовавшихся уголовных дел, представителем «потерпевшей» организации для взаимодействия со
157 Новый словарь хакера: Пер. с англ./ Под редакцией Э.С. Рэймонда. - М.:ЦентрКом, 1996.
158 См.: Мещеряков В.А. Словарь компьютерного жаргона / Под ред. О.Я. Баева - Воронеж: ВГУ, 1999.
159 См.: Баев О.Я. Тактика следственных действий - Воронеж: ПНО «Модек» 1995. — С. 34 — 35.
199
следователем назначается либо юрисконсульт предприятия, либо специально приглашенный для этого адвокат, которые не имеют никакого представления не только об особенностях автоматизированной обработки информации в данной организации, но и зачастую в сфере новых информационных технологий вообще.
Так, например, представителем «потерпевшей» организации в известном уголовном деле по факту несанкционированного доступа к информации одной из Воронежских компаний160, предоставляющих услуги сотовой телефонной связи был адвокат обычной юридической консультации г. Воронежа, который смутно представлял не только технологические тонкости организации работы в этой компании, но и физические основы организации сотовой связи вообще. Его цель при расследовании данного уголовного дела заключалась в признании организации потерпевшей и подготовке иска о возмещении причиненного вреда (с которой он, кстати, успешно справился).
В данном случае следует учитывать достаточно ярко выраженную криминологическую особенность преступлений в сфере компьютерной информации161, в соответствии с которой большинство «потерпевших» организаций не стремится предать огласке (в том числе и следствию) все подробности и масштабы компьютерного преступления, т.к. это, по их мнению, вскроет недостатки в их работе и отпугнет потенциальных клиентов. Учитывая этот фактор, необходимо весьма осторожно подходить к привлечению к проведению следственных действий представителей «потерпевших» организаций и особенно тех людей которые отвечали за организацию процесса автоматизированной обработки информации или информационную безопасность. Ведь именно просчеты в их деятельности привели к возможности совершения преступления в сфере компьютерной информации и от результатов расследования во многом зависят перспективы их дальнейшей работы в данной организации.
1611 Т.ниш А.Д. Использование достижений кибернетики в раскрытии, расследовании общеуголовных преступлений, а также в сфере экономической деятельности совершаемых с использованием компьютерной и иной технологии / Под ред. Г.М. Меретукова — Краснодар: КГАУ, 2000. — С. 64 — 65.
161 См.: Батурин Ю.М. Проблемы компьютерного права. М.: Юридическая литература, 1991.
200
Привлекая к участию в проведении следственного осмотра представителя «потерпевшей» организации следователю необходимо установить его пригодность для решения задач следствия, четко представлять его собственные цели и их соотношение с задачами следствия.
В ряде случаев, для участия в осмотре целесообразно привлекать свидетелей — очевидцев происшедшего (если таковые имеются), которые могут показать на месте основные проявления и признаки преступного деяния. Однако при этом естественно следует учитывать специфичность среды в которой совершено компьютерной преступление и саму сущность деяния, признаваемого преступлением в сфере компьютерной информации. В данном случае весьма полезным будет привлечение в качестве свидетелей специалистов службы информационной безопасности организации, ставшей жертвой преступления в сфере компьютерной информации, т.к. именно они наиболее полно представляют всю процедуру обработки информации, знают сильные и слабые стороны этого процесса и могут указать объекты, места их хранения и информационные файлы, требующие первоочередного осмотра (протоколы информационного обмена, системные журналы, телефонные счета и т.п.). При этом, учитывая изложенные ранее доводы, касающиеся этой категории работников, следователю следует четко регламентировать их поведение при проведении следственного осмотра и более тщательно планировать его проведение.
2. Участие представителей «потерпевшей» организации в осмотре поможет определить изменения, внесенные в обстановку, программное или аппаратное обеспечение автоматизированных информационных систем, а также в сам непосредственный предмет посягательства в результате преступления.
При совершении преступления в сфере компьютерной информации кроме организации, в которой это преступление непосредственно совершено и которой причинен имущественный ущерб зачастую существует еще целый ряд субъектов, которым действиями преступника нанесен какой либо ущерб.
201
Однако они о нем не знают и, вследствие этого, не заявляют свои претензии. Такими субъектами в частности могут быть:
•	авторы программного продукта, который был неправомерно модифицирован преступником (нарушение авторских прав, что само по себе уже образует состав преступления — статья 146 УК Российской Федерации «Нарушение авторских и смежных прав»);
•	собственники или владельцы других автоматизированных информационных систем взаимодействовавших и установивших протокол такого взаимодействия с той автоматизированной информационной системой в среде которой совершено компьютерное преступление. В качестве примера таких субъектов можно привести подразделения центрального банка, обеспечивающие проведение межбанковских электронных платежей. Они устанавливают необходимое программное обеспечение в коммерческие банки и определяют порядок информационного взаимодействия с расчетно-кассовым центром (осуществление доступа, использование цифровой подписи, шифрования передаваемых сообщений и т.п.). Таким образом, действия компьютерного преступника, как правило, нарушают установленный порядок обработки информации (в подразделениях Центрального банка обязательно юридически закрепленный) и затрагивают охраняемую законом информацию, чем наносят ущерб названной категории субъектов.
Использование следователем такой категории представителей «потерпевшей» организации может существенно помочь в отыскании изменений в используемом программном и аппаратном обеспечении и сократить время на решение этих задач. Не вызывает сомнения тот факт, что никто лучше автора программного обеспечения или аппаратного средства не знает особенности и характерные признаки своего «детища» по которым он может установить факт модификации и его последствия, оценить вновь приобретенные функциональные возможности.
Сложность выявления всех «полезных» участников следственного осмотра при совершении преступления в сфере компьютерной информации, а
202
также сложность оценки размера нанесенного ущерба требует наличия специальных познаний, которыми следователь, как правило, не обладает.
Участие специалиста в проведении следственного осмотра при расследовании преступлений в сфере компьютерной информации. Несмотря на предоставленное уголовно-процессуальным законом право следователя самостоятельно решать вопрос о целесообразности привлечения к проведению осмотра специалиста, нам представляется необходимым рекомендовать его обязательное участие. Опрос сотрудников органов внутренних дел, проведенный А.В. Касаткиным162 показал, что 56% из них ничего не знают о принципах работы ЭВМ. При этом 94% высказали мнение о необходимости участия специалиста, в то время как отрицательно на этот вопрос не ответил никто. Выборочные опросы, проведенные автором среди следователей органов внутренних дел, прокуратуры и ФСБ показал, что значения приведенных показателей в Воронежской области несколько выше и находятся на уровне 65% и 95% соответственно, что свидетельствует об их слабой готовности к расследованию преступлений в сфере компьютерной информации.
Следует особо подчеркнуть, что привлекая к участию в следственном осмотре какого-либо конкретного специалиста следователь должен быть четко убежден в его квалификации и наличии необходимых навыков в соответствующей области техники требуемой для данного следственного действия. Так, например, необходимо помнить, что технический специалист, владеющий и хорошо знающий особенности построения и функционирования персональных компьютеров типа IBM PC с операционной системой Windows (а это в настоящее время наиболее распространенный тип вычислительной техники применяемой в автоматизированных информационных системах) мало компетентен в области эксплуатации компьютеров Macintosh фирмы Apple или компьютеров фирмы Sun с операционной системой клона UNIX. Еще
162 См.: Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений И Дисс. ... канд. юрид. наук. — М.: ЮИ МВД РФ, 1997.
203
большие проблемы могут возникнуть у специалиста в области программного обеспечения при осмотре средств связи и линий межмашинной связи.
Определенная психологическая установка лица, приглашенного в качестве специалиста для участия в следственном осмотре на его превосходство в технической области и нежелание его утратить в глазах следователя и других лиц, участвующих в следственном осмотре, может привести к тому, что встретившись с непонятной или незнакомой технической ситуацией он будет решительно выполнять действия о которых не имеет никакого представления, либо не представляет заранее весь объем наступающих после них последствий. Типичность такого рода ситуаций настолько высока и объективна из-за быстро усложняющейся и быстро меняющейся аппаратной и программной части автоматизированных информационных систем (новые поколения микропроцессоров, составляющих ядро вычислительной системы компьютеров, появляются каждые два года, а новые версии сложных программных продуктов, таких как операционные системы, каждые полтора года), что она вынесена на одно из первых мест в рекомендациях ИНТЕРПОЛА163 по действиям полиции при осмотре средств вычислительной техники на месте совершения преступления. Наличие у привлекаемого технического специалиста диплома о высшем специальном образовании или даже ученой степени по требуемой специальности не гарантирует защиту следователя от ошибок в оценке наличия необходимой для проведения следственного действия квалификации.
В связи с этим, как этого и требует статья 1331 УПК РСФСР, следователь до прибытия на место следственного осмотра должен убедиться в наличии требуемой для проведения следственного действия квалификации у привлекаемого им технического специалиста. Это может быть достигнуто на наш взгляд несколькими путями:
•	заблаговременным созданием при следственном органе группы технических специалистов (обладающих необходимым набором специальных
204
знаний) которые будут постоянно привлекаться следователями для проведения следственных осмотров. Такая группа может быть создана из штатных и (или) внештатных специалистов информационно-вычислительных центров правоохранительных органов (РОВД, районной прокуратуры, УФСБ и т.п.);
•	быстрой предварительной проверкой привлекаемого специалиста на типовых вопросах по специфике устройства и эксплуатации средств автоматизированных информационных систем конкретного типа (набор таких вопросов с подготовленными правильными ответами может быть предварительно заготовлен и храниться в следственном органе).
Применение средств фото и видео съемки а также других средств специальных измерений и фиксации информации при проведении следственного осмотра в расследовании преступлений в сфере компьютерной информации. Использование фотографии, как дополнительного средства фиксации целесообразно при осмотре любого материального объекта, в том числе и тех с которыми приходится иметь дело при расследовании данного вида преступлений. С этой же целью в качестве дополнительного средства фиксации используется и видеосъемки. В последнее время широкое распространение получили так называемые цифровые фотоаппараты и цифровые видеокамеры, которые, на наш взгляд, могут найти очень широкое применение при документировании материалов уголовных дел по фактам преступлений в сфере компьютерной информации.
Основное отличие цифровых фотоаппаратов и видеокамер от традиционных, заключается в том, что полученные изображения фиксируются не на специальной фото или видео пленке, а в интегральной микросхеме памяти в цифровом виде. После проведения видео или фотосъемки такими цифровыми аппаратами они подключаются через стандартные порты к компьютерам и с них переписываются полученные изображения в стандартные информационные файлы на магнитные носители компьютеров (например жесткий магнитный диск - винчестер). Учитывая широкое распространение средств вычис-
163 http//www.interpol.ru — Web- страница ИНТЕРПОЛА в ИНТЕРНЕТ
205
лительной техники и эффективность ее применения при оформлении процессуальных документов164 применение цифровых фотоаппаратов и видеокамер позволит:
•	во-первых, сократить себестоимость получаемых снимков и видеозаписей (из-за полного отсутствия дорогостоящих пленок и необходимости проявления и печати фотоснимков) и увеличить их количество при расследовании одного уголовного дела;
•	во-вторых, использовать разработанные математические процедуры поиска и обработки изображений165 (например, поиска «похожих» изображений в имеющемся банке данных, логическом сопоставлении обнаруженных элементов для использования экспертных систем166 — «анализ сцен»);
•	в-третьих, хранить текстовые документы (протоколы следственных действий и постановления)167, фотоснимки и видео материал в едином цифровом формате на магнитных носителях (например, на жестком магнитном диске или на лазерном оптическом диске);
•	в-четвертых, быстро и без каких-либо существенных материальных затрат получать необходимое количество копий материалов дела, включая фотоснимки и видеоизображения.
К сожалению, в действующем УПК РСФСР прямо не отмечено (на наш взгляд, это можно оценить как пробел в законе), что при проведении следственного осмотра допустимо, а при расследовании преступлений в сфере компьютерной информации необходимо применение иных разнообразных технических средств для поиска, выявления, фиксации и изъятия следов и других вещественных доказательств.
164 См.: Полевой Н.С. Правовая информатика и кибернетика: Учебник. —,М.: Юридическая литература, 1993.
165 См.: Аверьянова Т.В. Интеграция и дифференциация научных знаний как источники и основы новых методов судебной экспертизы — М.: Академия МВД РФ 1994.
166 Компкютерные технологии в юридической деятельности. Учебное пособие: Под ред. проф. Н. Полевого, каид. юрид. наук В. Крылова. -М.: Издательство БЕК, 1994.
167 Вехов В.В. Компьютерные преступления: Способы совершения и расследования / Под ред. акад. Б.П. Смагоринского - М.: Право и Закон, 1996, — С. 164.
206
Такими техническими средствами могут быть сетевые анализаторы протоколов, которые позволяют подключившись к линии межмашинного обмена выделить в общем потоке информационных сообщений конкретного абонента зафиксировать маршрут и содержание передаваемых им сообщений. К таким средствам могут быть отнесены и специальные программы поиска заданных фрагментов данных в информационных массивах на магнитных дисках (например, программа «Крот», или утилиты Нортона и PC Tools). Спектр этих средств весьма широк и составить его исчерпывающий список, на наш взгляд, не представляется возможным.
Следует подчеркнуть необходимость применения указанных разнообразных технических средств при расследовании преступлений в сфере компьютерной информации, т.к. при проведении следственного осмотра следователь не только осуществляет непосредственное восприятие окружающей его обстановки, но и осуществляет интерактивное взаимодействие с «кибернетическим пространством», что в свою очередь обусловлено природой и спецификой такого криминалистического объекта как компьютерная информация. Интерактивное взаимодействие с «кибернетическим пространством» не может быть осуществлено следователем «напрямую» без использования специальных технических или программных средств. При этом для придания целенаправленного характера интерактивного взаимодействия следователю зачастую недостаточно штатных аппаратных и программных средств автоматизированных информационных систем и он вынужден использовать специально подготовленные средства поиска, выявления, фиксации и изъятия следов и иных вещественных доказательств.
Требования сохранности вещественных доказательств и неизменности содержимого магнитных носителей, применение цифровой подписи. Требование осмотра предметов и документов на месте их обнаружения, упаковки и опечатывания изымаемых предметов преследует цель исключить в дальнейшем возможность каких-либо сомнений в том, где, когда и в ходе какого следственного действия обнаружены эти предметы или документы, а
207
также обеспечить их сохранность именно в том виде, в котором они были обнаружены при осмотре.
Специфика объектов следственного осмотра при расследовании преступлений в сфере компьютерной информации заключается в том, что аппаратные средства и магнитные носители информации (винчестеры, дискеты и т.п.) представляют собой достаточно хрупкие предметы, им противопоказаны механические воздействия (броски, удары, изгибы и т.п.), длительное хранение в условиях повышенной температуры (выше +40°С) и влажности, длительное воздействие прямого солнечного света (в основном для магнитных дискет), а также воздействие электрических и магнитных полей.
Однако в данном случае не следует и чрезмерно драматизировать ситуацию, завышая требования к техническому оснащению следователя и мерам предосторожности для проведении следственного осмотра, транспортировки и хранения изъятых элементов ЭВМ или магнитных носителей информации. Весьма сомнительным представляется рекомендации В.В. Крылова168 о целесообразности применения магнитного компаса для определения магнитных полей на месте проведения осмотра, а также тезис о необходимости предвидения возрастания напряжения статического электричества, способного повредить данные и магнитные носители (особенности упаковки, хранения и транспортировки, изымаемых в ходе проведения отдельных следственных действий магнитных носителей информации более подробно будут рассмотрены в параграфе 3.3).
Однако следует заметить, что оптимальным вариантом проведения следственного осмотра средств вычислительной техники (особенно персональных, малогабаритных компьютеров) является его полное изъятие с подробной регистрацией соединения его частей, таким образом чтобы потом можно было восстановить его исходную конфигурацию.
,б* См.: Крылов В.В. Информационные компьютерные преступления. — М.: Издательская группа ИНФРА-М — НОРМА. 1997 — с.75.
208
Весьма специфическим «предметом», подлежащим изъятию и аккуратному сохранению являются отдельные (наиболее важные) информационные файлы (содержащие пароли, журналы доступа к информационно-вычислительным ресурсам, настройки и конфигурации автоматизированных информационных систем, файлы, содержащие программные вирусы и модифицированные программы). При этом необходимо не только четкое документирование в протоколе всех действий по изъятию (фактически копированию) этих файлов, но и контроль за тем, чтобы были изъяты все атрибуты, характеризующие этот информационный ресурс (дата создания, модификации, владелец изымаемого информационного ресурса, его размер, место хранения и т.п ).
Весьма желательным (если не обязательным в ряде случаев) является привлечение к процедуре изъятия (копирования) информационных файлов владельцев магнитных носителей, работников автоматизированных информационных систем. Это необходимо для документального подтверждения ими в протоколе того факта, что изымаемые (копируемые) информационные файлы с их атрибутами действительно находились на магнитных носителях или в данной автоматизированной информационной системе, а не возникли (были сгенерированы) в результате действий следователя или привлеченного для проведения следственного осмотра технического специалиста.
Неотложность следственного осмотра при расследовании преступлений в сфере компьютерной информации. В первую очередь данное положение касается информации на магнитных носителях. Так для уничтожения огромных объемов информации на магнитном носителе размером в сотни мегабайт (эквиваленту нескольких десятков тысяч книг среднего размера) достаточно введения лишь нескольких команд операционной системы и нескольких секунд работы вычислительной системы.
Единое руководство следственным осмотром. Несмотря на значительное число участников следственного осмотра руководить следственным осмотром должен только следователь. В соответствии с законом он несет всю
209
полноту ответственности за качество и тщательность проведения следственного действия.
В производстве следственного осмотра при расследовании «традиционных» видов преступлений, как правило, участвует значительное число лиц — от понятых и различных специалистов до работников дознания и прокурора, осуществляющего надзор за следствием. При этом отдельные участники данного следственного действия (особенно при расследовании преступлений в сфере высоких технологий) не всегда точно представляют свои функции, несмотря на разъяснение следователем прав и обязанностей каждого из них, что в результате приводит к их излишней активности.
Особенно такой недостаток характерен для осмотра средств вычислительной техники и информации на магнитных носителях. Как показывает практика, его зачастую производит не следователь, а технический специалист. Следователь при этом лишь заносит в протокол осмотра то, что ему относительно этого объекта диктует специалист. Это обусловливается в первую очередь отсутствием у него должных знаний в области вычислительной техники и новых информационных технологий и во-вторых пассивностью самого следователя.
Говоря о порядке и основных элементах проведения такого действия как следственный осмотр необходимо отметить, что в тактическом плане оно может быть разделено на три основных этапа, подготовительный, рабочий и заключительный.
Подготовительный этап следственного осмотра в сфере компьютерной информации, в свою очередь подразделяется на две стадии: до выезда на место и по прибытии на него.
1.	Подготовительный этап (до выезда наместо). Учитывая тот факт, что при расследовании преступлений в сфере компьютерной информации необходимость в проведении неотложного осмотра места совершения преступления, как правило, отсутствует, то основной задачей подготовительного этапа является тщательное планирование предстоящего следственного дейст
210
вия и всесторонняя подготовка к его проведению. В рамках подготовительного этапа следователь должен:
•	Уяснить суть и особенности совершенного преступления в сфере компьютерной информации.
•	Определить круг основных «информационных узлов» объектов следственного осмотра (помещений, локальных вычислительных сетей, отдельных компьютеров) и установить очередность их осмотра.
•	В случае необходимости принять меры по предотвращению уничтожения следов совершения преступления в сфере компьютерной информации путем выставления охраны силами органа дознания (не выключать электропитание ЭВМ, не отключать соединения ЭВМ с периферийными устройствами, удалить из помещения, где установлены средства вычислительной техники работников и обслуживающий персонал и т.п.).
•	Обеспечить участие в предстоящем осмотре необходимых работников органа дознания и соответствующих специалистов (специалиста по аппаратному обеспечению средств вычислительной техники, системного программиста, специалиста по системам связи, техника-криминалиста и т.п. — в зависимости от полученных первоначальных сведений), а также привлекаемых официальных представителей «потерпевшей» организации и сотрудников, отвечающих за организацию автоматизированной обработки информации.
•	В случае необходимости обеспечить (через работников органа дознания) привлечение понятых удовлетворяющих требованиям минимальной информированности в сфере новых информационных технологий и вычислительной техники. Следственной практике, к сожалению, известны такие случаи, когда в качестве понятого (если они подбираются из лиц, находящихся у места совершения преступления), привлекается сам преступник. Крайне отрицательный эффект такого «совпадения» не вызывает сомнения даже при расследовании «традиционных» преступлений не говоря уже о расследовании преступлений в сфере компьютерной информации.
211
•	Подготовить все материалы и средства, необходимые для производства осмотра места совершения преступления. Такими материалами и средствами будут авторучки, бумага, дискеты и другие магнитные носители информации, пакеты и коробки для упаковки изымаемых вещественных доказательств, средства оргтехники (диктофоны), фотоаппаратура, видеокамера, а также средства до специальной техники (анализаторы сетевых протоколов, портативные персональные компьютеры с набором программного обеспечения и заготовками бланков протоколов осмотра места происшествия, выемки и т.п.) и инструментов (сетевых заглушек, обжимных устройств, набора коммуникационных проводов и т.п.).
2.	Рабочий этап (на месте). Рабочий этап осмотра места совершения преступления в тактическом плане можно разделить на четыре основные стадии: вводная, обзорная, статическая и динамическая.
2.1.	Вводная стадия. На данной стадии следователь должен уточнить всю имеющуюся у него информацию о совершенном преступлении, о формах проявления его последствий, уяснить принятый механизм и особенности автоматизированной обработки информации в «потерпевшей» организации, а также выяснить иные относящиеся к делу обстоятельства. Для этого он может провести краткий опрос очевидцев произошедшего, руководителей «потерпевшей» организации, специалистов обеспечивающих функционирование автоматизированной информационной системы в ходе которого выясняются их данные (фамилия, имя и отчество, место работы, занимаемая должность, уровень образования и осведомленность в сфере новых информационных технологий, домашний адрес, рабочий и домашний телефоны), и при необходимости обязываются прибыть для допроса или дачи объяснения по делу на определенное время. Одновременно даются поручения удалить с места предстоящего осмотра посторонних лиц, а также лиц, участие которых в осмотре необходимостью не вызывается.
После этого распределяются обязанности между членами группы осмотра и разъясняются им и понятным их процессуальные права и обязанности.
212
2.2.	Обзорная стадия. На обзорной стадии следователь, используя полученную к этому моменту информацию о существе события, обусловившего необходимость осмотра, должен:
а)	Определить границы места совершения преступления, которое следователь будет подвергать осмотру. Как было сказано ранее границы осмотра места совершения преступления в сфере компьютерной информации должны определяться с учетом объекта и предмета посягательства, наиболее вероятного механизма следообразования в результате его совершения, характера возникающих в этой связи следов и их пространственной локализации. При осмотре ряда автоматизированных информационных систем, когда зачастую невозможно точно определить границы места совершения преступления в сфере компьютерной информации, вместо определения границ места совершения преступления может быть определен перечень основных информационных узлов, которые будут служить опорными точками при проведении дальнейшего осмотра.
б)	Определить способ осмотра места совершения преступления. Способ осмотра определяется тремя основными элементами: исходной точкой, порядком перехода от одной точки осмотра к другой и критерием завершения осмотра.
Исходной точкой («информационным узлом») следственного осмотра при расследовании преступлений в сфере компьютерной информации несомненно является компьютер или иное средство автоматизированной обработки информации фигурирующее в деле.
Для определения порядка перехода от одной точки осмотра к другой в криминалистической литературе, рекомендуется два основных способа: эксцентрический (от лат. ех — из, вне и centr — центр: отклоняющийся от центра) и концентрический (к центру)169. При проведении осмотра места преступления в сфере компьютерной информации, наш взгляд, наиболее целесооб
169
См.: Баев О.Я. Тактика следственных действий: учебное пособие - Воронеж: ПНО «МОДЭК»,
1995.
213
разным будет использование палиэксцентрического (т е. эксцентрический способ осмотра с множеством информационных центров — узлов) способа осмотра. В этой разновидности эксцентрического способа осмотр осуществляется от нескольких информационных узлов, центрами которых являются отдельные ЭВМ, образующие интересующий следователя фрагмент «кибернетического пространства» и движение от одного узла к другому идет по существующим каналам связи. Осмотр может проводиться либо одновременно несколькими участниками осмотра, либо одним следователем последовательно от одного информационного узла к другому. При этом первым (опорным) узлом выбирается наиболее важный с криминалистической точки зрения элемент. Таким узлом может быть, например сервер в локальной вычислительной сети, либо отдельный персональный компьютер в изолированной комнате. Очередность следующего осматриваемого узла может устанавливаться в зависимости от степени его связанности (наличие кабеля связи, обеспечение условия прямой видимости для оборудования оснащенного инфракрасным портом передачи информации и т.п.) или дальности его расположения от основного (опорного) информационного узла. Моментом завершения осмотра одного информационного узла и перехода к другому является достижение его границ.
Критерием завершения осмотра является достижение границ осматриваемого места совершения преступления и исчерпание всех «информационных узлов» осмотра.
В конце обзорной стадии составляются схемы осмотренного фрагмента «кибернетического пространства», который затем будет наполняться сведениями об обстановке и криминалистически значимых деталях, выявленных на последующих (статической и динамической) стадиях рабочего этапа осмотра места происшествия.
2.3.	Статическая стадия. На данной стадии производится осмотр состава и конфигурации отдельных «информационных узлов» — вычислительных систем (персональных ЭВМ, их системы), а также магнитных носителей
214
информации (обнаруженных дискет и жестких магнитных дисков). При этом обращается внимание на их внешнее состояние, наличие и установку джамперов (перемычек) на винчестерах, заглушек на дискетах, способы соединения отдельных элементов вычислительных систем друг с другом и порядок подачи электропитания. Следует отметить, что все указанные операции выполняются как правило без подключения электропитания.
Отдельно необходимо подчеркнуть требования фиксации заводской маркировки, серийных номеров плат и отдельных элементов вычислительных систем, а также отдельных индивидуальных отличительных признаков (элементов прикрепленных методом навесной пайки, следы доработки и усовершенствования и т.п.). В дальнейшем эти данные должны быть проверены на предмет не являются ли они краденными, т.к. в настоящее время в связи с резким подорожанием комплектующих они все чаще становятся объектом хищений.
На данной стадии выясняется возможность изъятия отдельных элементов вычислительных систем из состава ЭВМ или их системы для последующего осмотра в специальных (лабораторных) условиях.
2.4.	Динамическая стадия.
На динамической стадии при необходимости фиксируются и изымаются «традиционные» (отпечатки пальцев, микрочастицы и т.п.) следы, и изымаются магнитные носители информации (гибкие магнитные диски, дискеты, винчестеры, магнитные ленты, компакт-диски и т.п.).
В случае отсутствия (по каким либо причинам) возможности изъять магнитные носители информации на данной стадии рабочего этапа следственного осмотра осуществляется включение электропитания, запуск средств вычислительной техники и сбор информации о динамической конфигурации аппаратных и программных средств (файлы инициализации, конфигурации и настроек), информации содержащейся на магнитных носителях (список программных средств установленных на вычислительной системе, список файлов обрабатывавшихся последними для каждого из программных средств и т.п.).
215
3.	Заключительный этап осмотра места совершения преступления в сфере компьютерной информации. Заключительный этап по своему содержанию ничем не отличается от соответствующего этапа расследования к.170
«традиционных» преступлении и состоит из принятия мер к сохранению вещественных доказательств, изъятие которых невозможно, упаковки изымаемых предметов, окончания составления планов и схем осмотренного места происшествия и составления протокола данного следственного действия, о чем подробнее говорилось при рассмотрении общих положений тактики следственного осмотра. Отдельным действием данного этапа осмотра может быть фиксация всей информации собранной следователем на магнитном носителе с использованием технологии цифровой подписи.
Общие рекомендации по порядку и способу документирования результатов осмотра места происшествия неоднократно описаны и рассмотрены в специальной криминалистической литературе и в полном объеме применимы для случаев расследования преступлений в сфере компьютерной информации. Однако специфические особенности данного вида преступлений накладывают ряд специфических черт на которых хотелось бы остановиться более детально.
Содержание вводной части протокола следственного осмотра, отвечает требованиям общих рекомендаций170 171, однако содержит и ряд специфических уточнений. Таким образом, вводная часть протокола осмотра должна содержать:
•	Дату и место его составления протокола осмотра, а также правовые основания его проведения (соответствующие ссылки на нормы УПК РСФСР);
•	Место и условия производства осмотра;
•	Время начала и окончания осмотра;
170 См.: Баев О.Я. Тактика следственных действий: учебное пособие - Воронеж: ПНО «МОДЭК», 1995.
171 Процессуальные документы органов предварительного расследования. Образцы: Практическое пособие / Под ред. И.Н. Кожевникова и С.В. Бородина. Изд. 2-е, перераб. и доп. - М.: Издательство «Спарк», 1998.
216
•	Участвовавшие в осмотре должностные лица и специалисты (фамилия, имя, отчество, место жительства, возраст, специальное образование, профессия и имеющаяся квалификация в сфере новых информационных технологий) с отметкой о разъяснении их прав и обязанностей;
•	Присутствовавшие при проведении осмотра понятые (фамилия, имя, отчество, место жительства, возраст, образование, профессия и имеющаяся квалификация в сфере новых информационных технологий) с отметкой о разъяснении их прав и обязанностей,
•	Использующиеся технические и программные средства, условия и порядок их использования, а также отметка об уведомлении лиц участвующих в осмотре об их применении (в соответствии с требованиями статьи 141 УПК РСФСР).
Большинство рекомендаций по порядку документирования результатов осмотра содержат указание на определенный отбор информации заносимой в протокол осмотра, — «чтобы не загромождать его содержание ненужными, явно не относящимися к делу подробностями»172. При расследовании преступлений в сфере компьютерной информации с такой рекомендацией (или точнее с такой формой рекомендации) тем более вряд ли стоит согласиться. Как отмечалось ранее, прибыв на место осмотра следователь, как правило, еще не имеет четкого представления о свершившемся преступлении в сфере компьютерной информации и начинает уточнять не только его детали, но и сам факт совершения преступления уже проводя осмотр. В связи с этим информации лишней или ненужной (явно не относящейся к делу), как правило, на месте совершения преступления в сфере компьютерной информации не бывает. Однако, учитывая очень большой ее объем и детальность рассмотрения каждого объекта и явления, следует правильно выбрать инструментарий документирования информации и способ ее представления в протоколе.
172 Криминалистика: Учебник / Под ред. И.Ф. Пантелеева, Н.А. Селиванова. — М.: Юридическая литература, 1993. — С. 338 — 339.
217
Так при формировании описательной части протокола осмотра, при расследовании преступлений в сфере компьютерной информации следует говорить:
•	об использовании средств информатизации для проведения осмотра (цифровых фотоаппаратов, цифровых видеокамер), позволяющих получать результаты (изображения и видеоряд снимаемого объекта, а также звуковое сопровождение съемки — комментарий следователя) практически мгновенно, без проявки и когда результаты документирования будут представлены в едином цифровом формате (вне зависимости от того, что документируется: изображение, видеоряд, звук или же их комбинация) пригодном для однообразного и компактного хранения на магнитном или оптическом носителе,
•	о создании более сложной внутренней структуры (гипертекста) результирующего документа (протокола следственного осмотра), в котором изображения осматриваемого объекта, его видеоряд и звуковые фрагменты должны быть помещены сразу же за его текстуальным описанием, и имеются средства (гиперссылки) быстрого перехода от обзорного описания элемента обстановки или осматриваемого объекта к его детальному описанию и назад.
Так, например, применение традиционных криминалистических средств документирования, таких как фотоаппараты с фотопленкой, бумажные листы для изображения схем и планов диктует традиционную форму протокола: описательная часть впереди, схемы, рисунки, фотографии и планы в конце протокола в виде приложения. Это, на наш взгляд, объясняется различным темпом получения документов: схемы и чертежи формируются практически на месте осмотра, а фотографии после их проявления и печати. При таком (вынужденном до настоящего времени) подходе наличие большого количество рисунков схем и фотографий действительно затрудняло восприятие результатов осмотра и приводило к тому, что следователь (или в последствии судья) очень быстро начинал путаться в этих иллюстрационных материалах (какая фотография что иллюстрирует и чему соответствует), а зачастую и вовсе не обращал на них серьезного внимания или вовсе не исполь
218
зовал в своей работе значительную часть собранного материала, ограничиваясь словесным описанием обстановки.
Не вызывает сомнения тот факт, что словесное описание обстановки (даже с использованием сухого, «протокольного» языка) содержит в себе личную эмоциональную окраску и фиксирует лишь те фрагменты, которые показались следователю наиболее значимыми и важными для расследуемого дела. Это обстоятельство всегда проявляется в случае, когда дело передается от одного следователя к другому и играет свою негативную роль. Особенно это касается случаев расследования преступлений в сфере компьютерной информации, т.к. в этой сфере следователи, как правило, не обладают необходимым набором специальных знаний и могут упустить большое количество деталей имеющих существенное значение для специалистов.
В дополнение к традиционным рекомендациям о порядке документирования результатов осмотра173, учитывая также, что объектами осмотра при расследовании преступлений в сфере компьютерной информации являются технические средства, на наш взгляд, следует предложить воспользоваться опытом накопленным при описании формул изобретений на устройства или полезную модель. В соответствии с установленным порядком174 описание какого-либо объекта (а в нашем случае, описание автоматизированной информационной системы, как объекта следственного осмотра) состоит из двух частей: статики и динамики.
При описании статики указываются основные элементы рассматриваемого объекта и их взаимосвязи и соединения (электропитания, информационные, вспомогательные — заземления, вентиляции, охлаждения и т.п.). В традиционной структуре протокола следственного осмотра эта часть соответ-t ствует обзорному описанию обстановки.
При описании динамики указывается порядок работы устройства и роль отдельных фрагментов в его функционировании в соответствии с назна
173 См. Жбанков В.А. Тактика следственного осмотра. М., 1992.
174 Правила составления, подачи и рассмотрения заявки на выдачу свидетельства на полезную модель И Интеллектуальная собственность. — 1994. — № 9-10 — С. 42.
219
чением. Аналога данного фрагмента в традиционной структуре протокола следственного осмотра не существует, что может привести к возникновению следственных ошибок.
Например, при расследовании одного из уголовных дел по факту изготовления поддельных денежных знаков с использованием компьютера и струйного принтера, был произведен следственный осмотр персонального компьютера изъятого у подозреваемых в совершении данного преступления. В протоколе данного следственного действия были приведены «традиционные» общие характеристики системного блока — «металлический объект прямоугольной формы, окрашенный краской белого цвета ...» и содержимое винчестера — фрагмент списка файлов включающий файл с изображением денежных купюр и файлы графического редактора способного создавать, модифицировать и распечатывать графические изображения. Исходя из приведенных фактов был сделан вывод о том, что изображение денежных знаков было изготовлено и распечатано на данном компьютере. Однако в последствии, исходя из показаний обвиняемых было установлено, что изображения денежных знаков были получены в другом месте и распечатывались на другом компьютере, а осматриваемый компьютер использовался лишь как средство хранения изображений и графический редактор был инструментом проверки целостности файлов с необходимыми изображениями.
В ходе дополнительного следственного осмотра было установлено, что динамические настройки графического редактора (конфигурация и модель программно настроенного печатающего устройства), используемая цветовая палитра и графическое разрешение существенно отличались от тех характеристик с использованием которых были изготовлены поддельные денежные знаки. Приведенный пример показывает, что отсутствие в протоколе следственного осмотра фрагмента описания динамики работы осматриваемого средства вычислительной техники привело к неправильным выводам и затруднило процесс расследования преступления.
220
3.2.	Обыск и выемка компьютерных объектов
Обыск по своим информационно-познавательным целям весьма близок к следственному осмотру. Так, В соответствии со ст. 178 УПК РСФСР, следственный осмотр производится «в целях обнаружения следов преступления и других вещественных доказательств, выяснения обстановки происшествия, а равно иных обстоятельств, имеющих значение для дела». Обыск, в соответствии со ст. 168 УПК РСФСР, производится «в целях отыскания и изъятия орудий преступления, предметов и ценностей, добытых преступным путем, а также других предметов и документов, могущих иметь значение для дела, разыскиваемых лиц и трупов».
Несмотря на близкие цели между обыском и следственным осмотром имеются существенные принципиальные различия как в процессуальном режиме их проведения, так и в тактике производства этих действий.
Важнейшей отличительной чертой обыска является то, что при его производстве в определенных законом пределах ограничиваются права граждан на личную свободу, свободу личной жизни и неприкосновенность жилища. Причем с таким ограничением сталкиваются не только непосредственно обыскиваемые, но и ряд других лиц случайно или по служебной необходимости оказавшихся на месте проведения обыска.
Еще одной особенностью такого следственного действия как обыск и на которую обращает внимание большинство авторов это, что он проводится, как правило, внезапно для обыскиваемого и исключительно по инициативе следователя.
Все сказанное в полной мере соответствует особенностям проведения обыска при расследовании преступлений в сфере компьютерной информации.
При этом, говоря о специфике этого следственного действия для данного вида преступлений необходимо в первую очередь остановиться на целях проведения обыска. Так, на наш взгляд, целями проведения обыска при расследовании преступлений в сфере компьютерной информации являются обнаружение и изъятие (в случае необходимости и возможности его осуществ
221
ления) материальных объектов способных по своим физико-техническим свойствам содержать информацию имеющую отношение к расследуемому преступлению. К таким объектам могут быть отнесены:
•	вычислительные комплексы и их компоненты (персональные компьютеры, модемы, принтеры т.п.);
•	различного рода носители информации представленной в виде пригодном для автоматизированной обработки (магнитные, магнитнооптические, оптические диски, бумажные перфоленты и перфокарты и т.п.);
•	линии коммуникаций объектов вычислительной техники, понимаемые в широком смысле данного понятия, т.е. как наличие и размещение устройства передачи информации, среды распространения\передачи и устройства приема информации;
•	вспомогательные системы, обеспечивающие нормальное функционирование автоматизированных информационных систем (линии электропитания, заземления и т.п.).
Криминалистическая классификация обыска проводится по самым различным основаниям, например по объекту, последовательности, форме организации и др.
Так при расследовании преступлений в сфере компьютерной информации по объекту проведения можно выделить следующие виды обыска:
а)	обыск в служебном помещении:
•	офисного типа;
•	промышленно-складского типа (в том числе гаражи);
б)	обыск в жилище:
•	квартира в большом многоквартирном доме;
•	индивидуальное личное домовладение;
в)	обыск в подвижном объекте (автомобиле, самолете, корабле и т.п.);
г)	обыск в автоматизированной информационной системе:
222
•	сосредоточенной (один или несколько не взаимосвязанных компьютеров в пределах одного помещения);
•	рассосредоточенной (локальная вычислительная сеть в пределах одного или нескольких рядом расположенных помещений или зданий);
•	открытой (отдельные компьютеры или их локальные сети объединены через общедоступные коммуникационные каналы связи (например, сеть ИНТЕРНЕТ).
По последовательности проведения различают первоначальный (первичный) и повторный обыски.
Повторный обыск при расследовании преступлений в сфере компьютерной информации, как правило, не производится, из-за его крайне низкой эффективности. Если при расследовании «традиционных» видов преступлений повторный обыск производится либо для обнаружения какого-либо материального объекта (не обнаруженного при первичном обыске и о котором появилась информация из других источников, или же для изъятия обнаруженного ранее объекта), то при расследовании рассматриваемого вида преступлений первоочередное значение имеет информация, которая хранилась на искомом материальном объекте. При этом важно подчеркнуть различную природу информации, заключенной в этом объекте. Информация о «традиционных» преступлениях сохраняется в достаточно устойчивом виде — следов крови, сколов, характерных царапин и т.п., а информация о преступлениях в сфере компьютерной информации сохраняется в основном в виде пригодном для автоматизированной обработки, т е. в том же виде, что и стандартно используемом для целевого функционирования автоматизированной информационной системы. В связи с этим информация о преступлении в сфере компьютерной информации может быть очень легко уничтожена как стандартными средствами автоматизированной информационной системы, так и специальными внешними воздействиями (например, мощным магнитным полем и т.п.).
223
Таким образом, если при первичном обыске какой-либо объект не был обнаружен и изъят, то надеяться на сохранность в нем желаемой информации до проведения повторного обыска уже не приходится. Однако, как показывает практика, существуют исключения из этого общего правила. Как правило это касается случаев когда после проведения первичного обыска автоматизированная система находилась в нерабочем состоянии и никто не имел доступа к ней.
По форме проведения обыск можно разделить на единичный и групповой. При этом выбор той или иной формы, как правило, определяется видом объекта обыска. Если имеем дело с сосредоточенным объектом, то используется единичный обыск, если объект рассосредоточенный, то проводится групповой обыск.
Существенной особенностью обыска при расследовании преступлении в сфере компьютерной информации является то, что следователь проводящий данное следственное действие, как правило, не может оценить на месте значение обнаруживаемой информации, т.к. во-первых он сталкивается с огромными ее объемами и во-вторых она представлена в специальном виде, и для ее восприятия необходимы определенные специальные познания, а иногда специальные аппаратные и программные средства.
В связи с этим, как показала практика, наиболее целесообразным действием следователя при проведении обыска является изъятие всех обнаруженных носителей информации в машинном виде (магнитных дискет, лазерных компакт-дисков, магнитных лент и винчестеров из системных блоков компьютеров). Особое внимание необходимо обратить на способы изъятия винчестеров. В настоящее время в специальной литературе встречается много рекомендаций изымать не весь компьютер целиком, а лишь его жесткие магнитные диски, как основное хранилище всей обрабатываемой на компьютере информации. У такой рекомендации, наряду с очевидными положительными сторонами есть и негативные моменты, на которых остановимся чуть подробнее.
224
Положительной стороной изъятия одного винчестера (вместо всего компьютера или же системного блока), несомненно, является его малые размеры, что весьма удобно при его транспортировке от места проведения обыска и при хранении у следователя. Однако, эти удобства оборачиваются большими проблемами при проведении осмотра отдельного винчестера на рабочем месте следователя. Учитывая невысокую обеспеченность средствами вычислительной техники рядовых правоохранительных органов (как правило, устаревшими моделями на основе Pentium I и даже 80486 или 80386 процессоров) весьма непросто найти компьютер, к которому можно было бы легко подключить винчестер большой емкости. В этой ситуации у следователя возникает два пути: либо отправить все изъятое на экспертизу, либо самостоятельно экспериментировать с вариантами подключения винчестеров с помощью штатного специалиста, имеющегося в данном правоохранительном органе.
Вариант с отправкой всего изъятого на компьютерно-техническую экспертизу в ряде случаев вообще не реален из-за того, что в ряде регионов таких экспертиз не делают вообще, а в ряде регионов проводят не более 3-10 в течение года. Более того, поручение проведения экспертизы большого объема информации на магнитных носителях приводит к резкому увеличению сроков ее завершения. Самостоятельное подключение, как правило, приводит к использованию нестандартных режимов включения винчестеров, в результате чего может быть уничтожена часть информации, либо часть информации останется недоступной для просмотра стандартными средствами (например, не будут видны последние логические диски на винчестере, или логические диски, использующие другие файловые системы и т.п.).
Ряд следователей, столкнувшихся в своей практике с такими проблемами изымают уже не отдельные винчестеры, а целые системные блоки, т.к. в этом случае они будут гарантировано защищены от проблем связанных с взаимодействием материнской платы и винчестера, а также получат весь спектр устройств чтения внешних носителей информации, используемых лицом у которого проводился обыск (дисководы, устройства чтения магнитооп
225
тических дисков, лазерных компакт-дисков и т.п.). Такой подход, кроме указанных плюсов также имеет определенные недостатки. Во-первых, все равно останутся проблемы связанные с необходимостью настройки необходимого для просмотра оборудования — монитора, клавиатуры и даже мыши (особенно в операционных системах, использующих механизм «Plug and Play»). Во-вторых, наличие «практически целого комплекта» компьютера в руках следователя подталкивает его к просмотру содержимого винчестеров с использованием этого же системного блока (особенно в условиях дефицита вычислительной техники в правоохранительных органах), т.е. под управлением операционной системы установленной на этом же изъятом и просматриваемом винчестере и с использованием установленного здесь же программного обеспечения. Это, на наш взгляд, недопустимо по целому ряду причин:
Во-первых, при запуске операционной системы и другого программного обеспечения с исследуемого винчестера, на нем же создаются временные файлы, которые размещаются в местах стертой ранее информации. И если перед проведением обыска кто-либо стер компрометирующую его информацию с использованием стандартных средств (а использование специализированных средств гарантированно уничтожающих информацию требует значительно большего времени, которого у обыскиваемых лиц нет), то после простого запуска операционной системы и стандартного набора программ восстановить стертые ранее файлы доступными средствами будет уже невозможно и они будут утеряны для следствия.
Во-вторых, большинство операционных систем (например, Windows NT), да и стандартных прикладных программ (например, MS Word или MS Excel) используют парольную защиту от входа постороннего лица и система может быть настроена так, что при не получении заданного пароля она самостоятельно уничтожит критическую информацию.
Наиболее «практичные» следователи, сталкиваясь с подобной ситуацией, принимают решение изымать полный комплект вычислительной техники, включая принтеры вплоть до коврика для мыши.
226
Подводя некоторый итог сказанному выше, можно сформулировать тактические рекомендации относительно изымаемого в ходе обыска комплекта оборудования:
•	следует изъять все магнитные носители информации (магнитные, магнито-оптические, оптические) в том числе и видеокассеты, если есть информация об использовании бытового видеомагнитофона в качестве стриммера (такой информацией может быть, например, наличие в составе компьютера специализированной платы, наличие кабеля со специфическим разъемом и т.п.);
•	следует изъять все жесткие магнитные диски (винчестеры) при этом совместно с участвующим в обыске специалистом определить состав оборудования необходимого для корректного включения изъятого диска на рабочем месте следователя или эксперта;
•	не следует изымать малозначимые элементы вычислительной системы и аксессуары (стандартную клавиатуру, мышь, кассетницы для дискет, коврик для мыши и т.п.);
Теперь рассмотрим основные процессуально-тактические рекомендации и приемы проведения обыска при расследовании преступлений в сфере компьютерной информации. При этом сразу необходимо отметить, что все основные тактические рекомендации, выработанные поколениями криминалистов, являются абсолютно справедливыми для таких «традиционных» объектов обыска как предметы (не являющиеся носителями или источниками информации в виде пригодном для автоматизированной обработки) и документы и мы будем лишь рассматривать рекомендации обусловленные спецификой преступлений в сфере компьютерной информации.
При производстве обыска обязательно присутствие понятых. К этому положению относится все, сказанное о понятых в предыдущем параграфе данной работы. Однако специфика рассматриваемого вида преступлений накладывает определенные особенности, которые не отмечались ранее.
227
Так, говоря об особенности привлечения (при проведении обыска в квартире подозреваемого) в качестве понятых соседей, О.Я. Баев отмечает, что «отношения между соседями-понятыми и обыскиваемыми после этого следственного действия обычно резко ухудшаются». Более того, «практика знает случаи, когда такие понятые из «соседских» побуждений, а иногда и по иным мотивам либо препятствовали следователю в производстве обыска, либо в дальнейшем давали ложные показания об обстоятельствах, связанных с его проведением а обнаружением при обыске определенных предметов»175.
Это замечание, несомненно, верное при расследовании «традиционных» преступлений приобретает несколько иную окраску при расследовании преступлений в сфере компьютерной информации. Так, известны случаи, когда после проведенного обыска, благодаря рассказам понятых, лицо у которого производился обыск, приобретало ореол «технического гения» и становилось кумиром у старших школьников и студентов младших курсов. Учитывая наличие, высокую популярность и специфическую направленность неформальных любительских информационных сетей (таких как FIDONet, сообщества ICQ, IRC и т.п.), факты проведения следственных действия относительно одного из участников такой сети становятся известными всему «сетевому сообществу» в самые короткие сроки и могут сыграть весьма негативную роль в ходе следствия.
Учитывая сказанное, а также сложившееся в настоящее время в нашей стране социальное восприятие деятельности хакеров и производителей пиратского программного обеспечения было бы целесообразно предупреждать понятых о нераспространении информации, полученной ими в ходе проведения обыска, а также о самом факте проведения данного следственного действия до завершения расследования уголовного дела и делать об этом письменную отметку в протоколе обыска, заверенную росписью понятых. Понятно, что каких-либо серьезных процессуальных последствий данная отметка в на
175 См.: Баев О.Я. Тактика отдельных следственных действий — Воронеж: НПО «Модек», 1995, — С. 63—79.
228
стоящее время не имеет, но она непременно окажет свое психологическое воздействие, что окажет определенную помощь следователю.
При обыске должно быть обеспечено присутствие лица, у которого производится обыск, либо совершеннолетних членов его семьи. В случае невозможности их присутствия приглашаются представители жилищноэксплуатационной организации, администрации органа местного самоуправления. При производстве обыска в помещениях, занятых предприятиями, учреждениями и организациями, обязательно присутствие их представителей (ст. 169,ч. 3 УПК).
Решение о том может ли присутствовать при проведении обыска само лицо, у которого производится обыск или будет присутствовать кто-либо из совершеннолетних членов его семьи, принимает следователь. Однако, такого существенного значения, как при расследовании «традиционных» видов преступлений данное решение не имеет. Это обусловлено тем обстоятельством, что ни сам следователь, ни лицо у которого производится обыск в момент его завершения еще не знают на сколько успешно завершилось данное следственное действие для каждого из них, т.к. осмотр информации на изъятом в ходе обыска носителе и ее предварительную оценку следователь, как правило, проводит уже на своем рабочем месте или же по результатам проведенной компьютерно-технической экспертизы. В то же время данная ситуация обладает определенными тактическими преимуществами.
С одной стороны она выявляет определенный интерес, проявленный лицом у которого производится обыск к тому или иному фрагменту вычислительной системы, отдельному магнитному носителю. Это выражается в настоятельных просьбах не изымать какой-либо блок, позволить скопировать с винчестера какую-либо важную информацию, либо произвести осмотр или экспертизу определенного магнитного диска в первую очередь и в кратчайшее время. Такие просьбы, как правило, облекаются в весьма благовидные причины — магнитный диск является чужим, и его уже вчера нужно было
229
вернуть, без данной дискеты не будет работать какая-либо необходимая программа и т.п.
С другой стороны рассматриваемая ситуация предоставляет весьма интересные тактические возможности ее использования при допросе лица у которого был произведен обыск. Такой предварительный допрос должен быть произведен через несколько дней после проведения обыска, так, что бы у допрашиваемого возникло ощущение реальной возможности обнаружения критичной информации за это время.
Время проведения обыска. Весьма любопытное положение складывается вокруг рекомендаций о времени проведения обыска. В соответствии с действующим УПК производство обыска должно производиться в дневное время, кроме случаев, не терпящих отлагательства. Исходя из положений пункта 15 статьи 34 УПК РСФСР ночным признается время с 22:00 до 6:00.
Однако существующая практика установки тарифов подключения к сети ИНТЕРНЕТ вынуждает индивидуальных пользователей работать именно в ночные часы. Так, наиболее льготным временем работы в сети ИНТЕРНЕТ является период с 0 до 5 часов утра. Таким образом, если следователь поставит перед собой задачу произвести обыск во время работы подозреваемого в сети ИНТЕРНЕТ, то он должен провести обыск именно в это время. Эффективность такого времени проведения обыска показал известный случай ареста Гоярчука в Южно-Сахалинске176.
Для участия в производстве обыска следователь вправе вызвать соответствующего специалиста. Особенности расследования преступления в сфере компьютерной информации делает участие специалиста в проведении данного следственного действия особенно актуальным. В частности, если в осматриваемом компьютере установлен пароль на доступ в операционную систему или на загрузку и лицо, у которого производится обыск, отказалось
1998.
176 См.: Крылов В.В. Расследование преступлений в сфере информации. — Издательство «Городец»,
230
его сообщить следователю, то без привлечения специалиста обойти данное препятствие не представляется возможным.
Как было сказано ранее общей рекомендацией в таких случаях является изъятие данного вычислительного средства и назначение компьютернотехнической экспертизы достаточно серьезного уровня. Однако если же есть весомые основания не откладывать проведение этих действий на такой продолжительный срок, то может быть предпринята попытка преодоления парольной защиты загрузки на месте проведения обыска способом широко освещенным в сети ИНТЕРНЕТ.
Для этого необходимо вскрыть корпус персонального компьютера (данные рекомендации в полном объеме применимы для компьютеров типа IBM PC) и найти перемычки сброса CMOS-памяти. Как правило, они расположены рядом с батарейкой CMOS-памяти и имеют обычно 4 контакта. В нормальном положении перемычка замыкает контакты 2-3, а для сброса парольной защиты необходимо замкнуть контакты 1-2 или 3-4. Если такой перемычки найти не удалось, то можно воспользоваться куском провода, один конец прижать к «массе» (любому проводящему участку корпуса компьютера), а другим концом медленно провести по выводам всех больших микросхем (естественно, кроме самого микропроцессора). Если на плате обнаружится микросхема с 24 выводами в два ряда, то начинать следует именно с нее.
После выполнения этих операций можно включить компьютер и проверить наличие пароля на входе в операционную систему. Как правило, все установки CMOS-памяти в данном случае будут сброшены, в том числе и вместе с паролем.
Более ранние модели материнских плат включали в себя микросхемы BIOS и CMOS-памяти не жестко запаянные в материнскую плату, а размещенные в так называемых «кроватках», откуда их можно было легко удалить с помощью пинцета. В таких компьютерах для удаления пароля достаточно было вытащить на несколько минут микросхемы из «кроватки» и затем вставить обратно.
231
Если на материнской плате батарейка отсутствует, то нужно найти пластмассовый модуль с надписью «DALLAS» (монолитный блок с батарейкой и микросхемой CMOS) — перемычка сброса установленных параметров может находиться возле него.
Если на обыскиваемом компьютере установлен BIOS фирмы Award, то необходимо использовать так называемый «инженерный» (или «системный») пароль AWARD_SW или ряд других, предустановленных фирмами производителями.
В случае если все предложенные варианты не привели к желаемому результату, то можно попробовать отключить все гибкие и жесткие диски и попробовать включить компьютер. Стандартная логика работы большинства программ включенных в BIOS такова, что не обнаружив ни одного из устройств, где может находиться операционная система, компьютер сам предложит войти в режим ручной настройки, где можно будет попытаться отключить установленный ранее пароль.
Однако ни что и ни кто не стоит на месте. Фирмы производители аппаратного обеспечения серьезно озабочены модернизацией своих систем защиты информации. Перечисленные выше способы преодоления защитных барьеров актуальны лишь для «ранних» персоналок на основе процессорных наборов Intel Pentium I и 80486 и не будут «работать» для современных компьютеров.
Тем не менее не стоят на месте и технологии преодоления механизмов, так что время затраченное следователем (в порядке собственного самообразования в сфере информационных технологий) на освоение этих способов с лихвой окупится тем психологическим эффектом, который оказывается на лицо у которого производится обыск, когда следователь легко и непринужденно, всего за несколько минут, преодолевает защитный барьер, который считался исключительно устойчивым.
При проведении обыска следователь может ограничиться лишь изъятием добровольно выданных предметов, документированной информации и
232
не производить дальнейших поисков. Данное положение, достаточно экзотичное при расследовании «традиционных» преступлений становится весьма актуальным при расследовании преступлений в сфере компьютерной информации.
При этом к традиционно рассматриваемым ситуациям, при которых следователю целесообразно использовать названное право177:
«а) производство обыска, направленного на изъятие совершенно определенных предметов, ценностей или документов у лиц, непосредственно не причастных к совершению преступления;
б)	производство обыска у лиц, чья преступная деятельность, как предполагается на данный момент следователем, ограничена конкретным эпизодом (или эпизодами), связанным с искомыми предметами или документами;»
добавляется ряд дополнительных ситуаций, обусловленных спецификой среды проведения обыска и физической природы искомых объектов и документов:
в)	производство обыска невозможно завершить в обозримые сроки из-за:
•	огромного количества информации, которую необходимо просмотреть. Так, например, существуют автоматизированные системы, насчитывающие сотни компьютеров и огромное количество носителей информации, при этом совокупный объем хранимой на них информации не могут оценить даже специалисты занимающиеся эксплуатацией данной автоматизированной системы. Примером таких систем являются автоматизированные системы биржевых торгов, крупных кредитно-финансовых учреждений, автоматизированные системы пейджинговой и сотовой телефонной связи.
•	постоянного обновления информации и невозможности прервать функционирование автоматизированной системы. Примерами таких автоматизированных информационных систем является системы автоматизированного управления региональными энергосетями, крупными телефоннокоммутационными станциями и т.п. Темп изменения состояния таких систем
233
крайне высок, а отключить их не представляется возможным, т.к. потери от этого будут гораздо больше стоимости ущерба от расследуемого преступления.
г)	производство обыска невозможно в связи с размещением искомой компьютерной информации вне сферы юрисдикции российского законодательства. Так, становится весьма традиционным способ размещения преступником «критичной» информации не на собственном компьютере, а на бесплатном почтовом сервере где-нибудь в США, Франции или Южной Америки. В этом случае преступник открывает почтовый ящик на бесплатном почтовом Web-сервере, устанавливает на него пароль и посылает на него (самому себе) электронную почту с «критичной» информацией, где она может лежать сколько угодно и будет недоступна российским правоохранительным органам.
В двух приведенных ситуациях исключительно важно правильно зафиксировать в протоколе обыска факт того, что выдано все имеющее отношение к расследуемому преступлению в сфере компьютерной информации и « запрашиваемое следователем.
В связи с этим необходимо подчеркнуть необходимость четкого указания целей обыска в постановлении о его проведении. Отсутствие четкого понимания того что же пришли искать и изымать, выраженное в типовых формулировках «предметы и документы, имеющие отношение к преступлению ...», приводит с одной стороны к проведению обыска с неясными целями («найдем, что попадется»), а с другой стороны к неоправданному вмешательству в сферы, не имеющие отношения к расследуемому преступлению (ознакомление с личной перепиской по электронной почте и т.п.).
Приведенные ситуации, когда следователь может (или вынужден) ограничиться лишь изъятием добровольно выданных предметов и компьютерной информации приближает обыск к другому наиболее близкому ему следственному действию — выемке.
'/7 См.: Баев О.Я. Тактика следственных действий — Воронеж: НПО «Модек», 1995.
234
Однако опыт расследования ряда уголовных дел в сфере компьютерной информации показал, что в данном случае, кроме традиционных мест и объектов выемки, которые неоднократно и подробно рассмотрены в специальной криминалистической литературе, следователь сталкивается с новыми объектами и новыми местами проведения выемок. В частности это касается электронной корреспонденции и информации расположенной на удаленной серверах в различных информационных сетях.
Так, при расследовании одного из первых уголовных дел в сфере компьютерной информации в отношении Гоярчука из Южно-Сахалинска, следователи столкнулись с необходимостью выемки электронной корреспонденции из электронного почтового ящика, который был использован Гоярчуком для рассылки от имени телекоммуникационной компании некоторым пользователям электронной почты письма с просьбой сообщить все свои реквизиты, в том числе и учетные имена сети ИНТЕРЕТ и используемые пароли.
Это письмо было разослано с электронного адреса SAKHMAIL@CHAT.RU, который был зарегистрирован на сервере CHAT.RU. Найти владельцев этого сервера в Москве, для того чтобы определить IP адреса, с которых выполнялось соединение по POP3, не удалось не только заинтересованным в расследовании техническим специалистам, но и сотрудникам ФСБ, которые вели следствие178.
Приведенная ситуация является весьма показательной, т.к. высокая цена услуг электронной почты у местных провайдеров приводит к тому, что большинство пользователей, сети ИНТЕРНЕТ стараются открыть собственные почтовые ящики на бесплатных серверах. Причем такие бесплатные сервера совсем недавно стали создаваться в российской части сети ИНТЕРНЕТ. Более ранние пользователи использовали бесплатные сервера расположенные в США, Европе и Южной Америке. Не трудно догадаться, что доступ
178 Крылов В.В. Расследование преступлений в сфере информации. — М.: Издательство «Городец», 1998. С. 255 — 263. Согласиться с таким утверждением вряд ли представляется возможным, т.к. технических проблем для выяснения места нахождения соответствующих почтовых ящиков, особенно на территории Российской Федерации, просто не существует.
235
российским правоохранительным органам к таким почтовым ящикам электронной почты существенно затруднен (или практически невозможен). Весьма показательными в этом плане являются результаты опроса посетителей сайта компьютерного еженедельника «Компьютерра» о том где размещена их личная домашняя страничка (рис. 3.5) и каким образом они получают электронную почту (рис. 3.6)179. В первом опросе, проводившемся с 5 января по 8 февраля 1999 года приняло участие 241 человек, а во втором, проводившемся с 24 июня по 29 июня 1999 года — 366 человек.
□	в России
В в СНГ
□	вне СНГ
□	нет страницы
Рис. 3.5. Размещение личной домашней странички российских пользователей ИНТЕРНЕТ.
В Свой провайдер S Другой провайдер □ Сисадмин на работе □ Через Web-mail  нет почты
Рис. 3.6. Варианты получения электронной почты российскими пользователями ИНТЕРНЕТ.
Приведенные результаты опроса показывают, что на сегодняшний день мы имеем дело с активным использованием российскими пользователями зарубежных информационных серверов и почтовых ящиков, как заурядным инструментом своей повседневной деятельности. При этом действующий
1 9 www.computerra.ru
236
УПК не устанавливает каких-либо специфических норм, касающихся выемки электронной корреспонденции, а вынуждает пользоваться статьей о «выемке почтовой и телеграфной корреспонденции» (ст. 174 УПК РСФСР). Наличие существенных отличий электронной почты от «традиционной» почтовой корреспонденции, обусловленных как самой природой электронной корреспонденции, так и различными формами осуществления деятельности по доставке данной корреспонденции (от государственных юридических лиц — телефонных компаний и провайдеров информационных сетей, до физических лиц, размещающих на своем персональном компьютере узел любительской информационной сети) вызывает настоятельную необходимость разработки и внесения в действующий УПК РСФСР статьи 1751 «Арест и выемка сообщений электронной почты и другой компьютерной информации, передаваемой по сетям документальной связи».
Затронутый вопрос является исключительно сложным и, к сожалению, практически не проработан в специальной литературе. Рациональные процессуальные формулировки данной статьи не могут быть корректно и однозначно описаны без привлечения специальных технических понятий и ряда новых категорий, что невозможно без существенного изменения и дополнения всего уголовно-процессуального кодекса. При этом вполне приемлемым вариантом будет создание отдельной главы, полностью посвященной процессуальным особенностям расследования преступлений в сфере компьютерной информации, а также обращению с компьютерной информацией при расследовании «традиционных» преступлений.
До разработки и принятия самостоятельной главы УПК отдельные (не терпящие отлагательства) процессуальные моменты могут быть учтены внесением изменений в действующие статьи УПК РСФСР.
Так, например, существующую статью 174 УПК РСФСР представляется целесообразным изложить в следующей редакции:
237
Статья 174. Выемка почтово-телеграфной корреспонденции
«Наложение ареста на почтово-телеграфную и электронную коррес
понденцию, а также другую компьютерную информацию, получаемую по сетям документальной связи и выемка ее в почтово-телеграфных учреждениях, а также организациях и у лиц, предоставляющих услуги доступа в информационные сети, через которые доставляется электронная корреспонденция и другая компьютерная информация, передаваемая по сетям документальной связи, производится только с санкции прокурора либо по определению или постановлению суда.
При необходимости наложить арест на корреспонденцию и произвести ее осмотр и выемку следователь выносит об этом мотивированное постановление. В постановлении о наложении ареста на электронную корреспонденцию должна быть указана исчерпывающая информация, обеспечивающая однозначную идентификацию субъекта доступа в информационную сеть или к электронной корреспонденции и максимально точный срок с которого накладывается арест и за какой срок до момента наложения ареста должна быть сохранена вся корреспонденция и другая компьютерная информация адресованная указанному субъекту доступа.
Для наложения ареста на почтово-телеграфную корреспонденцию, после санкционирования прокурором или его заместителем указанного постановления, следователь направляет надлежащему почтово-телеграфному учреждению постановление и предлагает задерживать почтовую корреспонденцию и уведомляет о времени своего прибытия для производства осмотра и выемки задержанной корреспонденции.
Для наложения ареста на электронную корреспонденцию после санкционирования прокурором или его заместителем указанного постановления следователь направляет соответствующим организациям или лицам, предоставляющим услуги доступа в информационные сети, через которые доставляется электронная корреспонденция и другая компьютерная информация, передаваемая по сетям документальной связи, постановление и предла-
238
гаетп заблокировать доступ указанного в постановлении субъекта и обеспечить хранение адресованной ему электронной корреспонденции и другой компьютерной информации с соблюдением режима конфиденциальность и целостности.
Осмотр и выемка почтовой корреспонденции производится в присутствии понятых из числа работников почтово-телеграфного учреждения. В необходимых случаях для участия в производстве выемки почтовотелеграфной корреспонденции следователь вправе вызвать соответствующего специалиста.
Осмотр и выемка электронной корреспонденции, а также другой компьютерной информации, передаваемой по сетям документальной связи производится в присутствии представителя организации или лица, предоставляющего услуги доступа в информационные сети и с участием соответствующего специалиста. Присутствующие при проведении осмотра и выемки электронной корреспонденции понятые должны обладать определенными знаниями в сфере информационных технологий и не должны быть работниками организации предоставляющей услуги доступа в информационные сети, через которые доставляется электронная корреспонденция и другая компьютерная информация.
Наложение ареста на корреспонденцию отменяется постановлением следователя, когда в применении этой меры отпадает дальнейшая необходимость.»
Содержание приведенной статьи содержит ряд положений которые необходимо пояснить более подробно.
Так, конкретизация определенных требований к понятым делает положения данной статьи весьма сложно выполнимыми. Однако, не соблюдение хотя бы одного из предъявленных требований выхолащивает весь смысл присутствия понятых при проведении данного следственного действия. Если понятые ничего не понимают в информационных технологиях и вычислительной технике, то, во-первых, следователь (или специалист, участвующий
239
в проведении осмотра и выемки), на их глазах может «фабриковать» любые факты, под которыми они потом поставят свою подпись, а во-вторых, трудно представить себе связанный рассказ понятого, о том что же он видел, если его в последствии вызовут в судебное заседание для дачи показаний в качестве свидетеля.
Существенные изменения общественно-экономической формации, произошедшие в нашей стране привели к тому, что практически все провайдеры информационных сетей представляют собой негосударственные коммерческие организации или даже являются физическими лицами (в случае любительских сетей типа FIDONet). Причем для организации и для физического лица возникают свои особенности в ограничениях на возможный круг лиц привлекаемых в качестве понятых.
Коммерческие организации, предоставляющие доступ в информационные сети (провайдеры) находятся в тесных финансовых взаимоотношениях со своими клиентами (особенно с крупными) и зачастую получают определенные вознаграждения за качество и конфиденциальность предоставляемых услуг. В связи с этим нарушаются требования не заинтересованности понятого в исходе того или иного следственного действия.
Для провайдера — физического лица характерно то, что он, как правило, является добровольцем и выполняет свои обязанности по приему, обработке и передаче электронной корреспонденции и другой компьютерной информации совершенно бесплатно и по собственной инициативе. В связи с этим он волен выбирать из всех желающих воспользоваться его услугами провайдера того, кого он захочет. В результате такого отбора между провайдером и конечным пользователем складываются достаточно теплые взаимоотношения, которые подкрепляются периодическими неформальными встречами («сисопками»). Таким образом, провайдер, как правило (хотя бывает и анонимное предоставление адреса и доступа, особенно на первых порах), знает того, кому он предоставляет возможность доступа в информационную
240
сеть и находится с ним в приятельских отношениях, что нарушает условия возможности использования его самого в качестве понятого.
Наиболее характерным примером такой сети является сеть ФИДО, которая только в Воронежской зоне (2:5025) существует с начала 90-х годов и в настоящее время, несмотря на активное наступление ИНТЕРНЕТ с его колоссальными возможностями все еще насчитывает несколько сотен пользователей (пойнтов) и несколько десятков узлов (нод), фактически являющихся провайдерами различного уровня.
Отдельно необходимо остановиться и на требовании указывать в постановлении о наложении ареста на электронную корреспонденцию исчерпывающей информации, обеспечивающая однозначную идентификацию субъекта доступа в информационную сеть или к электронной корреспонденции на которую накладывается арест. Технологические возможности современных информационных сетей настолько велики, что один и тот же человек может иметь несколько сетевых идентификаторов входа в эти сети («логинов») и для каждого из этих «логинов» может быть открыто несколько почтовых ящиков. В связи с этим накладывая арест на электронную корреспонденцию и информацию передаваемую по сетям документальной связи следователь должен четко представлять в отношение какого лица и через какие его «точки взаимодействия» с информационной сетью он производит следственные действия.
Указание точного срока наложения ареста на электронную корреспонденцию и другую компьютерную информацию, передаваемую по сетям документальной связи необходимо в связи с тем, что практически все современные программно-технические средства узла информационной сети (к которому подключены конечные пользователи) обеспечивают хранение в течение определенного срока (этот срок устанавливается при настройке почтовой или иной системы) всего передаваемого конкретному адресату трафика. При этом у конечного пользователя существует возможность скачать еще раз всю
241
корреспонденцию за прошедшие несколько дней или часов (в зависимости от настройки).
Несмотря на всю сложность и процессуальную неурегулированность данного следственного действия в настоящее время существуют определенные предпосылки их успешного проведения. Так, в лицензиях всех провайдеров информационных сетей всегда присутствовала фраза: «Сеть должна отвечать эксплуатационно-техническим требованиям по обеспечению и проведению оперативно-розыскных мероприятий в соответствии с Законом Российской Федерации «Об оперативно-розыскной деятельности в Российской Федерации». Однако реально до сих пор никто не требовал строгого и неукоснительного соблюдения этого пункта. Проведенное Россвязьнадзором переоформление лицензий провайдеров в качестве одного из основных его условий включало внедрение специальной аппаратуры контроля в соответствии с утвержденными техническими требованиями.
Следователь вправе вскрывать запертые помещения и хранилища, если владелец отказывается добровольно открыть их, избегая при этом не вызываемого необходимостью повреждения запоров, дверей и других предметов. Установленное уголовно-процессуальным законом право принудительного выполнения определенных действий следователем обусловлено спецификой такого следственного действия как обыск, однако его применению должно предшествовать убеждение лица, в чьем присутствии производится обыск в необходимости и целесообразности добровольно предоставить доступ в автоматизированную систему или к отдельному информационному файлу.
Как было сказано ранее, наиболее целесообразным действием следователя в случае отказа в добровольном предоставлении следователю доступа в автоматизированную информационную систему, является изъятие данного средства вычислительной техники и направление его на компьютернотехническую экспертизу. При этом следует помнить, что в случае включения изымаемого средства в локальную вычислительную сеть и/или глобальную информационную сеть ИНТЕРНЕТ необходимо получить данные о роли и
242
месте данного компьютера в локальной сети, а также способ и используемые параметры («логины», пароли и т.п.) подключения. Такие данные могут предоставить системный администратор локальной вычислительной сети и сотрудник фирмы-провайдера, обеспечивающей доступ в сеть ИНТЕРНЕТ.
В случае, когда изъятие средств вычислительной техники по каким-либо причинам невозможно, а обыскиваемый или лицо, присутствующее при обыске, отказывается добровольно предоставить доступ в автоматизированную информационную систему может быть использован тактический прием, основанный на реальной угрозе изъятия всех имеющих отношение к предмету обыска.
Например, оборудование локальной вычислительной сети фирмы провайдера, предоставляющей услуги доступа в ИНТЕРНЕТ представляет достаточно сложную систему, состоящую, как правило, из нескольких десятков модемных пулов, локальной вычислительной сети с десятком компьютеров и нескольких серверов на компьютерах повышенной мощности. При этом модемные пулы размещаются в специальных шкафах-стойках, имеющих внушительные размеры, установленные на своих местах серверы и компьютеры соединены линиями связи (коаксиальным кабелем, витой парой или оптоволокном), которые уложены в магистрали и размещены под фальш-потолком, фальш-полом или специальных пластиковых коробах. Размеры дисковой памяти, используемой в работе такой фирмы достаточно трудно оценить даже приблизительно, но сказать, что они будут достаточно велики, можно с определенностью.
В представленных условиях принудительное проведение обыска в условиях отказа в добровольном предоставлении доступа к интересующим следователя сведениям и информации обречено на провал, т.к. для того чтобы просто просмотреть всю имеющуюся компьютерную информацию зачастую не хватит всего установленного законом времени на предварительное следствие. Как показала практика, наиболее рациональным в данном случае, оказывается демонстрация реальности намерений в изъятии всей имеющейся вы
243
числительной техники и направлении ее на компьютерно-техническую экспертизу.
Для этого следователь должен со ссылкой на закон (УПК РСФСР) разъяснить обыскиваемому свое право на принудительное вскрытие объектов и их осмотр, а также то, что несогласие на это обыскиваемого может привести к повреждению или порче вскрываемого объекта. Больший психологический эффект производит факт ознакомления с данным положением под роспись в протоколе обыска.
После этого следователь должен поручить одному из участников обыска начать выемку линии связи и отключение всех имеющихся соединений. При этом, для минимизации ущерба своими действиями, лучше всего начинать с менее значимого (с точки зрения сути расследуемого преступления) компьютера, например, рабочего места бухгалтера при расследовании преступления о создании и распространении вредоносных программ. Как правило, после первого метра, извлеченного из под фальш-пола или фальшпотолка соединительного кабеля лицо у которого производится обыск либо «добровольно» предоставляет доступ к интересующей следователя информации, либо просит определенную паузу и запрашивает об этом другое «компетентное» лицо (системного администратора, директора или собственника). Важной особенностью описываемой ситуации, является то, что следователь на протяжение всего времени проведения обыска должен следить за отсутствием какой-либо возможности уничтожить любую информацию в интересующей его автоматизированной системе.
Следователь обязан принимать меры к тому, чтобы не были оглашены выявленные при обыске обстоятельства интимной жизни лица, зани-маюгцего данное помещение, или других лиц. Приведенное в законе требование как никогда актуально при расследовании преступлений в сфере компьютерной информации. Так в настоящее время компьютер представляет собой средство, которое используется не только для работы, но также для отдыха, развлечений и самых неожиданных приложений.
244
Свобода доступа к информации в сети ИНТЕРНЕТ, возможность остаться анонимным приводит к максимальной раскрепощенности личности и реализации самых затаенных своих желаний. Так при обыске и осмотре информации на компьютере, подключенном к сети ИНТЕРНЕТ могут быть обнаружены и порнографические изображения, копии информационного обмена в «чатах» (беседах в режиме on-line), следы посещения владельцем компьютера сайтов различных религиозных объединений и т.п. В данном случае следователь должен четко действовать в рамках ст. 12 УПК и ст. 23 Конституции Российской Федерации охраняющих тайну личной жизни.
Соблюдение требований закона в данном случае может достигаться не только привлечением в качестве понятых, специалиста, а также других участников следственного действия незнакомых лиц, но и не акцентированием их внимания на обнаруженных информационных материалах касающихся личной жизни граждан. В случае же невозможности достижения цели следственного действия без ознакомления с определенной информации следователь должен предупредить участвующих лиц о недопустимости разглашения ими полученной информации (в порядке статьи 139 УПК Российской Федерации).
Следователь вправе запретить лицам, находящимся в месте производства обыска либо приходящим туда, покидать его, а такз/се сноситься друг с другом или иными лицами до окончания обыска. Данное предоставленное уголовно-процессуальным законом право при расследовании преступлений в сфере компьютерной информации, на наш взгляд, трансформируется в обязанность. Это обусловлено исключительной хрупкость следов в «кибернетическом пространстве» и возможностью их безвозвратного уничтожения за очень короткий промежуток времени.
Однако, реализуя данное требование следователь должен изолировать лиц, находящихся на месте проведения обыска от возможности взаимодействия со средствами вычислительной техники и линиями связи. Это достаточно трудная задача, особенно учитывая пространственный размах размещения автоматизированной информационной системы (например, автоматизиро
245
ванная информационная система в банке может занимать несколько этажей крупного здания, а линии межмашинной связи проходить по всему зданию, в том числе через чердак и подвал).
Решение данной задачи возможно либо путем изоляции всех сотрудников в отдельных помещениях (без средств вычислительной техники), что практически мало реализуемо, либо расстановкой в каждом помещении, где установлены средства вычислительной техники, сотрудников органа дознания с задачей не допустить взаимодействия кого-либо с автоматизированной информационной системой без разрешения следователя. Для этого на подготовительном этапе перед проведением обыска следователь должен знать план размещения вычислительной техники в автоматизированной информационной системе, подвергаемой обыску, а также пригласить и проинструктировать необходимое количество сотрудников. В случае ограниченных возможностей следователя, основные усилия необходимо направить на помещения, в котором размещены серверы и, в первую очередь, изолировать лиц, выполняющих роль системного администратора (обладающих привилегированными правами доступа в сеть).
Следователь вправе подвергнуть личному обыску лиц, находящихся в помещении или ином месте, в котором, производится обыск, при наличии оснований полагать, что они скрывают на себе предметы или документы, могущие иметь значение для дела. Данное положение является традиционным, неоднократно рассмотрено в специальной литературе и особой специфики при расследовании преступлений в сфере компьютерной информации не имеет. Более того, в данном случае менее актуальна рекомендация начинать обыск именно с личного обыска, т.к. опыт расследования данного вида преступлений показал, что совершают такие «беловоротничковые» преступления люди малоагрессивные и зачастую не способные к активному физическому противодействию следователю, а имеющие значение для следствия предметы не носят в одежде.
246
Особенностью личного обыска может быть вид предметов, на которые следователь должен обратить внимание (рис. 3.7).
Рис. 3.7. Внешний вид устройств идентификации и HASP-ключей.
Это в первую очередь различные магнитные носители информации, а также различные «ключи доступа» — от пластиковых магнитных карточек, до Hasp-ключей (специальных блоков), вставляемых в слоты или подключаемых к портам компьютера.
3.3.	Особенности осмотра отдельных видов компьютерных объектов
Осмотр отдельных видов компьютерных объектов (вычислительной техники) как правило включает в себя несколько последовательных этапов:
1.	Осмотр непосредственно средства вычислительной техники как материального объекта (без подключения электропитания).
2.	Осмотр конфигурации и настройки средства вычислительной техники.
3.	Осмотр информации хранимой на магнитных носителях, размещенных на осматриваемом средстве вычислительной техники или образующих единый с ним комплект.
247
4.	Осмотр доступных информационно-вычислительных ресурсов и электронной корреспонденции (в случае подключения осматриваемого средства вычислительной техники к какой-либо информационной сети).
Следует заметить, что приведенная последовательность выполняемых действий представляется оптимальной и обусловлена техническими особенностями конструкции и эксплуатации средств вычислительной техники.
Задачи осмотра. Общими практически для всех видов преступлений в сфере компьютерной информации задачами осмотра средств вычислительной техники на наш взгляд могут быть:
•	Сбор «традиционных» следов пользования средством вычислительной техники: отпечатки пальцев, микрочастицы одежды, серийные номера комплектующих, характерные повреждения;
•	Определение комплектности и состава средства вычислительной техники, а также оценка его потенциальных возможностей;
•	Оценка состояния средства вычислительной техники (новое/бывшее в употреблении, год выпуска и т.п.) и оценка его приблизительной стоимости;
•	Фиксация наиболее подходящим способом (на схеме, фотографии, видеосьемке) расположения средства вычислительной техники на объекте информатики (в помещении) и его взаимосвязей с другими средствами информатики и материальными объектами.
•	Оценка потенциальных возможностей использования осматриваемого средства вычислительной техники для работы в информационных сетях и сбор «информационных» следов этой деятельности.
Специальные средства, используемые при проведении осмотра. Как указывалось ранее, средства вычислительной техники представляют собой достаточно специфический криминалистический объект требующих специальных приспособлений и приемов проведения его осмотра. В связи с этим при проведении осмотра большую помощь может оказать специально сформированный набор инструментов, специализированных компьютеров, технических и программных средств, а также набор каталогов и справочник по вы
248
числительной технике — ToolBox криминалиста (широко использующийся в информатике термин от английских терминов: Tools — утилиты, средства, приспособления и Box — ящик) криминалиста. Требования к набору и характеристикам таких средств в настоящее время еще не сформированы, однако они могут быть определены исходя из перечня объектов программного технической экспертизы и решаемых ею задач
Названный набор, на наш взгляд должен включать:
•	Специализированный малогабаритный персональный компьютер обеспечивающий возможность подключения отдельных элементов осматриваемого (исследуемого) средства вычислительной техники. Таким специализированным компьютером может быть переносной компьютер типа Notebook, с выведенными на корпус и подготовленными контактами и разъемами (электропитания, шинами PCI, ISA и т.п.) для подключения осматриваемых компонент.
•	Набор инструментов обеспечивающих очистку (малогабаритные и маломощные пылесосы, специальные салфетки) и разборку корпусов средств вычислительной техники (комплект отверток и фасонных ключей с различными наконечниками, специальные плоскогубцы, зажимы и т.п.), а также демонтаж их соединений в локальные вычислительные сети. Основой такого набора могут служить широко используемые в настоящее время электромонтажные комплекты инструментов западных фирм.
•	Набор измерительных приборов для регистрации характеристик электрических и магнитных полей. Такими приборами являются вольтметры, амперметры, омметры, осциллографы и т.п. с набором средств их подключения к электрическим компонентам вычислительной системы.
•	Набор тестовых программных средств для определения состава, характеристик и режимов настройки аппаратного и общего программного обеспечения (операционные системы, драйвера и т.п ). В настоящее время
l	i<0 Российская Е.Р. Судебная экспертиза в уголовном, гражданском и арбитражном процессе. — М., 1996. — С. 173 — 179.
249
существует огромное количество таких средств - Checklt, Dr.Hardware Sysinfo, Microsoft Diagnostic, Norton Diagnostic, PC-Doctor Diagnostic и т.п. Широкое распространение получили специально подготовленные загружаемые лазерные компакт диски с программным обеспечением диагностики и тестирования аппаратного и программного обеспечения семейства «Реаниматор» и ряд других.
• Набор программных средств поиска программных вирусов и вредоносных программ. В настоящее время существует огромное количество отечественных и зарубежных программных средств поиска программных вирусов и вредоносных программ, обладающих своими сильными и слабыми сторонами — AVP, Advanced Diskinfoskop, QuarterDeck ViruSweep и т.п. Однако, как показала практика использования таких средств для решения задач осмотра места совершения преступления в сфере компьютерной информации, наиболее подходящими являются программные продукты AVP, Aidstest или DrWeb. Выбор этих средств объясняется рядом факторов основными из которых являются следующие:
а)	они отечественной разработки и могут быть легко модифицированы авторами для решения специфических криминалистических задач;
б)	они ведут запись результатов своей работы, которая может быть приобщен к протоколу следственного осмотра;
в)	они распознают практически все наиболее распространенные именно в нашей стране программные вирусы и регистрируют факты использования их несущественных модификаций;
г)	они не требуют значительных вычислительных ресурсов (быстродействия процессора и объема оперативной памяти) для своей работы.
•	Набор программных средств просмотра содержимого файлов различного формата (аналог программ типа «Крот»),
•	Набор средств вскрытия паролей и шифров для анализа защищенных файлов данных или прикладных программ.
250
•	Набор программных средств анализа событий в вычислительной системе. Такими средствами в первую очередь являются отладчики и интегрированные дизассемблеры. Они, как правило, представляют собой программные продукты (такие как IDA, Sysshell, Sourser и т.п.), но также могут включать и аппаратные компоненты (Periscop и т.п.). Основное их назначение это обнаружение заданного набора машинных инструкций в исполняемой программе для ЭВМ, либо обнаружение фрагмента программного кода содержащего обращение к интересующему участку памяти (например порту какого-либо внешнего устройства). Применение этих средств на месте осмотра позволит достаточно быстро установить наличие нестандартных вставок (факты доработок программного обеспечения) в процедуры обработки типовых событий в вычислительных системах и наличие недокументированных (скрытых) функций в используемом программном обеспечении.
•	Набор каталогов и справочников программного и аппаратного обеспечения (стандартные комплектации и их характеристики) с указанием текущей рыночной цены. Быстрое изменение поколений средств вычислительной техники, а также модификаций их комплектующих (видеокарт, материнских плат, процессоров и т.п.) приводит к тому, что создание бумажного варианта такого каталога (по аналогии со справочником холодного или огнестрельного оружия) вряд ли целесообразно. В данном случае намного будет предпочтительно создание электронной базы данных по основным элементам вычислительных систем, их маркировке, модификации и основных технических характеристик. Учитывая что практически все сколь-нибудь серьезные производители программного и аппаратного обеспечения имеют свою страничку (сайт) во всемирной информационной сети ИНТЕРНЕТ, где они помещают свои новинки и информируют об особенностях своей продукции, то представляется возможным создание специализированной программы, которая в полуавтоматическом (или в худшем случае автоматизированном) режиме просматривала все странички ИНТЕРНЕТ фирм производителей и формировала единый универсальный каталог средств вычислительной техники их
251
комплектующих и программного обеспечения. При таком подходе и благодаря использованию ИНТЕРНЕТ можно добиться использования единого каталога всеми специалистами правоохранительных органов и очень оперативно (вплоть до ежедневной актуализации) отслеживать происходящие в мире изменения.
Несмотря на то, что рассмотренный комплект средств (ToolsBox криминалиста) может быть сформирован уже в настоящее время из отдельных существующих элементов, на наш взгляд, было бы весьма полезным создание универсального интегрированного программно-аппаратного средства предназначенного для решения всего спектра криминалистических задач специфических для расследования преступлений в сфере компьютерной информации.
Специфическим моментом осмотра отдельных видов компьютерных объектов является использование специальных инструментов, технических и программных средств. Каждый факт использования таких средств (в соответствии с требованиями статьи 141 УПК РСФСР) должен быть отражен в протоколе с указанием его особенностей. Например, если содержимое винчестера определялось с использованием стандартного программного средства (например Norton Commander, или команды операционной системы MS-DOS — dir), то необходимо указать:
•	как она появилась на осматриваемом средстве вычислительной техники (была установлена ранее или установлена лицом проводившем осмотр);
•	как осуществлялся запуск этого программного средства (все передаваемые параметра, опции и установки). Так, например программа просмотра файлов в Norton Comander может быть настроена таким образом, что она не будет показывать наличие так называемых «скрытых» файлов (помеченных специальным образом в файловой системе);
•	каким образом осуществлялся вывод результатов осмотра (на экран, в файл, на печатающее устройство и т.п.) и каким образом результаты осмотра (это, как правило файл с данными или текстовый файл) были приобщены к
252
протоколу осмотра (копирование на магнитный носитель, распечатка на бумаге и т.п.).
В заключительной части протокола осмотра при расследовании преступлений в сфере компьютерной информации кроме традиционных записей (о характеристиках использовавшихся фотоматериалов и фотоаппарата, изъятых объектах и следах, а также замечаний участников осмотра по поводу произведенных действий) следует указать:
•	количество полученных изображений с помощью цифрового фотоаппарата, их размер (в байтах) и формат представления;
•	номер или другой идентификационный признак носителя информации на котором записаны результаты фото или видео съемки;
•	открытые атрибуты цифровой подписи использовавшейся для фиксации результатов осмотра на магнитном носителе;
Таким образом, подводя итог всему сказанному выше можно сформулировать следующие предложения о порядке и форме документирования результатов следственного осмотра:
•	Протокол следственного осмотра следует оформлять в виде единого гипертекстового документа181, представленного на магнитном или оптическом носителе, включающего результаты фото-, видео- съемки и звукового сопровождения (комментариев следователей и специалистов проводивших отдельные действия) и организованном в виде иерархического описания от обзорной информации и отдельных элементов, до детальной информации по каждому из названных объектов осмотра;
•	Для фиксации неизменности результатов осмотра, представленных в цифровом виде целесообразно применение технологии цифровой подписи;
•	Для фиксации результатов осмотра необходимо широкое применение цифровых фотоаппаратов и цифровых видеокамер, обеспечивающих получе
lsl Компьютерные технологии в юридической деятельности. Учебник и практическое пособие: Под ред. проф. Н. Полевого, канд. юрид. наук В, Крылова. -М.: Издательство БЕК, 1994.
253
ние изображений и видеоряда в виде цифровых файлов пригодных для хранения на магнитных (оптических) носителях;
•	Для придания юридической силы протоколу следственного осмотра, представленному на магнитном (оптическом) носителе необходимо придерживаться положениями ГОСТ СССР 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники».
Примеры отдельных протоколов следственного осмотра приведены в приложении.
Осмотр персональных (настольных) и малогабаритных ЭВМ.
Наиболее распространенным классом современных средств вычислительной техники являются персональные ЭВМ типа IBM PC. Несмотря на свои незначительные размеры они по всем параметра существенно превосходят широко распространенные до недавнего времени в нашей стране большие ЭВМ серии ЕС. Учитывая, что особенности осмотра большинства периферийных (внешних) средств, подключаемых к персональных ЭВМ будут рассмотрены ниже, то мы остановимся на двух его основных элементах -системном блоке и мониторе.
Системный блок представляет собой основу персонального компьютера и включает в себя практически все основные элементы компьютера: материнскую плату с процессором, приводы магнитных дисков (размером 5,25” и/или 3,5”), привод лазерных компакт дисков, винчестер, звуковую карту и т.п. Монитор обеспечивает визуализацию текстовой и графической информации.
Для целей рассмотрения методики проведения следственного осмотра персональной ЭВМ целесообразно выделить следующие основные состояния:
1.	Осмотр компьютера производится на месте совершения преступления в сфере компьютерной информации:
а)	осматриваемый компьютер включен (находится в рабочем состоянии);
б)	осматриваемый компьютер выключен.
254
2.	Осмотр компьютера производится вне места совершения преступления в сфере компьютерной информации (например, осмотр изъятого в ходе проведения следственного действия).
Общий алгоритм осмотра системного блока персонального компьютера может быть представлен следующим образом:
Шаг 1. Внешний осмотр системного блока. Внешний осмотр системного блока следует начинать как правило с тыльной его стороны. Тыльная стороны системного блока содержит все основные электрические выводы периферийных устройств, кабели электропитания, сетевые кабели, провода заземления и т.п.
При проведении осмотра системного блока следует искать отпечатки пальцев пользователей данного компьютера на кнопках и флажках извлечения магнитных дисков, кнопке извлечения лазерных компакт дисков, кнопках «POWER», «TURBO» и «RESET», а также с тыльной стороны корпуса, возле краев защитного кожуха системного блока в области винтов крепления.
При выполнении данного шага осмотра следует обратить внимание и при необходимости отразить в протоколе следственного действия:
•	какие разъемы были задействованы и с какими внешними устройствами они были связаны, с измерением (ориентировочным) длины соответствующих соединений;
•	аккуратность подключения соединительных проводов (затянуты ли крепежные винты, использованы ли проволочные фиксаторы соединения и т.п.);
•	наличие характерных царапин, сколов, загибов и иных повреждений на соединительных элементах и разъемах системного блока;
•	наличие свободных фрагментов для подключения внешних устройств и их защита от внешних воздействий (установление металлических заглушек, заклейка липкой лентой и т.п.).
Данные сведения могут оказать следователю определенную помощь, так как они в определенной степени характеризуют пользователя компьютера (его аккуратность, строго следование стандартным предписаниям и т.п.) и
255
дают информацию о типовых вариантах использования осматриваемого компьютера (служил ли он интеллектуальной печатающей машинкой, был ли почтовым сервером, или тем и другим одновременно и т.п ).
Шаг 2. Отсоединение электрических связей и вскрытие корпуса системного блока. Первым следует отсоединить провод обеспечивающий подачу электропитания в системный блок, затем соединения обеспечивающие подачу электропитания от системного блока к внешним устройствам (монитору, принтеру и т.п.). Отсоединение остальных связей системного блока следует производить один за другим сверху вниз. Перед переходом к следующему шагу осмотра необходимо убедиться в полном отсутствии какого либо напряжения на корпусе или выходах системного блока, например от внутренней батарейки материнской платы или других автономных источников тока помещенных внутрь системного блока. Эту операцию можно выполнить с использованием стандартных устройств измерения напряжений. Необходимость выполнения данной операции обусловлена существованием и использованием в некоторых случаях средств защиты информации срабатывающих от вскрытия корпуса (разрыва соответствующей электрической цепи) и уничтожающей информацию на магнитных носителях (винчестерах).
При выполнении данного шага осмотра следует обратить внимание и при необходимости отразить в протоколе следственного действия:
•	наличие механизма защиты корпуса системного блока от вскрытия и его состояние (замки, запорные устройства, мастичная печать, разрывные ленты и т.п.);
•	способ закрепления внешнего защитного кожуха (винты, шурупы-«саморезы, клипсы и их количество) и его состояние.
Шаг 3. Осмотр имеющихся устройств и способов их подключения друг к другу и к блоку питания. При осмотре содержимого системного блока следует обратить внимание на наличие каких либо нестандартных устройств или устройств размещенных в нестандартных (не предусмотренных для них) местах.
256
При выполнении данного шага осмотра следует обратить внимание и отразить в протоколе следственного действия:
•	тип, модель и количество используемой оперативной памяти;
•	места размещения (номера используемых слотов материнской платы) периферийных устройств;
•	маркировку и серийные (заводские) номера (если они есть) каждого из элементов персонального компьютера;
•	год выпуска и техническое состояние (наличие внешних следов доработки, навесного электрического монтажа и т.п.) каждого из элементов персонального компьютера;
•	вариант подключения электропитания и других соединений с элементами компьютера;
•	наличие перемычек (джамперов) и их расположение в момент осмотра;
Полученные на данном этапе сведения могут помочь установить ориентировочную дату комплектации осматриваемого компьютера (по дате начала выпуска соответствующих элементов), фирмы осуществившие поставку и сборку, а также возможные места ремонта и модернизации персонального компьютера. Самодельные шлейфы электропитания и нестандартные подключения устройств могут говорить о достаточно высокой квалификации пользователя осматриваемого компьютера в электронике и понимании им особенностей его конфигурации.
Шаг 4. Подключение питания и осмотр информации на отдельных магнитных носителях. Содержание действий, перечень используемых средств, а также особенности данного действия будут рассмотрены ниже, в связи с чем подробно останавливаться на этом шаге мы не будем.
Шаг 5. Подключение питания и запуск персонального компьютера. При выполнении данного шага осмотра следует обратить внимание и отразить в протоколе следственного действия:
•	порядок загрузки операционной системы и других программ, загружаемых в оперативную память при включении персонального компьютера;
257
•	параметры загрузки операционной системы и прикладных программ установленные «по умолчанию», т.е. без дополнительного указания;
•	содержание основных файлов конфигурации персонального компьютера (config.sys, autoexec.bat, win.ini, system.ini и т.п. в зависимости от используемой операционной системы и установленных прикладных программ) и в первую очередь системного реестра (для компьютеров под управлением операционных систем клона Windows);
•	установленные типовые «пути доступа» (в смысле запуска программного обеспечения) и значения переменных операционной среды.
При проведении данного этапа следственного осмотра часто возникают трудности связанные с установкой пользователем компьютера пароля на загрузку операционной системы в специальной микросхеме (так называемой CMOS-памяти) или пароль на Setup — одной из первых стадий загрузки операционной системы.
Данная ситуация достаточно распространена и может быть с успехом использована следователем в диагностических целях (определения настроя лица у которого производится осмотр). Общей тактической рекомендацией в данном случае является то, что следователю необходимо попросить назвать пароль доступа к информации в компьютере. При этом важное значение играет реакция лица, у которого производится следственный осмотр на такое предложение.
Если пароль доступа к компьютерной информации был сообщен следователю незамедлительно и верно (что проверяется попыткой его предъявления программе загрузки), то это говорит о том, что это лицо настроено на конструктивное взаимодействие со следователем, не имеет намерения скрыть что-либо и можно надеяться на получение необходимой следователю информации в ходе будущего допроса. Важной особенностью, при этом является необходимость безотлагательного проведения допроса, т.к. уже выданный следователю пароль говорит о внутренней готовности лица у которого производится осмотр дать исчерпывающие и правдивые показания. Данная пси-
258
хологическая установка обусловлена тем, что следственный осмотр производится, как правило, неожиданно для того у кого он производится и на данном (самом начальном) этапе нельзя выяснить навыки и способности следователя (или присутствующего при проведении осмотра специалиста) по самостоятельному изъятию и документированию компрометирующей информации, а в условиях внезапности они существенно преувеличиваются, что подталкивает к добровольной выдаче всей интересующей следователя информации.
Однако даже в случае быстрого и добровольного сообщения пароля доступа к компьютерной системе следователь должен быть предельно внимателен и тщательно следить за психологическими реакциями лица у которого производится следственный осмотр, т.к. может быть сообщен не истинный пароль безопасного входа в автоматизированную систему, а заранее подготовленный «пароль — тревоги», по введению которого происходит автоматическое удаление всей критичной информации. Большую роль в выявлении такого рода действий может сыграть привлекаемый к проведению следственного осмотра специалист. В случае обнаружения каких-либо признаков нестандартного поведения автоматизированной системы (длительная пауза в выдаче информации на экран монитора при мерцании индикатора обращения к жесткому диску и характерному стрекотанию его считывающих головок, выдача информации о запуске каких-либо известных утилит уничтожения информации и т.п.), после предъявления ей пароля доступа необходимо срочно обесточить компьютер и самостоятельных действий с ним больше не проводить.
Если лицо у которого производится следственный осмотр отказалось назвать пароль доступа к компьютерной информации, то этот факт имеет ряд процессуальных и тактических последствий имеющих существенное значение для дальнейшего расследования.
С процессуальной точки зрения исследование информации на данном компьютере не может быть продолжено в режиме следственного осмотра, а должен быть проведен, как минимум, обыск, т.к. возникает необходимость
259
преодоления воли собственника (владельца) осматриваемого компьютера и размещенных на нем информационных ресурсов. Основной рекомендацией в этом случае является необходимость изъятие осматриваемого персонального компьютера и назначение компьютерно-технической экспертизы.
С тактической точки зрения, данная ситуация показывает следователю, что он находится с лицом у которого производится следственный осмотр в состоянии конфликта со строгим соперничеством и более того весьма вероятно, что у данного лица есть интересующая следователя информация, т.е. та которую он не желает выдавать. В данном случае следователь должен предупредить об ответственности за отказ от дачи показаний и за дачу ложных показаний в соответствии со статьями 307 и 308 УК Российской Федерации (в случае если лицо у которого производится следственный осмотр проходит по расследуемому делу в качестве свидетеля), о чем делается запись в протоколе осмотра и подтверждается собственноручной подписью лица у которого производится следственный осмотр.
При проведении следственного осмотра переносных и портативных средств вычислительной техники существуют некоторые особенности на которых мы остановимся ниже.
Переносные средства вычислительной техники, такие как Notebook, LapTop и т.п., несмотря на свои незначительные размеры представляют собой полноценные компьютеры с очень широкими возможностями. Так, например, Toshiba Тесга 500 представляет собой весьма современный компьютер построенный на микропроцессоре Intel Pentium 120, оснащенный модемом со скоростью передачи информации 28 800 бод, звуковой картой и встроенными колонками и даже встроенным электретным микрофоном.
Благодаря своей универсальности и малогабаритности их «полезные» для преступников в сфере компьютерной информации свойства, образуются за счет разработки специальных программ и подготовки комплекта средств подключения к отдельным компьютерам, сетям и другим электронным устройствам. В связи с этим при обнаружении на месте совершения преступле
260
ния в сфере компьютерной информации портативного компьютера необходимо принять меры для обнаружения средств его подключения — различных коммуникационных проводов, шлейфов, разъемов и вилок, зачастую достаточно специфического и экзотического вида. Наличие таких средств подключения портативного компьютера, а также их характеристики (длина соединения, вариантность, т.е. один вход и два, три выхода различной формы) может дать существенную информацию о возможных местах их использования.
Особенностью осмотра малогабаритных портативных компьютеров является тот факт, что они:
•	во-первых, могут быть легко изъяты с места совершения преступления в сфере компьютерной информации, т.к. слабо связаны с постоянно действующей автоматизированной информационной системой (не имеют постоянных информационных связей) и должны осматриваться в условиях следственного органа, с привлечением квалифицированного специалиста;
•	во-вторых, персональные малогабаритные компьютеры в ходе осмотра следователем, как правило, не подвергаются разборке, т.к. в большинстве случаев из-за компактности и более высокой технологии их изготовления, они не могут быть в кустарных условиях доработаны или приспособлены для выполнения специфических функций необходимых для совершения преступления в сфере компьютерной информации.
В случае возникновения каких либо оснований предположить, что портативный компьютер был модифицирован или специально изменен для выполнения специфических функций его необходимо направить на программно-техническую экспертизу.
Особо следует обратить внимание на необходимость внимательного осмотра различного рода электронных приборов с использованием микропроцессорной техники, внешне или функционально не вызывающих ассоциативной связи с автоматизированными информационными системами. Развитие электроники привело к тому, что огромное количество бытовой техники (телевизоры, пылесосы и даже чайники), измерительных инструментов (цифровых вольтмет
261
ров, осциллографов и т.п ), не говоря уже об электронных записных книжках, программируемых калькуляторах и т.п. оснащаются микропроцессорными комплектами. В связи с этим, для выполнения некоторых несложных (вспомогательных) функций по несанкционированному доступу к информаци и представленной в машинном виде могут быть использованы микропроцессорные комплекты бытовых приборов. Учитывая общую физическую природу используемых полупроводниковых компонентов (совпадающие питающие напряжения, форматы представления информации и т.п.) они могут быть достаточно легко подключены или даже интегрированы с автоматизированными информационными системами или отдельными компьютерами.
Специально необходимо отметить программируемые калькуляторы или электронные записные книжки с функциями программируемого калькулятора. В ряде случаев (например, когда обеспечена возможность замены или ус-тановки новой программы), по нашему мнению , программируемые калькуляторы, с юридической точки зрения, могут рассматриваться как полноценные ЭВМ. Более того, развитие микроэлектроники и систем автоматизированного проектирования микросхем привело к тому, что в настоящее время существуют весьма реальные возможности, как технические, так и экономические для создания индивидуальных (так называемых заказных) микросхем, которые наряду с традиционными функциями могут выполнять ряд специализированных (скрытых) функций. Это достаточно известный и широко использующийся в современной «шпионской» литературе факт, к сожалению стал реальностью не только для деятельности специальных служб, но и для криминального мира сегодняшнего дня.
Наиболее редкими объектами следственного осмотра в настоящее время выступают большие ЭВМ (серии ЕС: ЕС-1035, ЕС-1060 и др.) и мини-ЭВМ (серии СМ: СМ-4, СМ-1420 и др.), т.к. они практически полностью вытеснены персональными ЭВМ; общий алгоритм осмотра компьютеров данно-
182 Баев О.Я., Мещеряков Б.А. Проблемы уголовно-правовой квалификации преступлений в сфере компьютерной информации // Конфидент № 7(23) 1998, — с. б-11.
262
го вида во многом совпадает с описанным при рассмотрении персональных ЭВМ, то останавливаться на них подробно, на наш взгляд нецелесообразно. Однако существует ряд особенностей на которые необходимо обратить внимание.
Во-первых, большие ЭВМ и мини-ЭВМ содержат в своем составе значительное количество драгоценных металлов. В основном это золото и серебро, реже другие металлы. Они как правило используются в местах соединения различных плат, в разъемах и контактах. В связи с этим каждая вычислительная машина рассматриваемой группы имела специальный технический паспорт (которых нет у персональных ЭВМ) в котором указывалось количество драгоценных металлов, а также места их использования. Таким образом, при проведении осмотра данной группы ЭВМ необходимо изучить технический паспорт на вычислительную машину и проверить наличие блоков с содержанием драгоценных металлов. К сожалению, весьма часты случаи, когда вычислительные машины данного вида уже не эксплуатируются, но еще не списаны и стоят в виде «груды металлолома» из которого недобросовестные сотрудники уже изъяли все блоки с драгоценными металлами.
Во-вторых, приступая к осмотру большой или мини-ЭВМ следует иметь в виду, что она (из-за своих массогабаритных характеристик) не может быть изъята с места происшествия и осмотр должен проводиться на месте их установки. В связи с этим, обязательным условием проведения осмотра является привлечение соответствующего специалиста в области вычислительной техники и новых информационных технологий. При этом необходимо иметь в виду, что большие ЭВМ (серии ЕС, как наиболее распространенные в нашей стране) и малые (или мини-ЭВМ) серии СМ построены по различным схемотехническим принципам, имеют различную архитектуру и используют различное общее математическое обеспечение (язык ассемблера, операционные системы и т.п.). Таким образом, на этапе подготовки к выезду на место происшествия следователь должен уточнить с какими группами вычислительной техники он там столкнется и привлечь технического специалиста об-
263
падающего необходимыми знаниями в соответствующей сфере. К сожалению универсальных специалистов, одинаково хорошо знающих аппаратное и программное обеспечение современных ЭВМ достаточно мало, не говоря уже о специалистах, одинаково глубоко знающих устройство и особенности персональных ЭВМ (типа IBM PC), мини-ЭВМ (серии СМ) и больших ЭВМ (серии ЕС). Исходя из этого, а также из предварительной информации о составе средств вычислительной техники на месте происшествия необходимо привлечь одного или нескольких специалистов владеющих особенностями всех имеющихся на месте происшествия компьютеров.
Весьма специфическим объектом осмотра являются линии информационного взаимодействия ЭВМ, а также устройства преобразования компьютерной информации в вид пригодный для его передачи на значительные расстояния по этим линиям. Такими объектами, образующими распределенные автоматизированные информационные системы являются:
•	сетевые платы для передачи информации по коаксиальному кабелю, витой паре или оптоволокну;
•	модемы для передачи информации по стандартной телефонной линии;
•	маршрутизаторы и средства межсетевого взаимодействия (шлюзы, брэндмауэры);
•	соединительные кабели;
•	программное обеспечение межкомпьютерного информационного обмена.
Сетевые платы представляют собой устройства обеспечивающие взаимодействие нескольких ЭВМ, образующих локальную вычислительную сеть. Сетевые платы, как правило, выполняются в виде функционального законченного электронного модуля, который устанавливается в один из свободных слотов материнской платы системного блока персонального компьютера и имеет один или несколько выходов для подключения кабеля информационного взаимодействия (например, высокочастотный разъем для подключения
264
коаксиального кабеля и стандартный «евроразъем» телефонного типа для подключения витой пары).
Основными задачами осмотра сетевых плат, на наш взгляд, являются:
•	Выяснение способа подключения сетевой платы к персональному компьютеру и к линии информационного взаимодействия (кабелю или витой паре). В данном случае имеется ввиду: уникальный номер сетевой платы (в некоторых моделях устанавливается расположением перемычек - джамперов, используемое аппаратное прерывания (так называемый канал IRQ). Знание приведенных сведений позволит определить какие персональные компьютеры в какие группы были объединены и к каким информационным ресурсам (серверам, базам данных) были подключены.
•	Определение используемых протоколов информационного взаимодействия для образования локальной вычислительной сети. Каждая сетевая плата может поддерживать один или несколько протоколов информационного взаимодействия. Анализ выбранной конфигурации (аппаратной, — через установки джамперов, используемый набор микросхем, и программной, — через установки операционной системы и сетевых драйверов) позволяет установить, мог ли быть подключен осматриваемый компьютер к различным информационным ресурсам.
•	Способ соединения сетевой платы с другими персональными компьютерами. В данном случае необходимо определить топологию локальной вычислительной сети («общая шина», «звезда» или «кольцо»183), вид используемого проводника широкополосного электромагнитного сигнала (коаксиальный кабель, витая пара или другой вид), а также количество одновременно используемых соединений.
•	Установление модели, марки сетевой платы, а также ее серийного (заводского) номера.
183 См.: Довгалъ С.И., Литвинов Б.Ю., Сбитнев А.И. Локальные сети и компьютерные вирусы И В кн.: Персональные ЭВМ. Киев, 1993.
265
Объединение отдельных локальных вычислительных систем в корпоративные автоматизированные информационные системы возможно благодаря маршрутизаторам, а также иным средствам межсетевого взаимодействия. Эти средства представляют собой достаточно сложные программнотехнические устройства (зачастую, специализированные компьютеры), которые целесообразно осматривать в условиях лаборатории. Однако при проведении осмотра на месте совершения преступления в сфере компьютерной информации необходимо:
•	изготовить схему, на которой отразить места расположения маршрутизаторов и других средств межсетевого взаимодействия, а также все их информационные взаимосвязи со средствами вычислительной техники;
•	определить модель марку и серийный (заводской) номер устройства;
•	установить способы подключения электропитания, заземления и другого вспомогательного и обеспечивающего оборудования.
Модемы представляют собой устройства обеспечивающие передачу и прием цифровых данных по аналоговым телефонным линиям. Сам термин «модем», образованный от пары слов «модуляция — демодуляция», раскрывает функциональное назначение данного устройства. Большинство существующих в настоящее время телефонных линий представляют собой аналоговые электрические линии и для того чтобы передать по ним цифровой дискретный сигнал необходимо этот сигнал преобразовать в специальную форму аналогового сигнала, т.е. произвести модуляцию и соответственно демодуляцию на приемной стороне. Кроме указанных функций модемы выполняют ряд вспомогательных операций (аппаратное сжатие передаваемых данных, автоматическую коррекцию ошибок возникающих при передаче по каналам связи и т.п.), набор которых определяется поддерживаемым стандартным проколом информационного обмена (например, V42, или V90).
Исходя из технической сущности модемов, основными задачами их осмотра, на наш взгляд, являются:
266
•	Выяснение способа подключения модема к персональному компьютеру и к телефонной линии. В данном случае имеется ввиду: используемое аппаратное прерывания (канал IRQ), используемый стандартный последовательный (RS-232) или параллельный порт, положение джамперов на плате модема, а также используемый тип разъема для подключения к телефонной линии.
•	Определение используемых протоколов информационного взаимодействия. Каждый модем может поддерживать один или несколько протоколов информационного взаимодействия, которые образуют иерархическую структуру, совместимую сверху вниз (протокол более высокого уровня, как правило поддерживает практически все функции более низкого уровня). Это может быть осуществлено с использованием специализированных тестовых программ.
•	Определить модель марку и серийный (заводской) номер модема.
Знание приведенных сведений позволит определить принципиальную возможность проведения различных сеансов информационного обмена, исходя из максимальной скорости, используемого протокола и т.п.
Приступая к рассмотрению особенностей следственного осмотра магнитных носителей (рис. 3.1.) и информации размещенной на них, в первую очередь необходимо отметить, что общей рекомендацией является выполнение трех основных действий:
Рис. 3.1. Наиболее распространенные магнитные дискеты формата 3,5” — слева и 5,25” — справа.
267
•	проведение их внешнего осмотра на наличие «традиционных» криминалистических следов (отпечатков пальцев, характерных пятен, царапин, сколов, надписей, меток и т.п.);
•	изъятие их с места осмотра для последующего исследования специалистом или направления на компьютерно-техническую экспертизу;
•	соответствующая сопроводительная маркировка магнитных носителей и упаковка для последующей транспортировки и хранения.
Данная рекомендация справедлива в подавляющем большинстве случаев, так как на магнитных дискетах не содержатся какие-либо информационные массивы или специфические данные без которых невозможно функционирование автоматизированных информационных систем.
Исключением из данного правила являются так называемые ключевые (на которых записаны пароли доступа и различного рода идентификационные метки, без которых невозможна эксплуатация автоматизированных информационных систем) и системные (на которых записаны начальные файлы загрузки операционной системы) дискеты, изъятие которых может привести к прекращению работы автоматизированной информационной системы. В связи с этим для изъятия таких магнитных носителей необходимо привлечение специалиста. Установить такие магнитные носители можно по специфическим наклейкам (рис. 3.2.) или меткам, а также со слов сотрудников учреждения в котором производится осмотр места совершения преступления.
•Xai
PACKAWCJ
е \ й я < f; Н ? л о Л S г ! 6 } Oil е
Прогрммы сканирования диск 1 из 4
ИР	П
2.6 дни Mkrosoft* WlndowH
Дм WWW*. ••WjVK'Y»:	:
'<. jfcTiitx-x Г: :ох>»о:ц	дедком
2 Ufc.v'X-iKkc-	"ФоЙа..
A.	.чЛХЙПгг >x<	А из tfvcMV, »>х6?лог.:ггл*й»^№
зжчиклт, J.':*	x я-зямк'ге
1 ЛИЛЛЧ
Рис. 3.2. Примеры специфических наклеек на магнитных дискетах
268
Однако, учитывая, что на месте осмотра может быть обнаружено значительное количество магнитных носителей (например, одна — три тысячи дискет на предприятии среднего размера не является чем-то неординарным) перед следователем стоит задача первоначального отбора («просеивания») магнитных носителей которые позже будут подвергнуты тщательному исследованию специалистами или экспертами.
В связи с этим общие задачи следственного осмотра магнитных носителей информации могут быть представлены следующим образом.
1.	Выявление «традиционных» следов на магнитных носителях информации (отпечатки пальцев, характерные царапины, трещины, сколы и т.п ), а также установление типа магнитного носителя, его производителя, серийного и индивидуального номера.
2.	Выявление «информационных» следов записи, хранения и использования информации на магнитном носителе, включающее:
а)	Выявление наличия информации на магнитной дискете и самого факта возможности ее записи (форматирована ли дискета, размечена ли магнитная лента и т.п.)',
б)	Установление формата хранимых данных:
•	вид используемой для хранения информации файловой системы (определяется, как правило, используемой операционной системой). Например, если магнитный носитель содержит информацию, записанную на компьютере Apple Macintosh, то он не может быть корректно прочитан стандартными средствами персонального компьютера типа IBM PC;
•	количество дорожек на магнитном носителе, количество секторов на одной дорожек (для магнитных дискет и винчестеров);
в)	Установление индивидуальных особенностей использования магнитного носителя информации:
•	наличие механических (царапины, проколы и т.п.) или иных дефектов (например, сверхмалые физические повреждения, нанесенные с использованием лазерной техники) поверхности магнитного носителя;
269
•	наличие информационных блоков (мест размещения информации на поверхности дискеты) помеченных как неисправные - «плохие» (Bad Block -в терминах операционной системы);
г)	Выявление перечня информационных файлов, размещенных на магнитном носителе и их характеристики: размер, дата и время создания, тип формата файла (текст, исполняемый код программы, файл вспомогательных данных и т.п.);
д)	Установление удаленных (стертых) операционной системой, но физически еще не уничтоженных информационных файлов и их характеристик (аналогичные пункту «г», а также момент удаления операционной системой). Выполнение команды удаления операционной системой какого-либо файла на самом деле не происходит физического удаления информации после которого не удалось бы восстановить удаленный файл. На самом деле, при выполнении команды удаления (стирания) файла в таблице размещения файлов (FAT - File Allocation Table) делается отметка, что в соответствующие информационные блоки, в которых ранее была записана информация из удаляемого файла можно производить запись другой информации. Таким образом, если после выполнения операции удаления, на данный магнитный носитель не записывалось никакой другой информации, или вновь записываемые файлы не использовали те же информационные блоки, что и удаленный файл, то он может быть легко восстановлен. Этот факт не является большим секретом, более того, стандартный набор утилит операционной системы содержит программу UNERASE, которая позволяет восстановить случайно удаленные файлы. Для физического удаления информации с магнитного носителя используются специально разработанные программы, например Wiplnfo из пакета Norton Utility. Таким образом попытка восстановления удаленных файлов позволяет сделать определенные выводы о степени подготовленности пользователя магнитного носителя в сфере информационной безопасности и выяснить какие файлы были им использованы и удалены в последнее время.
270
е)	Установление содержимого выявленных информационных файлов. Данная задача является не такой простой как кажется поначалу. Выяснив предварительно вид файла (текстовый документ, электронная таблица или исполняемая программа с кодами микропроцессора) необходимо иметь в виду, что каждый из видов файлов имеет свои особенности и не может быть легко прочитан стандартными средствами. Например, стандартная программа просмотра текстов (вьювер) в MS DOS, насчитывает более пяти просматриваемых форматов: MS Word, Word Perfect и т.п.
Для просмотра широкого спектра файлов различных форматов используются различные специальные программы и, в частности, пакет программ PC Tools. Кроме простого просмотра содержимого файлов различного формата данные программы предоставляют возможность поиска подстроки (последовательности байтов) заданного содержания. Например, с их помощью можно просмотреть весь диск на наличие в нем последовательности байт означающих слово «секретно» или «тайна» и т.п.
3.	Документирование полученной информации путем:
а)	Распечатки на бумажном носителе важнейших информационных элементов или небольших файлов. Ряд авторов (В.Б. Вехов184 и В.В. Крылов185) считают данный путь документирования информации наиболее важным и единственно приемлемым для закрепления доказательств при расследовании преступлений в сфере компьютерной информации. Однако с этим утверждением в настоящее время трудно согласиться по ряду причин.
Во-первых, объемы современных магнитных носителей насчитывают уже не сотни килобайт, как это было в недалеком прошлом, а единицы и десятки гигабайт информации. Таким образом, учитывая, что страница машинописного текста в формате текстового редактора занимает примерно 2 Кб, то для распечатки 2 Гб (а это размер винчестера рекомендуемого для домаш
См: Вехов В. Б. Компьютерные преступления: Способы совершения и раскрытия. / Под ред. акад. Б.П. Смагоринского - М.: Право и Закон. 1996.
11(5 См.: Крылов В.В. Расследование преступлений в сфере информации. - М.: Издательство «Горо-дец». 1998.
271
него, непрофессионального использования) потребуется около одного миллиона листов. Если представить, что при расследовании преступления в сфере компьютерной информации приходится сталкиваться с десятком магнитных носителей, то задача исследования таких материалов, например, в ходе судебного заседания, становится практически неосуществимой.
Во-вторых, из всего многообразия символов, использующихся для кодирования компьютерной информации далеко не все отображаются печатными символами при их стандартной распечатке. Так, например, в стандартной ANSI-кодировке первые 32 символа используются для обозначения ряда служебных функций (таких как «конец строки», «возврат каретки», «конец файла» и т.п.) которые обеспечивают правильное хранение информации в соответствующих информационных структурах (строках текстового файла, полях базы данных, ячейках электронной таблицы и т.п.) и ее корректное воспроизведение на экране монитора (дисплея) с помощью специальных программ - текстовых процессоров. В связи с этим если в средину файла (текстового документа) вставить символ «конца файла», то при попытке стандартной распечатки содержимого файла будет напечатана лишь та информация которая была расположена до символа конца файла, несмотря на то, что после этого символа находится еще значительная часть информации.
б)	Создания полюй и точной копии информации с изъятого магнитного носителя. Существенным условием создания копии информации является создание именно точной и полной копии. Так, не совсем верное представление о существе такого понятия как «файл» и его информационная структура может привести к получению неточной или искаженной копии информации. В соответствии с определением В.В. Крылова «под файлом принято понимать ограниченный объем информации, существующий физически в ЭВМ, системе ЭВМ или в сетях ЭВМ»186, однако более корректным определением понятия «файл» является следующее. Под файлом принято понимать поимено
186 Крылов В.13. Информационные компьютерные преступления. - М.: Издательская группа ИН-ФРА M-HOPMA, 1997, — С. 28.
272
ванную совокупность данных, размещенных на магнитном носителе и позволяющую себя однозначно идентифицировать принятыми в вычислительной системе способами. В соответствии с этим определением файл состоит из совокупности данных, образующих непосредственно информацию, хранящуюся в файле, а также набор вспомогательной (служебной) информации отражающей положение файла в вычислительной системе (размер, дата создания, расположение фрагментов файла). Таким образом, файлом является и объем данных нулевой длины, т.е. без «полезной» информации и состоящий только из служебных данных, что реально имеет место в файловых системах компьютеров.
Учитывая приведенные обстоятельства при создании копии информации на магнитном носителе необходимо использовать магнитный носитель с теми же физическими (диск для диска, лента для ленты и т.п., одного физического объема) и информационно-логическими характеристиками (одинаково размеченный - «отформатированный»: одинаковое количество дорожек и секторов на дорожках, одинаковое количество плохих блоков (bad block), расположенных в одинаковых местах и т.п ). Приведенные обстоятельства имеют существенное значение в связи с тем, что в настоящее время существует несколько систем защиты информации основанных на нестандартном форматировании магнитных носителей (добавлении еще одной дорожки), на записи ключевой информации в блоке, помеченном как «плохой» и не читаемом (следовательно и некопируемом) стандартными средствами операционной системы.
В связи с этим операцию копирования некорректно будет проводить с использованием стандартных средств, как предложено в работе В.В. Крылова (с использованием команд операционной системы COPY или DISKCOPY).
Для решения задач копирования информации на наш взгляд целесообразно использовать специально разработанные программы осуществляющие доступ к информации на магнитном носителе не только мимо стандартных утилит (типа команд COPY), но зачастую и мимо стандартных функций BIOS
273
(базовой системы ввода-вывода), обращаясь напрямую к контроллеру обслуживающему соответствующий накопитель на магнитных носителях. Примером программных средств, обеспечивающих точное (практически побитное) копирование информации является отечественный программный комплекс FDA, который, будучи незначительно доработанным, может использоваться в качестве стандартного средства копирования файлов и магнитных дисков при проведении следетвенного осмотра.
4.	Маркировка и упаковка магнитных носителей для их последующей транспортировки и хранения.
Каждый магнитный носитель, изымаемый с места совершения преступления в сфере компьютерной информации должен быть снабжен специальной меткой, биркой, которая содержит информацию о месте и времени изъятия данного магнитного носителя, а также идентификационные данные протокола следственного осмотра места преступления, в ходе которого изъяты эти магнитные носители.
Для обеспечения физической целостности и сохранности магнитного носителя необходимо придерживаться ряда широко освещенных в специальной литературе рекомендаций187. Необходимо исключить попадание мелких частиц и порошков на магнитные поверхности, не прикасаться руками к рабочим поверхностям, не подвергать их электромагнитному воздействию, а также запрещается сгибать магнитные носители и подвергать температурному воздействию ниже 0° С и выше 50° С. Для транспортировки и хранения изымаемых магнитных носителей в большинстве случаев бывает достаточно упаковать их в специальную герметичную коробку или металлизированный целлофановый пакеi (рис. 3.8), используемый для заводской упаковки жестких магнитных дисков и иных компьютерных комплектующих (такие пакеты всегда имеются в любом необходимом количестве в любой фирме осуществляющей сборку персональных компьютеров). В случаях длительной транс-
Пособие для следователя. Расследование преступлений повышенной общественной опасности / под .ред. Н А. Селиванова и А.И. Дворкина, М.: Издательство «Лига разум», 1998.
274
портировки магнитных носителей электротранспортом или хранения в условиях постоянного воздействия слабых электромагнитных полей (например, возле трансформаторов работающих электробытовых приборов — радиоприемников, холодильников, телевизоров и т.п.) можно рекомендовать завернуть магнитные носители в тонкую металлическую фольгу.
Рис. 3.8. Примеры упаковки магнитных носителей информации: в пластмассовые коробки (слева) и матализированные пластиковые пакеты (справа).
При этом, не допускается механическое воздействие на магнитные носители - нельзя продевать нити и шнуры в технологические отверстия на магнитных носителях, нельзя прикреплять бирки к магнитным носителям с использованием степлеров или иным способом нарушающим физическую целостность носителя. Наклеивание толстых бумажных бирок на дискеты с помощью липкой ленты также нецелесообразно, т.к. увеличение толщины магнитного носителя может привести к его «застреванию» в приводе и выводу его из строя.
Кроме обеспечения градиционной «физической сохранности» магнитного носителя с изъятыми файлами необходимо обеспечить их информационную неизменность (целостность). Ведь содержание (цифровое значение) записей практически и образует основу доказательств по большинству дел о расследовании прест\ нлеиий в сфере компьютерной информации.
Для решения данной задачи можно рекомендовать создание нескольких идентичных копий магнитных носителей и использование на каждой из них технологии цифровой подписи которая в настоящее время достаточно
275
широко используется при организации электронных платежей и межбанковских расчетах. Использование данной технологии не позволяет изменить содержимое информационного блока кем-либо без знания специальной ключевой информации. При этом, для процедуры установки цифровой подписи необходимо только знание ключа шифрования. Для снятия цифровой подписи необходимо знание другого ключа, причем не совпадающего с ключом шиф-IXX
рования
Так как применение технологии цифровой подписи требует определенной технологической подготовки и наличия верифицированной (т.е. со стандартным программным обеспечением не содержащем ошибок, без программных вирусов и каких либо вредоносных программ и т.п.) вычислительной системы, то эту операцию рекомендуется производить в помещении органа осуществляющего следствие сразу же после прибытия с места проведения следственного осмотра. В данном случае эта операция может быть проведена в присутствии понятых, тех же, что и при проведении следственного осмотра при котором были изъяты (скопированы) информационные файлы или других и оформлена как отдельное действие.
Рекомендация применения технологии цифровой подписи для фиксации результатов следственного осмотра информации на магнитных носите-~ 1X9
лях не является принципиально новой , однако является еще мало изученной в уголовно-процессуальном плане. В то же время отказ от использования цифровой подписи в настоящее время уже может привести к выдвижению версии заинтересованными лицами (обвиняемым, его защитником) о том, что информация, находящаяся на предъявленном следствием магнитном носителе записана па него в ходе проведения расследования или исследования специалистом или экспертом. При этом они могут легко продемонстрировать процесс занесения практически любой желаемой информации на предъяв-
18»	| рф 34 ]0-94 «Информационная технология. Криптографическая защита информации.
Процедуры выработки а проверки мсктронной цифровой подписи на базе асимметричного криптографического алгоритма»
ls9 Защита npoi рамтпюго обеспечения: Пер. с англ./ Д. 1 роувср. Р. Сатер. Дж. Фипсп др. / Под редакцией Д. Гроувера. - М.: Мир, 1992.
276
ленный магнитный носитель (даже в зале судебного заседания). Особенно это легко подтверждается на примере компьютерных вирусов (вредоносных программ). При этом, даже размер файлов, даты их создания и прочие обычно регистрируемые следователем характеристики останутся неизменными.
Еще одним, достаточно информативным объектом следственного осмотра при расследовании преступлений в сфере компьютерной информации являются устройства автоматизированного документирования информации (принтеры, плоттеры и т.п.). С их помощью создаются текстовые и графические документы, выдаются на бумагу рисунки и даже фотографии достаточно высокого качества. Дело в том, что практически все документы, с которыми приходится иметь дело при расследовании преступлений в сфере компьютерной информации, а также определенная часть вещественных (письменных) доказательств формируется в устройствах вычислительной техники и выдается на бумагу или специальную пленку с использованием принтеров.
В этой связи принтеры представляют собой весьма специфичный криминалистический объект следственного осмотра. К сожалению, в доступной нам криминалистической литературе данный вопрос практически не исследован, за исключением лишь косвенного упоминания в работах В.Б. Вехова и В.В. Крылова. При этом необходимо отметить, что принтер вне связи с компьютером, содержит гораздо меньше криминалистически значимой информации и, следовательно, должен по возможности рассматриваться в совокупности с использовавшимся вместе с ним компьютером.
На наш взгляд задачами следственного осмотра принтеров при расследовании преступлений в сфере компьютерной информации, да и при расследовании «традиционных» преступлений совершенных с использованием средств документирования информации являются:
1. Оценка потенциальных (максимально и минимально достижимых) характеристик изображения и текста, который способен сформировать осматриваемый принтер. Спектр характеристик принтеров доста
277
точно широк и зависит от способа получения изображения или текста на бумажном носителе. Однако наиболее общими из них являются:
•	Скорость печати. Как правило, скорость печати принтеров регистрируется для текстовых (символьных) документов и измеряется числом наносимых на бумагу знаков в единицу времени. В качестве единицы измерения скорости печати принтеров принята единица называемая CPS (от сокращения characters per second). Необходимость фиксирования данной характеристики принтера обусловлена тем фактом, что она может дать ответ на вопрос — мог ли быть подготовлен многостраничный документ (например, подложный бухгалтерский отчет, или заданное количество фальшивых банковских билетов) на данном принтере за заданное время?
•	Объем буфера (внутренней памяти) принтера. Как правило, все принтеры оборудованы внутренней памятью (за исключением самых первых моделей очень дешевых принтеров) обеспечивающей согласование скорости работы вычислительной системы (процессора и контроллера внешних устройств) и печатающего устройства и представляющей микросхемы оперативной памяти. В связи с этим объем буфера оценивается в единицах измерения памяти - Кб (килобайтах - 1024 байта) и Мб (мегабайтах - 1024 Кб). С криминалистической точки зрения это достаточно важная характеристика, по которой можно оценить перспективность дальнейших действий следователя по поиску интересующей его информации. Например, если объем буфера у принтера не большой, а он использовался для выдачи многостраничных текстовых документов или печати многоцветных крупноформатных изображений, то весьма вероятно, что в процессе печати на жестком магнитном диске создавался временный буфер печати, который может быть обнаружен и восстановлен с помощью специальных программ (утилит). Из этого временного буфера печати могут быть установлены документы, последними (перед проведением осмотра) печатавшиеся на данном компьютере с данным принтером. При этом следует обратить внимание на соотношение размера аппаратного (внутреннего) буфера принтера и временного (размещаемого на жест
278
ком магнитном диске компьютера). Если в вычислительной системе (персональном компьютере) использованы нестандартные настройки размеров буфера печати (временных буферов) и они обеспечивают наивысшую скорость печати данной категории документов (текстов или изображений), то это говорит о достаточно высокой квалификации пользователя принтера и вычислительной системы (персонального компьютера), глубоком понимании им особенностей устройства и функционирования ЭВМ.
•	Разрешение, т.е. количество точек образующих изображение, умещающееся на единице длины бумажного документа. В качестве единицы измерения разрешения принтеров используется количество точек умещающихся на одном дюйме (примерно 2,53 см), называемое DPI (от сокращения: dots per inch — «точек на дюйме»). Это важнейшая характеристика, определяющая качество получаемых текстовых и особенно графических документов на бумажных носителях.
•	Тип и размер используемой бумаги или специальной пленки. Большинство принтеров способно работать лишь с фиксированным набором размеров бумаги. Так широко распространенные лазерные принтеры не могут работать с длинной бумажной лентой, струйные принтеры требуют достаточно плотной бумаги (не менее 60 г/м2). Определить размеры и тип бумаги возможно по размеру и конфигурации лотка для бумаги и системы подачи бумаги в принтер.
•	Встроенные шрифты и режимы печати. Шрифт — это набор символов алфавита определенного начертания и размера. Все принтеры имеют определенный набор встроенных шрифтов. Для лазерных принтеров наиболее широкое распространение получили стандарты начертания символов Adobe Туре 1 и Microsoft TrueType, которые позволяют получать изображения символов различных размеров. В ряде принтеров предусмотрено несколько режимов печати, например, Draft (режим черновой печати) для матричных принтеров или EconoMode (режим экономии тонера) для лазерных принтеров.
279
Все перечисленные выше характеристики принтеров позволят в дальнейшем произвести приблизительные оценки возможности выполнения конкретного печатного документа (с учетом используемого шрифта, его размера межстрочного интервала, качества печати символов, букв и т.п.) с использованием обнаруженного принтера.
2.	Выяснение используемой в момент проведения осмотра конфигурации и настройки всех программных и аппаратных элементов принтера. Важным элементом данного действия является установление соответствия аппаратных возможностей печатающего устройства его программным настройкам. Так например, если для печати графики на принтере HP LaserJet 5Р будет использоваться драйвер HP LaserJet III, то разрешение, которого можно будет достичь при печати лишь 300 dpi, а не 600 dpi, которое аппаратно обеспечивается принтером.
3.	Оценка степени израсходованности ресурса печати (тонера, красящей ленты или фотобарабана). Каждый элемент принтера имеет свой достаточно ограниченный ресурс. Так, ресурс красящей ленты в матричном принтере не превышает 300 — 450 страниц текста, ресурс картриджа в струйном принтере составляет 1 000 — 1 500 страниц, ресурс тонера в лазерном принтере существенно зависит от модели принтера и составляет от 2000 до 30 000 страниц. Учет степени израсходованности ресурса позволит оценить количество документов, которые были получены с идентичными характеристиками печати и оценить вероятность проявления уникальных признаков конкретного печатающего устройства. Например, если ресурс фото- барабана лазерного принтера практически исчерпан, то вполне вероятно обнаружить повреждения на фото- слое (характерные царапины, точки и т.п.), которые образуют строго индивидуальные следы на создаваемых документах.
4.	Сбор необходимого материала для назначения компьютернотехнической экспертизы и его соответствующая фиксация для хранения вне автоматизированной информационной системы или последующего адекватного воспроизведения при проведении следственного эксперимен
280
та. В данном случае подразумевается извлечение определенных элементов (картриджей, фото- барабанов, образцов тонера, красящей ленты и т.п.) печатающих устройств и их упаковка.
5.	Строгое отражение в протоколе осмотра всех значимых фактов обнаруженных при проведении следственного осмотра. Данное положение в пространных комментариях, на наш взгляд, не нуждается. Единственное, о чем следует упомянуть, это то, что необходимо зафиксировать используемые драйверы и другие вспомогательные файлы на магнитных носителях, а также способ их подключения (активизации) в вычислительной системе на момент осмотра.
Все наиболее распространенные в настоящее время принтеры, в зависимости от способа формирования текста или изображения на бумаге могут быть разбиты на следующие основные группы190:
•	Игольчатые (матричные) принтеры;
•	Струйные принтеры;
•	Лазерные принтеры;
•	Термические принтеры;
•	Сублимационные и термовосковые принтеры.
Из-за своих потребительских свойств и достаточно низкой себестоимости производимой с их помощью страницы, наибольшее распространение получили первые три группы принтеров. Каждая из названных групп принтеров имеет свою технологию печати, свои обязательные элементы (как программные, так и аппаратные), что порождает их криминалистические особенности и специфические элементы методики их осмотра на которых более детально мы остановимся ниже.
Матричный или игольчатый принтер был одним из первых стандартных устройств печати для персональных компьютеров. Основными элементами матричного принтера является:
190 См.: Колесниченко О., Шарагин М., Шишагин И. Лазерные принтеры. - СП б.: BHV-Санкт-Петербург. 1997.
281
•	игольчатая головка с 9, 18 или 24 иглами;
•	красящая лента, как правило упакованная в пластмассовый картридж;
•	механизм подачи бумаги или бумажный лоток.
На смену матричных принтеров все чаще приходят струйные принтеры. Они более производительные, бесшумные и самое главное для отечественного потребителя более дешевые по сравнению с матричными принтерами. Наличие возможностей цветной печати и высокого разрешения печати (практически соизмеримой с лазерными принтерами) стало неотъемлемой частью потребительских характеристик струйных принтеров.
•	печатающая головка с соплами;
•	резервуар с жидкими чернилами;
•	бумажный лоток и механизм подачи бумаги.
Наивысшее качество документов создаваемых в автоматизированной информационной системе получается с использованием лазерных принтеров. Они обладают достаточно высокой производительностью (до 6 страниц в минуту) и высоким качеством печати, приближающемся к типографскому исполнению (офсетной печати).
Исходя из особенностей построения принтеров может быть сформирован перечень их криминалистически значимых индивидуальных признаков, которые обязательно должны быть занесены в протокол следственного действия:
Для матричного принтера:
1.	Количество игольчатых головок.
2.	Индивидуальные особенности каждой игольчатой головки.
3.	Аппаратно поддерживаемые шрифты.
4.	Индивидуальные особенности красящей ленты.
5.	Индивидуальные особенности механизма подачи бумаги.
6.	Возможности использования многоцветной красящей ленты для цветной печати.
Для струйного принтера:
1.	Количество сопел печатающей головки.
282
2.	Индивидуальные особенности каждого сопла печатающей головки:
3.	Аппаратно поддерживаемые шрифты.
4.	Физико-химический состав жидких чернил:
5.	Индивидуальные особенности механизма подачи бумаги.
6.	Характеристики цветной печати.
Для лазерного принтера:
1.	Размер элементарного фрагмента формируемого на фотобарабане.
2.	Аппаратно поддерживаемые шрифты.
3.	Физико-химический состав используемого тонера.
4.	Индивидуальные особенности механизма подачи бумаги.
Все приведенные криминалистически значимые признаки образуют необходимый информационный базис, который позволит решить практически весь набор задач идентификации: соответствия принтера имеющемуся документу (несколько принтеров — один документ), соответствия документа имеющемуся принтеру (один принтер — несколько документов) и т.п.
С учетом сказанного выше обобщенная последовательность осмотра устройств автоматизированного документирования информации может быть представлена следующей совокупностью шагов:
Шаг 1. Внешний осмотр. Внешний осмотр принтера следует начинать, как правило, с тыльной его стороны, которая содержит все основные электрические выводы и разъемы. Все существующие и задействованные разъемы должны быть отражены в проколе осмотра.
При проведении внешнего осмотра принтера следует искать отпечатки пальцев пользователей данного устройства на:
•	кнопках управления режимами печати и выбора аппаратных шрифтов на лицевой или верхней панели принтера (например, «DRAFT», «NLQ», «CONDENSED» и т.п.);
•	картридже красящей ленты в области ручки принудительной протяжки красящей ленты и фиксаторов (для матричных принтеров), печатающей головке с резервуаром жидких чернил (для струйных принтеров), тонер-
283
картридже с красящим порошком, особенно в области установочной ручки (для лазерных принтеров);
•	защитной крышке, прикрывающей картридж с красящей лентой (для матричных принтеров), печатающую головку с резервуаром жидких чернил (для струйных принтеров), защитной крышке, прикрывающей печатающую тонер-картридж, особенно в области фиксаторов и защелки (для лазерных принтеров);
•	направляющих элементах и передней части лотка для подачи бумаги;
•	тыльной стороне корпуса, в области подключения проводов электропитания и кабелей связи с компьютером.
При выполнении данного шага осмотра следует обратить внимание и при необходимости отразить в протоколе следственного действия:
•	аккуратность подключения соединительных проводов (затянуты ли крепежные винты, использованы ли проволочные фиксаторы соединения и т.п.);
•	наличие характерных царапин, сколов, загибов и иных повреждений на соединительных элементах и разъемах матричного принтера;
Шаг 2. Снятие защитной крышки и вскрытие корпуса. При выполнении данного шага осмотра следует обратить внимание и при необходимости отразить в протоколе следственного действия:
•	наличие механизма защиты корпуса матричного принтера от вскрытия и его состояние (замки, запорные устройства, мастичная печать, разрывные ленты и т.п.);
•	способ закрепления внешнего защитного кожуха (винты, саморезы, клипсы и их количество) и его состояние;
•	оставшееся количество (в процентном отношении) жидких чернил в резервуаре печатающей головки (для струйного принтера), красящего порошка в резервуаре тонер-картриджа (для лазерного принтера);
•	маркировку и серийные (заводские) номера (если они есть) печатающей головки струйного принтера;
284
Шаг 3. Осмотр элементов внутреннего устройства. При выполнении данного шага осмотра следует обратить внимание на наличие каких либо нестандартных устройств или устройств размещенных в нестандартных (не предусмотренных для них) местах.
При выполнении данного шага осмотра следует обратить внимание и отразить в протоколе следственного действия:
•	маркировку и серийные (заводские) номера (если они есть) каждого из элементов и всего матричного принтера в целом;
•	год выпуска и техническое состояние (наличие внешних следов доработки, навесного электрического монтажа и т.п.) каждого из элементов матричного принтера;
•	наличие перемычек (джамперов) и их расположение в момент осмотра;
•	используемый язык управления струйным принтером.
Шаг 4. Подключение питания и получение страницы тестовой печати. При выполнении данного шага осмотра следует обратить внимание и отразить в протоколе следственного действия на параметры режима печати установленные «по умолчанию», т.е. без дополнительного указания при первоначальном включении. Как правило все принтеры могут распечатывать тестовую страницу в автономном режиме. Эта страница содержит всю информацию о начальных установках и доступных шрифтах.
285
ГЛАВА 4. ПОЛУЧЕНИЕ И ПРОВЕРКА ВЕРБАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С КОМПЬЮТЕРНЫМИ ОБЪЕКТАМИ
4.1.	Допрос
Одним из достаточно информативных следственных действий при расследовании преступлений в сфере компьютерной информации, является допрос. В соответствии с УПК РСФСР допросу могут быть подвергнуты свидетели, потерпевшие, подозреваемые, обвиняемые и эксперты (ст. 72, 123, 150, 161, 192 УПК).
При расследовании преступлений в сфере компьютерной информации наиболее характерной фигурой является специалист, который привлекался следователем для проведения отдельных следственных действий. Как неоднократно было сказано ранее, из-за специфики рассматриваемого вида преступлений участие специалиста является весьма желательным (если не обязательным) при проведении любого следственного действия связанного со взаимодействием с автоматизированными информационными системами. Исключение может составить только допрос, но и то, участие специалиста может быть очень полезно при подготовке следователя к проведению допроса, о чем мы подробнее поговорим ниже.
Говоря о криминалистической классификации допроса, следует отметить, что наиболее известной из них является классификация, основу которой составляет процессуальное положение допрашиваемого. По данному основанию различают:
•	допрос свидетелей;
•	допрос потерпевших;
•	допрос подозреваемых;
•	допрос обвиняемых;
•	допрос экспертов;
•	допрос специалистов.
286
Среди названных выше категорий лиц, которые могут быть допрошены следователем при расследовании преступлений в сфере компьютерной информации большинство являются традиционно рассматриваемыми и достаточно „	~	191
подробно рассмотрено в специальной криминалистической литературе
Допрос специалиста. Основной целью допроса специалиста является выяснение использованного им способа или метода решения задачи, которую поставил следователь при выполнении отдельного следственного действия. Не является секретом, что один и тот же результат в автоматизированных информационных системах может быть достигнут различными путями, при этом необоснованный выбор способа достижения заданного результата может уничтожить или существенно изменить следовую картину, что в свою очередь сделает бессмысленным проведение повторных осмотров или назначение компьютерно-технических экспертиз. При этом необходимо отметить, что допрос специалиста целесообразно проводить не только при расследовании преступлений в сфере компьютерной информации, но и при других «традиционных» преступлениях, где автоматизированные информационные системы использовались в качестве орудия или среды совершения преступления (например в банковской сфере, торговле и т.п.).
Широту использования автоматизированных информационных систем в различных сферах человеческой деятельности можно, например, оценить по результатам Центра исследований экономических систем «Бизнес — Программы — Сервис», который, проанализировав 256 вакансий на должность бухгалтера в г. Москве пришел к выводу, что в 33,3% случаев к кандидату предъявляются требования владения какой-либо бухгалтерской программой учета (1С, «Парус», «БЭСТ» и т.п.)1922. Следовательно, каждое третье предприятие использует вычислительную технику для ведения своего бухгалтерского учета.
191 См.. Баев О.Я. Тактика следственных действий: Учебное пособие — Воронеж: НПО «Моде», 1995 с.93— 154; Бахи В., Коганов М., Карпов Н. Допрос на предварительном следствии. — Алмазы, 1999; Порубав Н.П. Научные основы допроса на предварительном следствии. — Минск, 1978; Соловьев А.Б. Допрос свидетеля и потерпевшего. —М., 1974.
192 Страница в ИНТЕРНЕТЕ www.finsoft.ru август 1999,
287
Дополнительными (факультативными) целями допроса специалиста является выяснение замеченных им особенностей построения и функционирования автоматизированной информационной системы в которой производились следственные действия (например, определенная конфигурация и созданные наборы автоматических проводок в бухгалтерских счетах в автоматизированных бухгалтерских системах может говорить о использовании данной системы для определенных операций и ведения «черного» учета). Полученная в результате допроса специалиста информация может быть использована следователем при назначении компьютерно-технической экспертизы для конкретизации выносимых на разрешение эксперта вопросов.
Еще одной факультативной целью проведения допроса следователя является пояснение задокументированных в протоколе следственного действия фактов имеющих существенное значение для расследования преступления. К сожалению, низкая подготовленность следователей, прокуроров и судей в сфере новых информационных технологий требует значительных усилий по пояснению практически каждого зафиксированного программнотехническими средствами события. Так, например, для пояснения 20 страниц Актов об обнаружении фактов подбора паролей, написанных в ходе определения взломщика, при расследовании преступления в Южно-Сахалинске193, потребовалось 60 страниц пояснений для следствия и суда. При этом любая неточность, неясность и не полная определенность использовалась защитой для того, чтобы поставить под сомнение правильность сделанных выводов.
Исходя из сущности и целей стоящих перед допросом специалиста вытекает необходимость его проведения непосредственно после проведения отдельного следственного действия (осмотра, обыска, следственного эксперимента или выемки) пока свежи в памяти специалиста все детали и особенности проведенного мероприятия.
193 Крылов В.В. Расследование преступлений в сфере информации. — М. Издательство «Городец», 1998. — С. 260 — 261.
288
Таким образом, на наш взгляд, представляется целесообразным дополнить действующий УПК статьей 1921 следующего содержания.
Статья 1921 Допрос специалиста
«Следователь вправе допросить специалиста, участвовавшего в отдельных следственных действиях в сфере компьютерной информации, для разъяснения вопросов касающихся выбранных способов решения поставленных следователем при проведении отдельных следственных действий задач, а также выяснения вопросов касающихся особенностей построения, функционирования, распределения обязанностей пользователей автоматизированной информационной системы и принятом в ней порядке документирования основных событий. Специалист вправе изложить свои ответы собственноручно или в письменном виде с соблюдением требований настоящего Кодекса. Протокол допроса специалиста составляется с соблюдением требований статей 141 и 142 настоящего Кодекса.»
Преступления в сфере компьютерной информации, повторим вновь, представляют собой достаточно сложные и многоэтапные действия, которые, зачастую, невозможно совершить в одиночку. В этом случае требуется привлечение достаточно широкого круга лиц, которые зачастую могут не подозревать о той роли которую они играют в преступлении. Как было указано ранее, в первую очередь, преступников (организаторов и исполнителей) и их соучастников следует искать среди персонала «атакованной» автоматизированной системы. Так, по данным Datapro Information Services Group, — 81,7% преступлений совершается служащими этой же организации, в которой произошло преступление и имеющими в той или иной мере доступ к эксплуатирующейся в этой организации автоматизированной информационной системе, 17,3% преступлений в сфере компьютерной информации совершается лицами со стороны и 1% приходится на случайных лиц.
В связи с этим приступая к допросам по делу о преступлении в сфере компьютерной информации следователю необходимо в первую очередь оп
289
ределиться относительно возможной роли и требуемой информированности у лиц попавших в его поле зрения.
Подводя итог рассмотрению особенностей проведения допроса при расследовании преступлений в сфере компьютерной информации и принимая во внимание всю специфичность данной сферы, необходимо помнить, что основу проведения допроса составляет научно разработанная поколениями криминалистов тактика этого следственного действия.
Приняв решение о необходимости проведения допроса следователь должен выполнить определенную совокупность шагов.
Шаг 1. Изучение всех имеющихся на данный момент материалов дела и всей информацию собранной иными методами и имеющей отношение к расследуемому делу.
Целью данного этапа является подготовка необходимого уровня информированности следователя о сути происшедшего и его особенностях. При расследовании преступлений в сфере компьютерной информации особое внимание на данном этапе необходимо уделить мелочам и деталям автоматизированных информационных систем, в которых было совершено это преступление, а также известным и зарегистрированным следственными действиями фактам и событиям (время их наступления, место, используемые технические и программные средства, их характеристики и т.п.). При наличии большого количества информации весьма целесообразным будет составление динамических схем, поясняющих этапы отдельных существенных действий (например, неправомерного проникновения в автоматизированную информационную систему) и используемые средства с указанием всех их характеристик (версий программного обеспечения, варианта комплектации, способа подключения и т.п.). Владение информацией такого рода и ее наличие в схематическом виде позволит в дальнейшем при проведении допроса быстрее анализировать ответы допрашиваемых и оценивать их достоверность (и как результат правильно определять складывающуюся тактическую ситуацию).
Шаг 2. Изучение личности допрашиваемого.
290
Целью данного этапа является первичная оценка личности допрашиваемого для выбора целесообразной тактики поведения и определения возможного круга вопросов как диагностирующих его информационное состояние, так и непосредственно интересующих следователя. Для реализации данного шага необходимо использование всей имеющейся в распоряжении следователя информации, а также все информации, которая может быть собрана в допустимый временной интервал различными способами (оперативными методами, техническими средствами и т.п.). Не касаясь традиционных оперативных методов, необходимо несколько слов сказать о существующих технических возможностях.
Развитие средств информатизации, кроме проблем с их использованием в криминальной сфере, позволяет по-новому взглянуть на возможности следователя в получении информации о личности допрашиваемого. Внедрение вычислительной техники в различные сферы человеческой деятельности дает возможность быстрого и негласного выявления очень широкого спектра информации практически о любом человеке. Так, анализ информации хранимой в компьютерах телефонной компании (список всех звонков с личного телефона и номера по которым осуществлялся звонок) легко позволит установить круг друзей знакомых, а также предположить характер проблем стоящих в данный момент перед интересующим человеком. Например, если в списке телефонов были номера туристических агентств, вокзалы, аэропорты и автостанции, то можно предположить, что человек собирался куда-либо ехать и выяснял существующие возможности. При этом особые «удобства» в отслеживании деловых контактов предоставляют компании сотовой телефонной связи, берущие оплату за входящие звонки. Если в стандартных условиях повременной оплаты учитываются лишь исходящие звонки и для выяснения всех входящих нужно проведение специальных технических мероприятий (которые возможны только в соответствии с Законом Российской Федерации «Об оперативно-розыскной деятельности»), то в режиме оплаты входящих звонков все делается практически автоматом.
291
Обратившись в базу данных органов ЗАГС можно за считанные минуты установить всю семью (включая дальних родственников) интересующего человека, а также известные факты изменения фамилий. Обращение к базе данных паспортного стола позволит в столь же короткие сроки установить место регистрации каждого из его членов семьи. Адресная база данных позволяет установить всех соседей интересующего лица и их телефоны, пейджеры и т.п.
Большую помощь может оказать формирующиеся в настоящее фактографические базы данных правоохранительных органов, где фиксируются все ставшие им известными факты и сведения (от заявлений граждан, до статей в газетах и сообщений агентуры). Существующие в настоящее время технические возможности позволяют накапливать весь входящий, казалось бы несвязанный между собой, информационный поток, а затем по заданной совокупности критериев поиска найти все упоминания интересующей информации. Данная технология давно была известна и с успехом использовалась лишь в деятельности разведывательных органов государств (из-за необходимости привлечения больших материальных и вычислительных затрат), однако резкое совершенствование аппаратного и программного обеспечения делает ее применимой и на более низком уровне.
Учитывая специфический вид рассматриваемых преступлений в сфере компьютерной информации богатейшую возможность в плане изучения личности человека дает сеть ИНТЕРНЕТ. В настоящее время весьма модным стало организовывать личную Web-страничку, где ее владелец размещает уместные на его взгляд данные о себе, своих увлечениях, достижениях и заслугах. Здесь же кроме текстовой информации могут быть получены и фотографии владельца странички, его друзей, семьи, коллег по работе и т.п. Большую помощь может оказать изучение материалов электронных конференций в информационных сетях (например, ФИДО) или различных форумов на некоторых сайтах ИНТЕРНЕТ. Учитывая существующую в настоящее время низкую квалификацию следователей в сфере новых информационных
292
технологий, эту работу в соответствии со ст. 127 УПК РСФСР, он может поручить сотрудникам подразделения «Р» МВД или аналогичного подразделения в других ведомствах.
Однако, используя названные технические возможности сбора информации о личности человека, которого предстоит допрашивать, следователю необходимо помнить, что все указанные возможности он должен реализовывать в строгом соответствии с нормами уголовно-процессуального закона.
Таким образом, произошедшие революционные изменения в технических возможностях средств сбора, хранения и обработки информации создают предпосылки коренного изменения взглядов на методику расследования преступлений. Благодаря существующим техническим возможностям, в первую очередь, появляется возможность регистрировать всю доступную восприятию (причем как непосредственно — визуально, с помощью видеоаппаратуры и т.п., так и с помощью специальных технических средств — нелинейные радиолокаторы для обнаружения тайников и закладок, инфракрасные измерители и лидары для обнаружения температурных неоднородностей и химических соединений) информацию, не привязываясь к рекомендациям о типовых версиях совершения преступлений данного вида. Наличие систематизированной информации очень широкого спектра практически о всех гражданах нашей страны в виде пригодном для ее автоматизированной обработки позволяет не сужать до «реальных» возможностей следственной бригады исходный круг подозреваемых лиц, а, например, рассматривать в качестве потенциальных участников практически всех жителей данного населенного пункта. При этом даже если мы имеем дело с выборкой в миллион элементов, то она очень быстро сузится до разумных пределов после ее фильтрации по достаточно простым условиям (например, возрастному диапазону, полу, внешним признакам, месту жительства, наличию или отсутствию другой специфической пространственно-временной информации — наличия записи в реестре сделок с недвижимостью о том, что данных гражданин осуществлял сделку у такого-то регистратора в такое-то время такого числа и т.п.).
293
К сожалению, реалии сегодняшнего дня не позволяют в полной мере реализовать все существующие теоретические возможности по получению информации о личности и следователь практически весь объем названной выше информации вынужден узнавать на начальных этапах проведения допроса.
Шаг 3. Подготовка доказательств и материалов, которые целесообразно использовать при допросе.
Целью данного этапа является сокращение временных издержек на малозначимые (технические детали) при проведении допроса. Например, если в критический момент допроса следователь начнет рыться в материалах дела в поисках нужного заключения эксперта, то он упустит темп, что позволит допрашиваемому собраться с мыслями и скорректировать линию своего поведения.
Для достижения названных целей следователь должен подготовить необходимые закладки, сделать ксерокопии отдельных фрагментов документов которые планируется предъявить допрашиваемому. При этом следует особенно деликатно относиться к возможности предъявления допрашиваемому не подлинника документа а его фото- или ксерокопии. С одной стороны это дает определенные тактические преимущества следователю, т.к. можно взять лишь желаемый фрагмент подлинного документа, изменить последовательность предъявления этих фрагментов и обеспечит сохранность документа (если вдруг допрашиваемый попытается его уничтожить), а с другой ставит следователя и допрашиваемого в неравные условия, которые легко может использовать адвокат в интересах защиты.
На данном этапе можно заготовить несколько достаточно глубоких технических вопросов, которые бы могли показать допрашиваемому уровень владения следователем технической стороны вопроса и произвести на него необходимое впечатление. Для формулирования таких вопросов необходимо привлечение специалиста, который бы помог следователю разобраться в технических тонкостях расследуемого дела.
Шаг 4. Составление плана допроса.
294
При составлении плана допроса особое внимание необходимо уделить формулированию сущности той информации, которую следователь хочет получить от допрашиваемого, а также определить ключевые моменты допроса. При этом, в зависимости от вариантов поведения допрашиваемого в определенные ключевые моменты, необходимо подготовить различные последовательности действий следователя.
На данном этапе также определяется место и время проведения допроса, а также решаются вопросы о необходимости, возможности и целесообразности привлечения других лиц (педагогов, специалистов, переводчиков и др.). Наиболее оправданным, на наш взгляд, местом проведения допроса при расследовании преступлений в сфере компьютерной информации является рабочее место следователя. Такая точка зрения обусловлена тем, что, во-первых, особенности «кибернетического пространства» не позволяют надеяться на неизменное сохранение «опорных узлов», которые можно было бы использовать при проведении допроса в иных местах, а во-вторых, большинство правонарушителей и преступников в этой сфере являются достаточно законопослушными гражданами и как правило никогда не бывали в правоохранительных органах. Поэтому сам факт появления в помещении, охраняемом людьми с автоматами, необходимость предъявления повестки и т.п. атрибутов, знакомых ему только по детективам, уже производит сильное впечатление (особенно в первый раз).
И, наконец, последний вопрос, решаемый на данном этапе является определение формы вызова на допрос. Основные тактические проблемы решения данного вопроса достаточно полно отражены в существующей криминалистической литературе в связи с чем останавливаться на нем подробно, на наш взгляд нецелесообразно.
5. Подготовка технических средства записи и воспроизведения необходимой информации.
Данная задача является достаточно традиционной и на наш взгляд не требует специальных пояснений, особенно принимая во внимания подробное
295
изложение данного вопроса при рассмотрении методики проведения следственного осмотра.
4.2. Следственный эксперимент
Особое внимание при расследовании преступлений в сфере компьютерной информации следует уделить такому следственному действию как следственный эксперимент.
Статья 183 УПК РСФСР «Следственный эксперимент» гласит: «В целях проверки и уточнения данных, имеющих значение для дела, следователь вправе произвести следственный эксперимент путем воспроизведения действий, обстановки или иных обстоятельств определенного события и совершения необходимых опытных действий».
С учетом этого под следственным экспериментом традиционно понимается такое следственное действие, которое состоит в проведении специальных опытов, испытаний с целью получения новых и проверки имеющихся доказательств, а также проверки и оценки следственных версий о возможности или невозможности существования тех или иных фактов, имеющих зна-194 чение для дела
Специфическая среда совершения преступлений в сфере компьютерной информации привнесла свои особенности в это следственное действие. Так, если одной из характерных особенностей традиционного понимания следственного эксперимента является то, что его результаты должны быть очевидны для всех участников (следователя, специалиста, понятых) и не требовать специальных познаний, то при расследовании компьютерных преступлений могут получаться неочевидные результаты, требующие дополнительной оценки и даже проведения других видов следственных действий, например, проведение допросов, назначения компьютерно-технических экспертиз и т.п.
194 См. Белкин Р.С. Курс криминалистики в 3-х томах; Российская Е.Р. Криминалистика. Вопросы и ответы: Учебное пособие для вузов,— М. ЮНИТИ-ДАНА, 1999; Белкин А.Р., Белкин Р.С. Эксперимент в уголовном судопроизводстве. Методическое пособие. —М.: Изд. группа ИНФРА-М-НОРМА, 1997.
296
Так при расследовании одного из уголовных дел, возбужденных по факту распространения вредоносных программ через сеть Интернет было установлено, что обвиняемый на одном из зарубежных серверов создал специальный сайт вымышленной компьютерной фирмы и разместил на нем вредоносную программу, замаскировав ее под тестировщик проблемы 2000 года. В соответствии с показаниями потерпевших, они заходили на этот сайт и скачивали программу «тестирования проблемы 2000 года»; После запуска полученных программ происходили нежелательные последствия — учетные имена и пароли доступа в сеть Интернет без санкции пользователя были отправлялись на заложенный в программе тестирования электронный почтовый адрес, а также изменялись файлы настройки используемой операционной системы, что затрудняло обнаружение и удаление вредоносной программы. Особенностью показаний было то, что описания вида, структуры и оформления сайта у всех потерпевших совпадали, но каждым из них назывались различные электронные адреса размещения этого сайта.
В ходе проведенного следственного эксперимента был осуществлен поиск по всем указанным потерпевшими адресам сайта сети Интернет и копирование размещенной на нем вредоносной программы замаскированной под программу «тестирования проблемы 2000 года».; При этом участники следственного эксперимента убедились в том, что указанный потерпевшими сайт в сети Интернет существует, что на нем размещена программа называемая «тестировщиком проблемы 2000 года» и она доступна для копирования всем желающим. Таким образом, после завершения эксперимента кроме очевидных результатов — подтверждения имеющихся версий о существовании фактов сообщаемых потерпевшими, были получены и неочевидные результаты — копия программы, размещенной на указанном сайте сети Итернет истинное назначение и свойства которой были непонятны ни следователю, ни другим участникам следственного действия. Добытая таким образом программа была схожа с фигурирующей в деле вредоносной программой по наименованию и объему, однако для установления полного сходства (струк
297
турного и функционального) этих программ необходимо было детальное исследование с привлечением специальных познаний, т.е. назначение компьютерно-технической экспертизы.
В данной ситуации существенную помощь оказывает привлечение в качестве понятых людей обладающих определенными специальными навыками, например профессиональных программистов, квалифицированных пользователей определенных сервисов сети ИНТЕРНЕТ и т.п.
Анализ имеющегося опыта расследования преступлений в сфере компьютерной информации показал, что сочетание следственного эксперимента и назначение компьютерно-технической экспертизы по результатам, полученным в ходе проведения эксперимента, является достаточно устойчивым и можно говорить о специфической особенности данного следственного действия в рассматриваемой категории дел.
В связи с этим под следственным экспериментом при расследовании преступлений в сфере компьютерной информации следует понимать следственное действие, заключающееся в проведении специальных опытов (серии испытаний) с целью получения новых или проверки имеющихся доказательств, проверки и оценки следственных версий о возможности или невозможности существования тех или иных фактов, имеющих значение для дела, а также получения новых сведений, данных и образцов, используемых для получения новых или проверки существующих доказательств.
Несмотря на определенную специфику предметной области и особенности преступлений в сфере компьютерной информации, проводимые при расследовании следственные эксперименты полностью укладываются в традиционные классификационные схемы данного следственного действия195.
а)	по установлению возможности наблюдения, восприятия какого-либо факта или явления;
б)	по установлению возможности совершения какого-либо действия;
195 См.. Баев О.Я. Тактика следственных действий: Учебное пособие — Воронеж: НПО «Модек», Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов. Под ред. Белкина Р.С. — М. Издательство «НОРМА» 2000.
298
в)	по установлению возможности существования какого-либо явления;
г)	по установлению механизма события в целом или отдельных его деталей.
Проведение следственного эксперимента при расследовании преступлений в сфере компьютерной информации обусловлено рядом уголовнопроцессуальных требований, предусмотренных статьей 183 УПК РСФСР, где в качестве обязательных требований предусмотрено:
а)	проведение следственного эксперимента в присутствии понятых;
б)	право следователя на производство при следственном эксперименте в необходимых случаях измерений, фотографирования, киносъемки, составление планов и схем;
в)	право следователя на привлечение в необходимых случаях к участию в данном действии подозреваемого, обвиняемого, потерпевшего и свидетеля, а также на приглашение специалиста.
Указанные процессуальные требования, а также специфика преступлений в сфере компьютерной информации существенно не искажают принятый 196 порядок подготовки и проведения следственного эксперимента
В тактическом плане структура следственного эксперимента может быть представлена в виде последовательности следующих этапов:
1.	Подготовительный этап.
2.	Рабочий этап (непосредственное проведение эксперимента).
3.	Заключительный этап (оформление результатов эксперимента).
Подготовительный этап следственного эксперимента в свою очередь может быть разделен на три основных фазы (стадии):
а)	Планирование хода эксперимента.
б)	Формирование организационно-технической базы эксперимента.
в)	Инструктаж участников эксперимента.
На стадии планирования эксперимента определяются и детализируются цели и задачи следственного эксперимента, оценивается необходимость и
196 См/. Жукова Н.И., Жуков А.М. Производство следственного эксперимента. — Саратов, 1989.
299
возможность проведения следственного действия, вырабатываются основные этапы проведения эксперимента, определяется круг его участников, отрабатывается методика проведения эксперимента (правила выполнения и количество повторений определенных действий для получения достоверного результата). Кроме этого определяется место и время проведения следственного эксперимента.
На стадии формирования организационно-технической базы подготавливается необходимое техническое (компьютеры, линии связи, модемы) математическое (операционные системы, системы управления базами данных) и информационное обеспечение (конкретные прикладные программы, объем информационного наполнения файловых систем, баз данных, установки текущих дат и времени на системных часах компьютеров). В ряде случаев проведение следственного эксперимента на тех же объектах «кибернетического пространства» не представляется возможным, так как это может привести к серьезным последствиям (нанесению ущерба сравнимого с тем который нанесло само преступление в сфере компьютерной информации). Выходом из данной ситуации является создание специализированных моделирующих стендов полностью воспроизводящих отдельные (наиболее важные с точки зрения целей следственного эксперимента) стороны «кибернетического пространства».
На данной стадии изготавливаются специальные программы имитирующие основные характеристики (отдельные выполняемые функции, объем программы, формат хранения информации) программного обеспечения фигурирующего в расследуемом уголовном деле.
Обязательным условием при подготовке моделирующего стенда и специальных программ является соблюдение принципа подобия.
Стадия инструктажа участников эксперимента практически ничем не
197 отличается от традиционно выделяемого «полевого» периода подготовительного этапа проведения следственного эксперимента.
197 Баев О.Я. Тактика следственных действий: Учебное пособие — Воронеж: НПО «Модек», 1995.
300
Совершенно очевидно, что четкое и правильное выполнение всех стадий подготовительного этапа следственного эксперимента при расследовании преступлений в сфере компьютерной информации невозможно без привлечения и консультаций соответствующих специалистов.
Рабочий этап следственного эксперимента заключается в самом проведении опытных действий. По своему содержанию опытные действия могут быть столь разнообразными, что сформировать каких-либо специфических общих рекомендаций не представляется возможным.
Заключительный этап следственного эксперимента состоит в составлении протокола следственного действия, в котором фиксируется ход и результаты проведенного следственного действия. Как и протокол следственного эксперимента при расследовании «традиционных» преступлений протокол следственного эксперимента при расследовании преступления в сфере компьютерной информации должен состоять из трех основных частей: вводной, описательной и заключительной.
Вводная часть кроме атрибутивно-процессуальных моментов (даты, места проведения, номера уголовного дела и т.п.), предусмотренных статьями 183, 141, 142 УПК РСФСР обязательно должна содержать цель следственного эксперимента, а также используемые методические и организационно-технические средства достижения поставленной цели.
В описательной части подробно излагаются все действия, выполнявшиеся на подготовительном этапе следственного эксперимента, с подробным описанием используемых технических и информационно-программных систем с указанием их режимов работы и особенностями приведения их в работоспособное состояние. В данной части протокола отражается распределение обязанностей между всеми участниками следственного эксперимента, а также излагается суть всех проводимых опытных действий с указанием количества повторений, условий их проведения и всех иных существенных сведений.
В заключительной части протокола указываются замечания и заявления участников эксперимента, приводятся ссылки на приобщенные к прото
301
колу схемы, распечатки информационных файлов, скриншоты (изображения на экране дисплея компьютера в определенные моменты времени) а также полученная в ходе проведения следственного эксперимента иная компьютерная информация.
4.3.	Основные возможности компьютерно-технических экспертиз и тактические рекомендации по их назначению
При расследование высокотехнологичных преступлений следователь все чаще сталкивается с необходимостью выявления и изъятия следов и вещественных доказательств, представленных в виде информации в вычислительной, телекоммуникационной системе или на магнитном носителе. При этом для корректного использования имеющихся следов совершенного преступления следователю уже не хватает базовой юридической подготовки и специализации в области криминалистики. В этом случае возникает необходимость привлечения специальных познаний и навыков использования новых информационных технологий. Основной процессуальной формой привлечения специальных знаний является экспертиза.
Необходимость проведения нового рода экспертиз, связанных с исследованием объектов информационной сферы, таких как компьютеры, средства документальной связи, программы для ЭВМ, файлы данных на магнитных носителях, а также таких традиционных криминалистических объектов как документы, выполненные с использованием средств вычислительной техники реально возникла в начале 90-х годов. Однако отсутствие единого понимания не только объектов и методов проведения экспертиз такого рода, но и самого их существа привела к тому, что они выполняются различными специалистами и даже носят различные названия.
Так в Информационном Центре ГУВД Администрации Московской области проводятся программно-технические экспертизы (как разновидность инженерно-технической экспертизы) где в качестве объектов исследования
302
рассматриваются в основном программные средства198. Такой подход на наш взгляд существенно сужает круг объектов экспертного исследования и снижает полезность проведения таких экспертиз при расследовании преступлений в сфере компьютерной информации.
В Центральной Санкт-Петербургской лаборатории судебной экспертизы Министерства юстиции РФ проводятся судебно-кибернетические экспертизы, где их объектами являются все элементы кибернетической системы «человек-машина» и к проведению исследований кроме криминалистов и специалистов в сфере компьютерных технологий привлекаются психологи, лингвисты и даже социологи5. Сторонники этого взгляда рассматривают результат работы компьютера как сложное действие кибернетической системы «авторы алгоритмов (разработчики) программ — кодировщики (программисты) — технический персонал, обеспечивающий работу компьютера — пользователь компьютера — компьютер». Данная точка зрения неоправданно расширяет круг объектов экспертного исследования за счет рассмотрения всех информационных элементов и всех форм существования информации в кибернетической системе «человек-машина». Так, в качестве примера судебно-кибернетической экспертизы В.Н. Семенов и О.В. Мотуз приводят экспертизу, где по заявлению доверенного лица кандидата в депутаты Законодательного Собрания Санкт-Петербурга исследовалась телепередача, переданная в эфир Санкт-Петербургским телевидением в ходе предвыборной кампании и содержавшая телевизионные ролики с агитационными материалами кандидатов, в числе которых было выступление должностного лица — Первого вице-губернатора Санкт-Петербурга199.
Такой подход приводит к тому, что судебно-кибернетическая экспертиза начинает включать в себя и филологическую и лингвистическую экспертизу, традиционно рассматриваемых как самостоятельный вид судебных экспертиз.
|ys См.: Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники. Волгоград: Перемена, 1998.
199 См.: Семенов В.Н., Мотуз О.В. Судебно-кибернетическая экспертиза — инструмент борьбы с преступностью XXI века // Конфидент. — 1999. — № 3.
303
На наш взгляд, наиболее оправданным с точки зрения требований практики расследования уголовных дел в сфере компьютерной информации и реально осуществимым в большинстве экспертных учреждений является определение компьютерно-технической экспертизы, предложенное Е.Р. Российской200, которое во многом совпадает с позицией сторонников судебнокибернетических экспертиз, однако вычленяет из всего многообразия информационных элементов кибернетической системы «человек-машина» лишь искусственные объекты вычислительной техники (объекты способные воспринимать, обрабатывать и передавать компьютерную информацию), а из всех форм существования информации вычленяется ее представление в виде пригодном для автоматизированного приема, обработки, хранения и передачи.
Анализ практики проведения компьютерно-технических экспертиз, а также обобщение имеющихся в специальной литературе сведений, исходя из источников и носителей компьютерной информации позволяет выделить следующие разновидности объектов компьютерно-технических экспертиз:
•	текстовые и графические документы (стандартные и электронные), изготовленные с использованием средств автоматизации (вычислительных систем, средств передачи данных и копирования информации);
•	программы для ЭВМ и вспомогательная компьютерная информация, необходимая для их функционирования;
•	видео- и звукозаписи, визуальная и аудиальная информация представленная в формате мультимедиа;
•	компьютерные данные и сведения, представленные в форматах обеспечивающих их автоматизированное хранение, поиск, обработку и передачу (базы данных);
•	вычислительные системы и сети, множительная техника, средства связи и другие технические средства;
200 См.: Российская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. — М., 1996.
304
•	физические носители информации различной природы (магнитные, магнитно-оптические, оптические и т.п.);
•	пользователи автоматизированных информационных систем (разработчики компьютерных программ, операторы вычислительных систем, администраторы вычислительных сетей и т.п.).
Одним из важнейших моментов целесообразности компьютернотехнических экспертиз, как самостоятельного вида является перечень вопросов, которые могут быть решены с ее помощью. В специальной литературе встречается несколько точек зрения на этот вопрос.
Так В.Б. Вехов считает, что в настоящее время с помощью компьютер-
201 но-технических экспертиз могут решаться следующие задачи
1.	Воспроизведение и распечатка всей или части информации, содержащейся на физических носителях. В том числе находящихся в нетекстовой форме.
2.	Восстановление информации, ранее содержавшейся на физических носителях и в последствии стертой или измененной по различным причинам.
3.	Установление времени ввода, изменения, уничтожения либо копирования той или иной информации.
4.	Расшифровка закодированной информации, подбор паролей и вскрытие систем защиты информации.
5.	Установление авторства, места, средства подготовки и способа изготовления документов (файлов, программ).
6.	Выяснения возможных каналов утечки информации из автоматизированной информационной системы.
7.	Выяснение технического состояния, исправности программноаппаратных комплексов автоматизированных информационных систем, возможности их адаптации под конкретного пользователя.
201	См.: Вехов В.Ь. Компьютерные преступления: Способы совершения и раскрытия / Под ред. акад. Б.П. Смагоринского — М.: Право и закон, 1996.
305
8. Установления уровня профессиональной подготовки отдельных лиц, проходящих по делу в области программирования и в качестве пользователя.
Уже беглый анализ предлагаемых задач ставящихся на разрешение компьютерно-технической экспертизе, на наш взгляд не выдерживает серьезной критики.
Во-первых, ряд предложенных задач могут быть решены в ходе следственного осмотра с участием специалиста и не требуют проведения специальной экспертизы (например, задачи 7 и 8).
Во-вторых, задачи воспроизведения или распечатки информации (например, задача 1), содержащейся на физических носителях информации (особенно в нетекстовом виде) либо практически не реализуемы либо бесперспективны в качестве использования в судебном процессе. Трудности реализации данной задачи связаны с тем, что для распечатки текстового содержимого магнитного диска объемом всего 1 Гб необходимо около 500 000 стандартных листов бумаги формата А4. При этом следует заметать, что стандартные комплектации персональных компьютеров рекомендуемых для использования в домашних условиях содержат жесткие магнитные диски размером 6-8 Гб, а в продажу уже широко поступают винчестеры объемом 15-20 Гб. Говоря о бесперспективности решения данной задачи мы имеем в виду тот факт, что все эти весьма объемные распечатки окажутся не востребованными, т.к. достаточно сложно представить судью, который бы мог, да и стал бы разбираться в распечатке дампа памяти или например, загрузочной записи жесткого диска.
В-третьих, ряд задач имеют в основном исследовательский характер в области защиты информации (например, задача 6) и не имеют ничего общего с задачами расследования конкретных преступлений в сфере компьютерной информации. Трудно представить себе реальное преступление, для которого необходимо было бы выяснение возможных каналов утечки информации из автоматизированной информационной системы.
306
В.Н. Семенов и О.В. Мотуз в качестве вопросов выносимых на разрешение эксперта предлагают свой набор:
1.	Имеется ли на жестком диске представленного компьютера информация, соответствующая представленному образцу?
2.	Каково функциональное назначение (каков характер, каково содержание) информации, имеющейся на представленном компьютере (носителе)?
3.	Кто автор информации (программ, данных), имеющейся на представленном носителе?
4.	В каком формате записаны данные на представленном носителе?
5.	Какие программные и технические средства использованы при изготовлении представленных документов?
6.	Каков способ изготовления представленных документов (программ, текстов, данных иного формата)?
7.	Каковы характеристики технических средств, необходимых для изготовления представленных документов?
8.	Какое время необходимо для копирования представленной информации на представленный носитель?
9.	Вывести на бумажный носитель информацию с представленного носителя в следующей форме.
10.	Является ли представленная компьютерная система (ее часть) бывшей в употреблении?
И. Расшифровать информацию, содержащуюся в представленном зашифрованном файле.
12.	Восстановить стертые файлы с представленного носителя.
13.	Нарушение каких правил эксплуатации компьютерной системы привело к потере информации на ней? Можно ли восстановить информацию?
14.	Осуществлялся ли несанкционированный доступ к информации?
15.	Определить время создания (последнего изменения) данных на представленном носителе.
307
16.	Является ли представленный экземпляр программного обеспечения контрафактным?
Представленный список вопросов, также как и предыдущий, страдает одним общим недостатком - в единый ряд поставлены задачи, которые должны (и могут быть решены в виду различной специальной подготовки) решаться различными техническими специалистами с необходимым уровнем специальной подготовки в различных областях науки и техники.
Проведенный анализ представленных точек зрения квалифицированных специалистов в области компьютерно-технических экспертиз, а также личного опыта проведения компьютерно-технических экспертиз выявил необходимость детализации компьютерно-технических экспертиз по ряду следующих направлений:
•	аппаратно-техническая экспертиза;
•	программно-технологическая экспертиза;
•	информационная экспертиза;
•	интегральная компьютерно-техническая экспертиза.
Деление понятия компьютерно-технической экспертизы на более мелкие составляющие отвечает технологическим особенностям строения и эксплуатации средств информатизации и различных автоматизированных информационных систем. Так, например, даже самый высококлассный специалист по аппаратному обеспечению вычислительных средств не сможет установить наличие следов «двойного учета» с использованием бухгалтерской программы 1С. В то же время специалисты в области информационного обеспечения конкретных автоматизированных систем не смогут выявить особенностей подключения и настройки операционной системы (каналов прерываний и режимов обслуживания портов ввода\вывода) для управления какой-либо внешней технической системы (например, системой управления бензоколонками в которых каждая третья заправка или заправка превышающая 20 литров осуществляется с уменьшенным объемом).
308
Более того, специалист в области аппаратного обеспечения прекрасно владеющий архитектурой «Wintel-овских» (компьютеров построенных на основе микропроцессоров фирмы Intel и использующих семейство операционных систем Windows) компьютеров окажется совершенно бесполезным при исследовании компьютеров Apple Macintosh или Sun.
Собственно говоря, появление самостоятельных технических специальностей и специализаций внутри одной специальности является ярким подтверждением данного явления.
Аппаратно-техническая экспертиза, как справедливо отмечает Е.Р. Российская, предназначена для оценки технических возможностей средств вычислительной техники и отвечает на следующие основные группы вопросов:
1)	Возможно ли использование представленного технического комплекса для осуществления тех или иных функциональных задач (например, выхода в ИНТЕРНЕТ, создания специального механизма для управления комплексом других средств и т.п.)?;
2)	Используются ли представленные технические устройства в режимах предусмотренных руководством по эксплуатации, либо они подключены в режимах обеспечивающих дополнительные непредусмотренные стандартным вариантом возможности (например, правильно ли подключен блок фискальной памяти в контрольно-кассовом аппарате, построенном на основе персонального компьютера)?
3)	Какова стоимость представленного технического комплекса?
4)	Каковы ориентировочные даты создания вычислительного комплекса с заданными возможностями и даты изготовления его отдельных блоков?
Программно-технологическая экспертиза проводится для оценки основных функциональных свойств программного обеспечения установленного на том или ином вычислительном устройстве и отвечает на следующие основные группы вопросов:
1)	Каковы основные функции представленного программного обеспечения и является ли оно вредоносным?
309
2)	С помощью каких вычислительных (тип микропроцессора) и программных средств (использованные языки программирования, версии компиляторов, стандартные библиотеки, режимы настройки компиляторов) создано представленное программное обеспечение?
3)	Находится ли представленное программное обеспечение в состоянии обеспечивающем возможность его применения на заданном комплексе технических средств или с определенным программным обеспечением (например, конкретной программой электронной почты)?
4)	Какова ориентировочная дата создания представленного программного обеспечения?
5)	Каково предназначение представленных программ для ЭВМ? Каковы их потребительские свойства?
6)	Существуют ли типовые (авторские) приемы решения стандартных технологических задач программирования (например, используемая процедура сортировки, запись данных в определенные области памяти и т.п.)
Информационная экспертиза проводится для оценки основных характеристик информационного обеспечения хранимого на магнитном носителе или в составе технических средств вычислительной техники (ПЗУ, смарт-карты, flash-BIOS) и отвечает на следующие основные группы вопросов:
1)	Размещено ли на представленном магнитном носителе или в составе технических средств вычислительной техники необходимое информационное обеспечение для решение какой-либо конкретной функциональной задачи (например, база данных акционеров крупного предприятия, телефонный справочник городских АТС и т.п )?
2)	Находятся ли на представленных магнитных носителях файлы с документами, рисунками, чертежами и т.п. относящиеся к той или иной сфере деятельности (например, файлы с изображениями денежных знаков, чертежей взрывных устройств, схем электропроводки в здании, бланков юридических лиц и оттисков печатей, исходные тексты вредоносных программ на языке высокого уровня и т.п.)?
310
3)	Находится ли на представленном магнитном носителе информация свидетельствующая об информационном обмене в какой-либо информационной сети (например, ФИДО или ИНТЕРНЕТ) в заданный период времени?
4)	Каково предназначение представленных баз данных? Каковы их потребительские свойства?
Интегральная компьютерно-техническая экспертиза проводится для общей оценки возможности и действительного использования представленного вычислительного комплекса для определенных функциональных задач и отвечает на следующие основные группы вопросов:
1)	Возможно ли осуществление заданного вида деятельности с использованием представленных технических средств и размещенного на нем информационного и специального программного обеспечения (например, ведение «двойного» бухгалтерского учета, перехват электронной корреспонденции передаваемой по информационной сети, подготовка и изготовление поддельных денежных знаков и т.п.)?
2)	Каковы последствия (ущерб) применения комплекса технических средств, вредоносных программ в данной автоматизированной информационной системе, сети ЭВМ?
Предложенное деление компьютерно-технических экспертиз по более мелким направлениям, на наш взгляд, обеспечит более правильный подбор отдельных экспертов и экспертных организации для проведения экспертиз соответствующего вида. Кроме того, это позволит существенно сократить время на проведение соответствующих экспертиз за счет их распараллеливания и последующей интегральной оценки.
Не вызывает сомнения тот факт, что все рассмотренные направления компьютерно-технических экспертиз являются исключительно сложными и требуют значительных материальных, вычислительных, временных и других затрат. Зачастую на проведения экспертиз такого рода не хватает установленных сроков. Так, опыт исследования вредоносных программ показал, что возможности исследования функций и особенностей реализации вредоносно
311
го алгоритма квалифицированным специалистом ограничены 0,5-1 Кб программного кода в день202. Эти оценки ориентировочны и могут незначительно изменяться как в большую (при использовании средств автоматизации рутинных операций реассемблирования203), так и в меньшую (при использовании автором вредоносной программы специальных приемов программирования204 — шифрования, эффектов полиморфизма и т.п.) сторону. Учитывая, что современные «серьезные» вредоносные программы имеют объем никак не меньше 20 Кб, то в сроки установленные нормативными документами МВД для проведения сложных экспертиз может быть проанализировано не более 15-30 Кб программного кода.
Приведенные проблемы могут быть решены, на наш взгляд, в трех основных направлениях:
•	привлечение нескольких экспертов (экспертной бригады) для проведения одной экспертизы;
•	создание средств автоматизации проведения компьютернотехнических экспертиз;
•	максимальная детализация вопросов ставящихся на разрешение компьютерно-технической экспертизы.
Каждое из названных направлений имеет свои сильные и слабые стороны. Например, действующий УПК практически не предусматривает возможности проведения одной экспертизы группой экспертов (экспертной бригадой), да и если предположить такую возможность возникает множество процессуальных вопросов. Например, кто несет ответственность за результаты такой «коллективной экспертизы», как распределяются роли (а соответственно и ответственность) в экспертной бригаде, могут ли быть особые мнения у членов экспертной бригады, если да (что в общем то логично), то како
202 См/. Мещеряков В.А., Вялых С.А. Защита программного обеспечения от исследования путем полиморфных преобразований алгоритма // Материалы Всероссийской конференции «Повышение помехоустойчивости технических средств охраны». - М/ Радио и связь 1995.
203 См/ Расторгуев С.П., Дмитриевский Н.П. Искусство зашиты и «раздевания» программ. — М.
Совмаркет, 1991.
312
ва их юридическая сила и т.п. На наш взгляд, данное направление решения проблемы проведения сложных компьютерно-технических экспертиз является наименее подходящим из-за своей непроработанности и процессуальной незакрепленности. Однако, учитывая бурное развитие высоких технологий и их внедрение в различные сферы человеческой деятельности и как следствие в сферы криминальной деятельности создание экспертных бригад для проведения сложных экспертиз, на наш взгляд, будет необходимо. Высокая специализация необходимых специальных познаний в сфере новых информационных технологий уже сейчас приводит к тому, что уже для квалифицированного формирования вопроса выносимого следователем на разрешение экспертов требуется эксперт или как минимум специалист-системотехник, способный тактическую следственную задачу, стоящую перед следователем при проведении экспертизы, сформулировать как совокупность отдельных вопросов перед узкими техническими специалистами и затем «собрать» их ответы в единую картину, необходимую для следователя.
Подтверждением правильности и логической обусловленности именно такого пути при расследовании преступлений в сфере компьютерной информации является появление на рынке новых информационных технологий фирм-интеграторов, способных собрать отдельные решения различных фирм и различных производителей в единый технологический комплекс (например, автоматизированную систему управления металлургического комбината, систему управления воздушным движением региона и т.п.) и обеспечить его оптимальное функционирование.
Второе направление решения задач своевременного и качественного проведения экспертиз связанное с созданием средств автоматизации является достаточно перспективным и уже неоднократно рассматривалось в специ-205 альнои литературе
204 См.: Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. - М.: Яхтсмен, 1993.
21Ъ См.: Аверьянова Т.В. Интеграция и дифференциация научных знаний как источники и основы новых методов судебной экспертизы — М.: Академия МВД РФ 1994.
313
Наиболее перспективным в настоящих условиях способом решения рассматриваемой задачи является максимальная детализация вопросов выносимых на разрешение экспертов. Такая детализация вопросов возможна при проведении нескольких этапов экспертиз различной глубины, при которых результаты экспертизы предыдущего уровня используются для конкретизации задач формулируемых на следующем уровне.
Схожая конструкция используется в США при проведении компьютерно-технических экспертиз, где выделяют три уровня: экспертизу низкой интенсивности, стандартной степени интенсивности и высокой интенсивности.
Анализ отечественной практики расследования конкретных уголовных дел в сфере компьютерной информации показывает, что в ряде случаев для следствия оказывается достаточным лишь основных выводов экспертизы, полученных при быстром просмотре содержимого магнитных носителей с использованием стандартных средств. В первую очередь это касается преступлений, где компьютер выступает в качестве орудия совершения преступления при «традиционных» видах преступлений, таких как мошенничества и преступления в сфере экономики (например, подделка бланков, печатей, денежных знаков и т.п.).
В связи с изложенным, нам представляется целесообразным выделение трех основных уровней проведения экспертиз:
•	экспресс-экспертиза;
•	стандартная экспертиза;
•	детальная экспертиза.
В этом случае основной задачей экспресс-экспертизы является анализ содержимого носителей информации, определение его назначения и потребительских свойств информации и программного обеспечения, используемого в вычислительной системе. При этом осуществляется просмотр хранимых файлов с использованием стандартных программных средств - «вьюверов», настроенных на типовые форматы хранения информации, как в текстовом виде, так и в виде графического изображения и таблицы базы данных.
314
Файлы и информация, защищенные с использованием стандартных средств защиты информации (например, установленные пароли в файлах MS Office) при проведении данного вида экспертизы не анализируются и не вскрываются. Также не рассматриваются файлы неизвестных или нестандартных форматов. В этом случае проводится подробное описание файлов (размер, дата создания, место хранения, формат файла, обнаруженный способ защиты информации и т.п.), что позволяет сделать определенные предположения относительно их возможного содержания, требуемого дополнительного программного или аппаратного обеспечения для его использования в вычислительной системе.
Учитывая полученные сведения, а также текущие тактические задачи, стоящие в данные момент перед следователем, он может назначить стандартную компьютерно-техническую экспертизу и сформулировать для нее более четкие и узкие задачи. При этом при назначении стандартной экспертизы следователь должен вместе с постановлением о ее назначении направить эксперту заключение экспресс-экспертизы со всеми вещественными доказательствами, направлявшимися для проведения экспресс-экспертизы.
Тактическую целесообразность и практическую полезность проведения экспресс-экспертизы можно проиллюстрировать реальным примером из опыта расследования одного из уголовных дел. Так в одном из РОВД Воронежской области было возбуждено уголовное дело по факту причинения ущерба одному из коммерческих банков путем систематического несанкционированного использования его пароля для входа в сеть ИНТЕРНЕТ. В ходе проведенных следственных действий был установлен подозреваемый в совершении данного преступления и было выяснено, что не только он сам использовал банковский пароль доступа в ИНТЕРНЕТ, но и продавал его, якобы незнакомым ему лицам, которые также осуществляли выход в ИНТЕРНЕТ под этим паролем. В ходе проведенного обыска у подозреваемого были изъяты магнитные носители информации и была назначена компьютернотехническая экспертиза. В ходе проведения которой (а по сути выполняемых
315
действий, именно экспресс-экспертизы) на магнитных носителях были обнаружены файлы свидетельствующие об определенных гомосексуальных наклонностях подозреваемого (в частности, база данных адресов и телефонов представителей определенной сексуальной ориентации, изображения определенного содержания и адреса часто посещаемых специфических сайтов в ИНТЕРНЕТЕ). Полученная информация позволила следователю тактически правильно построить допросы, а также сформировать и значительно сузить круг лиц которым мог быть продан пароль доступа.
Учитывая изложенное выше содержание компьютерно-технической экспересс-экспертизы можно сформулировать технические требования к оборудованию (аппаратному и программному обеспечению) рабочего места эксперта. На наш взгляд для данного вида экспертиз вполне достаточно стандартного персонального компьютера следующего состава:
•	процессор — не ниже Intel Pentium 100 МГц;
•	материнская плата — обеспечивающая возможность подключения не менее 3 устройств PCI, не менее 3 устройств ISA, не менее 3 устройств внешней памяти (винчестеров) IDE и содержащее BIOS с возможностью загрузки операционной системы через устройство чтение компакт-дисков (CD-ROM);
•	системный блок — форм-фактор АТХ с блоком питания не менее 230 Вт и двумя контейнерами для размещения съемных винчестеров IDE;
•	оперативная память — не менее 16 Мб;
•	универсальная 16-разрядная звуковая карта — желательно, наиболее распространенная в момент комплектования рабочего места эксперта;
•	винчестер IDE — не менее 1 Гб;
•	видеокарта — не менее 1 Мб памяти и поддерживающая разрешение 600x800 пикселей при 16 млн. цветов палитры изображения;
•	монитор — 15 дюймов с разрешением изображения не менее 600x800 пикселей;
316
•	устройство чтения компакт-дисков (CD-ROM);
•	устройство чтения магнитно-оптических дисков на 630 Мб;
•	дисководы для флоппи-дисков на 3,5 и 5,25 дюйма.
Программное обеспечение рабочего места эксперта должно включать:
•	наиболее распространенные операционные системы Windows 95\98, Linux, Windows NT (Server, Workstation) 4.0, с последним выпуском Service Pack (например, Service Pack 4 для Windows NT 4.0);
•	наиболее распространенный комплект программ MS Office (включая MS Word, MS Exel, MS Access, MS Outlook и т.п.);
•	комплект программ для работы с ИНТЕРНЕТ - MS Internet Explorer версии 4 или 5, Netscape Navigator версии 4;
•	комплект программ «вьюверов» для наиболее распространенных форматов файлов (например, входящих в комплекты Norton Commander, Dos Navigator, Far и т.п.).
Приведенный состав технического и аппаратного обеспечения является достаточно «скромным» и, на наш взгляд, его уже сейчас можно собрать из имеющейся техники практически в любом РОВД любого областного центра. Столь же «скромными» являются требования к квалификации эксперта осуществляющего компьютерно-техническую экспресс-экспертизу. На наш взгляд, ее может выполнять специалист имеющий высшее специальное образование в сфере информатики или новых информационных технологий (инженер-математик, физик, радиоинженер, инженер в области средств связи, преподаватель математики, информатики или физики), прошедший специальную подготовку в объеме не более 20 часов по вопросам использования стандартных программных средств.
Таким образом, при условии удовлетворения представленным требованиям экспресс-экспертиза может проводиться непосредственно в РОВД, штатными специалистами отвечающими за эксплуатацию имеющейся вычислительной техники. Возможность проведения экспресс-экспертиз особенно актуально при расследовании преступлений в сфере экономики, т.к. в на
317
стоящее время практически все коммерческие фирмы стараются вести бухгалтерский учет, учет хранящейся на складе продукции, учет реализации своей продукции исключительно с использованием вычислительной техники.
Серьезную помощь в этом направлении окажет установление единого стандарта на техническое и программное оснащение рабочего места эксперта и специальную подготовку самого эксперта. Разработка и централизованная поставка сертифицированного специализированного программного обеспечения для проведения экспресс-экспертиз позволит унифицировать порядок ее проведения и обеспечить единство получаемых результатов.
Исходя из решаемых задач и целей экспресс-экспертизы сроки ее проведения, на наш взгляд, не должны превышать одной недели. Установлению таких достаточно жестких сроков способствуют достаточно ограниченные цели и весьма широкие возможности автоматизации проведения работ в рамках экспертизы данного вида.
При проведении стандартной компьютерно-технической экспертизы файлы информации просматриваются и анализируются не только как наборы данных широко распространенных форматов, но и как определенная последовательность байтов. Такой подход, кроме возможностей экспересс-экспертизы позволяет например, обнаружить в стандартном исполняемом файле (EXE формата) специализированные метки использовавшегося при его создании компилятора, его версию, а зачастую и дату создания исследуемого файла. При проведении данного вида экспертизы осуществляется вскрытие установленных паролей, преодолевается используемая система защиты информации. В случае если не удается в установленные сроки ответить на поставленные перед экспертом вопросы, составляется экспертное заключение в котором указывается программа экспертных исследований, используемое оборудование и программные средства, полученные результаты и их оценки по каждому пункту программы исследований. Исходя из анализа полученных результатов, тактических задач, стоящих перед следователем, а также индивидуальных особенностей расследуемого уголовного дела (размера нанесен
318
ного ущерба, санкции за совершенное преступление и т.п.) он может назначить детальную компьютерно-техническую экспертизу. При назначении детальной компьютерно-технической экспертизы вместе с постановлением о ее назначении следователь должен направить эксперту все заключения проведенной экспересс-экспертизы и стандартной экспертизы, а также все вещественные доказательства передававшиеся на предыдущие виды экспертиз. Данное требование обусловлено тем, что при использовании более мощных технических, программных и иных средств исследования могут быть обнаружены следы выполняемых действий, которые могли быть не обнаружены при проведении предыдущих менее глубоких экспертиз.
Сроки проведения стандартной компьютерно-технической экспертизы, как правило, не должны превышать одного месяца. Для выполнения работ в рамках данного вида компьютерно-технической экспертизы требуется значительно более мощное аппаратное и специализированное программное обеспечение. Более серьезные требования предъявляются и к квалификации эксперта. Эксперт в данном случае должен владеть навыками программирования на языке низкого уровня (ассемблере), уметь пользоваться программами отладчиками, трассировщиками, дизассемблерами, знать основы построения существующих систем защиты информации, известные способы их преодоления и т.п. Учитывая приведенные требования стандартные компьютернотехнические экспертизы, на наш взгляд, должны проводиться в экспертнокриминалистическом управлении УВД области, областной научно-исследовательской лаборатории судебной экспертизы либо аналогичного экспертного учреждения областного уровня.
Детальная (индивидуально ориентированная) компьютернотехническая экспертиза представляет собой наиболее полное экспертное исследование средств вычислительной техники, магнитных носителей информации и микропроцессорной техники с целью решения поставленных перед экспертизой задач. Для проведения детальной экспертизы используются все существующие в настоящее время в распоряжении правоохранительных ор
319
ганов, а также специализированных учреждений других органов государства техника и специальные устройства и современные технологии. Такими технологиями могут быть компьютерные томографы для изучения структуры полупроводникового кристалла с целью выявления специфических участков реализующих недокументированные, вредоносные функции, высокоточные устройства считывания информации с магнитных носителей, обеспечивающие прочтение информации, записанной на них ранее (т.е. информации уничтоженной путем однократной перезаписи на ее место другой) и т.п.
Детальная экспертиза представляет собой наиболее трудоемкий и наиболее сложный вид компьютерно-технических экспертиз и следовательно должна проводиться в специализированных учреждениях, обладающих высоким научным потенциалом и необходимым техническим обеспечением. Таких центров должно быть не более десятка и они могут быть созданы как на базе центральных экспертных институтов правоохранительных органов, так и на базе конверсируемых научно-исследовательских учреждений министерства обороны и оборонных отраслей промышленности. Учитывая уникальность экспертиз такого рода, установление каких-либо сроков ее проведения, на наш взгляд нецелесообразно.
Методическое обеспечение проведения компьютерно-технических экспертиз в настоящее время разработано достаточно слабо, и практически каждая из них выполняется по уникальной методике, разработанной экспертом. Тем не менее накопленный опыт уже позволяет сформулировать ряд общих рекомендаций, касающихся основных этапов проведения исследований.
В первую очередь общей рекомендацией при исследовании информации на магнитных носителях является обязательное снятие копии с исследуемого носителя на носитель эксперта.
Для того чтобы эксперт смог исследовать компьютерную информацию, в лабораторных условиях с использованием специальной техники и программного обеспечения необходимо представить на экспертизу материальный носитель, на котором она содержится. При выполнении манипуляций с этими носителями
320
следует иметь в виду, что информация, хранимая на них, может быть либо уничтожена путем случайного или умышленного стирания с носителя, а также при изменении физических свойств носителя или окружающей среды (например, при попадании на рабочую поверхность дискеты дактилоскопического порошка или при использовании мощных источников электромагнитного излучения), либо информация может быть размножена без ее исчезновения с исходного носителя. Для исключения названных ситуаций необходимо (или по крайней мере весьма желательно) проводить предварительное копирование информации на магнитный носитель эксперта и выполнять все необходимые манипуляции с полученной информационной копией.
При этом, учитывая различную глубину проводимых экспертиз можно выделить три уровня точности копирования информации:
•	с точностью до файла, т.е. копирование информации стандартными средствами используемой операционной системы - для экспресс-экспертизы;
•	с точностью до байта, т.е. копирование информации специализированными утилитами, обеспечивающими соответствие разбивки магнитного носителя информации эксперта и исследуемого носителя по числу и размеру логических дисков, секторов, дорожек, наличию поврежденных (помеченных как поврежденные) секторов - для стандартной экспертизы;
•	с точностью до бита, т.е. копирование информации комплексом специализированных программно-аппаратных средств, обеспечивающих прямое управление устройствами считывания (без использования функций операционной системы и базовой системы ввода\вывода) и учитывающих индивидуальные особенности вращения магнитного носителя, длительности и интенсивности управляющих импульсов чтения\записи и т.п. - для детальной экспертизы.
При этом независимо от ходатайств собственников магнитных носителей информации представленной на экспертизу, ни в коем случае не рекомендуется возвращать им магнитный носитель до прекращения или завершения расследования уголовного дела (по возможности, вообще до вступления
321
приговора суда в законную силу). Идя навстречу их просьбам можно провести еще одно копирование с магнитного носителя эксперта на еще один представленный собственником магнитный носитель. При этом необходимо использовать, как правило, копирование с точностью до файла. Просьбы о более точном копировании информации должны насторожить следователя и он должен дополнительно уточнить роль данного магнитного носителя и информации на нем в деятельности его собственника (кроме очевидной информации на нем может быть размещена какая-либо скрытая парольно-ключевая информация, либо информация каким-либо образом компрометирующая собственника перед следователем).
Вторая общая рекомендация касается оформления экспертного заключения. Учитывая возможность проведения повторного более глубокого исследования и отсутствие единого методического обеспечения необходимо четкое документирование всех основных шагов экспертного исследования, включающее описание используемого аппаратного обеспечения, способа его подключения, применяемое программное обеспечение и все промежуточные и конечные результаты. В частности необходимо подробно описать:
•	полный состав аппаратного обеспечения эксперта и режимы подключения всех плат (положения джамперов, используемые IRQ и вектора прерывания и т.п.);
•	режимы подключения внешних носителей информации (на каком разъеме они установлены, как установлены джамперы и т.п.);
•	полный состав общего (операционные системы, драйверы внешних устройств), общесистемного (системы управления базами данных, электронные таблицы, командные оболочки и т.п.) и специального программного обеспечения установленного на компьютере эксперта, а также основные параметры установки и последовательность его запуска при начальной загрузке операционной системы.
Учитывая, что оборудование используемое при проведении компьютерно-технических экспертиз как правило не меняется, то всю эту работу не-
322
обходимо провести всего один раз, а затем лишь следить за соответствием используемой при экспертизе конфигурации. В то же время, значение такого подробного описания весьма велико, т.к. в ряде случаев из-за некорректного или нестандартного подключения исследуемых магнитных носителей могут быть получены неверные результаты или вообще поставлено под сомнение сама возможность проведения исследований. В связи с этим наличие информации об используемых режимах подключения исследуемых средств в предыдущих экспертиз позволит правильно построить программу более глубокого исследования.
Опыт проведения компьютерно-технических экспертиз показал необходимость выполнения ряда обязательных первоочередных исследования (практически независимо от особенностей поставленных перед экспертом вопросов), а именно:
•	проведение проверки на наличие программных вирусов и других вредоносных программ с использованием последней версии рекомендуемых антивирусных программ (например, AVP, AidsTest или DrWeb);
•	определение системного времени, установленного на системной плате и соответствующих атрибутов файлов и директорий;
•	определение используемого режима форматирования (начальной разметки) магнитного носителя — размер кластеров, количество дорожек, наличие блоков, помеченных операционной системой как поврежденные и т.п.
Наличие такой информации в исследовательской части заключения эксперта позволяет следователю принять обоснованное решение о необходимости проведения экспертизы более глубокого уровня.
Далее, при изложении экспертного заключения не целесообразно использование формулировок «возможно», «очевидно», «наиболее вероятно», «скорее всего» и т.п. Все используемые формулировки должны быть логически обоснованными, точными и однозначно толкуемыми. В ряде случаев весьма предпочтительным будет представление информации в виде схемам, таблиц и другого графического материала. Удачно составленная схема или
323
схематический рисунок будет обязательно использован в судебном заседании и позволит сэкономить время на донесение необходимой технической информации для состава суда, плохо подготовленного в сфере компьютерных технологий.
Особое внимание следует обратить на используемую фразеологию. Весьма желательно сократить до минимума использование англоязычных специальных терминов, аббревиатур и жаргонизмов стараясь заменить их эквивалентными русскоязычными словосочетаниями. Крайне нежелательно использование различных названий одного и того же понятия, это существенно затрудняет понимание текста заключения следователем - непрофессионалом в области информационных технологий.
Еще одной общей рекомендацией при назначении компьютернотехнической экспертизы является обязательное проведение предварительного согласования всех выносимых на экспертизу вопросов (редакцию вопросов, перечень необходимых для исследования объектов и материалов, сроки производства исследований) между следователем и экспертом. Следователь должен четко представлять возможности и ограничения компьютернотехнической экспертизы и не ставить перед экспертами задач и вопросов, выходящих за рамки их компетенции.
Подводя итог сказанному необходимо отметить, что компьютернотехническая экспертиза, как самостоятельный вид экспертизы, сформировалась буквально за последние два-три года и в настоящее время находится в постоянном развитии — расширяется круг объектов экспертизы, совершенствуются методы их исследований, формируются методики проведения экспертиз. При этом состояние развития и совершенствования для данного вида экспертиз является внутренне обусловленным и диктуется научно-техническим прогрессом в сфере новых информационных технологий, внедрением новых средств вычислительной техники и телекоммуникационных систем.
324
ЗАКЛЮЧЕНИЕ
В заключении сформулируем основные выводы и предложения, содержащиеся в работе:
1.	Широкое внедрение новых информационных технологий во все сферы человеческой деятельности, появление нормативных правовых актов в сфере компьютерной информации привело к формированию информационных правоотношений остро нуждающихся в уголовно-правовой защите.
2.	Преступление в сфере компьютерной информации («компьютерное преступление») это предусмотренное уголовным законом общественно опасное деяние (действие или бездействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или физическому лицу, а также против установленного государством или ее собственником порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба законному владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается и уничтожается, или повлекло иные опасные последствия.
3.	Появление преступления в сфере компьютерной информации привело к необходимости рассмотрения нового самостоятельного криминалистического объекта — «кибернетического пространства». Под «кибернетическим пространством» при расследовании преступлений в сфере компьютерной информации предложено понимать область возможного нахождения информации, представленной в виде, пригодном для автоматизированной обработки, имеющей существенное значение для установления истины по расследуемому преступлению, и образованную средствами хранения информации, устройствами автоматизированной обработки информации (в том числе средствами вычислительной техники), вспомогательными средствами и системами, а также средствами и системами связи и телекоммуникаций, функционирующими в соответствии с принятым протоколом обработки информа
325
ции под управлением соответствующего программного и с использованием необходимого информационного обеспечения.
В общем случае «кибернетическое пространство» включает в себя:
•	отдельные помещения или их набор, в которых размещены автоматизированные информационно-вычислительные системы с соответствующим техническим комплексом обеспечения ее деятельности (системы связи, электропитания, заземления и т.п.);
•	средства автоматизированной обработки информации (вычислительные машины и их системы);
•	каналы телекоммуникаций и передачи данных (в том числе звуковые волны и электромагнитные поля);
•	машинные носители информации, обеспечивающие хранение информации в виде пригодном для ее автоматизированной обработки;
•	непосредственно сама информация, представленная в виде пригодном для ее автоматизированной обработки (данные в соответствующих форматах, управляющие программы и т.п.);
•	принятые порядок и последовательность (протоколы — по терминологии теории автоматизированных информационно-вычислительных систем) автоматизированной обработки информации, а также установленные правила и распределение обязанностей между должностными лицами автоматизированной информационной системы.
4.	Выявлены существенные криминалистические особенности «кибернетического пространства», как среды совершения преступлений в сфере компьютерной информации включающие:
•	огромное число состояний;
•	высокие скорости изменения состояний;
•	отсутствие очевидных («грубых») форм проявления и хрупкость (недолговечность) следов информационных процессов в «кибернетическом пространстве»;
326
•	отсутствие устойчивых идентификационных признаков информации передаваемой и обрабатываемой в «кибернетическом пространстве»;
•	использование уникальных орудий преступления — программ обработки компьютерной информации.
5.	Обоснована необходимость формирования самостоятельной частной криминалистической теории расследования преступлений в сфере компьютерной информации. Определено место данной частной криминалистической теории в системе наук криминалистического цикла.
6.	Под «компьютерной информацией» в работе предложено пронимать информацию, представленную в специальном (машинном) виде, предназначенном и пригодном для ее автоматизированной обработки, хранения и передачи, находящуюся на материальном носителе и имеющую собственника, установившего порядок ее создания (генерации), обработки, передачи и уничтожения.
7.	Для четкого определения понятия «ЭВМ» в контексте главы 28 УК РФ предложено дополнить статью 272 примечанием следующего содержания:
«Под ЭВМ (компьютером) в настоящей статье и иных статьях настоящей главы УК понимается комплекс технических средств, включающий:
•	процессор (или другое электронное устройство), выполняющий функции преобразования информации, представленной в машинном виде, и реализующий одно или несколько действий (программу) по обработке информации;
•	устройство хранения управляющих программ и (или) данных, необходимых для реализации процессором его целевых функций;
•	оборудование (приспособление), позволяющее каким-либо образом изменять или перезаписывать управляющие программы и (или) данные, необходимые для реализации процессором его целевых функций.»
8.	Под местом совершения преступления в сфере компьютерной информации в диссертации предложено понимать совокупность ЭВМ, системы ЭВМ и их сети, образующих фрагмент «кибернетического пространства», содержа
327
щий компьютерную информацию, следы, вещественные доказательства и иные явления, имеющие существенное значение для установления истины по делу о совершении преступления в сфере компьютерной информации.
9.	Криминалистическая классификация преступлений в сфере компьютерной информации представляет собой полную и непротиворечивую структурно-информационную модель (научную абстракцию), отражающую основные (криминалистически значимые) элементы данного вида преступлений и их взаимные отношения вложенности и подчиненности.
10.	Предложено формализованное описание компьютерной информации как основы для построения криминалистической классификации компьютерных преступлений включающее три основных уровня:
•	физический — уровень материальных носителей информации, где информация представлена в виде конкретных характеристик вещества или электромагнитного поля;
•	логический — уровень представления сложных информационных структур (от байта до файла) на основе элементарных компонент физического уровня;
•	семантический — уровень смыслового представления информации.
11.	Выявлен набор элементарных операций с компьютерной информацией представляющий собой базисный набор действий любого противоправного деяния и образующий основу для построения криминалистической классификации преступлений в сфере компьютерной информации.
12.	Предложена криминалистическая классификация преступлений в сфере компьютерной информации, включающая: уничтожение (разрушение) компьютерной информации, неправомерное завладение компьютерной информацией или нарушение исключительного права ее использования, действия (или бездействие) по созданию (генерации) компьютерной информации с заданными свойствами, неправомерная модификация компьютерной информации.
328
13.	Предложено новое понимание криминалистической характеристики преступления определяемое как научная абстракция, предназначенная для выявления оптимальных направлений следственного поиска при расследовании преступлений одного вида, организованную в виде «системы знаний» и включающую:
•	совокупность существенных для расследования характерных признаков преступления одного вида;
•	совокупность возможных значений существенных для расследования преступлений признаков;
•	совокупность взаимосвязей между существенными для расследования преступлений признаками и их вес;
•	методы пополнения (уточнения) совокупностей существенных для расследования преступлений признаков, возможных значений этих признаков, а также взаимосвязей между ними;
•	«методы вывода», т.е. способы и приемы получения оптимальных направлений следственного поиска на основе совокупности существенных для расследования преступлений признаков, их конкретных значений и взаимосвязей между ними.
14.	Уточнен перечень характерных признаков преступления в сфере компьютерной информации, включаемых в криминалистическую характеристику данного вида преступлений и содержащий:
•	сведения о предмете преступного посягательства: вид и целевое назначение компьютерной информации против которой направлено преступление, используемые материальные носители для хранения и обработки этой информации;
•	сведения о среде совершения преступления: вид и особенности аппаратного, программного и информационного обеспечения автоматизированной информационной системы в которой совершено преступление, установленный порядок его функционирования и технологическая схема обра
329
ботки и защиты информации в соответствии с целевым назначением автоматизированной информационной системы;
•	сведения о личности преступника: пол, возраст, образование, типовой состав и схема взаимосвязей в преступной группе;
•	типовая мотивация и целеполагание преступного поведения при совершении преступлений в сфере компьютерной информации;
•	типичные способы подготовки и совершения преступления, способы его сокрытия, в том числе типовые орудия (средства);
•	сведения о типичных обстоятельствах совершения преступления: обстановка, время, место, выполняемая технологическая операция при обработке информации;
•	сведения о следах совершения преступления и типичных последствиях преступлений;
•	совокупность (характеристика) исходной информации в начале расследования преступления.
15.	Предложенное понимание криминалистической характеристики и вытекающая из этого возможность ее формализованного представления позволяет создавать описания важнейших элементов исследуемого вида преступления, которые в свою очередь предоставит возможность:
•	пополнения различными исследователями имеющейся криминалистической характеристики новыми элементами (установленными фактами) и зависимостями между ними;
•	привлечения методов формальной математической логики для установления непротиворечивости и полноты описания криминалистической характеристики;
•	привлечения средств вычислительной техники для создания информационно-поисковых и информационно-советующих систем для повышения качества планирования и оптимизации направления расследования преступлений;
330
•	легкого тиражирования и быстрого распространения достигнутого ведущими специалистами в данной области криминалистики уровня знаний об особенностях конкретного вида преступлений;
•	предложить формализованные критерии целесообразности включения новых элементов криминалистической характеристики и уточнения возможных значений этих элементов.
16.	Анализ особенностей формирования следовой картины при совершении преступлений в сфере компьютерной информации привел к необходимости введения понятия «виртуальных следов» (как промежуточного между материальными и идеальными) определяемых как любое изменение состояния автоматизированной информационной системы (образованного ею «кибернетического пространства»), связанное с событием преступления и зафиксированное в виде компьютерной информации (т.е. информации в виде, пригодном для машинной обработки) на материальном носителе, в том числе и на электромагнитном поле.
17.	Предложена классификация «виртуальных следов» включающая: появление, исчезновение или модификацию компьютерной информации в эфире, на магнитном диске, на магнитной ленте, на оптическом (магнитооптическом) диске, в полупроводниковом кристалле (процессоре, микросхеме постоянного запоминающего устройства и т.п.), а также изменение характеристик (режимов функционирования) информационных процессов в автоматизированных информационных системах (замедление, ускорение, отказ в выполнении, изменение последовательности выполнения стандартных типовых операций).
18.	Определены основные характеристики следообразующих и следовоспринимающих объектов при совершении преступления в сфере компьютерной информации связанного с созданием, использованием и распространением вредоносных программ для ЭВМ (статья 273 УК Российской Федерации).
331
Основными характеристиками следообразующих объектов при совершении данного вида преступления будут:
•	размер программ и сообщения электронной почты с присоединенным файлом;
•	дата и время создания/получения и/или модификации файлов и сообщения;
•	отдельные атрибуты (например признак архивного, скрытого или системного файла, уровень важности и конфиденциальности полученного сообщения) файла и сообщения;
•	характерные записи (фрагменты) исполняемых программ или файлов конфигурации, позволяющие идентифицировать конкретный экземпляр вредоносной программы.
Основными следовоспринимающими объектами при совершении данного вида преступлений будут:
На компьютере «жертвы»:
•	Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы).
•	Системный реестр операционной системы.
•	Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации.
•	Файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы.
•	Файлы конфигурации программ удаленного соединения компьютера с информационной сетью.
На компьютере правонарушителя:
•	Таблица размещения файлов (FAT, NTFS или другая в зависимости от типа используемой операционной системы).
•	Системный реестр операционной системы.
332
•	Скопированные с компьютера-жертвы файлы данных и программы, а также так называемые «скриншоты» (графические изображения экрана монитора) с компьютера-жертвы.
•	Файлы и каталоги (папки) хранения входящей электронной почты и прикрепленных исполняемых файлов, конфигурации почтовой программы.
•	Файлы конфигурации программ удаленного соединения компьютера с информационной сетью. В этих файлах могут быть обнаружены логины и пароли компьютера-жертвы, его адресная книга, используемые скрипты и т.п.
•	Отдельные кластеры магнитного носителя информации (винчестера, дискеты), в которых записываются фрагменты исполняемых файлов (программ) и файлов конфигурации.
19.	Проведен анализ типовых (наиболее часто используемых в практической деятельности) программно-технических средств поиска виртуальных следов, выявлены их основные недостатки и разработаны предложения по совершенствованию программно-технического облика специальных средств, обеспечивающих решение задач обнаружения, фиксации и изъятия (копирования) виртуальных следов.
20.	Особенности виртуальных следов вызывают настоятельную необходимость совершенствования уголовно-процессуальных норм. В частности, целесообразно включить в действующий уголовно-процессуальный кодекс статьи устанавливающие порядок применения специальных программнотехнических средств при производстве отдельных следственных действий, а также разрешающие фиксацию результатов отдельных следственных действий на магнитных носителях информации.
В диссертационной работе предложено включить в УПК РСФСР статью 1412 «Применение специальных программно-технических средств», следующего содержания:
При производстве отдельных следственных действий для обнаружения и фиксации следов совершения преступления, а также иной компьютерной информации, имеющей значение для дела и находящихся в памяти ЭВМ,
333
системы ЭВМ или их сети, могут быть применены специальные программнотехнические средства.
Следователь принимает решение о применении специальных программно-технических средств до начала следственного действия и уведомляет об этом всех лиц, участвующих в проведении данного следственного действия.
В случае использования при проведении отдельных следственных действий специальных программно-технических средств в протоколе следственного действия должны быть указаны объекты, к которым они были применены, а также сведения отражающие.
наименование, версию и основные цели использования специальных программно-технических средств;
установленные действующими федеральными стандартами параметры цифровой подписи для используемого программно-технического средства;
порядок их начальной установки (использования) или приведения в работоспособное состояние;
порядок и условия их подключения, запуска или приведения в работоспособное состояние для выполнения своего функционального назначения;
порядок и условия выдачи результатов применения специальных технических и программных средств.
Одним из первых шагов в направлении предоставления возможности закрепления результатов отдельных следственных действий на машинных носителях информации, по мнению диссертанта, может быть дополнение УПК РСФСР статьей 1761 «Фиксация результатов отдельных следственных действий на магнитных носителях информации» следующего содержания:
Для документирования результатов отдельных следственных действий следователь вправе использовать магнитные, магнитооптические, оптические и иные машиночитаемые носители информации.
Запись информации с результатами отдельных следственных действий на машиночитаемые носители должна осуществляться с использованием сертифицированных установленным порядком программно-технических средств
334
в установленном формате, обеспечивающем воспроизводимость записанной информации.
В целях обеспечения неизменности хранящейся на машиночитаемых носителях информации результатов отдельных следственных действий должна использоваться технология цифровой подписи, установленная действующими федеральными государственными стандартами, реализуемая с использованием подготовленных установленным порядком программнотехнических средств.
В случае записи результатов отдельных следственных действий на машиночитаемый носитель информации следователь должен сделать соответствующую отметку в протоколе данного следственного действия.
21.	Рассмотрены особенности личности правонарушителей в сфере компьютерной информации и выявлены их типовые черты: образ мышления, возраст и образование, средства к существованию и профессия, характер, взаимоотношения в семье, внешний вид и одежда, жилище и быт, питание, увлечения.
22.	Приведены качественные оценки возможностей различных категорий сотрудников организаций по совершению преступлений в сфере компьютерной информации.
23.	Выявлены основные этапы (стадии) совершения преступления в сфере компьютерной информации, выбор цели (автоматизированной информационной системе) преступного посягательства; выбор компьютерной информации (предмета преступного посягательства) хранящейся в персональном компьютере, локальной вычислительной сети, распределенной телекоммуникационной системы (автоматизированной информационной системы); предварительный сбор информации об объекте преступного посягательства, организации его работы и технологии обработки информации на нем, характеристиках и составе используемого математического обеспечения; планирование совершения преступления, вовлечение и подготовка исполнителей преступления; непосредственно воздействие на информацию в машинном
335
виде путем внесения модификации или снятия копии информационного файла; проявление (получение) желаемого эффекта воздействия на информацию в объекте преступного посягательства; сокрытие прямых и косвенных следов компьютерного преступления.
24.	Рассмотрены основные способы совершения преступлений в сфере компьютерной информации включающие, атаки на основе «асинхронности», атаки на основе «просмотра», атаки на основе включения «между линиями», атаки на основе «тайного кода», атаки на основе «отказа в доступе», атаки на основе «индуцирования ошибок», атаки на основе «взаимодействующих синхронных процессов», атаки на основе «разъединения линии», атаки на основе «маскировки», атаки типа «NAK», атаки на основе «обмана оператора», атаки на основе «перестановочного программирования», атаки на основе «поэлементной декомпозиции», атаки типа «Piggy back», атаки на основе «троянского коня».
25.	Выявлены четыре группы типовых ситуаций первоначального этапа расследования преступлений в сфере компьютерной информации: «по хвостам» — обнаружение проявлений (эффектов, результатов) неправомерных действий с компьютерной информацией; «сигнал» — получение информации о совершаемом или подготавливаемом преступлении, «с поличным» — регистрация неправомерных действий с компьютерной информацией в момент их совершения (в реальном масштабе времени); «профилактика» — обнаружение признаков совершения преступления в ходе систематических проверок уровня безопасности автоматизированных информационных систем.
26.	Сформулирована обобщенная схема расследования преступлений в сфере компьютерной информации, включающая шесть основных этапов (элементов):
•	Установление факта преступления в сфере компьютерной информации и выяснение его особенностей и деталей.
•	Выявление способа получения материальной или иной выгоды для субъекта совершившего преступление в сфере компьютерной информации.
336
•	Установление способа совершения преступления в сфере компьютерной информации.
•	Установление круга лиц совершивших преступление и выявление роли каждого из участников.
•	Установление размера причиненного ущерба вследствие совершения преступления в сфере компьютерной информации.
•	Определение условий и обстоятельств способствовавших осуществлению преступления в сфере компьютерной информации.
27.	Уточнены самостоятельные объекты следственного осмотра при расследовании преступлений в сфере компьютерной информации, характеризующиеся индивидуальной спецификой проведения данного следственного действия:
•	Отдельные помещения или их совокупность, в которых размещены автоматизированные информационно-вычислительные системы с соответствующим техническим комплексом обеспечения ее деятельности (системы связи, электропитания, заземления и т.п ).
•	Средства автоматизированной обработки информации (вычислительные машины и их системы).
•	Каналы телекоммуникаций и передачи данных.
•	Машинные носители информации, обеспечивающие хранение информации в виде пригодном для ее автоматизированной обработки.
•	Информация, представленная в виде пригодном для ее автоматизированной обработки (данные в соответствующих форматах, управляющие программы и т.п.).
•	Средства реализации протоколов автоматизированной обработки информации, а также установленные правила и распределение обязанностей между должностными лицами автоматизированной информационной системы взаимодействия.
28.	Сформулированы типовые задачи следственного осмотра при расследовании преступлений в сфере компьютерной информации.
337
29.	Уточнены и конкретизированы применительно к расследованию преступлений в сфере компьютерной информации основные положения общей тактики следственного осмотра.
30.	Предложен доработанный с учетом специфики расследования преступлений в сфере компьютерной информации порядок проведения следственного осмотра. Определено содержание каждого из этапов данного следственного действия.
31.	Определены типовые места проведения обыска и сформулированы тактические рекомендации относительно изымаемого в ходе обыска набора (комплекта) оборудования и вычислительной техники.
32.	Уточнены и конкретизированы применительно к расследованию преступлений в сфере компьютерной информации основные положения общей тактики обыска.
33.	Сформулированы предложения по доработке статьи 174 УПК РСФСР, регламентирующей вопросы ареста и выемки почтово-телеграфной корреспонденции, применительно к специфике электронной корреспонденции и иной компьютерной информации передаваемой по сетям документальной связи.
Статью 174 УПК РСФСР Выемка почтово-телеграфной корреспонденции, в диссертационной работе предложено изложить в следующей редакции:
«Наложение ареста на почтово-телеграфную и электронную корреспонденцию, а также другую компьютерную информацию, получаемую по сетям документальной связи и выемка ее в почтово-телеграфных учреждениях, а также организациях и у лиц, предоставляющих услуги доступа в информационные сети, через которые доставляется электронная корреспонденция и другая компьютерная информация, передаваемая по сетям документальной связи, производится только с санкции прокурора либо по определению или постановлению суда.
При необходимости наложить арест на корреспонденцию и произвести ее осмотр и выемку следователь выносит об этом мотивированное постанов
338
ление. В постановлении о наложении ареста на электронную корреспонденцию должна быть указана исчерпывающая информация, обеспечивающая однозначную идентификацию субъекта доступа в информационную сеть или к электронной корреспонденции и максимально точный срок с которого накладывается арест и за какой срок до момента наложения ареста должна быть сохранена вся корреспонденция и другая компьютерная информация адресованная указанному субъекту доступа.
Для наложения ареста на почтово-телеграфную корреспонденцию, после санкционирования прокурором или его заместителем указанного постановления, следователь направляет надлежащему почтово-телеграфному учреждению постановление и предлагает задерживать почтовую корреспонденцию и уведомляет о времени своего прибытия для производства осмотра и выемки задержанной корреспонденции.
Для наложения ареста на электронную корреспонденцию после санкционирования прокурором или его заместителем указанного постановления следователь направляет соответствующим организациям или лицам, предоставляющим услуги доступа в информационные сети, через которые доставляется электронная корреспонденция и другая компьютерная информация, передаваемая по сетям документальной связи, постановление и предлагает заблокировать доступ указанного в постановлении субъекта и обеспечить хранение адресованной ему электронной корреспонденции и другой компьютерной информации с соблюдением режима конфиденциальность и целостности.
Осмотр и выемка почтовой корреспонденции производится в присутствии понятых из числа работников почтово-телеграфного учреждения. В необходимых случаях для участия в производстве выемки почтово-телеграфной корреспонденции следователь вправе вызвать соответствующего специалиста.
Осмотр и выемка электронной корреспонденции, а также другой компьютерной информации, передаваемой по сетям документальной связи производится в присутствии представителя организации или лица, предостав
339
ляющего услуги доступа в информационные сети и с участием соответствующего специалиста. Присутствующие при проведении осмотра и выемки электронной корреспонденции понятые должны обладать определенными знаниями в сфере информационных технологий и не должны быть работниками организации предоставляющей услуги доступа в информационные сети, через которые доставляется электронная корреспонденция и другая компьютерная информация.
Наложение ареста на корреспонденцию отменяется постановлением следователя, когда в применении этой меры отпадает дальнейшая необходимость.»
34.	Обоснована необходимость формирования и определен типовой состав специальных технических, программных и информационных средств (портфель криминалиста для расследования преступлений в сфере компьютерной информации). Рассмотрены особенности документирования в протоколе следственного действия порядка применения специальных средств обнаружения, фиксации и изъятия «виртуальных» (информационных) следов совершения преступления.
35.	Предложен обобщенный порядок (алгоритм) осмотра отдельных персональных (настольных) малогабаритных ЭВМ, выделены особенности выполняемых действий для каждого из шагов предложенного алгоритма.
36.	Определены типовые задачи следственного осмотра магнитных носителей информации и предложены варианты документирования результатов осмотра в протоколе следственного действия и на машинных носителях информации с использованием технологии цифровой подписи.
37.	Сформулированы основные задачи следственного осмотра средств автоматизированного документирования информации и определен перечень криминалистически значимых индивидуальных признаков для матричных, струйных и лазерных принтеров.
38.	Сформулированы предложения по доработке действующего УПК РСФСР в части включения статьи регламентирующей возможность проведе
340
ния допроса специалиста при расследовании преступлений в сфере компьютерной информации.
В диссертационной работе предложено дополнить УПК РСФСР статьей 1921 Допрос специалиста следующего содержания:
«Следователь вправе допросить специалиста, участвовавшего в отдельных следственных действиях в сфере компьютерной информации, для разъяснения вопросов касающихся выбранных способов решения поставленных следователем при проведении отдельных следственных действий задач, а также выяснения вопросов касающихся особенностей построения, функционирования, распределения обязанностей пользователей автоматизированной информационной системы и принятом в ней порядке документирования основных событий. Специалист вправе изложить свои ответы собственноручно или в письменном виде с соблюдением требований настоящего Кодекса. Протокол допроса специалиста составляется с соблюдением требований статей 141 и 142 настоящего Кодекса.»
39.	Предложен обобщенный порядок подготовки и проведения допроса при расследовании преступлений в сфере компьютерной информации.
40.	Для ситуаций когда проведение натурного эксперимента крайне затруднено (сопряжено со значительными материальными или финансовыми затратами, организационно-правовыми проблемами), либо подвергает риску безопасное функционирование автоматизированных информационных систем критического применения предложено проведение следственного эксперимента при расследовании преступлений в сфере компьютерной информации на специализированном информационно-моделирующем стенде.
41.	Предложена детализация понятия «компьютерно-техническая экспертиза» на аппаратно-техническую, программно-техническую, информационную и интегральную компьютерно-техническую экспертизу. Сформулированы основные группы вопросов разрешаемых каждым из выделенных видов компьютерно-технической экспертизы.
341
42.	Принимая во внимание исключительную сложность и трудоемкость компьютерно-технической экспертизы, предложено выделение трех основных уровней ее проведения: экспресс, стандартной и детальной компьютерно- технической экспертизы
43.	Сформулированы основные технические требования к оборудованию (аппаратному и программному обеспечению) рабочего места эксперта для проведения экспресс-экспертизы.
342
СПИСОК ИСПОЛЬЗОВАННЫХ источников
1.	Нормативно-правовые акты, руководящие документы:
1.1.	Конституция Российской Федерации — М. 1993.
1.2.	Уголовный кодекс Российской Федерации (с измен, и доп. по состоянию на 19.06.2001 г.) // КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.3.	Уголовно-процессуальный кодекс РСФСР (с измен, и доп. по состоянию на 19.06.2001 г.) // КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.4.	Федеральный закон от 12.08.95 г. № 144-ФЗ «Об оперативнорозыскной деятельности» (в ред. Федеральных законов от 18.07.1997 г. № 101-ФЗ, от 21.07.1998 г. № 117-ФЗ, от 05.01.1999 г. № 6-ФЗ, от 30.12.1999 г. № 225-ФЗ, от 20.03.2001 г. № 26-ФЗ) // КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.5.	Федеральный закон от 4.07.96 г. № 85-ФЗ «Об участии в международном информационном обмене» // КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.6.	Федеральный закон от 31.05.2001 г. № 75-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» И Консультант-Плюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.7.	Закон Российской Федерации от 20.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации» И КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.8.	Закон Российской Федерации от 5.03.92 г. № 2446-1 «О безопасности» (в ред. Закона РФ от 25.12.92 г. № 4235-1, Указа Президента РФ от 24.12.93 г. № 2288) // КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.9.	Закон Российской Федерации от 23.09.92 г. № 3523-1 «О правовой охране программ для электронно-вычислительных машин и баз данных» // КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.10.	Закон Российской Федерации от 23.09.92 г. № 3526-1 «О правовой охране топологий интегральных микросхем» И КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.11.	Закон Российской Федерации от 9.07.93 г. № 5351-1 «Об авторском праве и смежных правах» (в ред. Федерального закона от 19.07.95 г. №
343
110-ФЗ) И КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.12.	Указ Президента Российской Федерации от 28.06.93 г. № 966 «О концепции правовой информатизации России. (Концепция правовой информатизации России)» // Собрание актов Президента и правительства Российской Федерации № 27, 5 июля, 1993, ст.2521.
1.13.	Указ Президента Российской Федерации от 29.03.94 г. №1049 «О взаимодействии федеральных органов государственной власти Российской Федерации в области информационно-правового сотрудничества с органами власти государств-участников Содружества Независимых Государств» И Собрание актов Президента и правительства Российской Федерации № 14, 4 апреля 1994, ст.607.
1.14.	Указ Президента Российской Федерации от 03.04.95 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». И Собрание Законодательства Российской Федерации № 15, 10 апреля, 1995, ст.1285.
1.15.	Постановление Верховного Совета Российской Федерации от 23.09.92 г. № 3524-1 «О порядке введения в действие закона Российской Федерации «О правовой охране программ для электронно-вычислительных машин и баз данных» И КонсультантПлюс: ВерсияПроф. Версия 6.30(02) регистрационный номер 66515. Информационный центр 181.
1.16.	Приказ МВД Российской Федерации № 229 от 12.05.93 «Концепция развития системы информационного обеспечения органов внутренних дел в борьбе с преступностью».
1.17.	Указание МВД РФ № 17/3-3662 от 18.12.92 «О практике расследования преступлений в кредитно-банковской сфере».
1.18.	Государственный стандарт ГОСТ 15971-84. Системы обработки данных. Термины и определения. В кн.: Вычислительная техника. Терминология: Справочное пособие. — М. Издательство стандартов, 1989. — 168 с.
1.19.	Стандарт СТ ИСО 2382/1-84. Обработка данных. Словарь. Раздел 01: Основные понятия (термины). В кн.: Вычислительная техника. Терминология: Справочное пособие. — М. Издательство стандартов, 1989. — 168 с.
1.20.	Государственный стандарт ГОСТ 6104-84 от 01.07.87 «Унифицированные системы документов. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения». Постановление Госстандарта № 3549 от 9.10.84. // Бюллетень нормативных актов министерств и ведомств СССР. — М., 1987.
1.21.	Государственный стандарт ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического
344
преобразования» II Бюллетень нормативных актов министерств и ведомств СССР. — М., 1989.
1.22.	Государственный стандарт Российской Федерации ГОСТ Р 34.10-94 «Процедуры выработки и проверки цифровой подписи на базе асимметричного криптографического алгоритма».
1.23.	Государственный стандарт Российской Федерации ГОСТ Р 34.11-94 «Функции хеширования».
1.24.	Руководящий документ Гостехкомиссии России. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». — М.: Воениздат, 1992.
1.25.	Руководящий документ Гостехкомиссии России. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации от несанкционированного доступа в автоматизированных системах». — М.: Воениздат, 1992.
1.26.	Руководящий документ Гостехкомиссии России. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа». — М.: Воениздат, 1992.
1.27.	Руководящий документ Гостехкомиссии России. «Защита от несанкционированного доступа к информации. Термины и определения». — М.: Воениздат, 1992.
1.28.	Концепция защиты средств вычислительной техники и автоматизированных систем. —М.: Гостехкомиссия России, 1992.
1.29.	Постановление Госкомизобретений СССР от 13.11.75 г. № 4 «О признании изобретениями объектов вычислительной техники, характеризуемых математическим обеспечением ЭВМ» И Бюллетень нормативных актов министерств и ведомств СССР. — 1976. — № 6.
1.30.	Инструктивные указания Государственного арбитража СССР от 29 июня 1979 г. № И-1-4 «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» // Информационно-правовая система «Кодекс» версия 3.1 d. ГП «Центр компьютерных разработок».
1.31.	Приказ МВД России № 261 от 1 июня 1993 г. Положение о производстве экспертиз в экспертно-криминалистических подразделениях органов внутренних дел.
1.32.	Инструкция о порядке изъятия, учета, хранения и передачи вещественных доказательств по уголовным делам, ценностей и иного имущества органами предварительного следствия, дознания и судами. Утверждена Ге-
345
нерильной прокуратурой СССР, МВД СССР, Минюстом СССР, Верховным Судом СССР, КГБ СССР № 34/15 от 18 октября 1989 г.
1.33.	Письмо ЦСУ СССР и Министерства финансов СССР от 28 марта 1972 г. № 17-8/61 «Об использовании в учете технических носителей информации как документов, имеющих одинаковую силу наряду с другими учетными документами». // Настольная книга бухгалтера. — М.: Инфра-М, 1995. — 242с.
1.34.	Письмо Министерства финансов СССР от 20.02.81 г. № 35 «О методических указаниях по организации бухгалтерского учета с использованием вычислительной техники». // Бухгалтерский учет: сборник нормативных документов. - М., 1987. - 184 с.
1.35.	Временное положение Центрального Банка РФ от 12 марта 1998 г. № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами банка России при осуществлении расчетов через расчетную сеть банка России» // Вестник Банка России. — 1998. — № 20.
1.36.	Письмо Центрального Банка России от 2 июня 1998 г. № 122-Т «О перечне договорных условий об обмене электронными документами» И Бизнес и банки. — 1998. —№27.
1.37.	Приказ Центрального Банка РФ от 21 сентября 1993 г. № 02-159 «О вводе в действие стандарта Центрального банка Российской Федерации «Подпись цифровая электронная» И Информационно-правовая система «Кодекс» версия 3.1 d. ГП «Центр компьютерных разработок».
1.38.	Проект Уголовного Кодекса Российской Федерации // Российская газета. — 1995. — 25 января.
2.	Монографии:
2.1.	Аверьянова Т.В. Содержание и характеристика методов судебноэкспертных исследований. - Алма-Ата, 1991. - 231 с.
2.2.	Аверьянова Т.В. Интеграция и дифференциация научных знаний как источники и основы новых методов судебной экспертизы — М.: Академия МВД РФ 1994.— 123 с.
2.3.	Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р. Криминалистика. Учебник для вузов — М.: НОРМА, 2000. — 740 с.
2.4.	Агапов А.Б. Основы государственного управления в сфере информатизации в Российской Федерации. — М.: Юристь, 1997. — 344 с.
2.5.	Агапов А.Б. Основы федерального информационного права России. — М.: Экономика, 1995. — 145 с.
346
2.6.	Айков Д., Сейгер К., Фонсторх У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. — М.: Мир, 1999. — 351 с.
2.7.	Айламазян А.К., Стась Е.В. Информатика и теория развития. — М.: Наука, 1989. — 126 с.
2.8.	Андрианов В.И., Бородин В.А., Соколов А.В. «Шпионские штучки» и устройства для защиты объектов и информации. — СПб., 1996. — 271 с.
2.9.	Артамонов И.И. Методологические аспекты криминалистической характеристики // Криминалистическая характеристика преступлений. — М., 1984.
2.10.	Атлас А.Б. Компьютерные диверсии в США — новое социальное явление. — Магнитогорск, 1988. — 96 с.
2.11.	Баев О.Я. Криминалистическая тактика и уголовнопроцессуальный закон. —Воронеж: Издательство ВГУ, 1977.
2.12.	Баев О.Я. Тактика следственных действий: Учебное пособие — Воронеж: НПО «Модэк», 1995.
2.13.	Баев О.Я. Методические основы расследования преступлений против личности И Расследование преступлений против личности. — Воронеж, 1998.
2.14.	Баранов А.К., Карпычев В.Ю., Минаев В.А. Компьютерные экспертные технологии в органах внутренних дел: Учебное пособие. — М.: Академия МВД РФ, 1992. — 128 с.
2.15.	Баранов А.К., Цветков С.И. Компьютерные системы поддержки принятия следователем тактических решений: Учебное пособие. М.: Академия МВД РФ, 1992.— 112 с.
2.16.	Баранов Н.Н. Осмотр места происшествия по делам о кражах из квартир, личных домов, дач. — М., 1997.
2.17.	Батурин Ю.М. Проблемы компьютерного права. — М.: Юридическая литература, 1991. — 271 с.
2.18.	Батурин Ю.М. Право и политика в компьютерном круге. — М.: Юридическая литература 1987. — 134 с.
2.19.	Батурин Ю.М., Жодзишский А.М. Компьютерная преступность и компьютерная безопасность. — М.: Юридическая литература, 1991. — 168 с.
2.20.	Бахин В., Когамов М., Карпов Н. Допрос на предварительном следствии. — Алмааты, 1999.
2.21.	Бедняков Д.И. Непроцессуальная информация и расследование преступлений. —М.: Юридическая литература, 1991. — 173 с.
2.22.	Безруков Н.Н. Введение в компьютерную вирусологию. Общие принципы функционирования, классификация и каталог наиболее распро
347
страненных вирусов в MS DOS. — Киев: Украинская советская энциклопедия, 1989. — 196с.
2.23.	Безруков Н.Н. Компьютерная вирусология: справочное руководство. — Киев: Украинская советская энциклопедия, 1991.
2.24.	Безруков Н.Н. Компьютерные вирусы. — М.: Наука, 1991. — 132 с.
2.25.	Белкин А.Р., Белкин Р.С. Эксперимент в уголовном судопроизводстве. Методическое пособие. — М.: Изд. группа ИНФРА-М-НОРМА, 1997.
2.26.	Белкин Р.С. Эксперимент в следственной, судебной и экспертной практике. — М.: Юридическая литература, 1964. — 223 с.
2.27.	Белкин Р.С. Собирание, исследование и оценка доказательств. — М.: Наука, 1966 —295 с.
2.28.	Белкин Р.С., Винберг А.И. Криминалистика и доказывание. — М.: Юридическая литература, 1969. — 216 с.
2.29.	Белкин Р.С. Курс советской криминалистики: Учебное пособие. —Академия МВД СССР, 1977. — Т1. — 340 с.; Т2. — 410 с.
2.30.	Белкин Р.С., Лузгин И.М. Криминалистика: Учебное пособие. — Юридическая литература, 1978. — 310 с.
2.31.	Белкин Р.С. Криминалистика: проблемы, тенденции, перспективы. — М.: Юридическая литература, 1988. — 302 с.
2.32.	Белкин Р.С., Лившиц Е.М. Тактика следственных действий. — М.: 1997.
2.33.	Быховский И.Е. Осмотр места происшествия. — М., 1973.
2.34.	Быховский И.Е. Производство следственных действий (ответы на вопросы следователей). —Л., 1984.
2.35.	Венгеров А.Б. Право и информация в условиях автоматизации управления (теоретические вопросы). — М.: Юридическая литература, 1978. — 87 с.
2.36.	Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: Учебно-методическое пособие. — Волгоград: Перемена, 1998. — 72 с.
2.37.	Вехов В.Б. Компьютерные преступления: Способы совершения и раскрытия / Под ред. акад. Б.П. Смагоринского — М.: Право и закон, 1996. — 182 с.
2.38.	Винберг А.И. Теория доказательств в советском уголовном процессе: часть особенная. - М., 1967. - 218 с.
2.39.	Винер Н. Кибернетика или управление и связь в животном и машине. — М.: Наука, 1986. — 286 с.
348
2.40.	Винницкий Л.В. Осмотр места происшествия: организационные, процессуальные и тактические вопросы. — Караганда, 1986.
2.41.	Возгрин И.А. Общие положения методики расследования отдельных видов преступлений. —Л., 1976. — 165 с.
2.42.	Возгрин И.А. Научные основы криминалистической методики расследования преступлений. — СПб. Санкт-Петербургский юридический институт МВД России, 1993. Ч. I — IV. 80 с.
2.43.	Волков Н.П. и др. Программированные действия участников оперативной группы на месте происшествия. — М., 1972. — 87 с.
2.44.	Выдря М.М. Вещественные доказательства в советском уголовном процессе. — М., 1955. — 216 с.
2.45.	Гавло В.К. К вопросу о криминалистической характеристике преступлений И Вопросы повышения эффективности борьбы с преступностью. — Томск, 1980.
2.46.	Гайдук А.П., Нетиков В.В. Тактика следственного осмотра и освидетельствования (по осмотру различных мест происшествия): Учеб -метод, пособие. —Белгород, 1997.
2.47.	Гайкович В.Ю., Першин А.П. Безопасность электронных банковских систем — М.: Единая Европа, 1994.
2.48.	Герасименко В.А. Защита информации в автоматизированных системах обработки данных. — М.: Энергоиздат 1994.
2.49.	Гончаренко В.И. Кибернетика в уголовном судопроизводстве: Учебное пособие. — Киев: Киевский государственный университет, 1984. — 110 с.
2.50.	Горбатов В.С., Полянская О.Ю. Мировая практика криминализации компьютерных правонарушений. — М.: МИФИ, 1998.
2.51.	Грановский Г.Л. Основы трасологии. — М., 1974
2.52.	Гудков П.Б. Компьютерные преступления в сфере экономики. М.: МИ МВД России, 1995. — 72 с.
2.53.	Гуняев В.А. Содержание и значение криминалистических характеристик преступлений // Криминалистическая характеристика преступлений. — М., 1984.
2.54.	Густов Г.А. Понятие и виды криминалистической характеристики преступлений И Криминалистическая характеристика преступлений. — М., 1984.
2.55.	Драпкин Л.Я. Предмет доказывания и криминалистическая характеристика преступлений И Криминалистические характеристики в методике расследования преступлений. —Свердловск, 1978.
349
2.56.	Ефимичев С.П., Кулагин Н И., Ямпольский А.Е. Следственный осмотр. —Волгоград, 1983.
2.57.	Жбанков В.А. Тактика следственного осмотра. М., 1992.
2.58.	Железняк А.С. Материальные следы — важнейший источник криминалистической информации. — Омск: Омская высшая школа МВД СССР, 1975.
2.59.	Жукова Н И., Жуков А.М. Производство следственного эксперимента. — Саратов, 1989.
2.60.	Защита программного обеспечения // Под ред. Д. Гроувера — М.: Мир, 1992 — 286 с.
2.61.	Зуев К.А. Компьютер и общество. — М.: Наука, 1990. — 153 с.
2.62.	Информатика и право. Теория и практика буржуазных государств. — М.: Юридическая литература, 1988. — 190 с.
2.63.	Исаченко И.И., Кочетков Г.Б., Могилевский И.М. Наука и техника против человека. — М.: Наука, 1985. — 134 с.
2.64.	Ищенко Е.П. ЭВМ в криминалистике: Учебное пособие. — Свердловск, 1987. — 91 с.
2.65.	Карась И З. Правовое регулирование общественных отношений в сфере информатики. — М.: Юридическая литература, 1987. — 134 с.
2.66.	Касперский Е. Компьютерные вирусы в MS-DOS. — М.: ЭДЭЛЬ-Ренессанс, 1992. — 174 с.
2.67.	Климов И.А., Борисов Г.Л., Литваковский Д.А. Предупреждение, выявление и раскрытие хищений, совершаемых с использованием компьютерной информации: Лекция.— М. ЮИ МВД России, 1998. — 26 с.
2.68.	Клочков В.В. Криминалистическая характеристика преступлений: состояние и перспективы исследований // Криминалистическая характеристика преступлений. — М., 1984.
2.69.	Колесниченко А.Н. Теоретические проблемы методики расследования преступлений И Вопросы криминалистической методологии, тактики и методики расследования. — М., 1973.
2.70.	Колесниченко А.Н., Коновалова В.Е. Криминалистическая характеристика преступлений. — Харьков, 1985.
2.71.	Колдин В.Я., Полевой Н С. Информационные процессы и структуры в криминалистике: Учебное пособие. — М.. МГУ, 1985. — 132 с.
2.72.	Колдин В. Я. Идентификация и ее роль в установлении истины по уголовным делам. — М.: Издательство МГУ, 1975. — 260 с.
2.73.	Колдин В.Я. Идентификация при расследовании преступлений. — М.: Юридическая литература, 1978. — 144 с.
350
2.74.	Комиссаров А.Ю. Подлесный А.В. Идентификация пользователя ЭВМ и автора программного продукта: Методические рекомендации. — М.: ЭКЦ МВД России, 1996. — 40 с.
2.75.	Комментарий к Уголовному кодексу Российской Федерации. Издание 2-е, измененное и дополненное. / Под общей редакцией Генерального прокурора Российской Федерации, профессора Ю.И. Скуратова и Председателя Верховного Суда Российской Федерации В.М. Лебедева. — М., Издательская группа НОРМА—ИНФРА-М, 1998. — 832 с.
2.76.	Комментарий к Уголовному кодексу Российской Федерации / Под редакцией А.В. Наумова. — М.: Юристь, 1996. — 665 с.
2.77.	Комментарий к Уголовному кодексу Российской Федерации / Ответственный редактор первый заместитель Председателя Верховного Суда Российской Федерации В.И. Радченко. — М.: 1996. — 489 с.
2.78.	Комментарий Федерального закона «Об информации, информатизации и защите информации» — М.: ИГПРАН 1996.
2.79.	Компьютерные технологии в юридической деятельности: Учебное и практическое пособие под ред. Н.С. Полевого — М.: БЕК, 1994. — 301 с.
2.80.	Копылов В.А. Информационное право: Учебное пособие. — Юристь, 1997. —472 с.
2.81.	Корухов Ю.Г. Криминалистическая диагностика при расследовании преступлений. Научно-практическое пособие. — М.: Издательская группа НОРМА-ИН ФР AM, 1998. — 288 с.
2.82.	Кочетков Г.Б. Могущество и бессилие компьютера. —М., 1988.
2.83.	Криминалистика. Учеб, пособие / под ред. И.Ф. Пантелеева, Н.А. Селиванова — М.: Юридическая литература 1993.
2.84.	Криминалистика: Т.1. История, общая и частные теории. Учебник под ред. Р.С. Белкина, В.Г. Коломацкого, И.М. Лузгина — М.: Академия МВД РФ, 1995 — 280 с.
2.85.	Криминалистика: Учебник. Т.2: Техника, тактика, организация и методика расследования преступлений. Под ред. Смагоринского Б.П. — Волгоград: ВСШ МВД РФ, 1994. — 560 с.
2.86.	Криминалистика и компьютерная преступность. — М.: Юридическая литература, 1993. — 156 с.
2.87.	Криминалистика социалистических стран / Под ред. В.Я. Колдина. — М. 1986.
2.88.	Крылов В.В. Информационные компьютерные преступления. — М.: Издательская группа ИНФРА-М-НОРМА, 1997. — 285 с.
2.89.	Крылов В.В. Расследование преступлений в сфере информации. — М.: Издательство «Городец», 1998. — 264 с.
351
2.90.	Крылов И.Ф. Криминалистическая характеристика и ее место в системе науки криминалистики и в вузовской программе // Криминалистическая характеристика преступлений. — М., 1984.
2.91.	Крылов И.Ф. Криминалистическое учение о следах. — Л., 1976.
2.92.	Курушин В.Д., Минаев В.А. Компьютерные преступления и информационная безопасность. — М.: Новый Юрист, 1998. — 256 с.
2.93.	Кушниренко С.П., Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях: Учебное пособие. — СПб.: Юридический институт Генеральной прокуратуры РФ, 1998. — 56 с.
2.94.	Ларин А.М. Работа следователя с доказательствами. — М., 1966. —146 с.
2.95.	Ларичев В.Д. Предупреждение и раскрытие преступлений в сфере кредитно-денежных отношений: Учебное пособие. — М.: РИО УМЦ при ГУК МВД РФ, 1993. — 64 с.
2.96.	Лысов Н.Н. Содержание и значение криминалистической характеристики компьютерных преступлений И Проблемы криминалистики и методики ее преподавания. — М., 1994.
2.97.	Мещеряков В.А. Словарь компьютерного жаргона. — Воронеж: Издательство ВГУ, 1999. — 120 с.
2.98.	Мещеряков В.А. Преступления в сфере компьютерной информации: правовой и криминалистический анализ — Воронеж: ВГУ, 2001. — 176 с.
2.99.	Милославская Н.Г. Уязвимость и методы защиты глобальной сети INTERNET — М.: МИФИ, 1997. — 42 с.
2.100.	Михайлов В.А., Дубягин Ю.П. Назначение и производство судебной экспертизы в стадии предварительного расследования: Учебное пособие. — Волгоград: ВСШ МВД РФ, 1991. — 260 с.
2.101.	Модогоев А.А., Цветков С.И. Организация и криминалистическая методика расследования экономических преступлений: Учебное пособие. - М.: Академия МВД СССР, 1990. — 86 с.
2.102.	Научно-практический комментарий к Уголовному кодексу Российской Федерации: в 2т. — Н. Новгород, 1996.
2.103.	Национальный кодекс деятельности в области информатики и телекоммуникаций И PC Week. 30 июля 1996. №29, 30.
2.104.	Облаков А.Ф., Тимербаев А.Т. Организация и тактика осмотра места происшествия. —Хабаровск, 1992.
2.105.	Образцов В.А. Криминалистическая классификация преступлений — Красноярск: Издательство Красноярского Университета, 1988.
352
2.106.	Образцов В. А. Криминалистика. Цикл лекций по новой программе курса. — М., 1994.
2.107.	Остроушко А.В., Прохоров А.С., Задорожко С.М. Методические рекомендации по расследованию преступлений в сфере компьютерной информации. — М.: КМУ СК МВД России, 1997. — 30 с.
2.108.	Пантелеев И.Ф. Методика расследования преступлений. — М., 1975.
2.109.	Пантелеев И.Ф., Селиванов Н А. Криминалистика: Учебник. — М.: Юрид. лит., 1993. — 591 с.
2.110.	Першиков В.И., Савинков В.М. Толковый словарь по информатике. - М.: Фин. и стат., 1991. — 536 с.
2.111.	Петелин Б.Я. Установление мотива и цели преступления. - М.: ВНИИ МВД СССР, 1978. — 84 с.
2.112.	Подголин Е Е. Тактика следственных действий. — Л. 1986.
2.113.	Полевой Н.С., Витрук Н.В. Основы применения кибернетики в правоведении. — М.: Наука, 1977. — 180 с.
2.114.	Полевой Н.С., Шляхов А.Р. Основы правовой кибернетики. - М.: Наука, 1977.— 154 с.
2.115.	Полевой Н.С. Криминалистическая кибернетика. - 2-е изд. -М.: МГУ, 1989.— 328 с.
2.116.	Порубов Н.И. Научные основы допроса на предварительном следствии. — Минск, 1978.
2.117.	Правиков Д.И. Ключевые дискеты. Разработка элементов систем защиты от несанкционированного копирования. - М.: Радио и связь, 1995.
2.118.	Право и информатика / Под ред. Е.А. Суханова. — М.: Юридическая литература, 1990.
2.119.	Правовая информатика и кибернетика: Учебник. Под ред. Н.С. Полевого - М.: Юрид. лит., 1993. — 527 с.
2.120.	Просвирнин Ю.Г. Информационное законодательство: современное состояние и пути совершенствования. — Воронеж.: Издательство ВГУ, 2000 — 368 с.
2.121.	Пособие для следователя. Расследование преступлений повышенной общественной опасности. — М.. Лига Разум, 1998. — 444 с.
2.122.	Расследование неправомерного доступа к компьютерной информации / Под ред. Н.Г. Шурухнова. — М.: Издательство Щит-М, 1999. — 254 с.
2.123.	Расторгуев С.П., Дмитриевский Н.Н. Искусство защиты и «раздевания» программ. — М.: Совмаркет, 1991.
353
2.124.	Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях — М.: Яхтсмен 1993.
2.125.	Российская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе. — М.: 1996.
2.126.	Российская Е.Р. Криминалистика. Вопросы и ответы: Учебное пособие для вузов.— М. ЮНИТИ-ДАНА, 1999.
2.127.	Руководство для следователей / Под ред. Н.А. Селиванова, В.А. Снеткова — М.. ИНФРА-М, 1998. — 732 с.
2.128.	Самыгин Л.Д. Расследование преступлений как система деятельности. - М.: МГУ, 1989. — 182 с.
2.129.	Селиванов Н.А. Осмотр места происшествия. — М., 1960.
2.130.	Скоромников К.С. Компьютерное право. Сб. нормативных актов. — М.: Издательство МНЭПУ, 1997.
2.131.	Соловьев А.Б. Допрос свидетеля и потерпевшего. — М., 1974.
2.132.	Сорокин В С. Обнаружение и фиксация следов на месте происшествия. — М., 1966.
2.133.	Спесивцев А.В., Вегнер В.А., Крутяков А.Ю., Серегин В.В., Сидоров В.А. Защита информации в персональных ЭВМ. — М.: Радио и связь, 1993, — 192 с.
2.134.	Стенг Д., Мун С. Секреты безопасности сетей — Киев: Диалектика, Информейшн Компьютер Энтерпрайз, 1996.
2.135.	Суханов Е.А. Право и информатика. — М.: МГУ, 1990. — 144с.
2.136.	Тайли Э. Безопасность компьютера / Пер. с англ. Минск, 1997. — 201 с.
2.137.	Технологии в преступном мире: Компьютерные телекоммуникационные технологии (Энциклопедия преступлений и катастроф) / Автор-составитель В.Н. Соколов. —Минск.: Литература, 1998. — 512 с.
2.138.	Ткачев А.В. Правовой статус компьютерных документов: основные характеристики. — М.: ООО «Городец-издат», 2000. — 95 с.
2.139.	Тлиш А.Д. Использование достижений кибернетики в раскрытии, расследовании общеуголовных преступлений, а также в сфере экономической деятельности, совершаемых с использованием компьютерной и иной технологии / Под ред. проф. Г.М. Меретукова. — Краснодар: КГАУ, 2000. — 232 с.
2.140.	Толеубекова Б.Х. Криминалистическая характеристика компьютерных преступлений. Учебное пособие. — Караганда: КВШ МВД РК, 1993.
2.141.	Толеубекова Б.Х. Социология компьютерной преступности. Учебное пособие. — Караганда: КВШ МВД РК, 1992.
354
2.142.	Трухачев В.В. Криминалистический анализ сокрытия преступной деятельности. — Воронеж: Издательство Воронежского государственного университета, 2000. — 149 с.
2.143.	Урсул А.Д. Отражение и информация. — М.: Наука, 1973. — 213с.
2.144.	Учебник уголовного процесса. — М.: Фирма «Спарк», 1995.
2.145.	Уголовный процесс: Учебник для вузов / Под общей редакцией проф. П.А. Лупинской — М.: Юристъ, 1995.
2.146.	Филиппов А.Г. Осмотр места происшествия. — М., 1976.
2.147.	Фоменков Г.В., Азаркин А.В., Любезнов Л.Н., Ерхов Е.В. методы и средства обеспечения безопасности в сети Интернет — М.: ИКСИ Академии ФСБ, 1998. — 112 с.
2.148.	Фролов А.В. и др. Компьютер IBM PC/AT, MS DOS и Windows. Вопросы и ответы. - М.: Диалог-МИФИ, 1994.
2.149.	Фролов А.В., Фролов Г.В. Аппаратное обеспечение IBM PC [в 2 ч.] /ч.1. — М.: ДИАЛОГ-МИФИ, 1992.
2.150.	Хмыров А.А. Криминалистическая характеристика преступления и предмет доказывания // Криминалистическая характеристика преступлений. — М., 1984.
2.151.	Храмов Ю.В., Наумов В.И. Компьютерная информация на предварительном расследовании. — М.: СПАС, 1998.
2.152.	Шевченко Б.И. Научные основы современной трасеологии. — М., 1947.
2.153.	Шиканов В.И. Теоретические основы тактических операций в расследовании преступлений. —Иркутск, 1983.
2.154.	Шураков В.В. Обеспечение сохранности информации в системах обработки данных: Учебное пособие. — М.. Финансы и статистика, 1985.
2.155.	Щербаков А.К. Разрушающие программные воздействия — М.: ЭДЭЛЬ, 1993 —64 с.
2.156.	Яблоков Н.П., Колдин В.Я. Криминалистика: Учебник. — М.: МГУ, 1990.
2.157.	Ярочкин В.И. Безопасность информационных систем. — М.: «Ось-89», 1996.
3.	Статьи
3.1.	Аврин С. Хакеры против банков // Банковские технологии. — 1998. — №8.
355
3.2.	Агапов А.Б. Проблемы правовой регламентации информационных отношений в Российской Федерации. // Государство и право, 1993, № 4. — с.125-130.
3.3.	Агеев А.С. Компьютерные вирусы и безопасность информации. // Зарубежная радиоэлектроника, 1989, № 12. — с.21-29.
3.4.	Аккуратов И., Батушенко А. Пираньи в компьютерных сетях И Эксперт. № 36. 1996. — с.35.
3.5.	Апшер Г. Опасности «Всемирной паутины». И Конфидент 1996, № 5 —с.40-45.
3.6.	Ароцкер Л.Е. Организационные и процессуальные вопросы использования ЭВМ в экспертной практике И Криминалистика и судебная экспертиза. Киев, 1969. Вып. 6 — с. 189.
3.7.	Баев О.Я. Процессуально-тактические проблемы обыска // Проблемы совершенствования тактики и методики расследования преступлений. Иркутск, 1980. — С. 77 — 82.
3.8.	Баев О.Я. Методические основы расследования отдельных видов преступлений // Расследование отдельных видов преступлений. Воронеж, 1986 — С. 9 — 14.
3.9.	Баев О.Я., Мещеряков В.А. Проблемы уголовно-правовой квалификации преступлений в сфере компьютерной информации И Конфидент № 7(23) 1998.-0.6 — 11.
3.10.	Баев О.Я., Мещеряков В.А. Проблемы уголовно-правового регулирования в сфере компьютерной информации И Правовая наука и реформа юридического образования: Сб. науч, трудов. Вып. 9: Новое в законодательстве Российской Федерации: Проблемы становления и применения. — Воронеж: Издательство ВГУ, 1998.
3.11.	Батурин Ю.М., Жодзишский А.М. Компьютерные правонарушения: криминализация, квалификация, раскрытие. И Советское государство и право, 1990, № 12. — с.86-94.
3.12.	Батурин Ю.М. Компьютерное преступление — что за этим понятием? И Интерфейс № 1, 1990 — с.37.
3.13.	Бачило И.Л. О предметах правового регулирования при создании и использовании вычислительных систем // Ученые записки Тартусского государственного университета. Вып.801. Правовые проблемы программирования, вычислительной техники и изобретательства— 1988. с. 19.
3.14.	Бачило И.Л. Право на информацию // Проблемы информатизации. № 1. 1995.
3.15.	Бачило И.Л. О праве собственности на информационные ресурсы // Информационные ресурсы России № 4, — 1997. с. 19-23.
356
3.16.	Баяхчев В.Г., Улейчик В.В. Расследование хищений, совершаемых в кредитно-финансовой сфере с использованием электронных средств доступа: Методические рекомендации И Информационный бюллетень СК МВД России. 1998. № 4(97). — с. 78-90.
3.17.	Белов В.Н. Правонарушения, связанные с использованием ЭВМ.// В кн.: Проблемы совершенствования советского законодательства. — Труды ВНИИСЭ’., Вып. 5, М., 1976. — с.176-185.
3.18.	Белкин Р.С., Лившиц Е.М. Правовое регулирование применения математических методов и ЭВМ в судебной экспертизе // Проблемы автоматизации, создания ИПС и применения математических методов в судебной экспертизе. М., 1987. — с. 98
3.19.	Беррес Л. Неизвестные программисты могли украсть 68 миллиардов // Коммерсантъ-Daily, 1994 27 января.
3.20.	Боева Э.У. Недостатки при осмотре места происшествия. И Социалистическая законность, 1987, №7. — с.32-34.
3.21.	Борьба с компьютерной преступностью в рамках ООН // Борьба с преступностью за рубежом. — М. ВИНИТИ, 1992, № 5. — с.70.
3.22.	Борьба с компьютерной преступностью в США // Проблемы преступности в капиталистических странах. — М. ВИНИТИ, 1986, № 4. — с.4-6.
3.23.	Букин Д. Хакеры. О тех, кто делает это // Рынок ценных бумаг, 1997, №23, —с.54-57.
3.24.	Букин Д. Undergruond киберпространства И Рынок ценных бумаг, 1997, № 18, —с.54-57.
3.25.	Вихорев С.В., Ефимов А.И. практические рекомендации по информационной безопасности // Jet Info, 1996, № 10/11. — с.2-7.
3.26.	Вопросы защиты информации. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1987, № 10. — с.9-11.
3.27.	Гельб А.Б. Некоторые вопросы правовой охраны автоматизированных баз данных И Ученые записки Тартусского государственного университета Вып. 801. — 1988.
3.28.	Городецкий Ю.М., Тихомиров В.П. Информационные технологии: содержание, проблемы становления теории. // В сб.: Индустрия программного обеспечения. — Калинин, 1987. — с. 16-27.
3.29.	Гортинский А.В. Некоторые рекомендации по проведению следственных действий при расследовании преступлений, совершенных с использованием печатающих средств персональных компьютеров И Вопросы квалификации и расследования преступлений в сфере экономики. Сборник научных статей / Под ред. Н.А. Лопашенко, В.М. Юрина, А.Б. Нехорошева. Саратов: СЮИ МВД России, 1999. — с. 169-173.
357
3.30.	Гортинский А.В., Черкасов В.Н., Яковлев А Н. Основные понятия организации и методики проведения компьютерно-технических экспертиз. В кн.: Компьютерная преступность и информационная безопасность / Под ред. А.П. Леонова. — Минск: АРИЛ, 2000.
3.31.	Горяйнова Е. Этот прозрачный, прозрачный, прозрачный мир телекоммуникаций//Сегодня. 1997. 31 марта.
3.32.	Григорьев М.Ю. «Электронная записная книжка» как источник получения информации при расследовании преступлений // Российский следователь, 1999, № 5. — с. 41-42.
3.33.	Гришаев С. Правовая охрана программного обеспечения ЭВМ. И Советская юстиция, 1989, №7. — с.29-30.
3.34.	Грэй С. Моррис С. Основы компьютерного законодательства США И Системы безопасности (Security&Safety) №1(7) 1996.
3.35.	Грязин И.Н. Информационно-компьютерное право: отрасль права или отрасль законодательства? // Ученые записки Тартусского государственного университета Вып. 864 — 1989.
3.36.	Гудков П.Б. Состояние компьютерной преступности в России // Конфидент. — 1996. — № 2.
3.37.	Гульбин Ю. Преступления в сфере компьютерной информации И Российская юстиция, 1997, № 10. — с. 24-25.
3.38.	Демьянченко С.А. Особенности проведения оперативнорозыскной деятельности по уголовным делам о преступлениях в сфере компьютерной информации // Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики. 4.1. СПб.: СПб университет МВД России, 1999. — с. 201-203.
3.39.	Джамбулатов Ш. Основания назначения судебно-бухгалтерской экспертизы. И Советская юстиция, 1990, № 22. — с. 8-10.
3.40.	Днепров А. Торжество хакеров...?// НТР: проблемы и решения, № 22. — с.3-9.
3.41.	Довгаль С.И., Литвинов Б.Ю., Сбитнев А.И. Локальные сети и компьютерные вирусы. И В кн.: Персональные ЭВМ. — Киев, 1993. — с.242-245.
3.42.	Дорохов В.И. Понятие документа в советском праве // Правоведение, 1982, № 2. — с.8.
3.43.	Зайченко В С. Основные направления использования средств вычислительной техники в деятельности следственного аппарата органов внутренних дел. // Информационный бюллетень СК МВД России, 1993, №1 (74). — с.70-73.
3.44.	Закон о борьбе с информационной преступностью в Португалии. // Борьба с преступностью за рубежом. — М.: ВИНИТИ, 1992, № 7. — 26-33.
358
3.45.	Законодательные меры по борьбе с компьютерной преступностью. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1988, № 10.-36-45.
3.46.	Законодательство в борьбе с компьютерными преступлениями. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1989, № 8, — с.23-28
3.47.	Защита информации в базах данных. И Иностранная печать о техническом оснащении полиции капиталистических государств. — М.: ВИНИТИ, 1992, №2 —с.15-35.
3.48.	Защита линий доступа к ЭВМ. И Иностранная печать о техническом оснащении полиции капиталистических государств. — М.: ВИНИТИ, 1991, №6. — с. 36-40.
3.49.	Зернов С.И., Зубаха В.С., Российская Е.Р. Общетеоретические, процессуальные и методические основы судебной компьютерно-технической экспертизы. / Научный доклад по теме НИР-99 № 4.2/ М.: НИЛ ЭКЦ, 1999.
3.50.	Зюльков А.В., Моисеев С.Н. Идентификация пользователя ЭВМ по манере работы на клавиатуре // Материалы всероссийской конференции «Повышение помехоустойчивости технических средств охраны» — М.: Радио и связь, 1995.
3.51.	Иванов С. «Медвежатник» прятался в компьютере // Комсомольская правда, 1995, 4 марта.
3.52.	Игнатов Л.Н. Использование компьютерных программных средств при расследовании уголовных дел следователями управлений по расследованию организованной преступной деятельности. И Информационный бюллетень СК МВД России, 1994, №3 (80). — с.56-59.
3.53.	Карасик И.Ш. Анатомия и физиология вирусов. // Интеркомпьютер, 1990, № 1—с.15-21.
3.54.	Карасик И.Ш. Классификация антивирусных программ. И Интеркомпьютер, 1990, №2. — с.17-24.
3.55.	Карась И.З. Опыт функционирования промышленного предприятия по производству программных средств. // Микропроцессорные средства и системы, 1985, № 1. — с.31-47.
3.56.	Карась И.З. Вопросы правового обеспечения информатики. И Микропроцессорные средства и системы, 1986, № 1. — с.3-17.
3.57.	Карась И.З. Организация программостроения. // Программная инженерия. — М.: Наука, 1988. — с. 19-28.
3.58.	Карась И.З. Экономический и правовой режим информационных ресурсов. И Право и информатика. — М.: МГУ, 1990. — с.40-59.
3.59.	Касперский Е.С. «Дыры» в MS-DOS и программы защиты информации И Компьютер Пресс, № 10, 1991.
359
3.60.	Катков С.А., Собецкий И.В., Федоров А Л. Подготовка и назначение программно-технической экспертизы. Методические рекомендации И Бюллетень ГСУ России. — 1995. — № 4. — С. 15 — 21.
3.61.	К вопросу о безопасности данных в вычислительных системах.// Иностранная печать о техническом оснащении полиции капиталистических государств. — М.: ВИНИТИ, 1992, № 10. — с.3-10.
3.62.	К вопросу о состоянии компьютерной безопасности // Иностранная печать об экономическом, научно-техническом и военном потенциале государств-участников СНГ и технические средства его выявления. Серия Технические средства разведывательных служб капиталистических государств. — М.: ВИНИТИ № 6, 1993.
3.63.	Клепицкий И.А. Документ как предмет подлога в уголовном праве //Государство и право, 1998, № 5. — с.72.
3.64.	Комиссаров А.Ю. Материалы 1-й Международной конференции Интерпола по компьютерной преступности // Информационный бюллетень НЦБ Интерпола в Российской Федерации № 14, 1995. — с.29.
3.65.	Комиссаров В., Гаврилов М., Иванов А. Обыск с извлечением компьютерной информации // Законность, 1999, № 3. — с. 15-18.
3.66.	Комиссаров В., Гаврилов М., Иванов А. Назначение компьютерно-технических экспертиз И Законность. 2000. № 1.
3.67.	Компьютеризация полицейских служб ФРГ. И Иностранная печать о техническом оснащении полиции капиталистических государств. — М.: ВИНИТИ, 1990, № 11. — с.84-90.
3.68.	Компьютерная «фомка». И Комсомольская правда, 1994, № 82.
3.69.	Компьютерная преступность в Великобритании. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1987, № 10. — с.10-12; 1988, № 3. — с.18-20; 1990, №8. — с.14-15.
3.70.	Компьютерная преступность в США. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1990, №9. — с.3-5; 1987, № 9. — с.3-5.
3.71.	Компьютерная преступность в ФРГ. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1987, № 6. — с. 10-13.
3.72.	Компьютерная преступность в Швейцарии. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1987, № 7. — с.3-5.
3.73.	Компьютерная преступность в Швейцарии: формы проявления и характеристика преступников. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1987, №9. — с.5-10.
3.74.	Компьютерные преступления и методы борьбы с ними.// Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1985, № 1. — с.3-7.
360
3.75.	Компьютерные преступления и обеспечение безопасности ЭВМ.// Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1983, №6, —с.3-6.
3.76.	Компьютерные преступления в кредитно-финансовой деятельности И Обзорная информация. Зарубежный опыт. Выпуск № 1. — М.: МВД РФ ГИЦ 1996.
3.77.	Косовец А.А. Правовое регулирование электронного документооборота // Вести Московского университета. Серия 11. Право. 1997, № 4. — с.46-60.
3.78.	Костин П.В. Проблема изъятия данных программы 1С-Бухгалтерия-Проф 6.0 для Windows в целях проведения экспертного бухгалтерского исследования И Вопросы квалификации и расследования преступлений в сфере экономики: Сборник научных статей / Под ред. Н.А. Лопашен-ко, В.М. Юрина, А.Б. Нехорошева. Саратов: СЮИ МВД России, 1999. — с. 214-217.
3.79.	Крамер М., Раноза Д. Mimesweeper фирмы Integralis обезвреживает «почтовые бомбы» // PC WEEK/RE 7 мая 1996. — с.33-34.
3.80.	Криптографические методы защиты информации в ЭВМ.// Иностранная печать о техническом оснащении полиции капиталистических государств. — М.: ВИНИТИ, 1991, № 11. — с.16-40.
3.81.	Кристальный Б.В., Нестеров Ю.М. Информационные права и информатика И Информационные ресурсы России. — 1996. — № 3.
3.82.	Кричевец А.М. Экспертиза компьютерных программ как форма защиты авторских прав // Компьютеры + программы, 1996, № 1. — с. 22-23.
3.83.	Крылов В.В. Информационные компьютерные преступления — новый криминалистический объект И Российская юстиция. — 1997. — №4. — С. 22 — 23.
3.84.	Курило А.П. О проблеме компьютерной преступности И Правовое обеспечение информатизации России. Научно-техническая информация серия 1. Организация и методика информационной работы. — 1993. —№ 8.
3.85.	Кэлин С. Криптография угрожает правосудию // LAN Magazine / Русское издание. — 1996. — №11. — С.23.
3.86.	Лалаянц Ч. Конец электронного вора. И Криминальная хроника. 1995, №3.
3.87.	Лапин С.Ю. Осмотр места происшествия, обыск и выемка по делам о преступных нарушениях авторских прав (ст. 146 УК Российской Федерации) И Российский следователь. 1999, № 6. — с.44-50.
3.88.	Левша — потрошитель по имени Вовочка Левин, Комсомольская правда 21 сентября 1995 г. № 172(2182).
361
3.89.	Летников В.А., Худяков А.А., Гаврилов В.С. Разоблачение «компьютерных мошенников». И Информационный бюллетень СК МВД России, 1993, № 1(74). — с. 35-41.
3.90.	Литвинов А.В. Правовые вопросы охраны компьютерной информации. И Советское государство и право, 1987, №8. — с.84-88.
3.91.	Лучин И.Н., Желдаков А.А., Кузнецов Н.А. Взламывание парольной защиты методом интеллектуального перебора И Информатизация правоохранительных систем. — М. 1996. — с. 287-288.
3.92.	Львов Ю. Электронный «лохотрон» // новые известия 1998, № 10.
3.93.	Лысов Н.Н. Содержание и значение криминалистической характеристики компьютерных преступлений // Проблемы криминалистики и методики ее преподавания (тезисы выступлений участников семинара-совещания преподавателей криминалистики). — М., 1994 — с.54.
3.94.	Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления И Законность, 1997, № 1. — с.9-11.
3.95.	Малиновский А. Правовая информатизация России. // Советская юстиция, 1993, № 16. — с.11-12.
3.96.	Меры по защите от экономических преступлений. И Борьба с преступностью за рубежом. — М.: ВИНИТИ, 1991, №1. — с.51-53.
3.97.	Меры по защите программного обеспечения в странах ЕЭС. И Борьба с преступностью за рубежом. — М.: ВИНИТИ, 1992, № 8. — с. 18-19.
3.98.	Методика борьбы с мошенничеством в банках. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1987, №10. — С. 25 — 27.
3.99.	Мещеряков В.А. Криминалистическая классификация преступлений в сфере компьютерной информации И Конфидент, 1999, № 4-5.
3.100.	Мещеряков В. А. Компьютерно-техническая экспертиза и тактические рекомендации по ее применению // Конфидент, 1999, № 6.
3.101.	Мещеряков В.А., Вялых С.А., Герасименко В.Г. Состав методического обеспечения обоснования требований к системам защиты информации от программно-математического воздействия в АИС критического применения, построенных на основе ПЭВМ // МИФИ, Безопасность информационных технологий № 2, 1996.
3.102.	Мещеряков В.А., Герасименко В.Г. Пути и средства обеспечения доказуемости правонарушений в сфере компьютерной информации // Материалы конференции. «Безопасность информации» Москва, 14-18 апреля 1997.
3.103.	Мещеряков В.А., Зражевская Т.Д. Проблемы правового обеспечения информатизации и информационной безопасности региона // Материалы Международного Круглого стола «Право граждан на информацию и защита неприкосновенности частной жизни» — Нижний Новгород 1998.
362
3.104.	Мещеряков В.А., Чеботарев А.Н. Криминалистическая характеристика компьютерных правонарушений и следственные ситуации первоначального этапа их расследований // Материалы Всероссийской научно-практической конференции «Соотношение и связи криминалистики и теории оперативно-розыскной деятельности органов внутренних дел». Краснодар 1996. — с.39-42.
3.105.	Мещеряков В.А., Плотников В.И. С точностью до миллилитра // Монитор. — 1995. — № 3.
3.106.	Мещеряков В.А., Вялых С.А., Герасименко В.Г., Лютиков С.С. Проблемные вопросы сертификационных испытаний средств защиты информации и пути их решения И II Международная конференция «Безопасность - 96». Киев 1996.
3.107.	Мещеряков В.А., Чеботарев А.Н. Некоторые проблемы предупреждения новых криминальных посягательств в сфере экономики // Материалы научно-практической конференции «Проблемы укрепления законности, усиления борьбы с преступностью и профилактика правонарушений в современных условиях» — Воронеж, 1996. — с. 199-205.
3.108.	Мещеряков В.А., Вялых С.А. Классификация задач защиты информации в системах и средствах информатики и связи от несанкционированного доступа И Материалы Всероссийской конференции «Повышение помехоустойчивости систем технических средств охраны» — М.: Радио и связь, 1995.
3.109.	Мещеряков В.А. Состав, структура и особенности криминалистической характеристики преступлений в сфере компьютерной информации // Воронежские криминалистические чтения. Вып. 2. Под ред. О.Я. Баева. — Воронеж: Издательство Воронежского государственного университета, 2001 — с. 137-154.
3.110.	Мещеряков В.А. Механизм следообразования при совершении преступлений в сфере компьютерной информации // Известия Тульского государственного университета. Серия: Современные проблемы законодательства России, юридических наук и правоохранительной деятельности вып. 3. — Тула 2000.
3.111.	Михайлов В.А. Криминализация компьютерных правонарушений // Безопасность информационных технологий. — М.: МИФИ, — 1996. — №3, —С. 18.
3.112.	Моисеенков В.А. Суета вокруг Роберта или Моррис-сын и все, все, все ...И КомпьютерПресс. — 1991. — № 9. — С. 7 — 20.
3.113.	Моррис Г. Основы компьютерного законодательства США И Системы безопасности. — 1996. —№ 1. — С. 18.
3.114.	Моторыгин Ю.Д. Исследование информации на гибких магнитных дисках // Компьютерная преступность: состояние, тенденции и превен
363
тивные меры ее профилактики. Ч. 3. СПб.: Издательство СПб университета МВД России, 1999. — с. 106-107.
3.115.	Моцкобили И. Хаккеры рвутся к мировому господству // Коммерсантъ-Daily 24 апреля № 73, 1998.
3.116.	Мошенники «засветились» на дисплее // Комсомольская правда, 1994, №74.
3.117.	Назначение экспертного исследования документов, содержащихся на магнитных носителях ЭВМ // Труды ЮИ МВД РФ. — М., 1995.
3.118.	Некоторые аспекты компьютерной преступности И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1990, № 6. — с.12-13.
3.119.	Некоторые правовые аспекты защиты и использования сведений, накапливаемых в информационных системах. И Борьба с преступностью за рубежом. — М.: ВИНИТИ, 1990, №7. — с.63-64; 1992, №6. — с.13-14.
3.120.	Некоторые проблемы борьбы с компьютерной преступностью. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1990, №7, —с.15-17.
3.121.	Некоторые сведения о компьютерных преступлениях. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1985, № 3. — с.17-19.
3.122.	Нехорошее А.Б., Гортинский А.В., Яковлев А.Н. Использование специальных познаний при расследовании экономических преступлений, совершаемых с применением компьютерной техники. В кн.: Квалификация и расследование преступлений в сфере экономики / Под ред. М.В. Немытиной, В.М. Юрина. - Саратов: СЮИ МВД России, 1999.
3.123.	Николаев К. «Хакеры» и «кракеры» идут на смену «медвежатникам»? (обзор некоторых противоправных деяний, связанных с применением компьютерной техники) // Факт. — 2000. — №1.
3.124.	Носова И. Понятие «программа для ЭВМ» с точки зрения закона //PC Week№43(67), 1996.
3.125.	Обеспечение сохранности магнитных носителей ЭВМ. // Иностранная печать о техническом оснащении полиции капиталистических государств. — М.: ВИНИТИ, 1992, № 5. — с.27-29.
3.126.	О законе против «хакеров». // Проблемы преступности в капиталистических странах. —М.: ВИНИТИ, 1990, № 7. — с.62-63.
3.127.	Осипенко М. Компьютеры и преступность И Информационный бюллетень НЦБ Интерпола в Российской Федерации, 1994, № 10 — с. 16.
3.128.	Осмотр места происшествия. // В кн.: Справочник следователя. — М.: Юридическая литература, 1990, Т1. — с.4-127.
364
3.129.	Осокин Н., Венгеров А., Мурадьян Э. ЭВМ и судебные доказательства. И Советская юстиция, 1981, № 16. — с.18-20.
3.130.	Пашин С.А. Применение электронно-вычислительной техники и доказательственное право // Право и информатика. М. 1990. — с.71-89.
3.131.	Преступления против офисов И борьба с преступностью за рубежом. М.: ВИНИТИ, 1991, № 10. — с. 16-18.
3.132.	Просвирнин Ю Г. Проблемы борьбы с компьютерной преступностью // Проблемы укрепления законности, усиления борьбы с преступностью и профилактика правонарушений в современных условиях. Материалы научно-практической конференции. Воронеж, 1996. — с. 159-162.
3.133.	Положение по обеспечению безопасности компьютерных информационных систем в КНР. // ВИНИТИ Борьба с преступностью за рубежом (по материалам зарубежной печати) № 9 — Москва 1994. Ежемесячный информационный бюллетень с. 12-15.
3.134.	Предотвращение компьютерных преступлений. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1986, № 4. — с.5-9.
3.135.	Преступления против офисов. // Борьба с преступностью за рубежом. — М.: ВИНИТИ, 1991, № 10, —с.16-18.
3.136.	Пробелков П. Сколько стоит «сломать» Netscape. И Конфидент. 1996 №5, —с. 29-30.
3.137.	Проблемы борьбы с компьютерной преступностью. // Борьба с преступностью за рубежом. — М.: ВИНИТИ, 1992, №4. — с.3-10.
3.138.	Проблемы противодействия компьютерным преступлениям. И Проблемы преступности в капиталистических странах. — М.: ВИНИТИ, 1984, №2, —с.16-19.
3.139.	Пьянзин К. Болевые точки системы безопасности Net Ware 4.x // Lan Magazine / Русское издание, сентябрь 1996. Том. 2, № 5.
3.140.	Различные аспекты компьютерной преступности. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ. — 1987. — № 3, —С. 16 — 19.
3.141.	Расследование в Великобритании преступлений, совершаемых с использованием компьютеров. // Борьба с преступностью за рубежом. — М.: ВИНИТИ. — 1993. — № 8. — С. 9 — 13.
3.142.	Расторгуев С.П., Чибисов В.Н. О поиске следов злоумышленника в ЭВМ и вредоносных программных продуктах // Конфидент. — 1999. — №2 —С. 63 — 65.
3.143.	Расширение масштабов компьютерной преступности. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ. — 1986. — №10, —С.9 —И.
365
3.144.	Расширение масштабов компьютерной преступности. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ. — 1987. — №2.— С. 4 —7.
3.145.	Рекомендации ФБР по реализации судебных исков к хакерам И Дайджест зарубежной прессы «Security»: Приложение к журналу «Вопросы защиты информации». — М.: ВИМИ. — 1995. — Вып. 4 — С. 16 — 18.
3.146.	Рогозин В.Ю. Особенности подготовки к производству отдельных следственных действий при расследовании преступлений в сфере компьютерной информации // Вопросы квалификации и расследования преступлений в сфере экономики: Сборник научных статей / Под ред. Н.А. Лопашен-ко, В.М. Юрина, А.Б. Нехорошева. Саратов: СЮИ МВД России, 1999. — с. 173-182.
3.147.	Родионов А. Компьютерные преступления и организация борьбы с ними И Научно-правовой альманах МВД России «Профессионал». — 1999. — №5(31).
3.148.	Рост компьютерной преступности в США И Computer Weekly. — 1998.—№ 11.— С. 21.
3.149.	Румянцев А. Банкоматный вор работал под колпаком И Известия. — 1995,—№ 235, —С. 5.
3.150.	Рясенцев В.А., Мартемьянов В.С., Масляев А.И. Правовое регулирование отношений, основанных на создании и использовании алгоритмов и программ. И Советское государство и право. — 1987. — № 2. — С. 24 — 25.
3.151.	Самыгин Д. Сети в России сплетаются все гуще. (Выставка «NETCOM-94»). // Экономика и жизнь. — 1994. — №7.
3.152.	Селиванов Н.А. Проблемы борьбы с компьютерной преступностью. И Законность. — 1993. — № 8. — С. 36 — 40.
3.153.	Селиванов Н.А. Криминалистические характеристики преступлений и следственные ситуации в методике расследования // Социалистическая законность. — 1977. —• № 2. — С. 57.
3.154.	Семенов В.Н., Мотуз О.В. Судебно-кибернетическая экспертиза — инструмент борьбы с преступностью XXI века И Конфидент. — 1999. — №3.
3.155.	Сенчев Н. Как хакеры закрыли уголовное дело в прокуратуре // Российская газета. — 2000. — 19 февраля.
3.156.	Сергеев В.В. Компьютерные преступления в банковской сфере // Банковское дело. — 1997. — № 2. — С. 26.
3.157.	Сетевые атаки и средства борьбы с ними И ComputerWeekly. — 1998. — № 14. — С. 14 — 16, 44.
3.158.	Сидоренко В.П. Мошенничество с использованием банкоматов // Конфидент. — 1996. — № 1. — С. 29.
366
3.159.	Сидоров В. Основные направления укрепления безопасности банков // Безопасность банковских систем. — 1995. — № 2. — С. 10.
3.160.	Скоромников К.С. Расследование преступлений в сфере компьютерной информации И Руководство для следователей. — М.: ИНФРА-М, 1998.
3.161.	Скромников К С. Понятие, виды компьютерных преступлений, их уголовно-правовая характеристика // Пособие для следователя. Расследование преступлений повышенной общественной опасности. — М.: Лига разум, 1998.
3.162.	Скоромников К.С. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации // Осмотр места происшествия. Практическое пособие. —М.: Юрист, 2000.
3.163.	Совещание по вопросам компьютерной преступности. // Проблемы преступности в капиталистических странах. — М.: ВИНИТИ. — 1986. — №11, —С. 36 —40.
3.164.	Сюнтюренко О.В., Колочков Ю.М. Проблемы правового обеспечения защиты информации и компьютерной безопасности // в сб. Правовое обеспечение информатизации России. Научно-техническая информация серия 1. Организация и методика информационной работы. — 1993. 37]^.^Федоров В. Компьютерные преступления: выявление, расследование и профилактика И Законность. — 1994. — №6. — С. 44 — 47.
3.166.	Федоров А.В., Шахматов А.В. Использование содействия отдельных граждан в оперативно-розыскной деятельности по делам о преступлениях в сфере компьютерной информации И Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики. 4.1. СПб.: СПб университет МВД России, 1999. — с. 215-217.
3.167.	Хакер И Совершенно секретно, № 11, 1998.
3.168.	Характерные способы совершения хакерских взломов сетей // Открытые Системы. — 1996. — № 4(18).
3.169.	Чачин П. Телефонное пиратство // Компьютерра. — 1999. — 21 апреля.
3.170.	Черкасов В.Н. О понятии «компьютерная преступность». И Проблемы компьютерной преступности. — Минск: НИИПКК СЭ, 1992. — с.26-34.
3.171.	Черных А.В. Преступления компьютерного века И Советская юстиция, 1987, № 11 — с.32.
3.172.	Черных А.В. Компьютерные преступления: ЭВМ не виновата. // Советская юстиция, 1990, № 17. — с.29-31.
367
3.173.	Черных А.В. Обеспечение безопасности автоматизированных информационных систем (уголовно-правовые аспекты) // Советское государство и право, 1990, №6 — с. 118.
3.174.	Черных А.В., Черных Э.А. «Компьютерный глаз» в замочной скважине. И Советская юстиция, 1993, № 18. — с. 13-14.
3.175.	Черных Э.А. «Компьютерные» хищения: как их предотвратить? И Советская юстиция, 1993, № 3. — с.21-22.
3.176.	Чечко Л. Компьютерные хищения И Российская юстиция . 1996. №5 —с.45.
3.177.	Чуркин А. Проникновение следователя в жилище при помощи компьютера И Российский следователь, 1999, № 4 — с. 44-45.
3.178.	Шальнев А. Наша мафия — самая компьютеризированная в мире. //Известия, 1995, 15 февраля.
3.179.	Шаталов А.С., Пархоменко А.П. Криминалистическая характеристика компьютерных преступлений. И Вопросы квалификации и расследования преступлений в сфере экономики: Сб. науч. ст. / Под ред. Н.А. Лопа-шенко, В.М. Юрина, А.Б. Нехорошева. Саратов: СЮИ МВД России, 1999. — с. 169-173.
3.180.	Шершульский В., Едемский М., Лубнин К. На Internet и суда нет И Деньги. № 10,1996. — с.37-40.
3.181.	Шрейдер Ю.А. Социальные аспекты информатики. И НТИ, сер.2, Наука, 1989, №1. — с.3-14.
3.182.	Шурухнов Н.Г., Левченко И.П., Лучин И.Н. Специфика проведения обыска при изъятий компьютерной информации // Актуальные проблемы совершенствования деятельности ОВД в новых экономических и социальных условиях. — М. 1997 — с.208.
3.183.	Шуршульский В. Едемский М., Лубнин К. На Internet и суда нет И Деньги. 1996, № 10.
3.184.	Яблоков Н.П. Структура способа совершения преступления, как элемента его криминалистической характеристики. // В кн.: Способы сокрытия следов преступлений и криминалистические методы их установления. — М., 1984. — с.24-38.
3.185.	Яковлев А.Н. Возможности компьютерно-технической экспертизы // Вопросы квалификации и расследования преступлений в сфере экономики: Сборник научных статей / Под ред. Н.А. Лопашенко, В.М. Юрина, А.Б. Нехорошева. Саратов: СЮИ МВД России, 1999. — с. 195-198.
3.186.	Яковлев А.Н. Компьютерные преступления и экспертная практика. // Компьютерная преступность: состояние, тенденции и превентивные меры ее профилактики: Материалы международной научно-практической
368
конференции. Часть 1 / Под общ. ред. В.П. Сальникова. — СПб.: Санкт-Петербургский университет МВД России, 1999.
3.187.	Яковлев А.Н. Электронный документ как следствие компьютеризации И Актуальные проблемы компьютеризации потребительской кооперации: Тезисы докладов научно-методического семинара. — Саратов, 1996.
3.188.	Яковлев А.Н., Пархоменко А.Н. Экспертные криминалистические задачи, решаемые с помощью электронных документов // Вопросы квалификации и расследования преступлений в сфере экономики: Материалы научно-практического семинара при поддержке программы «Право» института «Открытое общество. Фонд содействия» — Саратов: СЮИ МВД России, 1998.
3.189.	Яни С.А., Черных А.В. Компьютеры и преступность И Социалистическая законность, 1989, № 6. — с.66.
3.190.	Яночкин С.И. Поиск информации на магнитных носителях И Вопросы квалификации и расследования преступлений в сфере экономики: Сборник научных статей / Под ред. Н.А. Лопашенко, В.М. Юрина, А.Б. Не-хорошева. Саратов: СЮИ МВД России, 1999. — с. 198-206.
4.	Диссертации и авторефераты
4.1.	Вехов В.Б. Криминалистическая характеристика и совершенствование практики расследования и предупреждения преступлений, совершаемых с использованием средств компьютерной техники. // Диссертация кандидата юридических наук. — Волгоград: ВЮИ МВД России, 1995.
4.2.	Гудков П.Б. Организация деятельности подразделений криминальной милиции по борьбе с компьютерными преступлениями И Диссертация кандидата юридических наук. — М.: Академия МВД России, 1996.
4.3.	Жигалов НЮ. Информационные системы в структуре экспертнокриминалистических подразделений МВД России. // Диссертация кандидата юридических наук. — Волгоград: ВСШ МВД РФ, 1994.
4.4.	Касаткин А.В. Тактика собирания и использования компьютерной информации при расследовании преступлений И Диссертация кандидата юридических наук. — М.: ЮИ МВД РФ, 1997.
4.5.	Крылов В.В. Основы криминалистической теории расследования преступлений в сфере информации И Диссертация доктора юридических наук — М.: МГУ, 1998.
4.6.	Кузьмин А.П. Использование персональных электронно-вычислительных машин в расследовании преступлений. И Диссертация кандидата юридических наук. — М., 1994.
369
4.7.	Литвинов А.В. Организационно-правовые вопросы охраны информации в вычислительных системах // Диссертация кандидата юридических наук — М., ИГПРАН СССР, 1989.
4.8.	Марков В.А. Криминалистическое исследование документов, изготовленных с помощью специальных печатающих аппаратов. И Диссертация кандидата юридических наук. — Свердловск, 1971.
4.9.	Рогозин В.Ю. Особенности расследования и предупреждения преступлений в сфере компьютерной информации // Диссертация кандидата юридических наук. — Волгоград: ВЮИ МВД России, 1998.
4.10.	Ростовцев А.В. Правовые, организационные и методические вопросы использования ЭВМ при производстве судебных физических и химических экспертиз. И Диссертация кандидата юридических наук. — М., ЮИ МВД РФ, 1995.
4.11.	Черкасов В.Н. Теория и практика решения организационно-методических проблем борьбы с экономической преступностью в условиях применения компьютерных технологий. И Диссертация доктора юридических наук. — М., 1994.
4.12.	Шумилов И.Н. Криминалистические аспекты информационной безопасности И Диссертация кандидата юридических наук. — С-Пб., 1996.
4.13.	Яковлев А.Н. Теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации — Саратов: СЮИ МВД РФ, 2000.
5.	Иностранная литература
5.1.	Весау August. Computer crime. Toronto, 1978. 5.3 Charles H.McCaghy. Computer Crime.// In b.: Crime in american society. N.Y., London, 1980.
5.2.	Clarke F.T. Computer-related crime.// Journal of Financial Software and Hardware. Vol.2, N3 (May/june 1985).
5.3.	Computer frand legislation: Hearing before the subcomm, on criminal law of the Comm, on the judiciary, US Senate.// In materials: 99 Congress. 1 sess. Oct.30 1985. - Wash., 1986.
5.4.	Computer crime and computer security: Hearing before the subcomm, on crime of the Comm, on the judiciary, H.R.// In materials: 99 Congress. 1 sess. May 23. 1985. - Wash., 1986.
5.5.	Datapro Reports on Information Security, vol. 1-3, 1990-93.
5.6.	Federal Guidelines for Searching and Seizing Computers, U.S. Department of Justice. 1994.
370
5.7.	Florida Department of Law Enforcement, Computer Crime in Florida, unpublished report, Tallahassee, Florida, 1989.
5.8.	Leibholz Wilson L. User’s guide to the computer crime. - Penn., 1974.
5.9.	J. Rosener, Cyberlaw (America Online) April, 1994.
5.10.	J. Rosener, CyberLaw (America Online), October, 1995.
5.11.	TCP/IP (Lack of) Security // Datapro Reports on Information Security/ General Report. — February 1996.
5.12.	Tomkins J.B. and Ausell F.S. Computer crime: keeping up with hight-tech criminals.// Criminal justice. Vol. 15 (winter 1987).
5.13.	U.N. Commission on Crime and Criminal Justice, United Nations Manual on the Prevention and Control of Computer-related Crime (New York: United Nations, 1995).
371
Приложение № 1
ОБРАЗЦЫ ОТДЕЛЬНЫХ ПРОЦЕССУАЛЬНЫХ ДОКУМЕНТОВ, ОТРАБАТЫВАЕМЫХ В ХОДЕ РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
ПРОТОКОЛ
осмотра
г. Воронеж	«»г.
Старший следователь следственного отдела Управления ФСБ РФ по Воронежской области К., в присутствии приглашенных в качестве понятых:
1. Г., проживающего по адресу:..,
2. Д., проживающего по адресу: .,
с участием подозреваемого Г. и приглашенного в качестве специалиста X., руководствуясь требованиями ст.ст.178, 179, 88 УПК РСФСР, произвел осмотр изъятой в ходе обыска по месту работы оператором в фирме «Л» подозреваемого Г. компьютерной техники, принадлежащей подозреваемому Г., о чем в соответствии с требованиями ст.ст. 141, 142 и 182 УПК РСФСР и составлен настоящий протокол.
Осмотр производится в служебном кабинете УФСБ РФ по Воронежской области при смешанном освещении.
Осмотр начат в «_» часов «» минут.
Осмотр окончен в «_» часов «___» минут.
Перед началом осмотра понятым и специалисту в соответствии с требованиями ст. 141 УПК РСФСР разъяснено их право присутствовать при всех действиях следователя, знакомиться с протоколом, делать заявления и замечания по поводу тех или иных действий следователя, подлежащие обязательному занесению в протокол.
Кроме того, понятым разъяснена их обязанность, предусмотренная ст. 135 УПК РСФСР, удостоверить ход, содержание и результаты осмотра.
Специалисту в соответствии со ст.1331 УПК РСФСР разъяснены его обязанности: явиться по вызову, участвовать в производстве следственного действия, используя свои специальные знания и навыки для содействия следователю в обнаружении, закреплении и изъятии доказательств, обращать внимание следователя на обстоятельства, связанные с обнаружением, закреплением и изъятием доказательств, давать пояснения по поводу выполняемых им действий.
Специалист вправе делать подлежащие занесению в протокол заявления, связанные с обнаружением, закреплением и изъятием доказательств.
Специалист был предупрежден об ответственности за отказ или уклонение от выполнения своих обязанностей в виде штрафа в размере до 1/3 минимального размера оплаты труда
372
Подозреваемому Г. разъяснены требования ст. 51 Конституции Российской Федерации о том, что он вправе не свидетельствовать в отношении себя и своих близких родственников.
Осмотром установлено:
Системный блок компьютера, монитор, принтер, клавиатура и мышь, изъятый «»г. в ходе обыска по месту работы подозреваемого Г., на момент осмотра упакованы в картонные коробки, которые опечатаны контрольными листами бумаги, с оттисками мастичной печати №2 Управления ФСБ РФ по Воронежской области «Для пакетов» и скреплены подписями понятых и участвующих в обыске лиц и заклеены поверх контрольных листов липкой лентой типа «скотч». Упаковка исключает возможность доступа внутрь, контрольные листы бумаги не нарушены.
После осмотра упаковок коробки вскрыты и из них извлечены системный блок без названия порты, входы и устройства для записи и считывания информации, которого опечатаны листами белой бумаги и контрольными листами с оттисками мастичной печати № 2 Управления ФСБ РФ по Воронежской области «Для пакетов», скрепленные подписями понятых, участвующих в обыске лиц, и поверх контрольных листов с оттисками печати оклеены липкой прозрачной лентой типа «скотч». Целостность данной упаковки, листов бумаги и контрольных листов с оттисками печати не нарушена. Возможности доступа к портам, входам и устройствам для записи и считывания информации не имеется.
После этого подозреваемому Г. была дана возможность подготовить к работе системный блок изъятого у него компьютера, путем соединения кабелями и шнурами между собой системного блока, монитора, клавиатуры, мыши и принтера, что им и было сделано.
При визуальном осмотре системного блока на задней панели имеются стандартные входы-подключения, разъемы последовательного и параллельного портов, разъем для подключения манипулятора мышь, разъем для подключения клавиатуры, разъемы для подключения сетевого кабеля типа витая пара и коаксиального кабеля, разъем для подключения телефонной линии, а также для подключения звуковых устройств.
На лицевой стороне системного блока расположены дисковод для гибких магнитных дисков формата 1,44 Мб и устройство чтения компакт-дисков.
Системный блок не имеет никаких обозначений, он АТ формата, находится без защитного кожуха. В системном блоке видны следующие компоненты: материнская плата с процессором, к которой подключены: плата факс-модема USRobotics Sportster 28800 V.34, сетевая плата, звуковая плата и видеоадаптер и два модуля оперативной памяти. Имеется также накопитель на жестком магнитном диске.
На лицевой панели имеются клавиши-кнопки: включения-выключения питания, turbo, reset и индикаторы: тактовой частоты, питания; turbo и HDD и этикетка со знаком: «Intel Insiet Pentium».
373
После визуального осмотра компьютер был включен в электрическую сеть напряжением 220В.
В связи с тем, что компьютер был выключен не по правилам, а аварийно, операционная система предлагает запустить программу ScanDisk с целью установления данных, которые могли быть испорчены в ходе аварийного включения.
Подозреваемый Г. пояснил, что во время обыска при выключении компьютера он «завис» и поэтому его выключили в аварийном порядке.
После проведения сканирования жесткого диска на экране высветилась информация, о том, что на жестком диске содержится 81 Кб информации, которые могут быть потеряны, в случае аварийного выхода. Программа предлагает сохранить их в файле с названием: «file 0000.chk».
После этого на отдельном компьютере убедились в том, что предоставленный гибкий магнитный диск объемом 1,44 Мб ЗМ, с надписями на ней: «IMATION High Density Haute densite IBM Formatted Formatee» не содержит в себе никакой информации, т е. дискета является чистой.
Затем специалист, вставив гибкую дискету объемом 1,44 Мб ЗМ, с надписями на ней: «IMATION High Density Haute densite IBM Formatted Formatee» в дисковод, выполнил с помощью манипулятора-мыши команду записать на диск «А», т.е. сохранить. После этого программа предлагает сохранить эти данные на гибкий магнитный диск А:/.
Подозреваемый Г. на вопрос, стоит ли сохранять указанные данные и сохранял ли он их в работе, пояснил, что их не стоит сохранять.
Специалист пояснил, что, как правило, никакой значимой информации в таких случая не уничтожается.
Понятой Г. пояснил, что, как правило, предлагаемая к сохранению информация содержит в себе данные о той информации, которая не была сохранена на момент аварийного выключения.
После этого происходит загрузка операционной системы «Windows-95».
После полной загрузки система требует ввести пароль для входа в сеть «Microsoft».
Подозреваемый Г. на вопрос, есть ли у него пароль для входа, пояснил, что у него пароля нет. После этого специалист с помощью мыши выполнил команду «отмена».
После загрузки на мониторе появились «иконки» для запуска программ в количестве 47 (сорока семи).
Затем была запущена программа «файловый менеджер» — «Far». После ее запуска на экране появилась структура каталогов на жестком диске «С:/», которая была распечатана на 1-м листе, приобщенном к данному протоколу.
На жестком диске «С:/» находятся 32 файла и 52 каталога; 101760524 байт памяти занято и 79532032 байт свободно.
Открыли каталог «!! !/trojan», в котором находился файл 237.zip.
374
После разархивации этого файла было выявлено, что он содержит в себе архивированные программы типа «троянский конь» «н/с соседа» версия 2.37 от 01 февраля 2000 года в объемом архивированном виде 60440 Байт.
При этом подозреваемый Г. пояснил, что это один из вирусов типа «троянский конь», которые он скачал (скопировал) из сети Интернет 3 февраля 2000 г. (данные о конфигурации файла), но который он не запускал.
Текстовая часть данного файла, содержащая пояснения к данной программе, была распечатана на четырех страницах, приобщенных к данному протоколу.
Далее в неархивированном каталоге «C:/TLS/CATALOG» объемом 347648 Байт с меткой времени создания 3 сентября 1999 г., находится файл catalog.exe, на который подозреваемый Г. указал как на тот самый файл, который он рассылал по электронной почте в сети Интернет.
В результате просмотра тела программы текстовым редактором FAR в структуре была обнаружено строка Enjoy be pass:-) and remember me, а также адрес электронной почты: «dimich27@hotmail.com».
Подозреваемый Г. пояснил, что это именно та вирусная программа, которую он рассылал с приложением текстового файла с рекламой товаров для охоты в сентябре 1999 г., и после рассылки которой получил на свой почтовый ящик «dimich27@hotmail.com» несколько сообщений под названиями: «Lynx» с учетными именами и паролями для доступа в сеть Интернет. Эти сообщения с паролями и учетными именами пользователей сети Интернет были распечатаны в ходе предыдущего осмотра с его участием сообщений из почтового ящика «dimich27@hotmail.com».
В каталоге «C:/FROM_INI/trojan» обнаружен файл размером 1271877 байт, с меткой времени создания от 2 сентября 1999 г. «soft2000vl.exe», а также вложенные подкаталоги с наименованиями «1,2,3,5». По поводу указанной программы подозреваемый Г. пояснил, что это вирусная программа, которую он скачал (скопировал) из Интернет типа «троянский конь», серверная часть.
При дальнейшем осмотре компьютера было выявлено, что в подкаталоге «C:/FROM INI/trojan/2» содержится архивный файл: «k2jps.zip», который включает в себя файлы «K2pS.exe» и «K2pS_setup.exe». Подозреваемый Г. пояснил, что «K2pS_setup.exe», размером 6656 Байт и меткой времени создания 26 февраля 1999 г., является установочным файлом вирусной вредоносной программы типа «троянский конь», которую он рассылал пользователям сети Интернет по электронной почте с приложением текстового файла с названием «маркетинг 99».в котором шла речь о взаимовыгодном сотрудничестве.
В каталоге «C:/MODEM/PO1NT/FAILS» находится архивный файл «Ю.гаг», который кроме прочих включает в себя файл «Hack'а't.exe» размером 300248 байт, с меткой времени создания 16 мая 1999 г.
По поводу этой программы подозреваемый Г. пояснил, что данная программа является частью вредоносной вирусной программы типа «троянский конь», клиентская часть. То есть эти две самостоятельные программы: сер
375
верная и клиентская части являются двумя программами для получения учетных имен и паролей от пользователей сети Интернет. При этом, подозреваемый Г. пояснил, что осуществлял подключения к чужим компьютерам через сеть Интернет только с целью получения парольной информации пользователей сети Интернет. О наличии других функциях данной программы он не знает. После этого была запущена почтовая программа «The Bat!», версии 1.36 (обозначающая в переводе «Летучая мышь»). Подозреваемый Г. добровольно показал в почтовой программе настройки на следующие адреса отправки и получения почты:
—	gru@zmail.ru с паролем «designweb 123»;
—	l_estate@zmail.ru с паролем «532933»;
—	designO@zmail.ru с паролем «desainweb»;
—	gru_vm@mail.ru с паролем «меппеп»;
—	designweb@mail.rn с паролем «taraskin»;
—	masterjk_club@mail.ru с паролем «zril23»;
—	disign@voronezh.net с паролем «532933GRU»;
—	l_estate@chat.ru с паролем «532933»;
—	petrova_l@mail.ru с паролем «razvodik»;
—	sira@zmail.ru с паролем «sirausa»;
—	gru@comchru с паролем «8п6Ь7С9Х».
В записях почтового ящика с учетным именем «DisignO» в папке для отправленных писем обнаружено письмо в адрес электронной почты «dezember@tomcat.ni», содержащее файл «catalog.exe», который был распечатан на одной странице, прилагаемой к данному протоколу.
Как пояснил подозреваемый Г., это данные об отправке в адрес «december@tomcat.ru», принадлежащий Р., вирусной программы, содержащей «catalog.exe», которую он отсылал. Зачем именно не знает, и что с ней делал Р. ему неизвестно.
В каталоге «C:\program FilesVMail them VI.2\» содержится почтовая программа « Mail the VI .2», которая позволяет направлять на заданные адреса электронной почты текстовые сообщения и файлы. В каталоге «C:\program Files\Mail them V1.2Mist» в тестовых файлах «l.txt», «maill.txt», «new.txt», «virus.txt» обнаружены списки адресов электронной почты пользователей сети Интернет, один из которых был распечатан на восьми листах.
По поводу этого списка подозреваемый Г. пояснил, что это последний и самый полный список. Эти списки он собирал самостоятельно и использовал их для рассылки рекламы фирмы «Л», своей студии Web-дизайна «G_R_U», а также рассылки вирусных вредоносных программ.
В каталоге «C:\program FilesVMail them V1.2\messege» обнаружен тестовый файл «OxoTHHK.txt», который содержит текст, начинающийся словами: «Уважаемые господа! Скоро начнется сезон охоты....» и заканчивающийся адресом электронной почты: «e-mail:ohotnik@on-line.business.ru», содержащий в себе строчку: «Представлен каталог товаров catalog.exe (текстовый файл в саморазворачивающемся архиве, с подробными характеристиками, описанием, ценой, сроками и условиями поставки)»
376
По поводу этого текстового файла подозреваемый Г. пояснил, что к нему прикладывалась вредоносная программа: «catalog.exe» и полученное сообщение рассылалось по имеющемуся списку адресов.
В почтовой программе «OUTLOOK Express» версии 4.71.1712.1 в папке «входящие» обнаружено письмо, полученное 8 сентября 1999 г. в 17:02 от отправителя «OxoTHHK99<ohotnik99@on-line.business.ru> и начинающееся словами: «Уважаемые господа! Скоро начинается сезон охоты...» и заканчивающееся электронным адресом для связи: «е-mail: ohotnik99@on-line.business.ru».
Была также распечатана служебная (содержащая данные об отправителе, времени отправки и пути прохождения письма по электронной почте) информация к данному письму, содержащая строку: «Х-Mailer: Created by Kashyrin Dmitro».
По поводу этого письма подозреваемый Г. пояснил, что, вероятно, адрес его электронной почты попал в список рассылки и, таким образом, он направил письмо сам себе или это был тест.
Указанное письмо было распечатано на одном листе, прилагаемом к данному протоколу.
В каталоге «C:\FrontPage Webs\Content\sofb> находится ряд файлов, которые содержат информацию в формате Htm и gif, которые образуют Web-страницу. Указанные файлы имеют метку даты создания 21 декабря 1999 г.
По поводу данной Web-страницы подозреваемый Г. пояснил, что она создана им на этом компьютере и впоследствии размещена в сети Интернет на сервере http:Wwww.da.ru под наименованием Soft2000.da.ru.
Указанная страница была распечатаны на принтере и прилагается к данному протоколу на четырех листах.
Были распечатаны данные о факс-модеме на одном листе.
Осмотр был прерван в 17 ч. 55 мин. Для чего был выключен компьютер, от него отсоединены монитор, клавиатура, мышь и принтер.
После этого входы-подключения (разъемы последовательного и параллельного портов, разъем для подключения манипулятора мышь, разъем для подключения клавиатуры, разъемы для подключения сетевого кабеля типа витая пара и коаксиального кабеля, разъем для подключения телефонной линии, а также для подключения звуковых устройств) были опечатаны листом бумаги и оттиском печати Управления ФСБ РФ по Воронежской области № 2, исключающих доступ к системному блоку.
К протоколу прилагаются сделанные распечатки на 22 листах.
Протокол прочитан участникам осмотра и на вопрос, есть ли у них какие-либо замечания или дополнения, они пояснили, что все записано правильно, дополнений и замечаний не имеется.
Понятые: 1._____________________________________
2.__________________________________
Подозреваемый___________________________________
Специалист:	_________________________________
Старший следователь СО УФСБ РФ по Воронежской области
377
ПРОТОКОЛ дополнительного осмотра
г. Воронеж	«»г.
Старший следователь следственного отдела Управления ФСБ РФ по Воронежской области К., в присутствии приглашенных в качестве понятых:
1. П., проживающей по адресу:....
2. С., проживающей по адресу: ......, с участием приглашенного в
качестве специалиста М., руководствуясь требованиями ст.ст. 178, 179, 88 УПК РСФСР, произвел осмотр гибких магнитных дискет объемом 1,44 Мб, поступивших из Информационной компании «Информсвязь-Черноземье», о чем в соответствии с требованиями ст.ст. 141, 142 и 182 УПК РСФСР и составлен настоящий протокол.
Осмотр производится в служебном кабинете №Управления ФСБ Российской Федерации по Воронежской области при естественном освещении.
Осмотр начат в «» часов «» минут.
Осмотр окончен в «» часов «» минут
Перед началом осмотра понятым, специалисту в соответствии с требованиями ст. 141 УПК РСФСР разъяснено их право присутствовать при всех действиях следователя, знакомиться с протоколом, делать заявления и замечания по поводу тех или иных действий следователя, подлежащие обязательному занесению в протокол.
Кроме того, понятым разъяснена их обязанность, предусмотренная ст. 135 УПК РСФСР, удостоверить ход, содержание и результаты осмотра.
Специалисту в соответствии со ст.1331 УПК РСФСР разъяснены его обязанности: явиться по вызову, участвовать в производстве следственного действия, используя свои специальные знания и навыки для содействия следователю в обнаружении, закреплении и изъятии доказательств, обращать внимание следователя на обстоятельства, связанные с обнаружением, закреплением и изъятием доказательств, давать пояснения по поводу выполняемых им действий.
Специалист вправе делать подлежащие занесению в протокол заявления, связанные с обнаружением, закреплением и изъятием доказательств.
Специалист был предупрежден об ответственности за отказ или уклонение от выполнения своих обязанностей в виде штрафа в размере до 1/3 минимального размера оплаты труда. Участники осмотра уведомлены в соответствии со ст. 1411 УПК РСФСР о применении следующих технических средств в ходе осмотра: системного блока марки «Compaq» 486SX-33 model 200, серийный номер 8453НКА20491, монитора марки «Compaq» SVGA 14 серийный номер 44805277R992, клавиатуры марки «Compaq» серийный номер 1Н2628716395, манипулятора Mouse марки «Compaq», серийный номер 1D768AGO9811.
378
Указанные технические средства были подключены к электрической сети напряжением 220В.
1. Предметом осмотра является стандартная картонная коробка для гибких магнитных дисков фирмы Maxell, оклеенная листом белой бумаги и имеющий надписи , исполненные красителем черного цвета рукописным способом: «»
Никаких нарушений данная упаковка не имеет, доступа к ее содержимому нет.
Коробка была вскрыта и из нее были извлечены гибкие магнитные диски объемом 1,44 Мб в количестве четырех марки MAXELL MF 2HD HIGH DENSITY SUPER RD II, имеющие на себе записи:
Дискета № 1, имеющая на обратной стороне № В043А08, и надписи рукописным способом красителем фиолетового цвета: ИК «Информсвязь-Черноземье» дискета № 1 от «__»г. с записью файлов:
1) market.eml 13877 байт с полным текстом письма, полученного от «сетевого маркетинга»;
2) dogovor.exe 7680 байт с программой, содержащейся в указанном письме.
Дискета № 2, имеющая на обратной стороне № В043А08, и надписи рукописным способом красителем фиолетового цвета: ИК «Информсвязь-Черноземье» дискета № 2 от «__»г. с записью файлов:
1) ohotnik.eml 480901 байт, с полным текстом письма, полученного от «Охотник-99»;
2) catalog.exe 347648 байт, с программой, содержавшейся в указанном сообщении.
Дискета № 3, имеющая на обратной стороне № В043А08, и надписи рукописным способом красителем фиолетового цвета: ИК «Информсвязь-Черноземье» дискета № 3 от «__»г., содержит файл Soft2000.arj
- 1301449 байт с архивной записью полного содержания письма от ЗАО «Прогкомптех» с вложенной программой Soft200vl.exe.
Дискета № 4, имеющая на обратной стороне № В043А08, и надписи рукописным способом красителем фиолетового цвета: ИК «Информсвязь-Черноземье» дискета № 4 от «__»г. с записью программы: Soft
2000vl.exe 1271877 байт, содержавшейся в письме от ЗАО «ПрогКомпТех».
Для осмотра указанных магнитных дисков используется программа Norton Comander версии 4.0 от 27 июня 1993 года.
Дискета под № 1 была вставлена в дисковод, метка тома АС и серийный № 2837.1BF4. Дискета размечена на 1457664 байта, из которых 628736 байт на момент осмотра являются свободными. На диске содержатся два файла:
1) catalog.exe, размером 347648 байт, созданный 31 января 2000 г. в 14 ч. 47 мин. и
2) ohotnik.eml, размером 480901 байт, созданный 31 января 2000 г. в И ч. 47 мин.
379
Дискета под № 2 была вставлена в дисковод, метка тома Ат и серийный № 2С6В:1ВЕ9. Дискета размечена на 1457664 байта, из которых 1435648 байт на момент осмотра являются свободными. На диске содержатся два файла:
1) dogovor.exe, размером 7680 байт, созданный 31 января 2000 г. в 18 ч. 27 мин. и
2) market.eml, размером 13877 байт, созданный 31 января 2000 г. в 18 ч. 20 мин.
Дискета под № 3 была вставлена в дисковод, метка тома отсутствует и серийный № 2850:1ВЕВ. Дискета размечена на 1457664 байта, из которых 156160 байт на момент осмотра являются свободными. На диске содержится один файл. Soft2000.arj, размером 1301449 байт, созданный 31 января 2000 г. в 14 ч. 54 мин.
Дискета под № 4 была вставлена в дисковод, метка тома Be и серийный № O45E:1BFO. Дискета размечена на 1457664 байта, из которых 185344 байт на момент осмотра являются свободно. На диске содержится один файл: soft20~l.exe, размером 1271877 байт, со временем создания 25 января 2000 г. в 17 ч. 57 мин.
Описанные подробно в протоколе четыре магнитных дискеты объемом 1,44 Мб (размером 3,5" дюйма) были помещены к бумажный конверт коричневого цвета, заклеены и скреплены оттиском печати для пакетов № 1 Управления ФСБ РФ по Воронежской области года и скреплены подписями понятых, специалиста и следователя.
Протокол прочитан участникам осмотра и на вопрос, есть ли у них какие-либо замечания или дополнения, они пояснили, что все записано правильно, дополнений и замечаний не имеется.
Понятые: 1._______________________________________
2._____________________________________
Специалист:_____________________________________
Старший следователь СО УФСБ РФ
380
ПОСТАНОВЛЕНИЕ
о назначении компьютерно-технической экспертизы
г. Воронеж	«»г.
Следователь по особо важным делам прокуратуры Воронежской области П., рассмотрев материалы уголовного дела №...
УСТАНОВИЛ
В период с ... по..
В ходе предварительного следствия у гражданина ... изъята компьтер-ная техника, которая использовалась для ...
Принимая во внимание, что для установления ... необходимы специальные познания в сфере компьютерной информации и новых информационных технологий, руководствуясь ст.ст. 78, 184 и 187 УПК РСФСР,
ПОСТАНОВИЛ:
1.	Назначить по настоящему уголовному делу компьютернотехническую экспертизу, производство которой поручить специалистам кафедры криминалистики юридического факультета Воронежского государственного университета.
2.	На разрешение эксперта поставить следующие вопросы:
а)	Размещены ли на встроенных магнитных носителях представленного на экспертизу компьютера электронные документы и информация о жизни и деятельности его пользователя.
б)	Представить обнаруженные данные в виде, пригодном для непосредственного восприятия (на бумажном носителе).
3.	В распоряжение эксперта представить:
а)	копию настоящего постановления;
б)	изъятый у гражданина ... компьютер, состоящий из системного блока, монитора LG Studiowork 56m, клавиатуры и мыши.
4.	Поручить заведующему кафедры криминалистики юридического факультета Воронежского государственного университета разъяснить сотрудникам, которые будут производить экспертизу, права и обязанности эксперта, предусмотренные ст. 82 УПК РСФСР, предупредить их об ответственности по ст. 308 УК Российской Федерации за отказ или уклонение от дачи заключения и по ст. 307 УК РФ за дачу заведомо ложного заключения.
Следователь по особо важным делам
Прокуратуры Воронежской области
381
Министерство образования Российской Федерации Воронежский государственный университет Юридический факультет Кафедра криминалистики
394018 г. Воронеж, пл. Ленина, 10, тел. 78-95-14, 78-92-59, 78-93-78
ПОДПИСКА
Мне, сотруднику юридического факультета Воронежского государственного университета М, разъяснены в соответствии со ст. 187 УПК РСФСР права и обязанности эксперта, предусмотренные ст. 82 УПК РСФСР.
Об ответственности за дачу заведомо ложного заключения по статье 307 УК РФ предупрежден.
«»г. 
ЗАКЛЮЧЕНИЕ ЭКСПЕРТА
Сотрудник юридического факультета Воронежского государственного университета, кандидат технических наук, старший научный сотрудник М., имеющий ...образование, специальность —.,	стаж работы со средст-
вами вычислительной техники .... лет, на основании постановления о назначении экспертизы, вынесенного «»г. следователем по особо важным делам прокуратуры Воронежской области старшим советником юстиции П. по уголовному делу № ., произвел компьютерно-
техническую экспертизу представленной компьютерной техники.
ОБСТОЯТЕЛЬСТВА ДЕЛА
В ходе расследования уголовного дела у обвиняемого К. был изъят компьютер, в базе данных которого могут быть интересующие следствие данные, а также дискеты размером 3,5”.
НА ЭКСПЕРТИЗУ ПРЕДСТАВЛЕНЫ:
1. Компьютер, состоящий из:
системного блока, опечатанного и заверенного подписями следователя и понятых;
монитора LG Studiowork 56m.
клавиатуры;
манипулятора «мышь»;
2. 13 дискет размером 3,5” упакованные в две пластиковые коробки по 9 и 4 штуки соответственно.
382
ПЕРЕД ЭКСПЕРТОМ ПОСТАВЛЕНЫ ВОПРОСЫ:
1. В какой сфере деятельности использовался обвиняемым изъятый компьютер?
2. Какая информация, касающаяся деятельности К., имеется в компьютере?
ИССЛЕДОВАНИЕ
1. Системный блок компьютера, изъятый у гражданина К., с тыльной стороны (в местах подключения информационных шлейфов и кабеля электропитания) оклеен бумажным листом с подписями следователя и двух понятых, предотвращающим его подключение к сети электропитания. Системный блок механических повреждений не имеет.
Представленный на экспертизу системный блок компьютера, изъятый у К., в его присутствии, а также в присутствии адвоката П. и следователя П. был вскрыт и осмотрен.
Внутри системного блока был обнаружен винчестер фирмы Samsung емкостью 1,6 Гб.
В присутствии К., его адвоката П. и следователя П. была изготовлена копия информации, содержащейся на винчестере компьютера, представленного на экспертизу.
Для изготовления копии информации, хранящейся на винчестере компьютера, представленного на экспертизу, к нему был подключен второй винчестер Seagate Medalist ST31722A емкостью 1,7 Гб в режиме Primery Slave.
После стандартной загрузки операционной системы, имевшейся на изъятом компьютере, подключенный винчестер был отформатирован с использованием стандартной команды операционной системы FORMAT.COM. После завершения форматирования подключенного винчестера была запущена имевшаяся на представленном на экспертизу компьютере программа Norton Commander, с помощью которой было проведено копирование содержимого винчестера Samsung (1,6 Гб) на винчестер Seagate Medalist (1,7 Гб). Использование для копирования файлов программы Norton Commander (в режиме F5 — «Сору») привело к усечению длинных имен файлов с сохранением первых 6 букв. Данное обстоятельство было пояснено К., его адвокату и следователю, что вопросов и возражений с их стороны не вызвало.
На вопрос следователя о наличии на представленном для экспертизы компьютере информационных файлов, защищенных паролями или другими специальными средствами, К. сообщил, что есть один файл, защищенный паролем, но так как по его мнению, «его содержимое не имеет отношения к делу и касается его личной жизни», назвать пароль отказался.
После этого винчестер Samsung (1,6 Гб), находившийся в компьютере, представленном на экспертизу, был извлечен из системного блока компьютера, упакован в картонную коробку и опечатан липкой лентой и бумажным листом с подписями К., адвоката П., следователя П. и эксперта М.
383
Дальнейшие исследования содержания информации производились по копии, размещенной на винчестере Seagate Medalist (1,7 Гб).
Магнитные дискеты (3,5”) были упакованы в две прозрачные пластиковые коробки, содержащие 4 и 9 дискет соответственно. Каждая из коробок опечатана бумажным листом с подписями следователя и двух понятых, предотвращающим вскрытие коробок.
2. Для проведения экспертных исследований использовался вычислительный комплекс в следующем составе:
•	материнская плата 5DVX;
•	оперативная память SDRAM 32 Мб;
•	процессор Intel Pentium 150 МГц;
•	винчестер Western Digital Caviar 31600, объемом 1,6 Гб, включенный в режиме Master на IDE 1 материнской платы;
•	CD Reader фирмы NEC Corporation, модель CDR-1300A.
•	монитор 15” Studioworks 56m фирмы LG Electronics Inc;
•	видеокарта S364Trio 1 Мб;
•	BIOS Award Software Inc 1995, PCI/PNP 586;
•	FDD 3,5” для чтения дискет форматом 1,44 Мб.
•	стандартная 101-кнопочная клавиатура;
•	трехкнопочный манипулятор «мышь» Easy Mouse фирмы Genius, оснащенный общим программным обеспечением в следующем составе:
•	Операционная система Windows 98;
•	Операционная оболочка FAR V. 1.5.
Методической основой исследований явились:
1.	Российская Е.Р. Судебная экспертиза в уголовном гражданском арбитражном процессе. — М.: Право и закон, 1996.
2.	Российская Е.Р. Компьютерно-техническая экспертиза // Сборник трудов академии МВД. — М., 1996.
3.	Винчестер Seagate Medalist ST31722A был подключен к компьютеру эксперта в режиме Primery Slave. Установка и подключение исследуемого винчестера к компьютеру эксперта прошли нормально. Винчестер опознан компьютером и ему присвоен логический идентификатор «D».
Компьютер эксперта и подключенный винчестер были проверены на отсутствие компьютерных вирусов антивирусной программой Doctor Web, версия 3.24 от 14 августа 1997 г. Компьютерных вирусов на нем не обнаружено.
При осмотре информации, записанной на винчестере Seagate Medalist ST31722A, было обнаружено стандартное математическое обеспечение фирмы Microsoft Inc. — операционная система Windows, MS Office (MS Word, Excel, Access), компьютерные игры (WarLord и др.).
При исследовании содержимого информационных файлов был установлен файл базы данных MS Access «СЕНТЯБРЬ.МОВ», защищенный паролем. Для преодоления парольной защиты было использовано специальное программное средство «ao97pr.exe», после запуска которого был выявлен пароль — «КСМ280671».
384
На представленных на экспертизу дискетах 3,5” информации, имеющей отношение к вопросам, поставленным на разрешение экспертизы, не обнаружено.
ВЫВОДЫ
1. Судя по аппаратным возможностям, а также установленному программному обеспечению, представленный на экспертизу компьютер мог быть использован для подготовки текстов, ведения базы данных личных расходов, ведения личной записной книжки и развлечений.
2. В ходе экспертного исследования обнаружены следующие информационные файлы, имеющие отношение к сформулированным в постановлении о назначении экспертизы вопросам:
Эксперт
385
Приложение № 2
РЕЗУЛЬТАТЫ опроса (анкетирования) оперативных работников МВД, ФСБ, следователей МВД, ФСБ и прокуратуры Центральночерноземного региона
Опросу и анкетированию были подвергнуты оперативные работники и следователи МВД, ФСБ, а также следователи прокуратуры Центральночерноземного региона. В нем приняло участие 72 человека.
Средний возраст опрошенных составил 30 лет. Исследование проводилось методом анонимного анкетирования и личного опроса. Обработка результатов проводилась с использованием методов математической статистики.
К статусным вопросам (помимо возраста) относились вопросы об образовании, стаже работы и собственной оценке уровня владения средствами вычислительной техники. Большинство из опрошенных имеют незначительный стаж работы (от 3 до 5 лет) и высшее юридическое образование. Некоторые из опрошенных закончили несколько учебных заведений.
Учитывая направленность опроса (анкетирования) отвечавшие на вопросы работники правоохранительных органов были условно разбиты на три группы:
1	группа — оценивающие свои навыки работы со средствами вычислительной техники как «слабые».
2	группа — оценивающие свои навыки работы со средствами вычислительной техники как «средние».
3	группа — имеющие специальное техническое образование или оценивающие свои навыки работы со средствами вычислительной техники как «достаточно высокие».
№ п/п	Содержание вопроса	1 группа (43 человека)	2 группа (25 человек)	3 группа (4 человека)
1.	Готовы ли Вы в настоящее время к расследованию преступлений в сфере компьютерной информации?			
Да		4(9%)	3(12%)	2(50%)
Нет		39(91%)	21(88%)	2(50%)
2.	Производство каких следственных действий по данной категории преступлений представляется Вам наиболее сложным?			
Осмотр компьютерных объектов		21(49%)	18(72%)	2(50%)
Обыск, с целью изъятия компьютерных объектов		8(19%)	4(16%)	2(50%)
Назначение компьютернотехнических экспертиз		9(21%)	1(4%)	—
386
№ п/п '	Содержание вопроса	1 группа (43 человека)	2 группа (25 человек)	3 группа (4 человека)
Допрос лиц, подозреваемых или обвиняемых в совершении преступлений в сфере компьютерной информации		5(11%)	2(8%)	—
3.	Возможно ли производство указанных выше следственных действий или отдельных из них без участия специалиста?			
Да		2(5%)	1(4%)	3(75%)
Нет		41(95%)	24(96%)	1(25%)
4.	Считаете ли Вы необходимым разработку специальной главы УПК, регламентирующей порядок обращения с информацией	(доказательствами) представленной в машинном виде (компьютерной информацией)?			
Да		31(72%)	23(92%)	4(100%)
Нет		12(28%)	2(8%)	—
5.	Готовы ли Вы к применению «цифровой подписи» при документировании результатов следственных действия на магнитных носителях?			
Да		—	1(4%)	2(50%)
Нет		29(67%)	18(72%)	2(50%)
А что это такое		14(33%)	6(24%)	—
6.	Оцените уровень технической оснащенности подразделения, где Вы работаете для расследования преступлений в сфере компьютерной информации			
Низкий		35(81%)	13(52%)	4(100%)
Средний		8(19%)	12(48%)	—
Высокий		—	—	—
7.	Сколько времени необходимо Вам для всесторонней профессиональной подготовки к расследованию преступлений в сфере компьютерной информации			
до 1 месяца		2(5%)	9(36%)	—
до 1 года		22(51%)	16(64%)	3(74%)
свыше 1 года		19(44%)	—	1(25%)
387
№ п/п	Содержание вопроса	1 группа (43 человека)	2 группа (25 человек)	3 группа (4 человека)
8.	Необходимо ли создание специальных оперативных и следственных подразделений, специализирующихся исключительно на выявлении и расследовании преступлений в сфере компьютерной информации?			
Да		32(74%)	17(68%)	4(100%)
Нет		11(26%)	8(32%)	
9.	Возможно ли проведение расследования преступлений в сфере компьютерной информации без назначения компьютерно-технической экспертизы?			
Нет		40(93%)	23(92%)	3(75%)
Иногда возможно		3(7%)	2(8%)	1(25%)
10.	Можно ли рассчитывать на действенную помощь зарубежных правоохранительных органов при расследовании преступлений в сфере компьютерной информации?			
Да		—	—	1(25%)
Нет		43(100%)	25(100%)	3(75%)
11.	Достаточно ли методическое обеспечение следователей руководствами по расследованию преступлений в сфере компьютерной информации?			
Да		—	—	—
Нет		43(100%)	25(100%)	4(100%)