Особенности тактики обнаружения, фиксации изъятия компьютерной информации при производстве некоторых следственных действий

Основными следственными действиями, в ходе которых собирается компьютерная информация являются осмотр места происшествия, включая компьютер и его периферийные устройства, обыск и выемка. При всех этих действиях производится поиск информации в компьютере, тактика которого, прежде всего, должна исключать уничтожение или повреждение искомой информации, помочь следователю правильно разобраться в сложном информационном массиве, найти требуемое и зафиксировать изъятую информацию.

На подготовительном этапе следователю необходимо оценить всю имеющуюся у него информацию о расследуемом преступлении. На необходимость изъятия криминалистически значимой компьютерной информации помимо совершения компьютерного преступления могут указывать также наличие у подозреваемого, потерпевших в личном пользовании компьютерной техники, специальное образование в области вычислительной техники и информатики; увлеченность этих лиц информатикой и пр.

Компьютерная информация может находиться в системном блоке компьютера, его конструктивных элементах, периферийных устройствах и иных носителях машинной информации.

На подготовительном этапе осмотра или обыска важно получить достоверные данные о виде и конфигурации используемой ЭВМ; возможной организации локальной сети или подключении компьютера к глобальной сети; наличии службы информационной безопасности, защите данных от несанкционированного доступа; состоянии системы электропитания помещений, где установлена вычислительная техника; квалификации пользователей, а также о взаимоотношениях в коллективе сотрудников, обслуживающих технику.

Владение такой информацией позволит следователю получить всю криминалистически значимую информацию, хранящуюся в компьютере; максимально повысить ее доказательственное значение.

Внезапность проведения осмотра или обыска имеет важное значение для его успешного проведения. В противном случае подозреваемый может быстро уничтожить изобличающие его материалы, находящиеся в ЭВМ или на магнитных носителях. Если получены сведения о том, что компьютеры организованы в локальную сеть, следует установить местонахождение всех средств компьютерной техники, подключенных к этой сети. При этом обязательно проводится групповой обыск или осмотр одновременно во всех помещениях, где установлены ЭВМ.

Перед началом осмотра или обыска необходимо в первую очередь принять меры к предотвращению возможного повреждения или уничтожения информации. Принять меры к контролю за бесперебойным электроснабжением ЭВМ для предупреждения случайного выключения машины в момент осмотра.

Удалить всех посторонних лиц с территории, на которой производится осмотр или обыск, и прекратить дальнейший доступ на нее. Исключить возможность контакта с компьютерами и их периферийными устройствами всех пользователей ЭВМ. Если на объекте находятся взрывчатые, легковоспламеняющиеся, едкие вещества, посторонние источники электромагнитного излучения и другие вещества и аппаратура, способные привести к аварии электронно-вычислительной техники – эвакуировать их.

К участию в осмотре или обыске необходимо привлечь специалистов в области информатики и вычислительной техники. Кроме того, к участию в осмотре места происшествия или компьютера желательно привлечь специалиста-криминалиста, поскольку на аппаратных средствах зачастую оказываются следы рук, металлообрабатывающих инструментов, ручной пайки на внутренних элементах компьютерных средств.

А.В. Касаткин высказал интересное предложение приглашать в качестве понятых квалифицированных пользователей компьютерной техники. Теперь таких понятых найти не так уж трудно, а польза очевидна, поскольку специфичность и сложность для непосвященного человека манипуляций с компьютерной техникой могут существенно понизить в дальнейшем доказательственное значение результатов следственного действия.

Не следует ограничиваться поиском информации только в компьютере, но следует внимательно осмотреть имеющуюся в помещении документацию – записи, даже на клочках бумаги, могут иметь значение для успешного достижения цели. Сделать это необходимо ввиду того, что программисты часто не надеются на свою память и оставляют записи о паролях, изменениях конфигурации системы, особенностях построения информационной базы компьютера. Многие пользователи хранят копии своих файлов на дискетах для избежания утраты их при выходе компьютера из строя. Поэтому обнаружение любых носителей информации должно побуждать следователя к их изъятию, изучению и использованию.

Тактика поиска компьютерной информации должна избираться исходя из степени защищенности данных, функционального состояния компьютера и периферийных устройств на момент проведения следственного действия.

В первом случае тактические особенности собирания доказательств в компьютере зависят от того, насколько сложно организована защита ЭВМ от несанкционированного доступа. Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые, при определенных условиях автоматически производят полное или частичное стирание информации.

Под высокой степенью защищенности компьютерной информации понимают такую организацию защиты, при которой применяются специальные программные и технические средства, лица, ее устанавливающие, имеют высокую специальную профессиональную квалификацию в области информатики, требуются относительно большие временные и материальные затраты.

Также обычно осуществляется физическая охрана, предусматривающая постоянное наличие охраны территории и здания, где размещается компьютерная система, использование строгого пропускного режима, специальное оборудование помещений.

Низкая степень защищенности определяется наличием простого алгоритма ограничения доступа, получением достоверных данных о его преодолении. При этом нет необходимости применения специальных средств для доступа к данным.

Деятельность следователя по преодолению защиты компьютера от несанкционированного доступа одна из самых ответственных. Именно при некорректном обращении к защищенным данным последние могут быть самоуничтожены, искажены, спрятаны с помощью специальных программ. Включать и выключать компьютеры, производить с ними какие-то манипуляции может только специалист в области вычислительной техники, участвующий в производстве данного следственного действия. Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные устройства в отключенном состоянии.

Тактические особенности поиска компьютерной информации зависят от функционального состояния ЭВМ и ее периферийных устройств на момент осмотра или обыска. Признаками работающего компьютера могут быть подключение его проводами к сети, шум работающих внутри него вентиляторов, мигание или горение индикаторов на передней панели системного блока, наличие на экране монитора изображения.

В случае, если компьютер на момент начала осмотра оказался включен, необходимо оценить информацию, изображенную на дисплее. Прежде всего, определить, какая программа исполняется на данный момент. В случае работы стандартного программного продукта не приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран дисплея необходимо сфотографировать. Отключить все телефонные линии, подключенные к компьютеру. Описать все соединения на задней стенке системного блока. Если необходимо, – вскрыть кожух системного блока и визуально определить конфигурацию ЭВМ, описать месторасположение электронных плат. Следование данной рекомендации позволит обезопасить поиск информации от различного рода устройств повреждения или уничтожения как аппаратных средств, так и информационной базы. Этими устройствами могут быть электронные ключи, радиозакладки-шумоподавители и др. В случае, если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства, компьютер необходимо сразу выключить. При этом следует не отключать тумблер блока питания, а вынимать вилку из розетки.

Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены. Промаркировать все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств.

Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы, либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных. Присутствующим при следственном действии необходимо разъяснять все действия следователя и специалиста в ходе манипуляций с ЭВМ. Недопустимо проводить какие-либо действия с информационной базой без наглядного и доступного комментария своих действий. Объяснено должно быть любое нажатие на клавишу клавиатуры, передвижение мыши и т.д. Это в дальнейшем позволит обезопасить добытые доказательства от негативной оценки их допустимости судом.

Если для поиска информации задействуются программные продукты, не находящиеся в компьютере, а используемые следователем, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль за их работой – нагляден, т.е. все ключевые этапы работы программы должны изображаться на экране дисплея и следователь либо специалист должны комментировать происходящее. Максимально активное участие понятых при поиске информации важно еще и потому, что результатом выполнения искомой программы может явиться не текстовый или графический документ, а аудио- или видеоролик. Такой итог работы программы будет уникальным и зафиксировать эту информацию можно только запротоколировав ее, а также использовав фото- и видеосъемку.

В случае обнаружения искомой информации, текущее изображение экрана дисплея также необходимо сфотографировать, после чего стандартными средствами переписать информацию на постоянный носитель либо распечатать ее.

В протоколе следственного действия следователь описывает основные физические характеристики изымаемых устройств, магнитных и других постоянных носителей информации, серийные номера аппаратуры, их видимые индивидуальные признаки. Машинная распечатка оформляется как приложение к протоколу.

При расследовании уголовных дел обычно изымаются все имеющиеся на объекте компьютеры и магнитные носители. Компьютеры и их комплектующие опечатываются путем наклеивания на разъемы листа бумаги и закрепления его краев на боковых стенках компьютера густым клеем или клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и наводок, направленных излучений. Опечатываются только контейнеры или футляры. Пояснительные надписи могут наноситься только на специальные самоклеящиеся этикетки для дискет, причем сначала делается надпись, а потом этикетка наклеивается на предназначенный для этого участок на дискете. Если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер, а пояснительные надписи под этим номером делаются на отдельном листе, который вкладывается в коробку. Недопустимо приклеивать что-либо непосредственно к магнитным носителям, пропускать через них бечеву, пробивать отверстия, наносить подписи, пометки, печати и т.д.

Перевозка и хранение компьютерной техники должны осуществляться в условиях, исключающих ее повреждение, в том числе в результате воздействия металлодетекторов, используемых для проверки багажа в аэропортах. При перевозке и складировании недопустимо ставить компьютеры один на другой, размещать на них какие-либо другие предметы. Хранят компьютеры и комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов, которые часто являются причиной неисправности аппаратуры.