Содержание к диссертации
Введение
Глава 1. Теоретические основы расследования преступлений, посягающих на информационную безопасность 23
1. Понятие и криминалистическая классификация преступлений, посягающих на информационную безопасность в сфере экономики 23
2. Становление и развитие концепции расследования преступлений, посягающих на информационную безопасность в сфере экономики 34
3. Содержание и значение концепции расследования преступлений, посягающих на информационную безопасность 49
Глава 2. Особенности криминалистической характеристики преступлений, посягающих на информационную безопасность в сфере экономики 64
Ц. 1 Структура криминалистической характеристики и место в ней данных об объекте и предмете преступных посягательств на информационную безопасность в сфере экономики 64
2. Данные о способах совершения, сокрытия, обстановке и средствах противоправных деяний 91
3. Типичные свойства личности преступников и потерпевших 122
4. Специфика свойств и механизма образования следов преступлений, посягающих на информационную безопасность в сфере экономики 136
Глава 3. Особенности доказывания обстоятельств преступлений, посягающих на информационную безопасность в сфере экономики 180
1. Организация предварительной проверки материалов о преступлениях, посягающих на информационную безопасность в сфере экономики 180
2. Исходные следственные ситуации и основные направления их разрешения 198
3. Особенности обнаружения, фиксации и изъятия следов преступлений, посягающих на информационную безопасность в сфере экономики 214
4. Формы использования специальных знаний в процессе расследования преступлений, посягающих на информационную безопасность в сфере экономики 233
Глава 4. Тактико-криминалистические особенности расследования преступлений, посягающих на информационную безопасность в сфере экономики 252
1. Классификация компьютерных экспертиз и разрешаемых ими вопросов 252
2. Тактические приемы производства следственных действий, направленных на получение невербальной криминалистически значимой информации 265
3. Тактические приемы производства следственных действий, направленных на получение вербальной криминалистически значимой информации 309
Заключение 329
Список использованных источников 342
Приложения
- Становление и развитие концепции расследования преступлений, посягающих на информационную безопасность в сфере экономики
- Содержание и значение концепции расследования преступлений, посягающих на информационную безопасность
- Данные о способах совершения, сокрытия, обстановке и средствах противоправных деяний
- Тактические приемы производства следственных действий, направленных на получение невербальной криминалистически значимой информации
Введение к работе
Актуальность темы исследования. Правоприменительная практика, деятельность правоохранительных органов по раскрытию и расследованию преступлений в настоящее время оказались в сложных условиях, характеризующихся массированным принятием и малоэффективной реализацией новых законодательных актов при отсутствии обобщений практики. В такой ситуации особая роль отводится юридической науке, особенно таким ее отраслям, которые реализуют специальные юридические познания, приближенные к практике борьбы с преступностью. В первую очередь к ним, относится криминалистика, призванная разрабатывать научные рекомендации по расследованию преступлений.
Идеальный вариант, когда научные рекомендации строятся на обобщении правоприменительной практики. В таких случаях они являются наиболее действенными, практически значимыми. Однако при этом констатируется, что наука идет вслед за практикой.
Современное положение дел несколько иное, и задача науки состоит в том, чтобы идти впереди практики, подключая другие научные отрасли, прогнозируя практические ситуации, выдавая действенные рекомендации, показывая верные направления разрешения практических правовых и организационных вопросов.
Сказанное в полной мере относится к появлению такого социально-правового феномена, как преступления, посягающие на информационную безопасность в сфере экономики. Их появление связано с тем, что в современных условиях перехода к постиндустриальному обществу информационные технологии внедряются практически во все сферы человеческой деятельности и наиболее интенсивно - в сферу экономики. Идет процесс перехода банковской деятельности и финансовых структур на расчеты с использованием информационных технологий.
Научно-технический прогресс в короткие сроки (в конце прошлого века) революционно трансформировал процессы сбора, обработки, накопления, хранения, поиска и распространения информации. Эти изменения привели к формированию информационной сферы деятельности, связанной с созданием, преобразованием и потреблением информации, и во многом предопределили дальнейшее развитие общественных и социально-экономических отношений. Сейчас вряд ли кто может представить деятельность организации, отдельных должностных лиц, без использования компьютера. Внедрение автоматизированных систем обработки информации привело к появлению «безбумажных» технологий.
В настоящее время индустрия аппаратного и программного обеспечения компьютеров - один из наиболее динамично растущих секторов российской экономики. Если еще в начале 90-х годов ХХ века персональные компьютеры в России были редкостью, теперь же они служат десяткам миллионов пользователей.
Развитие и совершенствование информационных технологий, расширение производства технических средств и сферы применения компьютерной техники, появление новых видов коммуникационных устройств, их доступность, а главное, наличие человеческого фактора в виде потребностей в удовлетворении собственных амбиций или жажды наживы породили новый вид общественно опасных деяний, в которых неправомерно используется компьютерная информация либо она сама становится предметом посягательства. Проведенные исследования позволяют констатировать, что современные преступники в своей противоправной деятельности все активнее используют персональные компьютеры, электронную почту, мобильную связь и иные современные высокотехнологичные средства. Соответственно, значительное число «традиционных» преступлений, таких, как кража, мошенничество, присвоение и растрата, вымогательство, причинение имущественного ущерба путем обмана или злоупотребления доверием и другие, совершаются в совокупности с неправомерным доступом к компьютерной информации, созданием, использованием и распространением вредоносных программ для ЭВМ, нарушением правил эксплуатации ЭВМ, их системы или сети. По данным МВД России, в 2006-2007 гг. общий экономический ущерб от преступлений, совершенных с использованием электронных средств доступа, составил около 500 млрд. руб.
Происходящее в последние годы увеличение числа преступлений, совершенных с использованием компьютерных средств, позволяет говорить о необходимости разработки теоретических основ и методики их расследования. Сказанное в первую очередь касается решения следующих методологических и научно-практических проблем, связанных с исследованием: информации как предмета преступного посягательства; становления и развития концепции расследования преступлений, посягающих на информационную безопасность; специфики следообразования при совершении преступлений, посягающих на информационную безопасность в сфере экономики; понятия, классификации, характеристики свойств, основных направлений и правовых форм использования компьютерных следов в ходе расследования анализируемых преступлений; теоретических, организационно-тактических и методических основ расследования преступлений, посягающих на информационную безопасность в сфере экономики.
Теоретико-методологический уровень исследования предполагает обращение к философии, кибернетике, лингвистике, филологии и другим наукам, которые разрабатывают отправные научные положения и категории.
В ракурсе исследуемой темы невозможно оставить без внимания обострившиеся научные дискуссии о концептуальных категориях криминалистики, таких, как след, механизм следообразования, криминалистическая характеристика преступления, взаимодействие следователя с иными участниками расследования и др.
Тенденция роста числа преступлений, посягающих на информационную безопасность в сфере экономики, наглядно иллюстрируется статистическими данными ГАИЦ МВД России за 1999-2008 гг. За это время:
общее количество зарегистрированных неправомерных доступов к компьютерной информации, совершенных в совокупности с другими составами преступлений, увеличилось более чем в 15 раз – с 896 до 14189;
количество причинений имущественного ущерба при неправомерном использовании компьютерных информационных услуг, таких, как мобильная связь, Интернет и т.п. (ст. 272, 165 УК РФ), увеличилось более чем в 4 раза - с 423 до 1748;
количество хищений, совершенных с использованием электронных пластиковых карт и их реквизитов (ст. 272, 187 УК РФ), возросло с 53 до 1810, или более чем в 34 раза;
количество зарегистрированных и расследованных мошенничеств, связанных с посягательствами на информационную безопасность в сфере экономики (ст. 272, 159), увеличилось со 148 до 1078 более чем в 7 раз.
Заметим, что приведенные цифры свидетельствуют не столько о росте количества совершаемых преступлений, сколько о снижении их латентности.
Таким образом, актуальность темы диссертации обусловлена значительным количеством обозначенных противоправных деяний, большим общественным резонансом, сопровождающим каждое такое преступление, сложностями расследования и, как следствие, потребностями в научно-обоснованных рекомендациях по их расследованию. С одной стороны, соответствуя основным задачам борьбы с преступностью, научная разработка теоретических, организационно-тактических и методических проблем расследования преступлений, посягающих на информационную безопасность в сфере экономики, способствует быстрому, полному и всестороннему их раскрытию и расследованию, что, в конечном счете, служит обеспечению общественной безопасности. С другой стороны, тенденции развития криминалистической науки, предполагающие необходимость углубленного исследования ее теоретических проблем, научного обеспечения следственной практики, определяют практическое значение выбранной темы.
Степень научной разработанности проблемы. Проведенное исследование основано на фундаменте предшествующих достижений ученых отечественной криминалистической науки.
Исследования в области информационных технологий применительно к наукам криминального цикла связаны, в основном, с тремя аспектами. Во-первых, они стали предметом изучения в качестве самостоятельных составов соответствующих преступлений (И.Л. Кочои, Ю.И. Ляпунов, С.В. Максимов, А.В. Пушкин, В.В. Сергеев, Т.Г. Смирнова, А.В. Черных). Во-вторых, компьютерная информация и работа с ней составили предмет криминалистической методики расследования отдельных видов преступлений либо тактики производства отдельных следственных действий (В.Б. Вехов, В.К. Гавло, Е.П. Ищенко, В.Е. Козлов, В.В. Крылов, Н.Н. Лысов, Н.Е. Мерецкий, В.А. Мещеряков, А.С. Овчинский, В.В. Попова, В.Ю. Рогозин, Д.А. Турчин, А.И. Усов, В.И. Федоров, В.Н. Черкасов, Н.Г. Шурухнов, В.В. Яровенко). В-третьих, рассмотрение перспектив использования компьютера и компьютерных технологий в деятельности следственных и экспертных подразделений (В.С. Дробатухин, Н.Н. Егоров, О.А. Зайцев, Н.А. Замараева, А.Ю. Комиссаров, И.А. Котов, А.М. Кустов, В.П. Петрунев, Н.С. Полевой, Е.Р. Россинская, А.В. Ткачев, Т.В. Толстухина, А.А. Эйсман).
Решая задачу создания целостной концепции расследования преступлений, посягающих на информационную безопасность в сфере экономики, автор ориентировался на научный опыт создания таковых, заложенный Т.В. Аверьяновой, Р.С. Белкиным, А.Ф. Волынским, В.Н. Григорьевым, Ю.Г. Коруховым, В.П. Лавровым, А.С. Подшибякиным, Е.Р. Россинской, Н.П. Яблоковым и другими учеными.
Понятие информации, информационных процессов не могло быть изучено без обращения к трудам основоположников кибернетики, теории управления - А.И. Берга, Д. Буля, Н. Винера, В.М. Глушкова, А.Н. Колмогорова, А.М. Ляпунова, А.Д. Урсула, К. Шеннона, У.Р. Эшби и др.
Общие проблемы расследования преступлений в сфере экономической деятельности, глубоко исследованные О.Я. Баевым, Р.С. Белкиным, И.А. Возгриным, А.А. Закатовым, Г.А. Зориным, Г.Г. Зуйковым, Л.Л. Каневским, С.И. Кирилловым, А.Н. Колесниченко, В.И. Корнауховым, А.М. Кустовым, В.П. Лавровым, В.А. Образцовым, Н.А. Селивановым, В.Г. Танасевичем, С.П. Щербой и другими видными криминалистами, не остались без внимания соискателя и стали основой исследования частных вопросов темы.
Вместе с тем, в настоящее время существует потребность в исследовании теоретических, организационно-тактических и методических вопросов расследования преступлений, посягающих на информационную безопасность в сфере экономики. При этом успех такого изучения напрямую зависит от наличия научно-обоснованных положений и рекомендаций методологического характера, которых, несмотря на разработанность отдельных аспектов, в едином систематизированном виде пока не существует.
Объектом исследования являлись нормативно-правовая регламентация деятельности по раскрытию и расследованию преступлений, посягающих на информационную безопасность в сфере экономики, и практика деятельности правоохранительных органов по раскрытию и расследованию обозначенных преступлений, а также преступная деятельность, посягающая одновременно на отношения в сфере экономики и отношения в сфере обеспечения безопасности информации.
Предметом исследования выступают закономерности механизма совершения преступлений, посягающих на информационную безопасность в сфере экономики, закономерности образования, собирания, исследования и использования следов их совершения, иной доказательственной информации, возникновения информации о личности субъекта преступления, организации и правового регулирования расследования рассматриваемых преступлений, а также закономерности разработки концепции методики расследования преступлений, входящих в определенную группу.
Целью исследования является разработка целостной концепции теоретических, организационно-тактических и методических основ расследования преступлений, посягающих на информационную безопасность в экономической сфере, призванной повысить качество и сократить сроки расследования обозначенных преступлений.
Поставленная цель предполагала решение следующих конкретных задач:
обосновать криминалистическую классификацию преступлений, посягающих на информационную безопасность в сфере экономики, разработать их криминалистическую характеристику и предложить концепцию их расследования;
разработать структуру и содержание концепции теоретических, организационно-тактических и методических основ расследования преступлений, посягающих на информационную безопасность в экономической сфере;
систематизировать способы подготовки, совершения и сокрытия преступлений, посягающих на информационную безопасность в сфере экономики, выявить присущие им закономерности;
представить в систематизированном виде данные об обстановке совершения указанных преступлений, типичных свойствах личности преступников и характере их взаимоотношений с потерпевшими;
выявить закономерности следообразования при совершении преступлений, посягающих на информационную безопасность в сфере экономики, а также определить понятие, разработать классификацию, определить криминалистически значимые свойства и основные направления использования компьютерных следов;
установить процессуальные и организационные формы использования специальных знаний в процессе расследования преступлений, посягающих на информационную безопасность в сфере экономики;
разработать рекомендации по обнаружению, фиксации, изъятию, исследованию и использованию следов преступлений, посягающих на информационную безопасность в сфере экономики;
разработать рекомендации по проведению предварительной проверки материалов с признаками рассматриваемых преступлений;
выявить исходные следственные ситуации расследования преступлений, посягающих на информационную безопасность в сфере экономики, и обозначить основные направления их разрешения;
представить комплекс тактических приемов производства следственных действий, направленных на получение вербальной и невербальной криминалистически значимой информации.
Методология и методы исследования. Методологической основой диссертационного исследования явились положения диалектического метода познания. Процесс расследования преступлений, посягающих на информационную безопасность в сфере экономики, рассматривался как познавательная деятельность, детально урегулированная уголовно-процессуальными нормами, основанная на общей теории процессуального доказывания.
Теоретическую базу исследования составляют труды видных философов-науковедов: И.В. Блауберга, А.Ф. Зотова, Б.М. Кедрова, В.И. Кириллова, Н.И. Кондакова, Э.Б. Маркаряна, С.С. Розовой, В.Н. Садовского, А.Г. Спиркина, А.А. Старченко, И.Т. Фролова, В.А. Штоффа, Э.Г. Юдина и др.
Значительное место в работе отводилось изучению и использованию основополагающих науковедческих работ ученых-криминалистов: Т.В. Аверьяновой, О.Я. Баева, Р.С. Белкина, И.Е. Быховского, А.Н. Васильева, Н.Т. Ведерникова, А. И. Винберга, А.Ф. Волынского, Б.Я. Гаврилова, В.Н. Григорьева, Л.Я. Драпкина, А. В. Дулова, Е.П. Ищенко, В.Н. Карагодина, Ю.Г. Корухова, В.П. Лаврова, И.М. Лузгина, В.А. Образцова, А.С. Подшибякина, Н.С. Полевого, А.А. Протасевича, Д.А. Турчина, Е.Р. Россинской, В.И. Шиканова, Н.П. Яблокова, В.В. Яровенко и других российских и зарубежных ученых в области криминалистики, уголовного права, уголовного процесса и других наук.
Проблемы темы рассматривались с учетом исторического опыта, современных тенденций и перспектив развития криминалистики и уголовного судопроизводства.
Поскольку разработанная концепция частной родовой криминалистической методики представляет собой неотъемлемую органическую часть криминалистической методики расследования отдельных видов преступлений, логика исследования диктовала необходимость познания как проблем большего уровня общности (общая теория и методология криминалистики, общие положения криминалистической методики), так и более узкого (расследование преступлений определенного рода). При этом в диалектическом единстве с указанным способом исследования стояла и задача по генерированию новых научных знаний, которая решалась посредством движения от частного к общему (изучение элементов проблемы позволило выявить закономерности, формулируемые посредством абстрагирования от частностей). Научные понятия являлись не только итогом познания действительности в самых различных ее аспектах, но и инструментом научного поиска и научного прогресса. Таким образом, в работе использовано единство отражательного (гносеологического) и деятельностного подходов.
При написании работы диссертант, опираясь на положения теории познания, использовал методы научного исследования: логический (при изложении всего материала, формулировании выводов и положений), системный (при рассмотрении следственных действий), структурный анализ (при формулировании организационно-тактических и методических рекомендаций), сравнительно-правовой (при анализе единичных эпизодов противоправной деятельности, направленном на познание присущих или устойчивых, повторяющихся признаков, свойств, связей), комплексный (в процессе формулирования уголовно-процессуальных и криминалистических рекомендаций), формально-юридический (в процессе уяснения содержания, смысла, направленности правовых норм, воли законодателя, руководителя, выраженной в нормативных актах), статистический (при обработке результатов анкетирования, интервьюирования, анализа письменных источников), социологический (при проведении анкетирования должностных лиц правоохранительных органов) методы, контент-анализ (при выборке и анализе отдельных положений, содержащихся в законодательных актах, научных трудах) и др.
Сделанные выводы и предложения базируются на положениях Конституции Российской Федерации, постановлениях Конституционного Суда Российской Федерации, уголовном и уголовно-процессуальном законодательстве, международных актах, постановлениях Пленума Верховного Суда Российской Федерации; ведомственных нормативных актах.
Эмпирическую базу диссертации составляют данные ГИАЦ МВД России, статистические сведения МВД России о результатах работы органов внутренних дел, следственных подразделений за период с 1999 по 2008 год; информационно-аналитические обзоры деятельности следственных подразделений по субъектам Российской Федерации; данные зональных информационных центров, информационно-аналитических центров ряда Управлений внутренних дел по субъектам РФ. С целью изучения практики раскрытия и расследования преступлений, посягающих на информационную безопасность в экономической сфере, по специально разработанной анкете были изучены материалы уголовных дел, предварительное следствие по которым осуществлялось в период с 2001 по 2008 г. следственными подразделениями органов внутренних дел в 32 субъектах Российской Федерации Центрального, Северо-Западного, Приволжского и Южного федеральных округов. Всего было изучено 360 уголовных дел, из которых: 35% находились в производстве органов предварительного следствия; 5% – на рассмотрении в судах; 60% – в архивах.
С использованием опросного листа опрошено 203 респондента -следователи, сотрудники органов дознания, специалисты экспертно-криминалистических подразделений органов внутренних дел в 24 субъектах Российской Федерации.
Достоверность теоретических и научно-практических положений, выводов и предложений диссертации обеспечены методологией исследования. Объединение различных методов позволило всесторонне изучить исследуемые проблемы, находящиеся на стыке уголовного права, информатики, криминалистики, уголовного процесса, провести их всесторонний анализ, обосновать сделанные выводы и предложения. Обоснованность результатов диссертационного исследования определяется также использованным в работе эмпирическим материалом, который представлен данными проведенного автором по специально разработанным анкетам изучения материалов уголовных дел, а также результатами анализа статистической информации о деятельности следователей при расследовании преступлений в сфере экономической деятельности.
Научная новизна исследования заключается в том, что в числе первых в отечественной юридической науке на уровне диссертационного исследования проведена комплексная разработка правовых, криминалистических, информационных и технических проблем с целью формирования концепции, теоретических, организационно-тактических и методических основ расследования преступлений, посягающих на информационную безопасность в сфере экономики. При этом представлены авторские определения «концепция расследования преступлений, посягающих на информационную безопасность», «организация расследования» и «методика расследования», разграничено их содержание. Определено понятие информационной безопасности как дополнительного объекта преступного посягательства. Обозначен круг преступлений, посягающих на информационную безопасность в сфере экономики. В систематизированном виде представлены данные, характеризующие отдельные элементы криминалистической характеристики преступлений, посягающих на информационную безопасность в экономической сфере (предмет преступного посягательства, способы их подготовки, совершения и сокрытия, процесс следообразования, обстановка, личностные свойства субъектов и потерпевших и др.). С использованием новых аргументов уточнены и дополнены криминалистические рекомендации по организации предварительной проверки материалов с признаками преступлений, посягающих на информационную безопасность в сфере экономики, а также по обнаружению, фиксации, изъятию и исследованию следов их совершения. Впервые определены и систематизированы исходные следственные ситуации расследования анализируемых преступлений и обозначены основные направления их разрешения. Выявлены тактические особенности производства следственных действий, направленных на получение вербальной и невербальной криминалистически значимой информации при расследовании преступлений, посягающих на информационную безопасность в сфере экономики, на основе которых представлена тактика их производства.
Основные положения, обоснованные в диссертации и выносимые на защиту, составляют выводы, предложения, заключения о том, что:
1. Концепция расследования преступлений, посягающих на информационную безопасность в сфере экономики, представляет собой систему научных взглядов, основных точек зрения, руководящих идей для систематизированного освещения теоретических основ и методики расследования данного рода преступлений.
Данная концепция является по своему содержанию комплексной, она тесно связана с различными отраслями научного знания. Это обусловлено разнообразием направлений борьбы с противоправными посягательствами на информационную безопасность в сфере экономики (их предупреждение, раскрытие, расследование).
2. Совпадение предмета преступного посягательства, орудий, способов совершения и сокрытия, механизма образования и специфики следов, личностных свойств субъектов преступлений, посягающих на информационную безопасность в сфере экономики, позволяет объединить такие преступления в одну группу и сформировать единую криминалистическую характеристику, разработать теоретическую концепцию организационно-тактических и методических основ их расследования.
3. Теоретические, организационно-тактические и методические основы расследования преступлений, посягающих на информационную безопасность в экономической сфере, включают:
- обоснование необходимости и целесообразности разработки концепции расследования преступлений, посягающих на информационную безопасность в сфере экономики, на основе специфических закономерностей, составляющих криминалистическую характеристику, периодизации расследования, тактики двух групп следственных действий, направленных на получение вербальной и невербальной информации;
- понятие и криминалистическую классификацию преступлений, посягающих на информационную безопасность в сфере экономики, под которыми понимаются виновно совершенные общественно опасные деяния в сфере экономики, причиняющие ущерб общественным отношениям по обеспечению безопасности информации.
4. Криминалистическая характеристика преступлений, посягающих на информационную безопасность в сфере экономики, является частной родовой. Она включает комплекс сведений (данные о способе преступления, предмете и объекте преступного посягательства, орудиях и средствах совершения, обстановке, механизме следообразования, личностных свойствах субъектов и потерпевших), оценка и анализ которых позволяют выдвинуть обоснованные версии, избрать наиболее эффективные тактические приемы, определить стратегические направления для установления и изобличения лиц, совершивших противоправные деяния.
5. Дополнительным предметом преступного посягательства при совершении преступлений, посягающих на информационную безопасность в экономической сфере, выступает информационная безопасность как состояние защищенности жизненно важных интересов личности, общества и государства в информационной сфере от информационных, программно-математических, физических и организационных угроз.
6. Компьютерная информация как специфический предмет преступного посягательства при совершении рассматриваемой категории преступлений, обладает комплексом криминалистически значимых свойств (быстрота обработки; легкость уничтожения; способность нахождения лишь на машинном носителе, в самой ЭВМ, в их системе и их сети; доступность нескольким пользователям одновременно; возможность создаваться, изменяться, копироваться, применяться (использоваться) только с помощью ЭВМ при наличии соответствующих периферийных устройств; способность к сжатию и последующему восстановлению; способность передаваться по телекоммуникационным каналам связи на любое расстояние), существенно влияющим на тактику ее обнаружения, фиксации, изъятия и использования в процессе расследования.
7. Классификация способов подготовки и совершения преступлений, посягающих на информационную безопасность в сфере экономики, зависит от формы контакта с носителем информации. В зависимости от этого способы подразделяются на непосредственные (8%), опосредованные (80%), смешанные (12%). Сокрытие противоправной деятельности в 66% случаев не носит самостоятельного характера, а выступает составляющей способа совершения и состоит в программно-техническом сокрытии следов рассматриваемых преступлений.
8. Существенными факторами, характеризующими обстановку совершения анализируемых преступлений, являются: наличие и состояние средств защиты информации (организационных, технических, программных), сложившаяся на объекте дисциплина, нормативное закрепление требований обеспечения информационной безопасности, эффективность управления, морально-психологический климат.
9. Компьютерные следы, в том числе образующиеся в результате посягательств на информационную безопасность в сфере экономики, являются результатами преобразования компьютерной информации в форме уничтожения, копирования, блокирования или модификации, причинно связанными с событием преступления. Они, как специфическая форма преобразования компьютерной информации, являются: 1) отражением события преступления в информационном поле; 2) материальными по своей природе, но не отражающими пространственную форму следообразующего объекта; 3) результатом преобразования компьютерной информации; 4) носителями свойств, присущих компьютерной информации; 5) способными к дублированию – переносу на другие носители. Классификация следов в криминалистике должна строиться с учетом данной категории следов. Существенной спецификой, имеющей важное криминалистическое значение, обладает механизм следообразования в реестре операционной системы, в текстовых и графических файлах, программных средствах, носителях информации, сети Интернет.
10. В структуре организационно-методических основ расследования преступлений, посягающих на информационную безопасность в экономической сфере, в силу их специфики, занимает предварительная проверка сообщений о преступлении в стадии возбуждения уголовного дела. Она включает в себя: классификацию проверочных ситуаций, складывающихся в стадии возбуждения уголовного дела, алгоритмы действий по их разрешению; основные направления использования компьютерных следов при установлении события преступления, предметом посягательства при совершении которого выступает компьютерная информация, находящаяся: а) в персональных компьютерах, б) в компьютерных сетях, в) во встроенных и интегрированных компьютерных системах, включая средства мобильной (сотовой) связи.
11. Основные направления использования заключения специалиста в процессе расследования преступлений, посягающих на информационную безопасность в экономической сфере, включают: решение узкоотраслевых вопросов экономико-правового характера, подготовку к назначению судебной экспертизы, оценку заключения эксперта. Иные направления использования специальных знаний применительно к практике расследования рассматриваемой категории преступлений составляют: участие специалистов при производстве следственных действий; проведение экспертиз; получение заключения специалиста; научные консультации; научно-методическая работа; предварительное исследование следов и вещественных доказательств; участие в работе следственно-оперативных групп; участие в согласованном планировании; совместное обсуждение данных и взаимное информирование; содействие в использовании средств криминалистической регистрации; участие в производстве оперативно-розыскных мероприятий, ревизий, документальных проверок.
12. Система и содержание исходных следственных ситуаций первоначального этапа расследования преступлений, посягающих на информационную безопасность в сфере экономики, и пути их разрешения предполагают детерминированность деятельности по организации раскрытия и расследования преступлений, посягающих на информационную безопасность в экономической сфере, результатами анализа исходной следственной ситуации - обстановки, объективно сложившейся на первоначальном этапе расследования.
13. Применительно к частной родовой методике расследования преступлений, посягающих на информационную безопасность в экономической сфере, следственные действия целесообразно разделить на невербальные (получение информации от вещей-носителей материальных отображений) и вербальные (получение информации от людей). К числу первых относятся: все виды следственного осмотра, обыск, выемка, назначение экспертизы, предъявление для опознания, следственный эксперимент. Ко вторым, основанным на использовании метода расспроса, относятся все виды допроса, очные ставки, проверки показаний на месте.
14. Система тактических рекомендаций по повышению эффективности производства следственных действий включает:
- типовые тактические задачи и тактические приемы отдельных этапов проведения осмотра места происшествия, обыска помещений, в которых находится компьютерная техника, допросов свидетелей и потерпевших, очных ставок, допросов обвиняемых в процессе расследования рассматриваемой категории преступлений;
- тактические приемы поиска скрытой информации в персональном компьютере, в том числе защищенной паролем;
- особенности назначения и производства компьютерных экспертиз с формулировкой вопросов, подлежащих разрешению соответствующими экспертами.
15. Действующее уголовно-процессуальное законодательство целесообразно дополнить статьей 185-1, содержащей регламентацию уголовно-процессуального порядка производства самостоятельного следственного действия – «Наложение ареста на электронные отправления».
Теоретическая значимость исследования обусловлена разработкой концепции, включающей теоретические, организационно-тактические и методические основы расследования преступлений, посягающих на информационную безопасность в сфере экономики. Выводы и предложения, сделанные диссертантом на основе анализа особенностей расследования рассматриваемых преступлений, призваны стать основой для дальнейшего продолжения научных исследований в данной области по конкретным прикладным направлениям.
Комплексность общих проблем, относящихся к концепции теоретических, организационно-тактических и методических основ раскрытия и расследования преступлений, посягающих на информационную безопасность в сфере экономики, послужит основанием к продолжению их теоретического осмысления в науке криминалистике.
Практическая значимость исследования обусловлена тем, что отраженные в нем теоретические основы и практические рекомендации позволят:
накапливать и обобщать данные, относящиеся к выявлению, раскрытию и расследованию преступлений, посягающих на информационную безопасность в сфере экономики;
использовать предлагаемые научно-технические средства, тактико-технологические приемы работы с компьютерной информацией не только при расследовании посягающих на информационную безопасность в сфере экономики, но и при исследовании иных противоправных действий, при совершении которых злоумышленник использовал ЭВМ, их системы или сети;
применять методы поиска, обнаружения, исследования компьютерных следов не только в уголовно-процессуальной деятельности, но и при их исследовании в гражданском, арбитражном, административном процессах;
совершенствовать процесс обучения криминалистике в части методики расследования как преступлений в сфере экономики, совершенных с использованием ЭВМ, их систем или сетей, так и других преступлений;
эффективно предупреждать и пресекать преступления, посягающие на информационную безопасность в экономической сфере.
Апробация и внедрение результатов исследования носили разносторонний характер. Значительная часть сформулированных в диссертации идей, предложений и рекомендаций докладывалась на международных («Общество и право в новом тысячелетии». Тула, 2000; «Актуальные вопросы теории и практики раскрытия, расследования и предупреждения преступлений». Тула, 2004), всероссийских («Актуальные проблемы борьбы с преступностью в современных условиях». Тула, 2002), межвузовских («Современные проблемы: права, государственного строительства и местного самоуправления, юридического образования». Тула, 1998; «Проблемы борьбы с незаконным оборотом оружия, боеприпасов, взрывчатых веществ и их использование в преступных целях». Москва, 2000; «Уголовно-правовые, уголовно-процессуальные и криминалистические проблемы борьбы с преступностью». Орел, 2005), «круглых столах», криминалистических чтениях («Современное состояние российского законодательства и его систематизация». Москва, 1999; «Уголовно-процессуальные и криминалистические чтения на Алтае». Барнаул, 2008). Отдельные выводы и практические рекомендации, содержащиеся в диссертационном исследовании, докладывались на кафедре криминалистики Московского университета МВД России, отражены в монографии, справочнике следователя, 7 учебных и 2-х научно-практических пособиях, 3 учебниках, курсе лекций, 33 научных статьях, из которых 10 опубликованы в ведущих рецензируемых научных журналах и изданиях, определенных Президиумом Высшей аттестационной комиссии. Всего диссертантом по проблемам исследуемой темы опубликовано 48 научных работ общим объемом 142,9 п.л.
Результаты диссертационного исследования внедрены в практическую деятельность УВД по Тульской области, Следственное управление Следственного комитета при прокуратуре Российской Федерации по Тульской области, где используются в системе служебной подготовки, а также в области совершенствования подготовки и повышения квалификации следователей. Отдельные положения диссертации используются в учебном процессе Рязанского филиала Московского университета МВД России, Московского гуманитарного университета, Барнаульского юридического института МВД России при чтении лекций и проведении семинарских занятий по темам: «Расследование преступлений в сфере экономики», «Расследование преступлений в сфере компьютерной информации», что подтверждается актами внедрения.
Структура и объем работы определены содержанием темы и задачами исследования. Диссертация выполнена в объеме, предусмотренном ВАК России, и состоит из введения, 4 глав (включающих 14 параграфов), заключения, списка использованных источников и приложений.
Становление и развитие концепции расследования преступлений, посягающих на информационную безопасность в сфере экономики
Перечисленные преступления могут быть объединены в одну группу, так как у них совпадают предмет преступного посягательства, используемые орудия и средства, способы совершения и сокрытия, комплекс следов, личностные свойства субъектов совершения противоправных деяний и пр.
В решении вопросов криминализации деяний, совершенных с использованием средств компьютерной техники, в мире существует три подхода1: первый заключается в отнесении к данным преступлениям несанкционированного доступа в защищенные компьютерные системы, заражения вирусами, противоправного использования компьютерных систем и информации. Он характерен для таких стран, как Норвегия, Сингапур, Словакия, Филиппины, Южная Корея; второй заключается в признании компьютерными преступлениями лишь тех деяний, которые связаны с причинением ущерба имуществу и электронной обработке информации (Дания, Швеция, Швейцария, Япония); третий подход состоит в криминализации деяний, связанных не только с имущественным ущербом, но и с нарушением прав личности, с угрозой национальной безопасности и т.д. Он характерен для стран с высоким уровнем компьютеризации, значительной компьютерной преступностью (США, Великобритания, Франция, Германия, Нидерланды) и развитой правовой базой.
Третий подход принят и в России. Это объясняется (несмотря на определенные слабости и декларативность) достаточно развитой нормативной базой по информационной безопасности, включающей вопросы борьбы с компьютерными правонарушениями. Предметом посягательства анализируемых преступлений является компьютерная информация, т.е. информация, содержащаяся на машинном носителе, электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. Кроме того, преступления в сфере компьютерной информации могут лежать в основе способов совершения рассматриваемых преступлений, посягающих на информационную безопасность в сфере экономики,1 к которым, как указано выше, относятся: кража (ст. 158 УК РФ), мошенничество (ст. 159 УК РФ), присвоение или растрата (ст. 160 УК РФ), причинение имущественного ущерба собственнику или иному владельцу имущества путем обмана или злоупотребления доверием при отсутствии признаков хищения (ст. 165 УК РФ), незаконное предпринимательство (ст. 171 УК РФ), собирание сведений, составляющих коммерческую, налоговую или банковскую тайну (ст. 183 УК РФ), изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов (ст. 187 УК РФ), атак же иных противоправных деяний, ответственность за которые предусмотрена Уголовным кодексом РФ.
Несомненно, перечень преступлений, посягающих на информационную безопасность в сфере экономики, не охватывает полностью весь спектр преступлений, совершаемых с использованием средств компьютерной техники. В этой связи необходимо различать преступления в сфере компьютерной информации и так называемые компьютерные преступления2. К сожалению, словосочетание «компьютерные преступления» прочно вошло в обиход научных и практических работников как в России, так и за рубежом, стало уже традиционным, и некоторые авторы полагают, что вряд ли стоит его менять, «поскольку многие названия со временем приобретают условный характер»1.
Однако между понятиями «преступления в сфере компьютерной информации» и «компьютерные преступления» существуют принципиальные различия, которые не позволяют использовать их как синонимы. Различие между ними следует проводить по объекту преступного посягательства. Если таковым выступает собственность, то деяние следует квалифицировать по соответствующей статье гл. 21 УК РФ «Преступления против собственности», если объектом являются конституционные права и свободы человека и гражданина, то деяние квалифицируется по конкретной статье гл. 19 УК РФ «Преступления против конституционных прав и свобод человека и гражданина» и т.п. Если же объектом является компьютерная информация, то деяние подлежит квалификации в соответствии со статьями гл. 28 УК РФ «Преступления в сфере компьютерной информации».
Таким образом, понятие «компьютерные преступления» шире понятия «преступления в сфере компьютерной информации» и охватывает все преступления, способом совершения которых являются неправомерный доступ к компьютерной информации; создание, использование и распространение вредоносных программ для ЭВМ; нарушение правил эксплуатации ЭВМ, их системы или сети. Соответственно, к преступлениям в сфере компьютерной информации относятся лишь три состава, предусмотренные гл. 28 УК РФ: неправомерный доступ к компьютерной информации; создание, использование и распространение вредоносных программ для ЭВМ; нарушение правил эксплуатации ЭВМ, их системы или сети. Более того, «дефиниция «компьютерные преступления» должна употребляться не в уголовно-правовом аспекте, где это затрудняет квалификацию деяния, а в криминалистическом, по скольку связана не с квалификацией, а именно со способом совершения и сокрытия преступления и, соответственно, с методикой его раскрытия и расследования» .
Содержание и значение концепции расследования преступлений, посягающих на информационную безопасность
На основании изложенного представляется необходимым сделать вывод, что общественные отношения по обеспечению информационной безопасности, выступающие в качестве дополнительного объекта преступного посягательства при совершении анализируемых преступлений, состоят в обеспечении защищенности жизненно важных интересов личности, общества и государства в информационной сфере от информационных, программно-математических, физических и организационных угроз.
Факультативным признаком объекта как элемента состава преступления выступает предмет преступного посягательства. Предмет преступления - это элементы материального или нематериального мира, на которые непосредственно направлены действия виновного2.
Изучение материалов уголовных дел о преступлениях, посягающих на информационную безопасность в сфере экономики, за период с 2001 по 2006 год показало, что более чем в 97% случаев они совершались с использованием средств компьютерной техники. Это влекло причинение вреда общественным отношениям в области безопасного обращения компьютерной информации и значительного материального ущерба. Только в 2006-2007 гг. МВД России выявило более 250 преступлений с использованием электронных средств доступа, ущерб от которых составил 500 млрд. рублей. Соответственно, при квалификации указанных деяний по соответствующей статье раздела VIII «Преступления в сфере экономики» УК РФ виновному дополнительно вменялась противоправная деятельность, предусмотренная соответствующими статьями главы 28 УК РФ «Преступления, в сфере компьютерной информации». Предметом преступного посягательства в последнем случае выступала компьютерная информация .
Действующее законодательство под компьютерной информацией понимает информацию на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети. Исходя из того, что указанное определение отражает лишь формальную характеристику компьютерной информации, не выражая ее содержания, ученые по-разному определяют компьютерную информацию. Так, В.В. Крылов считает, что это сведения, знания или набор команд (программа), предназначенные для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинном носителе - идентифицируемый элемент информационной системы2, имеющий собственника, установившего правила ее использования3. С данным определением полностью согласиться не представляется возможным. Во-первых, если определяется компьютерная информация вообще (а не как предмет противоправного посягательства), то указание на собственника, установившего правила пользования ею, некорректно, поскольку, например, служебная информация графического файла (дата и время создания, тип программного обеспечения, разрешение, размер и пр.), являясь компьютерной информацией, сама по себе вряд ли может иметь собственника, тем более установившего какие-либо правила пользования ею. Во-вторых, под категории «сведений, знаний или набора команд (программу)» вряд ли подходят графические файлы, фотоснимки, видеозаписи, аудиозаписи. В.А. Мещеряков под компьютерной понимает информацию, представленную в специальном (машинном) виде, предназначенном и пригодном для ее автоматизированной обработки, хранения и передачи, находящуюся на материальном носителе и имеющую собственника или иного законного владельца, установившего порядок ее создания (генерации), обработки, передачи и уничтожения1. Нам представляется, что нахождение компьютерной информации на машинном носителе, в ЭВМ, системе ЭВМ или сети ЭВМ однозначно предполагает ее назначение для использования в ЭВМ или управления ею2. Кроме того, указание на собственника информации является обязательным при определении предмета преступного посягательства, но не компьютерной информации вообще. Наконец, указание в определении на пригодность информации для использования в ЭВМ уже означает факт ее нахождения в специальном (машинном) виде.
А.В. Касаткин определяет криминалистически значимую компьютерную информацию как фактические данные, обработанные компьютером и полученные на его выходе, в форме, доступной восприятию ЭВМ либо человека, или передающиеся по телекоммуникационным каналам, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения дела3. Несмотря на то, что компьютерная информация как предмет преступного посягательства и криминалистически значимая компьютерная информация не тождественны между собой (первая должна иметь собственника, установившего правила ее использования, и охраняться законом), приведенное определение более точно отражает сущность компьютерной информации, однако не в полном объеме содержит ее характерные признаки.
Данные о способах совершения, сокрытия, обстановке и средствах противоправных деяний
Подавляющее большинство рассматриваемых противоправных деяний совершается мужчинами (90%). Женщины, являясь исполнителями, действуют, как правило, под влиянием мужчин-организаторов. Самостоятельно рассматриваемые преступления женщины совершали в случаях, когда они занимали определенные должности, связанные с непосредственной работой с компьютерной информацией (бухгалтер, секретарь, оператор информационных услуг и т.п.).
Большинство лиц, совершающих преступления, посягающие на информационную безопасность в сфере экономики, - это молодые люди в возрасте от 18 до 35 лет (данная-возрастная группа совершает около-80% рассматриваемых преступлений). Лицами в возрасте 16-17 лет было совершено 6% преступлений; 18-25 лет - 36%; 26-35 лет - 44%; старше 35 лет - 14%.
Если выделить в отдельную группу лиц, совершающих хищения денежных средств с использованием банковских пластиковых карт, то данные будут свидетельствовать о следующем: 88% - это лица мужского пола, совершающие 66% преступлений в возрасте 18-35 лет, 69% которых имеют высшее или неоконченное высшее образование, 28% - основное общее.1
Большинство лиц, совершивших преступления, посягающие на. информационную безопасность в сфере экономики, имели положительные характеристики по месту жительства (86%), 61% — положительно характеризовались по месту работы (учебы). 95% лиц, совершивших преступления, посягающие на информационную безопасность в сфере экономики, ранее не привлекалось к уголовной ответственности.
Образ мышления лиц, профессионально использующих в своей деятельности средства компьютерной техники, характеризуется стремлением к четкому формулированию возникающих проблем с ярко выраженной дифференциацией основных и второстепенных элементов; точностью, четкостью и однозначностью в общении, что приводит к манере задавать уточняющие вопросы и часто переспрашивать отдельные детали1. 48% преступников имело высшее образование, 9% - неоконченное высшее, 8% - средне-специальное, 32% - общее среднее и 3% - неполное среднее.2.
Приведенные данные убедительно опровергают распространенное мнение, что совершение преступления, посягающего на информационную безопасность, возможно только лицами, имеющими фундаментальное образование и глубокие знания особенностей функционирования средств компьютерной техники. Как следует из приведенного, значительное количество лиц, совершивших рассматриваемые противоправные деяния, не имели профильного образования в данной сфере. Представляется, что указанное обстоятельство связано с тем, что нередко для реализации того или иного способа совершения преступления достаточно навыков владения персональным компьютером на уровне пользователя, что в наше время является весьма распространенным. Навыки работы с компьютером на уровне пользователя приобретаются еще в средней школе. К тому же широкое распространение получили различные самоучители работы на компьютере, курсы компьютерной грамотности и иные источники знаний.
Специальные знания, как показало проведенное исследование, субъекты преступлений получали во время учебы в профильном учебном заведении (22%); при изучении информатики и математики в непрофильном учебном заведении (7%); в результате самостоятельного изучения специальной литературы и тематических сайтов сети Интернет (27%); в процессе работы по специальности, предполагающей владение персональным компьютером (23%); благодаря увлечению (хобби) (21%).
Самым распространенным мотивом совершения преступлений, посягающих на информационную безопасность в сфере экономики, выступает корысть (83%).
В 45% случаев целью преступной деятельности являлось манипулирование денежными средствами и товарами в электронных системах безналичных расчетов. Т., работая оператором ЭВМ АКБ «СБС-АГРО», имея личную электронную подпись, совершила хищение денежных средств, принадлежащих «СБС-АГРО», путем завышения сумм по начисленным процентам по вкладам физических лиц с целью присвоения разницы в сумме, а также присвоения мемориальным ордерам вымышленных номеров с искажением данных электронного учета. С целью обналичивания похищенных средств она открыла в отделении Сбербанка РФ личный именной счет, перечисляя на него денежные средства по фиктивным проводкам1.
В 25% случаев преступники преследовали цель получения бесплатного доступа к сети Интернет, к иным техническим каналам связи (например, бесплатного пользования средствами мобильной связи). В 17% изученных уголовных дел целью являлся коммерческий шпионаж, диверсия. Например, в торговых точках г. Санкт-Петербурга в октябре-ноябре 1997 г. стала распространяться база данных абонентов компании сотовой связи «Дельта-Телеком». Эти данные носили характер коммерческой тайны, в официальных источниках не публиковались и были похищены с электронных носите лей информации компании. В результате распространения подобных сведений ряд клиентов компании были вынуждены отказаться от услуг данной компании, так как были нарушены условия конфиденциальности информации. Кроме того, в некоторых городских газетах были опубликованы статьи об утечке сведений об абонентах мобильных телефонов, что существенно подорвало престиж фирмы1.
В 5% случаев преступники внесли изменения в различные электронные реестры имущества (имущественных прав). Обозначенные преступления представляют определенные сложности для раскрытия. Так, осталось нераскрытым преступление, в ходе которого преступник внес изменения в реестр акционеров ОАО «Российский инсулин», который велся в электронном виде, в результате чего со счета президента данного предприятия были списаны 16144 акции и необоснованно зачислены на счет исполнительного директора того же ОАО .
Тактические приемы производства следственных действий, направленных на получение невербальной криминалистически значимой информации
Текстовые файлы имеют расширения имени: .txt - текстовые файлы в кодировке DOS; .doc - текстовые файлы, созданные программой Microsoft Word; .bak или .wbk - копии текстовых файлов до их изменения и др.
Текстовые файлы, помимо самой находящейся в них информации, содержат значительное количество иной служебной информации, могущей иметь доказательственное значение. К общим свойствам текстовых файлов можно отнести их тип, имя, место нахождения (папка), размер в байтах, дату создания, дату изменения, атрибуты (только для чтения, архивный, скрытый, системный). Информационные объекты, подготовленные программой Microsoft Word, помимо указанных свойств, имеют следующие частные признаки: название, тему, автора, руководителя, организацию, категорию, ключевые слова, заметки, шаблон, дату распечатки, число редакций, общее время правки, параметры статистики: число страниц, абзацев, строк, слов, символов, состав документа2.
Указанные параметры, содержащиеся в свойствах текстового документа, позволяют идентифицировать документ, определить, был ли создан исследуемый документ на данном компьютере или был привнесен извне, а также могут содержать следы модификации информации.
Помимо указанного, следами, указывающими на посторонний доступ к текстовому файлу, могут являться изменения в элементах форматирования (стили, шрифт, абзацные отступы, межстрочные интервалы и пр.). Значение могут иметь и отдельные параметры основного элемента документа FIB (File Information Block), содержащего информацию о различных частях файла и его длине. Данные параметры позволяют установить программу, создавшую и модифицировавшую документ, дату ее компиляции, количество байт информации о драйвере принтера и др.
Механизм образования рассмотренных выше компьютерных следов, возникающих в процессе работы с текстовыми файлами, основан на свойствах современных офисных программ (Microsoft Word) протоколировать и хранить в виде служебной информации любые события, связанные с файлом. Указанное свойство текстовых редакторов позволяет решать большое число криминалистически значимых задач, связанных с идентификацией текстовой информации и диагностикой происходивших с ней процессов.
Особенности следообразования в графических файлах. Графическими файлами являются файлы с расширениями jpq, tif, gif, рсх, bmp, tga и некоторыми другими, которые могут быть созданы программой для обработки графики (например, Adobe PhotoShop, Corel Photo Paint и др.), а также в результате сканирования изображения или фотосъемки цифровой камерой.
Цифровое изображение - это последовательность цифровых данных, записанных на машинный носитель. Файл содержит не только само изображение, но и техническую информацию, записанную цифровой камерой, о режимах съемки, настройках самой камеры, сведения о производителе и модели, серийный номер камеры, порядковый номер снимка по внутреннему счетчику, дату и время съемки. Некоторые модели камер позволяют записать географические координаты места съемки. При любом изменении фай 166 ла эта информация пропадает и заменяется технической информацией про Ф
Таким образом, механизм следообразования в графических файлах, созданных посредством использования цифровой фотокамеры, основан на технологическом наложении даты, времени, служебных сигналов и другой информации на видеоизображение. Аналогичный механизм позволяет использовать в качестве доказательств по уголовным делам видеозаписи, полученные телевизионными системами видеонаблюдения2.
Специфика следообразования в программных средствах. Процесс обнаружения программного средства зависит от того, в каком состоянии (в виде дистрибутива, инсталлированной программы или работающей программы) оно находится. Если программа не инсталлирована, то есть, не установлена на компьютер путем выполнения специальной процедуры, она представляет собой совокупность файлов на одном или нескольких однотипных носителях информации (дискетах, CD-дисках). Фирмы-разработчики программного обеспечения распространяют свои программные продукты в виде дистрибутивов, установка которых на компьютер производится, как правило, путем запуска исполняемого файла setup.exe. В случае, когда программа инсталлирована на компьютер, она, кроме того, что копируется на жесткий диск компьютера, в большинстве случаев прописывает информацию о себе в реестре операционной системы.
Сами программные файлы представляют ценные, с криминалистической точки зрения, следы. В частности, наличие на жестком диске компьютера определенных программ (например, программ автоматизации бухгалтерского учета) может иметь доказательственное значение. При этом следует иметь в виду, что существует возможность их восстановления даже после удаления.
Особенности следообразования на носителях компьютерной информации. На носителях компьютерной информации остаются следы удаленных файлов. Механизм следообразования в данном случае основан на том, что в процессе их удаления физически сами файлы не уничтожаются и информация, хранящаяся в них, на диске остается. Операционная система делает отметку в таблице расположения файлов, что кластеры, занятые программным файлом, стали свободными и на их место можно записывать новые файлы. Существует возможность восстановить удаленные файлы до тех пор, пока на их место не будет записано что-то другое. Существует ряд программных продуктов (например, Recover4All, Directory Snoop, Easy Recovery Pro, PowerQuest Lost&Found и др.), предназначенных для восстановления удаленных файлов .