Geum.ru
Произошедшая в 90-х гг. прошлого века техническая революция, сделавшая информационные технологии продуктом массового потребления, принесла с собой проблему регулирования правоотношений, с ними связанных. Всплеск арбитражных и гражданских дел, связанных с имущественными и неимущественными отношениями, предметом которых являются компьютерные средства, сделал одной из важных задач, подлежащих решению в рамках означенной проблемы, задачу исследования информационно-компьютерных средств как вещественных доказательств.
В 1996 г. профессором Е. Р. Российской было предложено назвать экспертизу в области компьютерных технологий судебной компьютерно-технической экспертизой. Тогда же произошло ее выделение в новый рол. экспертиз, относящихся к классу судебных инженерно-технических. Предмет нового рода был определен как факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах уголовного дела.
В 2000 г. Е. Р. Российская и А. И. Усов в работе «Классификация компьютерно-технической экспертизы и ее задачи» ввели классификацию компьютерно-технической экспертизы, основанную на обеспечивающих компонентах компьютерного средства. В соответствии с этим были выделены следующие виды судебных экспертиз: аппаратно-компьютерная, программно-компьютерная и информационно-компьютерная экспертизы. Также был выделен еще один вид экспертиз — компьютерно-сетевая. Появление данного вида базировалось на выделении в отдельную отрасль знаний и быстром развитии сетевых технологий. Такая видовая классификация, как нам представляется, полностью учитывала и учитывает различия в специальных знаниях, необходимых для исследования объектов, относящихся к различным видам судебной компьютерно-технической экспертизы. Однако необходимо отметить, что, как показывают последние исследования, современное состояние информационных технологий требует выведения в отдельный класс судебных.
Рассмотрим подробно каждый из родов компьютерно-технической экспертизы.
8.1. Судебная аппаратно-компьютерная экспертиза
Предметом судебной аппаратно-компьютерной экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы — материальных носителей информации о факте или событии гражданского, арбитражного либо уголовного дела.
Объектами судебной аппаратно-компьютерной экспертизы являются: персональные компьютеры (настольные, портативные): периферийные устройства: сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.); интегрированные системы (органайзеры); пейджеры; мобильные телефоны и т.п.; встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и т.п.); любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и т.п.).
На сегодняшний день судебная аппаратно-компьютерная экспертиза решает следующий круг задач:
— определение вида (типа, марки), свойств, аппаратного средства, а также его технических и функциональных характеристик для решения определенных функциональных задач;
— определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;
— определение структуры механизма и обстоятельства события по его результатам за счет использования выявленных аппаратных средств, как по отдельности, так и в комплексе в составе компьютерной системы;
— установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
— определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования.
При назначении судебной аппаратно-компьютерной экспертизы по гражданским делам и арбитражным спорам перед экспертом, как правило, ставятся вопросы:
— относится ли представленное устройство к аппаратным компьютерным средствам?
— к какому типу (марке, модели) относится аппаратное средство, каковы его технические характеристики и параметры?
— каково функциональное предназначение аппаратного средства?
— каковы роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
— относится ли данное аппаратное средство к представленной компьютерной системе?
— используется ли данное аппаратное средство для решения конкретной функциональной задачи?
— каково фактическое состояние (исправен, неисправен) представленного аппаратного средства, имеются ли в нем отклонения от типовых (нормальных) параметров, в том числе и физические дефекты?
— какие эксплуатационные режимы установлены на данном аппаратном средстве?
— является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
— каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
На сегодняшний день наиболее востребованными являются экспертизы установления фактического состояния и исправности аппаратного средства.
Ярким и часто встречающимся примером подобной экспертизы может служить исследование компьютерной системы на предмет обнаружения причин неисправности.
Так, например, к экспертам обратилась некая гражданка С, у которой перестал включаться и загружаться компьютер и которая считала виновной в этом торговую компанию, продавшую ей некачественный товар. В результате проведенного исследования экспертами было установлено, что причиной отказа в работе системы стали не скрытые дефекты комплектующих компьютера, а попадание посторонней электропроводящей жидкости на элементы видеоплаты, повлекшее за собой короткое замыкание.
Или, например, некая фирма М. обратилась в суд с исковым заявлением против фирмы N. осуществившей незаконную переделку и распространение игровой приставки, производителем которой являлся истец. Для установления истины судом был истребован образец реализуемого ответчиком товара и образец товара, производимого фирмой М., а также документация, в соответствии с которой фирма N осуществляла распространение продукции фирмы М.
В результате проведенных исследований было установлено, что реализация производилась на законных основаниях. Однако в процессе сравнения двух представленных образцов обнаружилось, что в игровых приставках, полученных от ответчика, имелся дополнительный аппаратный блок, установленный кустарным способом. После всестороннего изучения блока было обнаружено, что он является устройством, позволяющим преодолеть защиту, препятствующую использованию на игровой приставке нелицензионных игровых дисков.
В результате анализа судом сделанных экспертом выводов все исковые требования фирмы М. были удовлетворены.
Источник статьи: http://geum.ru/kurs/sudebnaya_kompyuterno-tehnicheskaya_ekspertiza.php
Судебная компьютерно-техническая экспертиза
Купить в магазинах
- OZON.ru 106 RUB При покупке в этом магазине Вы возвращаете на личный счет BM и становитесь претендентом на приз месяца от BookMix.ru!
Подробнее об акции - полный список магазинов
Рейтинг
Общая оценка
Ваша оценка
Метки:
Описание
- Издательство: Право и Закон
- ISBN: 5785800705
- Год: 2001
В книге изложены общетеоретические, процессуальные, методические и практические аспекты судебно-экспертной деятельности при раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств и технологий. Описаны классификация, предмет, задачи и объекты судебной компьютерно-технической экспертизы как нового рода судебных инженерно-технических экспертиз. Даются практические рекомендации специалисту по обнаружению, фиксации и изъятию компьютерной информации. Изложены общие положения назначения и производства экспертизы компьютерных средств. Рассмотрены проблемы оценки и использования результатов судебной компьютерно-технической экспертизы. Приведены образцы документов, используемых в компьютерной судебно-технической экспертизе.
Для работников правоохранительных органов, юристов-практиков, студентов, аспирантов и преподавателей юридических вузов. Обо всём этом и не только в книге Судебная компьютерно-техническая экспертиза (Е. Р. Россинская, А. И. Усов)
Средний балл:
Рецензий на книгу «Судебная компьютерно-техническая экспертиза» пока нет. Уже прочитали? Напишите рецензию первым
Средний балл:
Отзывов о книге «Судебная компьютерно-техническая экспертиза» пока нет. Оставьте отзыв первым
Цитат из книги «Судебная компьютерно-техническая экспертиза» пока нет. Добавьте цитату первым
Источник статьи: http://bookmix.ru/book.phtml?id=367295
2. Рода и виды судебной экспертизы компьютерной техники и информации
Вместе с различными вариантами наименования рода судебной экспертизы, объектами исследования которой являются средства компьютерной техники и компьютерная информация, предлагаются и различные виды ее классификации.
— техническая экспертиза компьютеров и их комплектующих, которая проводится в целях изучения конструктивных особенностей и состояния компьютера, его периферийных устройств, магнитных носителей, компьютерных сетей, а также причин возникновения сбоев в работе вышеуказанного оборудования;
— экспертиза данных программного обеспечения, осуществляемая в целях изучения информации, хранящейся в компьютере и на иных носителях [68] .
Рассматривая компьютерно-техническую экспертизу как самостоятельный род судебных экспертиз, Е. Р. Россинская и А. И. Усов, выделяют 4 её вида:
1) аппаратно-компьютерная экспертиза;
2) программно-компьютерная экспертиза;
3) информационно-компьютерная экспертиза (данных);
4) компьютерно-сетевая экспертиза [69] .
Предложенная Е. Р. Россинской и А. И. Усовым классификация принята за основу при описании судебных экспертиз, назначаемых для исследования средств компьютерной техники и информации, большинством авторов, занимающихся исследованием проблем борьбы с преступностью в сфере компьютерной информации [70] . В связи с этим представляется необходимым привести краткое описание видов, включенных в эту классификацию.
Аппаратно-компьютерная экспертиза заключается в проведении диагностического исследования аппаратных компонентов средств компьютерной техники, исследовании машинных носителей информации. К аппаратным средствам относятся: электрические, электронные и механические схемы, блоки, приборы и устройства, составляющие материальную часть компьютерной системы.
Сущность аппаратно-компьютерной экспертизы заключается в исследовании технических (аппаратных) средств компьютерной системы. Предметом данного вида КТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии уголовного либо гражданского дела.
К основным задачам судебной аппаратно-компьютерной экспертизы относятся:
— определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик для решения определенных функциональных задач (например, обработки графических изображений с высоким разрешением);
— определение фактического состояния и исправности аппаратного средства, наличие физических дефектов;
— определение структуры механизма и обстоятельства события по его результатам за счет использования выявленных аппаратных средств, как по отдельности, так и в комплексе в составе компьютерной системы;
— установление причинной связи между использованием конкретных возможностей аппаратных средств и результатами их применения;
— определение условий (обстановки) применения аппаратных средств, восстановление хронологической последовательности их использования, места действия и функционирования;
— установление групповой принадлежности и отождествление конкретных аппаратных средств по выделенным признакам – общим и частным (например, серийные номера, емкость и структура накопителя, среднее время доступа к данным, скорость передачи данных, способ и плотность магнитной записи и др.) [71] .
Более подробно этот вид КТЭ рассмотрен в исследовании А.А. Васильева «Судебная аппаратно-компьютерная экспертиза: правовые, организационные и методические аспекты» [72] .
Следующий вид экспертиз – программно-компьютерная. В.Е. Козлов определяет данный вид КТЭ как исследование операционных систем [73] , однако круг её объектов значительно шире. Объектами программно-компьютерной экспертизы являются:
— системное программное обеспечение (операционные системы);
— вспомогательные программы – утилиты;
— средства разработки и отладки программ;
— служебная системная информация;
— прикладное программное обеспечение (приложения общего назначения – текстовые и графические редакторы системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т. д.) [74] .
Предметом судебной программно-компьютерной экспертизы являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью судебной программно- компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований алгоритма и структурных особенностей, текущего состояния, представленного на исследование программного обеспечения компьютерной системы.
К задачам программно-компьютерной экспертизы относятся:
— определение основных характеристик операционной системы;
— выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции;
— определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров, способов ввода, вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
— выявление признаков отношения программного обеспечения к системному или прикладному и т.д.;
— диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств, а также типов поддерживаемых аппаратно-программных платформ;
— установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений;
— определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду и др.), установление способа осуществления изменений в программе (например, воздействием вредоносной программы, ошибками программной среды, путем несанкционированного доступа);
— определение свойств и состояния программы по ее отображению в обрабатываемых данных (по содержанию служебных, системных файлов), соответствия обеспечивающих аппаратных средств установленному программному обеспечению и исполняемым задачам;
— выявление структуры механизма события по результатам работы программного обеспечения и в динамике;
— установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.
Также могут решаться идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы и ее копии на носителях данных компьютерной системы, установлением групповой принадлежности программного обеспечения по общим признакам, выявления частных признаков программы, позволяющих впоследствии идентифицировать ее авторство, а также взаимосвязь с информационным обеспечением исследуемой компьютерной системы. Кроме того, в рамках экспертного исследования программных средств могут устанавливаться признаки контрафактности представленных на экспертизу информационно-программных продуктов.
В своем исследовании А.И. Семикаленова в составе программно- компьютерной экспертизы выделяет экспертизу системного программного обеспечения; экспертизу сервисов Web-серверов; программно- компьютерную экспертизу системной безопасности; программно- компьютерную экспертизу баз и банков данных [75] .
Информационно-компьютерная экспертиза (данных) представляет собой исследование системы управления базой данных (СУБД) и является ключевым видом КТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида экспертиз является поиск, обнаружение, восстановление, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Оставляя за программно-компьютерной экспертизой исследование операционных систем, как упоминалось выше, В. Е. Козлов исследование прикладного программного обеспечения отводит иформационно- компьютерной экспертизе. Однако более правильной представляется точка зрения Е.Р. Россинской, которая считает, что объектами судебной информационно-компьютерной экспертизы (данных) являются файлы, подготовленные с использованием различных программных средств [76] .
Основными задачами судебной информационно-компьютерной экспертизы являются:
— установление свойств и вида представления информации в компьютерной системе при ее непосредственном исследовании;
— определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового;
— установление первоначального состояния информации на носителе данных;
— определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковой карте и т.п.);
— определение механизма и обстоятельств события (дела), установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка факсимильной программой в разные адреса);
— определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей т.п.);
— выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;
— установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими последствиями (например, связи между удалением информации и нарушением работоспособности у компьютерной системы);
— диагностирование возможных последствий по совершенному действию и возможности его совершения;
— отождествление содержания файла с данными в копии исследуемого файла, либо в представленном документе.
Групповая принадлежность может устанавливаться при поиске общего источника происхождения информации на носителях данных компьютерной системы, а также при определении класса, вида и типа программного обеспечения, при помощи которого были созданы исследуемые данные.
Четвертый вид КТЭ – компьютерно-сетевая экспертиза. В отличие от предыдущих основывается на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.
Объект применения специальных познаний этой СКТЭ может быть разным – от компьютеров пользователей, подключенных к Internet, до различных ресурсов поставщика сетевых услуг (провайдера Internet) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.).
В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить как подвид судебную телематическую экспертизу, применяемую для исследования средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо дела.
Задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов КТЭ, главным отличием является необходимость использования специальных познаний в области сетевых технологий, которая позволяет делать выводы из полученных сведений об объектах судебного исследования.
Экспертизой этого рода решаются следующие задачи:
— определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства – отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);
— выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
— определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
— определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
— установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
— определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних («чужих») программ и т, п.;
— определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, СD-RОМ, ZIР-накопители и т. п.);
— определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т. д.);
— установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения [77] .
Схожей с описанной классификацией Е.Р. Россинской, является классификация судебных компьютерно-технических экспертиз, представленная В.А. Мещеряковым, который выделяет в ней следующие направления:
— интегральная компьютерно-техническая экспертиза [78] .
Первые три вида классификации по своим объектам и задачам во многом совпадают с аналогичными видами классификации, предложенной Е.Р. Россинской. Приведем их краткую характеристику:
— аппаратно-техническая экспертиза проводится для оценки технических возможностей средств вычислительной техники;
— программно-технологическая экспертиза проводится для оценки основных функциональных свойств программного обеспечения, установленного на том или ином вычислительном устройстве;
— информационная экспертиза проводится для оценки основных характеристик информационного обеспечения, хранимого на магнитном носителе или в составе технических средств вычислительной техники (ПЗУ, смарт-карты, flash-BIOS).
Заслуживает особого внимания четвертый вид этой классификации – интегральная компьютерно-техническая экспертиза, которая, как нам представляется, является альтернативой назначения комплексных аппаратно-программных и информационных экспертиз.
Согласно В.А. Мещерякову интегральная компьютерно- техническая экспертиза проводится для общей оценки возможности и действительного использования представленного вычислительного комплекса для определенных функциональных задач и призвана ответить на следующие вопросы:
1) возможно ли осуществление заданного вида деятельности с использованием представленных технических средств и размещенного на нем информационного и специального программного обеспечения (например, ведение «двойного» бухгалтерского учета, перехват электронной корреспонденции, передаваемой по информационной сети, подготовка и изготовление поддельных денежных знаков и т.п.)?
2) каковы последствия (ущерб) применения комплекса технических средств, вредоносных программ в данной автоматизированной информационной системе, сети ЭВМ? [79]
В классификации В.А. Мещерякова отсутствует вид экспертизы, которая бы занималась исследованием вопросов, связанных с использованием сетевых технологий. Рассмотрение этих вопросов (исследование возможностей технических комплексов или предназначения программного обеспечения) предоставляется соответствующим видам компьютерно-технических экспертиз.
Отчасти такой подход можно признать обоснованным, в рамках названных видов экспертиз можно провести исследования и ответить на вопросы, разрешение которых другие авторы ставят перед сетевой экспертизой. В некоторых случаях может оказаться достаточным без привлечения специалистов в области сетевых технологий выяснить:
— возможен ли с помощью представленного технического комплекса выход в Интернет? (аппаратно-техническая экспертиза);
— предназначение программных средств, например, получение электронной почты и т.п. (программно-технологическая экспертиза);
— наличие на представленном магнитном носителе информации, свидетельствующей о работе в сети Интернет в заданный период времени (информационная экспертиза).
Но не всегда это может удовлетворить интересы следствия, такая ситуация может возникнуть при расследовании преступления в сфере компьютерной информации, совершенной с помощью (опосредованного) удаленного доступа. Тогда появляется необходимость использования специальных познаний в области сетевых технологий, для обобщения сведений об объектах исследования, формировании представления о целой картине происшествия и формулировании окончательных выводов.
В связи с этим представляется интересным взгляд на сетевую экспертизу зарубежных авторов, занимающихся исследованиями в области компьютерной безопасности и защиты информации. Они используют термин «сетевая судебная экспертиза» и определяют ее «как изучение сетевого трафика в поисках истины в гражданских, криминальных и административных вопросах для защиты пользователей и ресурсов от эксплуатации, посягательства на частную жизнь и любого другого преступления, обусловленного непрерывным ростом сетевых соединений» [80] .
Однако задачи, которые они ставят перед «сетевой судебной экспертизой» носят иной характер, чем это принято в отечественной теории. В качестве способа решения поставленных задач служит не поиск и исследование имеющихся объектов и сведений о них, а мониторинг сетевого трафика, отслеживание действий правонарушителя в сети. «Использование информации о прошлых событиях для идентификации и мониторинга атак может помочь перехватить любителей, которые повторно используют одну и ту же тактику, но вы должны быть способны выполнить так называемую настоящую сетевую судебную экспертизу для перехвата искушенных профессионалов. Чтобы развить подобный навык, необходимо научиться предвидеть действия атакующего и сравнивать эти предположения с наблюдаемым трафиком. Распознавание шаблонов поведения трафика является важным умением сетевой судебной экспертизы» [81] .
Еще одной близкой к описанным выше классификациям Е.Р. Россинской и В.А. Мещерякова является классификация, предложенная Ю.В. Гаврилиным. В своей диссертационной работе он выделяет следующие виды компьютерно-технических экспертиз:
1) техническая экспертиза компьютеров и периферийных устройств. Назначается и проводится в целях изучения технических особенностей компьютера, его периферийных устройств, технических параметров компьютерных сетей, а также причин возникновения сбоев в работе компьютерного оборудования;
2) техническая экспертиза оборудования защиты компьютерной информации. Проводится в целях изучения технических устройств защиты информации, используемых на данном предприятии, организации, учреждении или фирме;
3) экспертиза машинных данных и программного обеспечения ЭВМ. Осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучение программных методов защиты компьютерной информации;
4) экспертиза программного обеспечения и данных, используемых в компьютерной сети. Проводится в целях изучения информации, которая обрабатывается с помощью компьютерных сетей, эксплуатируемых на данном предприятии, организации, учреждении, фирме или компании [82] .
В отличие от описанных выше экспертиз Ю.В. Гаврилин объединяет исследования информации (машинных данных) и программного обеспечения в один вид экспертизы, а также, предлагает исследование аппаратных средств компьютерной защиты информации выделить в отдельный вид экспертного исследования.
В своей работе, посвященной экспертному исследованию документов на машинных носителях информации, А.Н. Яковлев предлагает уточнить классификацию разработанную Е.Р. Россинской и ввести в нее новый вид – «судебная компьютерно-техническая экспертиза документов на машинных носителях информации». Предложенный им вариант выглядит следующим образом:
— техническая экспертиза компьютеров и их комплектующих;
— экспертиза служебных данных и программного обеспечения;
— экспертиза документов на машинных носителях информации [83] .
Во многом отличной от описанных выше классификаций является классификация, предложенная экспертами СЗ РЦСЭ. При этом они пользуются названием «судебная информационно-технологическая экспертиза (СИТЭ)» .
Согласно этой классификации общий класс экспертиз информации, информационных систем, технологий и следов их применения предлагается поделить на семь родов – по более узкому родовому объекту экспертных исследований. Каждый род, в свою очередь, делится на виды и подвиды, как это принято в традиционной классификации судебных экспертиз.
Первые три рода (1, 2, 3) СИТЭ соответствуют трем родовым объектам исследования, чаще других встречающихся в экспертной практике судебно-экспертных учреждений (СЭУ) России:
Род 1. Экспертиза изолированных компьютерных систем.
Род 2. Экспертиза компьютерных и иных информационных сетей.
Род 3. Экспертиза устройств информационной безопасности и специальных технических средств негласного получения информации (УИБ и СТС НПИ).
Подразделение этих трех родов экспертизы производится по одной и той же схеме – по основным направлениям решаемых задач, интересующих следствие и суд:
Вид 1. Криминалистическое исследование.
Вид 2. Технико-диагностическое исследование.
Вид 3. Телеологическое исследование.
Вид 4. Товароведческое исследование.
Род 4. Экспертиза средств массовой информации.
Вид 1. Определение адекватности отображения средством массовой информации (СМИ) фактически происшедшего события.
Вид 2. Исследование влияния продукции СМИ на социальный статус отображаемого объекта (субъекта).
Вид 3. Исследование наличия в продукции СМИ определенных программ, установок, целей (агитация, пропаганда и пр.), влияющих на поведение реципиента.
Вид 4. Исследование наличия в продукции СМИ технических и технологических средств, влияющих на подсознание реципиента (25-й кадр и др.).
Род 5. Экспертиза объектов интеллектуальной собственности.
Вид 1. Исследование программного обеспечения ЭВМ и баз данных.
Вид 2. Исследование литературных, аудиовизуальных, музыкальных, иных произведений (в том числе устных и письменных выступлений, публикаций в электронных сетях).
Вид 3. Исследование объектов смежных прав: фонограмм, передач эфирного вещания, передач кабельного вещания, исполнений, постановок.
Вид 4. Исследование средств индивидуализации участников гражданского оборота товарных знаков, знаков обслуживания, фирменных наименований, наименований мест происхождения товаров.
Вид 5 – Исследование контрафактных объектов интеллектуальной собственности.
Вид 6. Оценка результатов интеллектуальной деятельности.
Объекты интеллектуальной собственности исследуются в целях идентификации их содержания, определения источника их происхождения, идентификации их изготовителей и правообладателей.
Род 6. Экспертиза социально опасных, вредных, ограниченных в обороте информационных объектов.
Вид 1. Исследование вредоносных программ для ЭВМ.
Вид 2. Исследование тайной информации: государственной тайны, служебной тайны, коммерческой тайны, банковской тайны, тайны личной жизни, тайны переписки.
Вид 3. Исследование рекламы.
Вид 4. Исследование продукции и зрелищных мероприятий сексуально-эротического характера.
Род 7. Экспертиза иных информационных систем и объектов.
Вид 1. Исследование криптографических систем и декодирование зашифрованной информации.
Вид 2. Исследование контрольно-кассовых машин (ККМ).
Вид 3. Исследование иных устройств, содержащих микропроцессоры и (или) обладающих памятью.
Вид 4. Исследование информационной составляющей события и места преступления (иного правонарушения), в том числе криминалистическое исследование интеллектуальной деятельности, ее следов и результатов.
Рассматривая данную классификацию, следует обратить внимание на видовое деление первых трех родов выделенных в ней, как на получившие наибольшее развитие в практике. Как уже было сказано выше, деление производится не по видовому объекту, а по основным направлениям решаемых задач.
К задачам первого вида криминалистического исследования относятся:
— идентификация компьютерных и иных информационных систем по следам их применения на различных материальных носителях информации (бумажных документах, магнитных и компакт-дисках и др.);
— идентификация информационных систем по их памяти;
— исследование элементного состава, структуры, эктогенеза и иных свойств информационной системы в целях ее идентификации;
— исследование следов деятельности оператора информационной системы в целях идентификации его личности;
— исследование программ для ЭВМ и баз данных в целях установления их исполнителей.
— обнаружение латентной, преобразованной и закодированной информации на материальных носителях;
— исследование фрагментированной информации в целях реконструкции единого целого источника;
— декодирование и интерпретация информации, содержащейся в системе, в целях криминалистической реконструкции происшествия, выявления внутренних и внешних семантических связей;
— исследование элементного состава, структуры, актогенеза [84] информационной системы в целях моделирования технологии происшествия (события);
— определение устойчивых параметров информационной системы в целях ее криминалистической классификации и криминалистического прогнозирования.
Объектами второго вида – технико-диагностического исследования прежде всего служат компьютерно-технические и иные аппаратные средства.
Технико-диагностическое исследование предполагает решение следующих задач:
— определение технического состояния, исправности, работоспособности системы и ее составных частей;
— причины выхода из строя какого-либо элемента системы;
— техническая классификация системы;
— поиск заданной информации на материальных носителях, восстановление уничтоженной информации автоматизированными техническими средствами (без криминалистического анализа информации);
— диагностика устройств и систем коммуникации в целях установления технической возможности информационного обмена в заданных условиях;
— исследование программ для ЭВМ и баз данных в целях определения их предназначения, работоспособности, иных технических характеристик.
3 вид – технологические исследования. Основным объектом экспертного исследования здесь становится не столько сама система, сколько технология – способ решения какой-либо производственной или иной задачи с применением данной информационной системы.
Назовем некоторые возможные объекты экспертного технологического исследования:
— технология изготовления документа (пакета документов) с помощью компьютера;
— технология передачи документа (иной информации) на расстояние с помощью систем связи (компьютерных сетей);
— технология городской, междугородной (международной), мобильной телефонной связи;
— технология ведения бухгалтерского учета на предприятии с помощью компьютерной системы;
— компьютеризированная технология деятельности банка, медицинского учреждения, предприятия или иной организации, работающей с потоками клиентов;
— технология оплаты услуги, например оплата в Интернет-магазине, оплата услуг таксофонной связи (телефонных переговоров): легальная – с помощью штатных таксофонных карт, нелегальная с помощью самодельных эмуляторов;
— технология кражи или разрушения информации (например, в сети Internet);
— технология скрытого получения информации;
— технология компьютерной полиграфии (верстка и редактирование текста, сканирование и создание изображений, цветоделение и цветопередача, создание оригинал-макета, печать);
— технология проведения лотереи с помощью компьютерной системы;
— технология разработки программного продукта.
4 вид – товароведческое исследование обычно опирается на результаты технических и технологических исследований. Как и в товароведческой экспертизе материальных объектов, информационная система здесь изучается с точки зрения ее потребительских свойств. Экспертом решаются задачи классификации товара (например, компьютера, веб-сайта, автомобильной сигнализации, микропроцессорной системы), задачи определения его качества и стоимости [85] .
Разработка классификации экспертизы компьютерной техники и информации имеет перед собой определенные трудности, вызванные постоянным расширением перечня возможных объектов экспертного исследования, ростом качественного и количественного уровня применения компьютерных технологий в различных областях человеческой деятельности. При всей своей несомненной важности для науки описанные выше классификации имеют определенный недостаток – все они могут носить лишь условный характер. Даже такое, на первый взгляд, простое деление на экспертизу техники и экспертизу программно-информационных объектов, несет в себе значительные сложности и требует проведения комплексных исследований. Экспертиза одного зачастую невозможна без экспертного исследования другого. Это обусловлено тем, что компьютерная информация не может существовать без средств компьютерной техники, носителей, а любая самая совершенная техника без соответствующего программного обеспечения – неработоспособный набор микросхем.
Сказанное выше можно иллюстрировать следующей рекомендацией Е.Р. Россинской и А.И. Усова: «Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т.е. ”произвести судебную компьютерно-техническую экспертизу”» [86] .
Развитие и совершенствование экспертизы компьютерной техники и информации находится в прямой зависимости от научно-технического прогресса в сфере компьютерных и информационных технологий. Следствием этой зависимости является то, что создание окончательной совершенной классификации в ближайшее время не представляется возможным.
При отсутствии единого понимания не только объектов и методов проведения экспертиз такого рода, но и самого их существа, принятие и использование какой-либо жесткой классификации может привести к существенному сужению возможностей применения специальных знаний при производстве экспертных исследований компьютерной техники и информации.
Соглашаясь с тем, что «в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы», для получения представления о возможностях исследуемого рода экспертизы предлагаем в рекомендациях для практических работников по использованию специальных знаний в сфере компьютерных технологий при расследовании преступлений использовать не классификацию, а обозначать основные объекты и решаемые экспертизой задачи.
Понятие объекта экспертного исследования является основным в экспертной практике. Р.С. Белкин определяет его как «материальный объект, содержащий информацию, необходимую для решения экспертной задачи» [87] .
Согласно отечественному законодательству объектами исследований являются вещественные доказательства, документы, предметы, животные, трупы и их части, образцы для сравнительного исследования, а также материалы дела, по которому производится судебная экспертиза [88] .
Объекты экспертизы компьютерной техники и информации имеют свою специфику, нередко в качестве таковой выступает информация, а не материальный объект ее содержащий. Так, например, при исследовании информации, содержащейся на жестком диске, может быть создан его образ на другом носителе, который и будет подлежать исследованию.
Подробно понятие объекта СКТЭ и его классификация рассматриваются Е.Р. Россинской и А.И. Усовым [89] .
Анализ практики производства экспертиз компьютерной техники и информации, а также обобщение сведений, имеющихся в специальной литературе, позволяет выделить следующие виды объектов исследования:
— операционные системы, программное обеспечение комплектующих и периферийных устройств, прикладные программы, а также различная вспомогательная компьютерная информация, необходимая для их функционирования;
— базы данных – компьютерные данные и сведения, представленные в форматах, обеспечивающих их автоматизированное хранение, поиск, обработку и передачу (.db, .mdb ,.dbf, .mdf и др.);
— текстовые документы и электронные таблицы и т.п. (файлы с расширениями .txt, .doc, .rtf, .xml., xls, .ppt, .htm, .html и др.);
— файлы с графическими изображениями (.gif, .img, .bmp, .jpg, .tif, .pcx, .psd, и др.);
— аудио-визуальная информация, представленная в форматах мультимедиа видео- (.avi, .mpg, .mov и др.) и звукозаписи (.wav, .mid, .mp3);
— файлы, создаваемые программами архиваторами, для сжатия одного или нескольких файлов, доступ к таким файлам может быть ограничен паролем (.arj, .arc, .zip, .rar, .tar, .7z и т.д.);
— файлы исходных тестов программ, созданных на различных языках программирования (.asm, .c, .cpp, .pas, .vbs, .bas и т.д.);
— любая компьютерная информация, к которой можно отнести не только информацию на компьютерных носителях, но и информацию, содержащую тексты программ, баз данных и комментарий к ним на любых других носителях (бумага, видео- и аудиозаписи и т.п.)
— компьютерные системы (компьютеры и их компоненты, периферийные устройства, вычислительные системы и сети, множительная техника и т.д.);
— контрольно-кассовые машины, игровые автоматы, мобильные и базовые станции электронные органайзеры, мобильные телефоны, магнитные и ЧИП-карты, SIM-карты [90] , иные устройства, содержащие микропроцессоры и (или) обладающие памятью;
— физические носители информации различной природы (магнитные, оптические и т.п.);
— распечатки компьютерной информации; документы, изготовленные с использованием средств компьютерной и копировальной техники;
— техническая документация на отдельные составляющие компьютера или на весь компьютер в целом (технические описания, руководства по эксплуатации, иные документы), документация на программные продукты (руководства пользователя, инструкции по установке, иные документы);
— изъятая техническая литература, имеющая отношение к делу;
— пользователи автоматизированных информационных систем (разработчики компьютерных программ, операторы вычислительных систем, администраторы вычислительных сетей и т.п.) [91] .
Криминалистической теорией среди основных задач, разрешаемых судебными экспертизами, по характеру основных целей экспертного исследования выделяются:
— идентификационные задачи, направленные на отождествление объекта по его отображениям, установление групповой принадлежности;
— диагностические задачи – состоят в выявлении механизма события; времени, способа и последовательности действий, событий, явлений, причинных связей между ними; природы, качественных и количественных характеристик объектов, их свойств и признаков, не поддающихся непосредственному восприятию и т.д.
— классификационные задачи – направлены на установление соответствия объекта определенным заранее заданным характеристикам и отнесение его на этом основании к определенному классу, роду, виду.
Нередко экспертное исследование компьютерной информации проводится с целью обнаружения заданной информации в компьютерной системе или на магнитных, оптических и других машинных носителях. Это позволяет выделить самостоятельную разновидность задач, свойственную экспертным исследованиям компьютерной информации – поисково – идентификационные задачи.
В методических рекомендациях и другой специальной литературе, посвященной расследованию преступлений в сфере компьютерной информации, приводится немало типовых вопросов, ставящихся на разрешение соответствующей экспертизы [92] . Однако пользоваться ими следует осторожно поскольку, вопросы, которые ставятся на разрешение эксперта, не должны выходить за рамки его компетенции, не могут носить правового характера и должны быть правильно сформулированы. С этой целью перед вынесением постановления о назначении экспертизы следует проконсультироваться со специалистом (экспертом, который будет проводить исследование) в отношении вопросов, ставящихся на разрешение.
Задачи, ставящиеся этими вопросами согласно описанной классификации можно сгруппировать следующим образом:
— установление места и времени сборки компьютера, его комплектующих, периферийных устройств;
— сопоставление и отождествление изображений денежных билетов, печатей, документов и т.п., хранящихся в исследуемой компьютерной системе (на машинном носителе информации) и их аналогов, созданных с помощью средств множительной техники;
— идентификации печатающего устройства;
— установление тождественности программного продукта, представленного на исследование с программным продуктом, представленным в качестве образца;
— определение и изучение конструктивных особенностей компьютеров, технических параметров оборудования и других устройств, обеспечивающих их работу, установление их состояния;
— установление неисправности объектов, предоставленных для исследования и причины неполадок;
— определение возможности выполнения определенных действий с помощью представленного программно-аппаратного комплекса (печать изображений денежных билетов, выход в Интернет, запись оптических дисков и т.п.);
— определение возможности выполнения определенных действий с помощью представляемой на исследование программы (работа в сети Интернет, обработка изображений и т.п.);
— установление факта осуществления определенных действий с использованием представляемого на исследование программно- аппаратного комплекса (выход в Интернет и т.п.), установление даты, времени и других обстоятельств совершения этих действий;
— установление факта корректировки файлов, объёмов корректировок, способов;
— выявление в представленном на исследование программном продукте признаков программы, заведомо приводящей к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ либо их сети;
— установление каналов доступа к защищаемой информации и путей ее возможной утечки;
— выявление аппаратных средств для несанкционированного доступа к данным;
— установление наличия пароля при доступе к информации;
— обнаружение (расшифровка закодированных данных, восстановление данных, подвергшихся удалению или модификации) в представленной на исследование компьютерной системе, машинном носителе и т.п.:
а) информации о финансово-хозяйственной деятельности;
б) следов работы пользователя в сети Интернет;
в) файлов, содержащих изображения, представляющие интерес для следствия (фрагменты изображений);
г) сведений о каком-либо интересующем следствие объекте, событии или явлении;
д) программ, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ либо их сети;
— установление пользователя ЭВМ;
— распечатка информации или её части;
— определение уровня профессиональной подготовки лица в области программирования и работы с вычислительной техникой и т.п.;
— установление родовой или видовой принадлежности представляемого на исследование программного обеспечения;
— установление соответствия технических характеристик объектов предоставленных на исследование с данными, содержащимися в прилагаемой технической документации;
— определение стоимости компьютерной техники;
— установление авторства программного продукта;
— определение стоимости программного продукта и т.п.
Предложенный перечень задач не является исчерпывающим, и может быть изменен и дополнен с учетом дальнейшего развития компьютерной техники и программного обеспечения, а также разработок новых методик исследования технических и программных средств.
Возвращаясь к проблемам классификации экспертных исследований компьютерной техники и информации, следует повторить, что классификационное деление «компьютерно-технической экспертизы» (Е.Р. Россинская) и «информационно-технологической» (СЗ РЦСЭ) носит скорее условный характер, поскольку выделяемые в них виды экспертиз, производятся зачастую комплексно и последовательно. Поэтому перед назначением и проведением экспертизы имеет смысл определиться не с названием (как уже говорилось ранее, целесообразно указывать родовое наименование), а с характером специальных знаний, необходимых для проведения исследования и решения поставленных задач.
Целесообразность решения поставленных задач в рамках проведения одной экспертизы или параллельное проведение нескольких различных по характеру привлекаемых специальных знаний, экспертиз с последующей интегральной оценкой их результатов (при большом объеме объектов, сложности их исследования и т.п.) следователю следует определять при помощи компетентных специалистов.
Такой подход позволяет обеспечить более правильный подбор отдельных экспертов и экспертных организаций, а также сократить время проведения экспертиз за счет четкого определения ставящихся задач и их разделения между соответствующими специалистами.
Источник статьи: http://lib.sale/kriminalisticheskaya-metodika-pravo/roda-vidyi-sudebnoy-ekspertizyi-kompyuternoy-105848.html