Содержание к диссертации
Введение
ГЛАВА 1. Компьютерные базы данных как объект и инструмент противоправных действий 13
1.1. Компьютерная информация: объект судебного познания и средство процессуального доказывания 13
1.2. Компьютерные базы данных как особый источник криминалистически значимой информации 35
1.3. Элементы криминалистической характеристики преступлений, сопряжённых с использованием компьютерных баз данных и СУБД 55
ГЛАВА 2. Теоретические и прикладные аспекты криминалистического исследования компьютерных баз данных 69
2.1. Механизм следообразования при информационных взаимодействиях с компьютерными базами данных 69
2.2. Экспертные средства исследования компьютерных баз данных и следов работы с ними 88
ГЛАВА 3. Научно-методическое обеспечение экспертного исследования компьютерных баз данных 103
3.1. Содержание и пределы специальных знаний, востребуемых при подготовке и назначении судебной экспертизы компьютерных баз данных 103
3.2 Научно-методическое обеспечение экспертного исследования компьютерных баз данных 134
3.3 Общие методические приёмы решения типовых экспертных задач исследования компьютерных баз данных 148
Заключение 167
Библиографический список 170
Приложение № 1 184
Приложение №2 189
- Компьютерная информация: объект судебного познания и средство процессуального доказывания
- Механизм следообразования при информационных взаимодействиях с компьютерными базами данных
- Содержание и пределы специальных знаний, востребуемых при подготовке и назначении судебной экспертизы компьютерных баз данных
- Общие методические приёмы решения типовых экспертных задач исследования компьютерных баз данных
Введение к работе
Актуальность исследования.
Судебная практика свидетельствует, что в последнее время продолжает усиливаться криминализация сферы оборота компьютерной информации. Массовая компьютеризация всех сфер деятельности современного общества, привела к активному развитию рынка технических средств обработки информации и программного обеспечения, повышению профессиональной подготовки пользователей, увеличению потребностей учреждений в совершенствовании информационных процессов. Однако, наряду с неоспоримыми достижениями, информатизация принесла с собой целый ряд сложных негативных явлений, связанных с противоправным использованием компьютерных систем. Криминальные структуры также приняли на вооружение современные информационные технологии для всестороннего обеспечения своей преступной деятельности. Большая часть таких преступлений совершается в экономической и кредитно-финансовой сфере, информационные объекты которых хранятся в особых информационных объектах -компьютерных базах данных, и обрабатываются специальным программным обеспечением.
В расследовании и раскрытии преступления значительную, а иногда и исключительную роль играет вещественная доказательственная база следствия. В теории и практике расследования преступлений происходит постоянное развитие и совершенствование средств доказывания, что позволяет выявлять новые, ранее неизвестные информационные свойства тех или иных объектов, исследуемых при расследовании уголовных дел. Доказательство объективной связи предметов, вещей, документов, имеющих отношение к совершенному преступлению, с личностью подозреваемого, наряду с доказательством преступного умысла, позволяет установить преступника. Чем специфичнее по своей технической природе и, соответственно, способу применения при совершении преступления вещественное доказательство, тем сложнее процесс установления признаков его участия в процессе преступления. Для расследования преступлений, в которых вещественные доказательства
совершения преступления имеют сложную техническую природу, требуются специальные знания в той области науки и техники, с которой связано материальное происхождение вещественного доказательства.
Расследование преступлений, связанных с использованием компьютерной техники и информационных технологий, само по себе представляет значительные сложности, сопряжённые не только с собиранием криминалистически значимой информации и изучением следовой картины криминального события, но и с последующим исследованием собранных объектов. Эти проблемы особенно ярко проявляются при исследовании информации, хранящейся в компьютерных базах данных: из-за их сложной внутренней организации; накладываемых на доступ к информации ограничений, при использовании стандартного программного обеспечения; часто встречаемой технологии распределённого хранения данных и т.д. К сожалению, следователи, дознаватели и судьи пока психологически, технически и профессионально слабо подготовлены к целенаправленной и эффективной деятельности по раскрытию таких преступлений и осуществлению предварительного и судебного следствия. Помимо этого следует отметить отсутствие научных основ, раскрывающих место и роль компьютерных баз данных в процессе доказывания, особенностей механизма следообра-зования при взаимодействиях с ними, научно-обоснованных методик проведения осмотра, изъятия и экспертного исследования информации, хранящейся в них, а так же ограниченный круг сведущих лиц. Все эти проблемы, безусловно, ведут к исключению существенного объёма криминалистически значимой информации из процесса доказывания.
Таким образом, актуальность темы исследования обусловлена как недостаточной ее научной разработанностью, так и большой практической значимостью для раскрытия и расследования преступлений.
Объектами исследования являются следственная и экспертная практика использования технико-криминалистических и судебно-экспертных методов при расследовании преступлений, со-
вершаемых с использованием компьютерных баз данных; компьютерные базы данных, системы управления базами данных и иная информация, содержащиеся на машинных носителях; программное обеспечение компьютеров.
Предметом исследования являются закономерности формирования, исследования и использования в раскрытии и расследовании преступлений следов, образующихся в процессе работы с компьютерными базами данных.
Целями и задачами исследования является решение актуальной прикладной научной задачи по разработке теоретических и методических основ экспертного исследования компьютерных баз данных и иной компьютерной информации, изменяющейся в процессе работы с базами данных, состоящей в:
изучении и обобщении следственной и экспертной практики, касающейся вопросов подготовки и проведения судебной экспертизы компьютерных баз данных;
уточнении понятийного аппарата, элементов криминалистической характеристики преступлений, совершаемых с использованием баз данных;
анализе криминалистических аспектов современных технологий хранения и обработки компьютерной информации в виде баз данных;
систематизации технико-криминалистических и судебно-экспертных методов и средств исследования следов работы с компьютерными базами данных;
разработке типовых методических рекомендаций проведения экспертного исследования следов работы с компьютерными базами данных.
Методология исследования предполагает диалектический подход к изучаемым явлениям и процессам. В работе диссертантом использовались такие общенаучные методы познания, как методы диалектической логики, системного анализа, исторического и логического анализа, абстракции и аналогии, обобщения и классификации. С целью выявления закономерностей предмета исследования использованы методы теории многоуровневых иерархических
систем, методы математического моделирования и др. При формировании терминологического аппарата использовались положения теории информации и теории познания, законы формальной логики и лингвистики.
Под углом зрения избранной проблемы анализировалось и использовалось действующее законодательство Российской Федерации, Постановления пленума Верховного Суда России и иной нормативный материал, а также уголовно-процессуальная и криминалистическая литература.
Полученные выводы базируются на основополагающих кон
цепциях теории информации, теории криминалистической иденти
фикации и учении о диагностике, теории отображения, кримина
листическом учении о следообразовании и общей теории судебной
экспертизы, разработанных Т.В. Аверьяновой, О.Я. Баевым,
Ю.М. Батуриным, Р.С. Белкиным, В.Б. Веховым, А.И. Винбергом,
Г.Л. Грановским, A.M. Жодзишским, А. М. Зининым,
А.К. Караханьяном, А.В. Касаткиным, В.Я. Колдиным, Ю.Г. Кору-
ховым, В.В. Крыловым, В.К. Лисиченко, И.М. Лузгиным,
В. А. Мещеряковым, Н.С. Полевым, СМ. Потаповым,
В.Ю. Рогозиным, Е.Р. Российской, В.А. Снетковым,
Н.В. Терзиевым, А. И. Усовым, А.И. Хвыли-Олинтером,
СИ. Цветковым, В.Н. Черкасовым, Н.П. Яблоковым,
А. Н. Яковлевым и другими.
Эмпирическая база диссертации формировалась на протяжении ряда лет с 1996 года и характеризуется данными, полученными в процессе изучения практики использования технико-криминалистических и судебно-экспертных методов. Ее создание предусматривало:
изучение материалов уголовных дел СУ ГУВД по Саратовской области;
обобщение материалов наблюдательных производств и двадцати шести1 судебных экспертиз, проводившихся в отношении баз
Практически все предварительные исследования и экспертизы, производимые в отношении компьютерных баз данных, являются многообъектными. Всего диссертантом было проанализировано применение специальных знаний в отношении более 200 баз данных и их компонент.
данных в экспертных подразделениях МВД России и МЮ России, прежде всего в ЭКЦ при ГУВД по Саратовской области;
изучение результатов 20 предварительных исследований и материалов судебных экспертиз, проведенных лично автором по материалам уголовных дел, расследовавшихся в районных, городских и областных следственных подразделениях Саратовской области и Республики Калмыкии;
интервьюирование 60 сотрудников экспертных подразделений МВД России и МЮ России, проходивших курсы переподготовки судебных экспертов по компьютерно-технической экспертизе для слушателей ФГТиПК СЮИ МВД России.
Научная новизна исследования состоит в новом, комплексном подходе к теоретической разработке вопросов, касающихся правовых, криминалистических, информационных и технических проблем, возникающих в ходе применения специальных знаний в процессе расследования преступлений, совершаемых с использованием компьютерных баз данных:
Рассматриваются новые объекты криминалистического и экспертного исследования - компьютерные базы данных и системы управления базами данных.
Уточняется описание элементов криминалистической характеристики преступлений, совершаемых с использованием компьютерных баз данных и систем управления базами данных, позволяющей эффективно использовать специальные знания при расследовании противоправных действий рассматриваемой категории.
Изучаются механизмы следообразования, происходящего в ходе информационных взаимодействий с компьютерными базами данных, и разрабатывается классификация таких следов.
Систематизируются методы и средства экспертного исследования компьютерных баз данных.
Практическая значимость полученных результатов состоит в том, что сформулированные в ней выводы, рекомендации и предложения могут быть использованы: в судебно-следственной практике для своевременного и полного выявления и фиксации
следов работы с компьютерными базами данных, надлежащей подготовке материалов при назначении соответствующих исследований и экспертиз; в работе экспертных подразделений МВД и МЮ России, а также при обучении судебных экспертов и повышении их квалификации; в учебном процессе при подготовке специалистов в юридических вузах и специальных учебных заведениях правоохранительных органов по профилям следующих дисциплин: криминалистика, судебная экспертиза, оперативно-розыскная и следственная деятельность. Содержащиеся в диссертации выводы и предложения могут быть применены при создании учебников, учебных и методических пособий. Имеющиеся в диссертационной работе положения, выводы, рекомендации могут быть использованы при проведении дальнейших научных исследований рассматриваемой и смежных проблем, а также взяты за основу разрабатываемых частных экспертных методик.
Основные положения диссертационного исследования, выносимые на защиту.
Определение понятия компьютерной базы данных, выделяющее из совокупности информационных объектов компьютерных технологий самостоятельную категорию и отражающее наиболее существенные, для построения теории и методологии криминалистического исследования данных объектов, свойства. Компьютерная база данных - это структурированная компьютерная информация, содержащая описание самой структуры и отражающая относящуюся к определённой предметной области совокупность сведений об объектах, процессах и взаимосвязях между ними.
Уточнение содержания некоторых элементов криминалистической характеристики преступлений, совершаемых с использованием компьютерных баз данных, позволяющее отметить, что компьютерные базы данных могут выступать в качестве: предмета преступного посягательства при совершении преступлений в сфере компьютерной информации и авторского права; средства совершения преступлений в сфере компьютерной информации; средства совершения иных преступлений с использованием компьютерной техники; косвенных следов, возникающих вследствие подготовки,
совершения и сокрытия преступных действий. В связи с активным использованием сетевых и распределённых баз данных, место совершения преступления нередко не совпадает с местом размещения файлов БД, но увеличивает количество возможных следов производимого деяния. Способы совершения преступления в отношении и с использованием компьютерных баз данных в сильной степени зависят от квалификации субъекта и уровня средств защиты данных. В основе их лежит модификация, копирование, удаление данных либо структуры базы данных с использованием прикладной программы обработки БД (характерно для субъектов низкой квалификации - операторы) или универсальных программ (характерно для субъектов высокой квалификации - администраторы, программисты). Наибольшую сложность вызывает задача установления времени совершения преступления, а также факта и содержания многократных модификаций конкретной записи БД.
Криминалистическая классификация следов, возникающих при работе с компьютерными базами данных. Взаимодействие компьютерных баз данных с другими информационными объектами оставляет следы в виде наличия и изменения состояния файлов базы данных, файлов программ обработки баз данных, служебных файлов управляющих программ. В файлах компьютерных баз данных следует различать следы в записях БД, в структуре полей БД, в связях БД. Особенности механизмов обработки компьютерных баз данных приводят к необходимости рекомендовать производить криминалистическое исследование не только самих баз данных, но и прикладных программ их обработки, особенно в случае исследования реляционных баз данных неизвестной структуры.
Обоснование применения и пределов специальных знаний, востребуемых при исследовании следов работы с компьютерными базами данных. Многообразие и сложность объектов и механизмов следообразования, реализуемых при информационных взаимодействиях с компьютерными базами данных, вызывает необходимость обязательного применения специальных знаний на всех стадиях выявления и расследования соответствующих преступлений. Отмечается особенно высокая значимость консультационной дея-
тельности специалиста и судебно-экспертной деятельности. В отдельных следственных действиях участие специалиста наиболее востребовано в ходе: осмотра средства компьютерной техники -относимости к преступлению, комплектности и необходимости изъятия; осмотра данных на машинных носителях информации -выявление возможности просмотра данных и существующих ограничений, поиск криминалистически значимой информации, её фиксация; выемки компьютерной информации - определение объёма данных и технологии выемки.
Классификация задач экспертного исследования компьютерных баз данных, представляющих собой особую форму организации компьютерной информации и, следовательно, являющихся объектом изучения судебной компьютерной (компьютерно-технической) экспертизы. При производстве судебной экспертизы компьютерных БД часто решаются задачи не только экспертизы компьютерных данных, но и видовые задачи аппаратной, программной и сетевой экспертиз. К идентификационным задачам следует отнести задачу установления общего источника происхождения компьютерных баз данных. В группу классификационных задач следует отнести задачи установления: модели базы данных, формата файлов компьютерной БД, класса программного обеспечения. В ходе производства экспертизы компьютерных баз данных преимущественно решаются диагностические экспертные задачи по установлению наличия баз данных и программ их обработки, структурных особенностей БД и соответствия данной структуры с какой-либо предметной областью, наличия в БД информации определённого содержания, факта модификации структуры и содержания БД, установление первоначального содержания, времени модификации БД.
Уточнённый перечень методов для экспертного исследования следов работы с компьютерными базами данных с указанием взаимосвязи между экспертными задачами и соответствующими методами. В ходе экспертного исследования следов работы с компьютерными базами данных наиболее часто применяются следующие специальные методы: методы автоматизированного поиска
данных - для облегчения поиска баз данных, их фрагментов и компонент, вспомогательных данных, отбора криминалистически значимых сведений в самих БД; методы доступа к данным - для получения доступа средств исследования и экспертов к файлам БД и содержащимся в них данным, а также, адекватного восприятия этих данных; методы фиксации данных, позволяющие фиксировать наличие и состояние БД, их свойств и содержащиеся в них данные; методы анализа данных, методы анализа алгоритма обработки данных - свойств, структуры, целостности БД, алгоритмов обработки БД.
Апробация и внедрение результатов исследования.
Апробация работы осуществлялась доведением выводов и предложений до научных и практических работников путем публикаций основных положений диссертации в семи научных статьях, а также в докладах и выступлениях на научно-практических конференциях и семинарах: «Информационная безопасность и компьютерные технологии в деятельности правоохранительных органов» (Саратов, СЮИ МВД России, 2003, 2004, 2006, 2007); «Информатизация и информационная безопасность правоохранительных органов» (Москва, Академия управления МВД России, 2006); «Теоретические и прикладные проблемы предварительного следствия и дознания» (Саратов, СЮИ МВД России, 2007); «Теория и практика криминалистических исследований» (Саратов, СЮИ МВД России, 2007).
Кроме того, методические разработки диссертанта прошли апробацию при личном производстве им 9 предварительных исследований и 11 компьютерно-технических экспертиз (заключения эксперта по уголовным делам № 78084 от 30.09.99, №002001 от 14.04.00, №90854 от 18.09.00, №15196 от 21.06.01, №74498 от 19.11.02, №79469 от 02.10.02, №79476 от 22.10.02, №82256 от 19.02.03 и др.) и участии в качестве специалиста при расследовании ряда уголовных дел в ГУВД по Саратовской области.
Результаты диссертационного исследования внедрены: в учебный процесс подготовки сотрудников экспертной и следственной специальностей Саратовского юридического института
МВД России - использованы при разработке лекционных курсов "Компьютерные технологии в экспертной деятельности", «Основы исследования электронных документов», «Основы компьютерно-технической экспертизы», «Расследование преступлений в сфере компьютерной информации и высоких технологий», курсов переподготовки судебных экспертов по компьютерной экспертизе для слушателей ФПиПК СЮИ МВД России; в практику ЭКЦ при ГУВД по Саратовской области в форме методических рекомендаций.
Элементы методики экспертного исследования компьютерных баз данных использовались в ЭКЦ при ГУВД по Саратовской области и лаборатории по проблемам борьбы с преступлениями в сфере компьютерной информации Саратовского юридического института МВД России при производстве более 20 судебных компьютерно-технических экспертиз и исследований.
Компьютерная информация: объект судебного познания и средство процессуального доказывания
Устойчивая тенденция к усилению роли новых информационных технологий и внедрению компьютерной техники в сферу управления, в производство и образование, в сферу обслуживания и быт человека, безусловно, является важным средством ускоренного экономического развития современного постиндустриального общества. Информация стала первоосновой жизни современного общества, предметом и продуктом его деятельности1.
Однако, позитивные последствия применения передовых информационных технологий, имеют и оборотную сторону. Как уже не раз бывало в истории человечества, новые технологии стали использовать не во благо, а во вред обществу. Активное распространение новых информационных технологий привело к появлению новых форм и видов преступных посягательств, которые наносят всё более возрастающий ущерб экономике нашей страны и мировой экономике в целом2.
Первые случаи совершения преступлений с использованием ЭВМ стали известны в США в 60-е годы 20 века, что явилось причиной разработки соответствующих правовых норм, появления специального закона о компьютерных правонарушениях3, устанавливающих ответственность за модификацию, уничтожение, не санкционированный доступ или изъятие компьютерных данных, программ или сопутствующей документации.
По словам Дугласа Ганслера, прокурора из штата Мериленд (США), количество и диапазон компьютерных преступлений поразительно огромны. В их числе «киберслежка, мошенничество с инвестициями, сексуальные домогательства, кража информации, внутригосударственный и международный терроризм, нарушение авторских прав, фальсификация систем, насильственные преступления, жестокое обращение с пожилыми и "старое, доброе" мошенничество»1.
Так, даже в 1996 году, убытки от компьютерных преступлений, понесенные лишь 249 организациями, которые смогли оце-нить размер ущерба, составил 100 млн. долл .
По данным Института Компьютерной Безопасности , в 2002 году около 90% компаний США подверглись компьютерным атакам и примерно 80% из них понесли ущерб в результате действий хакеров.
Исследование, проведенное в марте 2003 года компанией Dataquest Inc., показало, что каждая третья фирма в результате компьютерной атаки теряла важную информацию. Причём, у 24% компаний не было плана действий на случай подобной ситуации, сообщает Washington ProFile4.
Первая информация о совершении хищения денежных средств с применением ЭВМ в СССР относится еще к 1979 году5. И тенденция на сегодняшний день не утешительная. Так, если в 1997 г. в сфере высоких технологий было зафиксировано 300 преступлений, в 2000 г. более 13006, то в 2005 г. уже более 100007.
Криминальное использование современных информационных технологий породило "компьютерную преступность", которая считается не только весьма прибыльным, но и достаточно безопасным делом. Не зря подкомитет ООН по преступности ставит эту проблему в один ряд с терроризмом и наркотическим бизнесом. Ведь большая часть компьютерных преступлений остается невыявлен-ной, не регистрируется правоохранительными органами. Даже процентное соотношение раскрытых и нераскрытых правонарушений в этой сфере пока остаётся не установленным1, точнее не подлежит объективной оценке.
В этих условиях становится очевидной одна из основных проблем раскрытия и расследования преступлений, сопряжённых с использованием средств компьютерной техники - недостаточность их научного и, особенно, методического обеспечения.
Уголовно-правовые и криминалистические аспекты компью терной преступности рассматриваются в работах Т.В.Аверьяновой, Ю.М. Батурина, Р.С. Белкна, В.Б. Вехова, А. В. Гортинского, Г.И. Грамовича, A.M. Жодзишского, А.К. Караханьяна, Г.Б. Кочеткова, А.В. Касаткина, В.В. Крылова, В.А. Минаева, B.C. Митричева, А.Б. Нехорошева, С.А. Пашина, Н.С. Полевого, Е.Р. Российской, А.В. Ростовцева, Н.А. Селиванова, А.И. Хвыли-Олинтера, Б.Х. Толеубековой, А.И. Усова, В.Н. Черкасова, СИ. Цветкова, А.Р. Шляхова, Н.И. Шумилова, Л.Г. Эджубова, А.Н. Яковлева и других ученых.
В месте с тем, многие понятия, связанные с преступлениями в сфере компьютерной информации не определены в законе, их криминалистическая характеристика и методика расследования этой категории преступных деяний, а также методы экспертного познания соответствующих вещественных доказательств пока недостаточно полно разработаны.
Одним из новых объектов преступного посягательства являются компьютерные базы данных, представляющие собой специфическую форму представления компьютерной информации, нуждающуюся в детальном научном изучении, начиная с разработки с позиций криминалистики понятийного аппарата и заканчивая научно-методической базой судебного познания. В этом смысле, одним из центральных понятий, рассматриваемых нами в данной работе, является понятие информации.
Человек, как и любое другое живое существо, не может жить, не осознавая себя и окружающий мир. По этому информация во всех её формах всегда была важна для человека. Термин «информация» является весьма многозначным и специалистами различных отраслей науки и техники трактуется по-разному. Изначально под информацией люди понимали сведения, передаваемые устным, письменным или другим способом. В связи с активным развитием технических средств передачи, восприятия и анализа различного рода сведений, а также с зарождением информатики и кибернетики в середине 20 века, информацией стали называть общенаучное понятие, включающее обмен сведениями не только между людьми, но и между человеком и автоматом.
Один из основоположников кибернетики Н. Виннер определил информацию как «обозначение содержания, полученного из внешнего мира в процессе нашего приспособления к нему и приспособления к нему наших чувств. Процесс получения и использования информации является процессом нашего приспособления к случайностям внешней среды и нашей жизнедеятельности в этой среде»1. В чём-то похожее определение, но включающее в источники получения информации не только внешний мир, можно встретить в философском энциклопедическом словаре: "Информация - содержание сообщения, сигнала, памяти, а также сведения, содержащиеся в сообщении, сигнале или памяти" .
Механизм следообразования при информационных взаимодействиях с компьютерными базами данных
Требование статьи 74 УПК Российской Федерации позволяет использовать в качестве доказательств любые сведения, на основе которых суд, прокурор, следователь, дознаватель устанавливает обстоятельства, подлежащие доказыванию по уголовному делу, а также иные обстоятельства, имеющие значение для уголовного дела.
Вещественными доказательствами согласно ст. 81 УПК Российской Федерации признаются любые предметы:
1. которые служили орудиями преступления или сохранили на себе следы преступления;
2. на которые были направлены преступные действия;
3. иные предметы и документы, которые могут служить средствами к обнаружению преступления и установлению обстоятельств уголовного дела.
Преступное действие сопряжено с образованием следов, которые могут быть зафиксированы в памяти человека или отражены в окружающей материальной среде. В широком смысле слова в криминалистике «следами преступления являются любые изменения среды, возникшие в результате совершения в этой среде преступления»1.
При выявлении и расследовании преступлений, связанных с использованием средств компьютерной техники, в том числе и компьютерных баз данных, процесс получения большинства видов доказательств основан на поиске и исследовании соответствующих следов в информационных системах.
К настоящему моменту, опираясь на теорию отражения, отечественные криминалисты разработали широкий арсенал способов собирания и использования доказательств в процессе познания та кого специфического деяния, каковым является преступление1.
Большая роль в научной разработке классификации следов и становлении криминалистического учения о механизме следообразо вания принадлежит Р.С. Белкину, А.И. Винбергу,
Г.Л. Грановскому, А.В. Дулову, Б.Н. Ермоленко, И.Ф. Крылову, И.М. Лузгину, СМ. Потапову, СИ. Поташнику, Б.И. Шевченко и другим.
Эти учёные отмечают, что преступное действие в большинстве случаев выражается как физическое воздействие одного материального объекта на другой. И поскольку объект, подвергшийся такому воздействию, реагирует специфически именно на действия другого объекта, отображая как действующий объект, так и само действие , то исходя из всеобщего свойства материи, преступные действия так или иначе отражаются во внешней среде в виде следов и поэтому могут быть познаны. Следы подразделяются на материальные и идеальные. Частным случаем материальных следов являются вещественные доказательства. С их помощью устанавливаются факты, относящиеся к объективной стороне состава преступления. Эти следы несут значительную информацию о самом механизме преступления, непосредственно отражают действия субъекта, способ, орудия или средства совершения преступления, характеризуют последствия, а в ряде случаев позволяют воссоздать и всю картину происшествия .
Событие преступления - материальный процесс действительности, и как всякое явление, оно связано с изменениями в окружающей среде. Связь изменений с событием объективна. Взаимодействия отражаются в воспринимающей среде в виде изменений параметров структуры и функций: получение заряда, деформация, переход в иное агрегатное состояние, изменение характера взаимодействия. Эти изменения среды характеризуются, как правило, следующими основными свойствами: остаточностью, что выражается в приобретении относительно стабильных характеристик; на-капливаемостью, т.е. качественным ростом новых характеристик и появлением нового качества; необратимостью, т.е. отсутствием возможности вернуться к исходному состоянию1. Как только накопление изменений достигнет уровня, когда они могут обнаруживаться наблюдателем, то изменения становятся новой характеристикой системы, ее отличительным признаком.
Следы изменений подразделяются на два вида:
следы в виде изменений свойств объектов, то есть качественного состояния, внутренней структуры, поверхности предмета, его функционального назначения и др.;
следы в виде изменения отношения - характеристики изменения положения предмета в пространстве и взаиморасположения в системе каких-либо объектов.
Безусловно, некоторые виды компьютерных преступлений оставляют следы, собирание и исследование которых возможно традиционными криминалистическими методами. Например, исследуя следы отображения на подготовленном на компьютере и распечатанном бумажном документе, в ходе технико-криминалистической экспертизы документов можно обнаружить диагностические признаки способа создания изображения, вид устройства печати, определить его идентификационные признаки. Однако ответы на многие вопросы: о месте, времени, технологии, умысле, субъекте преступления часто можно получить лишь после изучения информации, находящейся в вычислительной системе, предположительно являющейся инструментом совершения этого преступления.
Содержание и пределы специальных знаний, востребуемых при подготовке и назначении судебной экспертизы компьютерных баз данных
Специфичность используемых технических устройств и, в целом, технологий применения компьютерной техники в деятельности человека в значительной мере влияют как на материальные, так и на идеальные результаты этой деятельности, унифицируя, стандартизируя и обезличивая их. В той же мере это касается и преступлений, совершаемых с использованием компьютерных технологий. Установление связи субъекта преступления с вещественными доказательствами по уголовному делу зачастую сопряжено с идентификацией объектов по их следам, оставленным на месте происшествия. При расследовании преступлений, возникает потребность в использовании специальных знаний в той области науки и техники, с которыми связано происхождение вещественного доказательства.
Понятие «специальные знания» («специальные познания» -см. редакцию УПК РСФСР, действовавшего до 2002 года) достаточно подробно рассмотрено в трудах процессуалистов и криминалистов. Разработкой проблемы использования специальных познаний в уголовном судопроизводстве занимались такие известные ученые-криминалисты как Р.С. Белкин, А.И. Винберг, В.П. Зезя-нов, СИ. Зернов, П.П. Ищенко, А.Ю. Комиссаров, Ю.Г. Корухов, В.В. Крылов, И.М. Лузгин, СВ. Матусинский, В.Н. Махов, Е.Р. Российская, Н.А. Сорокотягин, Н.С Сурыгина, В.И. Шиканов и другие.
Чаще всего, при рассмотрении понятия и сущности специальных знаний акцентируется внимание на двух аспектах: их общем содержании и области применения. Общее содержание увязывается с источником приобретения знания, т.е. специальной подготовкой и профессиональной деятельностью. Область применения сводится к потребностям, возникающим при осуществлении правосудия, в частности, к интересам судопроизводства. Следовательно, специальные знания это «прежде всего, основанные на теории и закреплённые практикой глубокие и разносторонние знания приёмов и средств криминалистической техники, обеспечивающие обнаружение, фиксацию и исследование доказательств. К специальным в этом же смысле относят познания в судебной медицине, судебной химии, физике, пожарном деле, автоделе, а также любые иные познания (педагогические, лингвистические, математические и др.), использование которых необходимо для полного, всестороннего и объективного расследования преступлений»1. Специальные знания должны быть достоверно установлены, а не находиться в стадии изучения; лицо, производящее исследование, должно использовать апробированные методики, оборудование и материалы, гарантирующие высокую точность результатов. Как верно отмечает Е.И. Зуев «провести четкую грань между общедоступными и специальными знаниями сложно, т.к. она неопределенна, подвижна, и зависит от отраслей человеческого знания»2. Следователь может использовать знания, в том числе и необщеизвестные, если он ими обладает, но результаты, полученные в ходе применения таких знаний, не будут носить доказательственного значения.
С современной точки зрения следовало бы расширить спектр знаний, относящихся к специальным, но процесс развития науки и техники, а, следовательно, и востребованные в целях правосудия знания бесконечно развиваются. И, мы считаем, что нет необходимости раскрывать в определении специальные знания, а следует отнести к ним «знания, присущие различным видам профессиональной деятельности, за исключением знаний, являющихся профессиональными для следователя и судьи, используемые при расследовании и рассмотрении уголовных дел в суде в целях содействия установлению истины по делу в случаях и порядке, определённых уголовно-процессуальным законодательством»1. Но, следует обратить внимание на то, что в настоящее время всё более активно поднимается проблема об усиливающейся дифференциации всех знаний, и не только технических, но и юридических.2 С нашей точки зрения, это приводит к необходимости подготовки и использования не просто специалиста в области компьютерных технологий, а специалистов в ещё более узких областях, например специалист в области сетевых технологий, либо специалист в области баз данных, и т.п.
В криминалистической практике разработка проблемы применения специальных знаний осуществляется в двух взаимосвязанных направлениях3:
1. использования специальной техники, приборов и связанных с ними методов исследования вещественных доказательств;
2. исследования объектов сложной технической природы и явлений, малоизученных в криминалистическом аспекте, представляющих интерес для следствия (например, автоматизированное производство какой-либо продукции, высокотемпературное лазерное воздействие, компьютерные технологии и т.д.).
Оба эти направления оказывают специфическое влияние на требования, предъявляемые к уровню знаний следователя и специалиста, требуют эффективного привлечения специалистов к проведению отдельных следственных действий и их планированию.
Специальные знания в области компьютерных технологий могут использоваться в процессуальной форме (участие специалиста в проведении следственных и судебных действий и производство судебных экспертиз) и в непроцессуальной форме (справоч-но-консультационная деятельность специалиста, предварительные исследования, участие в оперативно-розыскных мероприятиях). Причем эти формы использования специальных знаний взаимосвязаны. От того, насколько полно и глубоко при производстве следственных действий и оперативно-розыскных мероприятий выявлены, зафиксированы и изъяты следы преступной деятельности в сфере движения компьютерной информации, как собраны образцы для сравнительного исследования, зависит успех дальнейшего экспертного исследования.
УПК России не ограничивает следователя в его праве привлечь к участию в следственном действии специалиста (ст. 168 УПК РФ). При производстве всех следственных действий, за исключением ст. 178 УПК РФ «Осмотр трупа. Эксгумация», вопрос об участии в них специалиста относится к компетенции самого следователя. При этом должны учитываться следующие обстоятельства2:
категории доказательств, которые существуют или планируются быть полученными в ходе данного следственного действия;
наличие специалиста соответствующего профиля;
готовности специалиста и имеющихся в его распоряжении технико-криминалистических средств к участию в данном следственном действии.
Общие методические приёмы решения типовых экспертных задач исследования компьютерных баз данных
К настоящему времени в России, несмотря на достаточно активную практическую экспертную деятельность, направленную на исследование объектов компьютерных технологий, следует отметить низкую обеспеченность решения задач СКТЭ научно-обоснованными методиками. Эта проблема имеет и объективные причины, обусловленные, в том числе, сложностью применяемых методик, разнообразием форм информационных объектов и сред их существования, интенсивным развитием всех сторон компьютерных технологий обработки информации. Поэтому в ходе решения видовых задач СКТЭ большая часть экспертов использует частные экспертные методики, являющиеся не модификациями типовой экспертной методики, а результатом реализации личного опыта эксперта и приспособления им методов других наук.
Любая экспертная методика, является программой «использования комплекса методов, приёмов и технических средств, применяемых в определённой последовательности для решения экспертных задач»1. Говоря о судебно-экспертном исследовании, в научной литературе обычно выделяют ряд стадий его производства: подготовительную, аналитическую (раздельного исследования), сравнительную и синтезирующую . Но, указанные стадии наиболее характерны для идентификационных исследований, которые редко выполняются при решении задач СКТЭ. В случае диагностических исследований часто ограничиваются только тремя стадиями: подготовительной, аналитической (раздельного исследования) и оценки результатов исследования3. Тем не менее, говоря об экспертном исследовании информационных компонент компьютерной системы, мы считаем, что следует согласиться с точкой зрения A.M. Зи-нина и Н.П. Майлис, предлагающих выделить в качестве самостоятельной стадии исследования, имеющей характерные только для неё функции - экспертный эксперимент. «В процессе эксперимента эксперт может воспроизвести картину следообразования, учитывая характер отображения исследуемых следов, изучает механизм следового взаимодействия и его возможность в конкретных условиях» .
Обобщая опыт диссертанта и иных сотрудников межкафедральной лаборатории прикладных исследований по проблемам борьбы с преступлениями в сфере компьютерной информации СЮИ МВД РФ, мы считаем необходимым указать на существующие особенности производства судебной экспертизы баз данных, которые могут быть использованы в экспертной практике в качестве элементов частных методик. В качестве иллюстраций нами будут приводиться примеры использования отдельных методов, применявшихся диссертантом в ходе решения экспертных задач исследования баз данных, обслуживаемых программным комплексом «1С Предприятие 7.7».
Любое экспертное исследование должно начинаться с подготовительной стадии. На этой стадии эксперт знакомится с полученным постановлением, определением либо отношением, осуществляет осмотр поступивших вещественных доказательств, устанавливает их пригодность и достаточность, оценивает характер и объём предстоящего исследования. При этом необходимо убедиться, что поступившие вещественные доказательства соответствуют содержащемуся в постановлении перечню, а также в сохранности упаковки.
Существенной особенностью осмотра сложных технических компонент компьютерных технологий, таких как системные блоки ПК, устройства печати, является необходимость производства не только их внешнего осмотра, но и определения их внутренней комплектности. В ходе выемки СВТ следователи обычно не производят осмотр комплектности изымаемых технических устройств, и в экспертной практике диссертанта встречались такие вещественные доказательства, как: системные блоки без оперативной памяти и жёстких магнитных дисков, принтеры без картриджей, «лишние» CD-диски и дискеты в дисководах.
Определение задач и объема исследования производится следователем или судом, однако ввиду отсутствия у них специальных знаний ими нередко допускаются неточности при формулировании вопросов исследования, что, в свою очередь, приводит к возможности различного толкования, выходу за пределы компетенции эксперта, что может явиться причиной неверного определения характера исследования. Например, нередки случаи, когда на разрешение эксперта ставится вопрос о контрафактности какого-либо вида данных или программного продукта, например 1С Предприятие. Очевидно, что данный вопрос находится исключительно в компетенции следователя или суда и не входит в компетенцию судебного эксперта. Современное Российское законодательство не предоставляет эксперту права переформулировать выносимые на разрешение вопросы. По этой причине при назначении экспертиз нового рода/вида возрастает роль консультационной деятельности специалиста.
Так как предметом экспертного исследования баз данных и СУБД часто являются вопросы, связанные с изучением и исследованием механизма подготовки и модификации информационных объектов, описывающих определённую предметную область, то эксперту уже на этом первоначальном этапе необходимо получить представление о характере изучаемого события, его стадиях, о взаимодействующих при этом субъектах, технических и информационных объектах, условиях их взаимодействия. Многие из этих сведений могут быть получены экспертом из материалов дела, изучая которые, эксперт определяет достаточность полученной информации.
В случае если представленные материалы недостаточны для дачи заключения, либо поставленные вопросы выходят за пределы специальных знаний эксперта, он вправе ходатайствовать о предоставлении ему дополнительных материалов, необходимых для дачи заключения, либо отказаться от дачи заключения2.