Особенности назначения технических экспертиз при расследовании неправомерного доступа к компьютерной информации

Расследование и раскрытие неправомерного доступа к компьютерной информации, когда средства компьютерной техники используются для подготовки, совершения или сокрытия рассматриваемого правонарушения, невозможно без привлечения специальных познаний в области современных информационных технологий.

Основной формой использования специальных познаний является экспертиза. Именно экспертные исследования придают изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение. В таких условиях основными задачами следователя являются поиск, фиксация, изъятие и представление эксперту необходимых материальных объектов – носителей информации. Причем при собирании доказательств, как показывает практика, участие специалиста обязательно, так как, даже малейшие неквалифицированные действия с компьютерной техникой могут закончиться безвозвратной утратой ценной розыскной и доказательственной информации.

Видовую классификацию компьютерно-технических экспертиз, на наш взгляд, целесообразно организовать на основе обеспечивающего предназначения компьютерных средств (аппаратных (технических), программных, информационных) и использовать ее в виде, соответствующем процессам разработки и эксплуатации любых компьютерных систем. Поэтому можно выделить: аппаратно-техническую и программно-техническую экспертизу (данных). Кроме того, достаточно оправданным представляется выделение еще одного вида компьютерно-технической экспертизы - компьютерно-сетевой экспертизы для исследования фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий. Проведенное деление на виды компьютерно-технических экспертиз, по нашему мнению, отражает особенности и эксплуатационные свойства средств информатизации, предъявляемых в качестве объектов исследования.

Сущность аппаратно-технической экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной техники. Предметом экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы – материальных носителей информации о факте или событии неправомерного доступа к компьютерной информации.

Целью программно-технической экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.

Объектами исследования компьютерно-сетевой экспертизы могут быть как компьютеры пользователей, подключенных к сети Интернет, так и различные ресурсы поставщиков сетевых услуг (Интернет провайдеры), а также предоставляемые ими информационные услуги (электронная почта, служба электронных объявлений, телеконференции, Www – сервисы и пр.)

Поскольку в системе судебно-экспертных учреждений нет специальных экспертных подразделений по производству таких экспертиз, они могут быть поручены специалистам соответствующей квалификации из внеэкспертных заведений. Рекомендуется поручать такие экспертизы специалистам в области компьютерной техники и программирования Государственной технической комиссии при Президенте РФ и ее региональных структурных подразделений, размещающихся на базе Министерства обороны РФ, Федерального агентства правительственной связи и информации (ФАПСИ) при Президенте РФ (региональные службы ФАПСИ размещаются при Федеральной службе безопасности РФ), а также создаваемых ими служб системы сертификации средств защиты информации (испытательные лаборатории, проводящие сертификационные испытания средств защиты информации). Такие специалисты имеются также в некоторых информационных центрах, учебных и научно-исследовательских заведениях МВД. Для производства экспертиз данных видов можно привлекать специалистов из учебных, научно-исследовательских заведении, не относящихся к системе МВД, фирм и организаций, занимающихся разработкой программного и аппаратного обеспечения для компьютеров, их эксплуатацией и ремонтом.

При аппаратно-технической экспертизе целесообразно перед экспертом поставить следующие вопросы:
1. Какая модель компьютера представлена на исследование, каковы его технические характеристики, параметры периферийных устройств, вычислительной сети?
2. Имеется ли техническая документация на компьютер и его составные части? Соответствуют ли имеющиеся технические устройства документации?
3. Каковы условия сборки компьютера и его комплектующих: фирменная сборка, сборка из комплектующих в другой фирме или кустарная сборка? Имеются ли в наличии дополнительные устройства, не входящие в базовый комплект поставки (базовый комплект определяется из документации)?
4. Имеет ли место наличие неисправностей отдельных устройств, магнитных носителей информации (выявляются различными тестовыми программами)?
5. Не проводилась ли адаптация компьютера для работы с ним специфических пользователей (левша, слабовидящий и пр.)?

При программно-технической экспертизе (данных) ставится следующий круг вопросов:
1. Каков тип операционной системы, используемой в компьютере?
2. Какие программные продукты эксплуатируются на данном компьютере? Являются ли они лицензионными или «пиратскими» копиями, или собственными оригинальными разработками? Когда производилась инсталляция (установка) данных программ?
3. Каково назначение программных продуктов? Для решения каких прикладных задач они предназначены? Какие способы ввода и вывода информации используются? Соответствуют ли результаты выполнения программ требуемым действиям?
4. Какие программные методы защиты информации используются (пароли, идентификационные коды, программы защиты и т. д.)? Не предпринимались ли попытки подбора паролей или иные попытки неправомерного доступа к компьютерной информации?
5. Какая информация содержится в скрытых файлах? Возможно ли восстановление ранее удаленных файлов и каково их содержание?
6. В каком виде хранится информация о результатах работы антивирусных программ, программ проверки контрольных сумм файлов? Каково содержание данной информации?
7. Имеет ли место наличие сбоев в работе отдельных программ? Каковы причины этих сбоев?
8. В каком состоянии находятся и что содержат файлы на магнитных носителях? Когда производилась последняя корректировка этих файлов?

При компьютерно-сетевой экспертизе необходимо задать вопросы относительно того:
1. Какое программное обеспечение используется для функционирования компьютерной сети? Является ли оно лицензионным?
2. Каким образом осуществляется соединение компьютеров сети? Имеется ли выход на глобальные компьютерные сети?
3. Какие компьютеры являются серверами (главными компьютерами) сети? Каким образом осуществляется передача информации на данном предприятии, учреждении, организации, фирме или компании по узлам компьютерной сети?
4. Используются ли для ограничения доступа к информации компьютерной сети пароли, идентификационные коды? В каком виде они используются?
5. Имеются ли сбои в работе отдельных программ, отдельных компьютеров при функционировании их в составе сети? Каковы причины этих сбоев?
6. Какая информация передается, обрабатывается и модифицируется с использованием компьютерной сети?
(с) автор не известен

Егорышев А.С. Особенности назначения технических экспертиз при расследовании неправомерного доступа к компьютерной информации / Министерство внутренних дел России за 200 лет: история, теория, практика: материалы Всероссийской научно-практической конференции: г. Уфа, 25-26 апреля 2002 года. В 2-х частях. Часть II. – Уфа: Уфимский юридический институт МВД России, 2002. – C. 166 – 171.