АВТОРЕФЕРАТ ДИССЕРТАЦИИ по праву и юриспруденции на тему «Судебная программно-компьютерная экспертиза по уголовным делам»
На правах рукописи
Исх №___
От
Семикаленова Анастасия Игоревна
Судебная программно-компьютерная экспертиза по уголовным делам
Специальность 12.00.09—уголовный процесс; криминалистика
и судебная экспертиза; оперативно-розыскная деятельность
Автореферат диссертации на соискание ученой степени кандидата юридических наук
МОСКВА 2005
Диссертация выполнена в Российском федеральном центре судебной экспертизы при Минюс1е России
Научный Руководитель
Официальные оплоненш
Ведущая организация'
Доктор юридических наук, профессор Российская Елена Рафаилонна
Доктор юридических наук, профессор заведующий кафедрой криминалистики МГЮА Ишенко Евгений Петрович
Кандидат юридических наук заместитель начальника кафедры технико-криминалистического обеспечения МУ МВД России Васильев Андрей Анатольевич
Саратовский Юридический институт Министерства внутренних дел Российской Федерации;
Защита диссертации состоится «17» февраля 2005 г.в Пчас. на заседании диссертационного совета К 229,002,01 при государственном учреждении Российский федеральный центр судебной экспертизы при Министерстве юстиции Российской федерации по адресу 109028, Москва, Хохловский пер., 13, стр. 2, зал диссертационного совета.
С диссертацией можно ознакомиться в библиотеке РФЦСЭ при Минюсте России.
Автореферат разослан & г.
Ученый секретарь диссертационного совета кандидат юридических наук
Микляева О.В
Авторефера I
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность темы исследования. Быстрый рост числа преступлений, связанных с созданием и использованием компьютерной техники привел к появлению нового вида преступности, который в Уголовном кодексе Российской Федерации получил название «Преступления в сфере компьютерной информации». Именно им посвящена 28 глава УК РФ. Надо отметить, что не только в преступлениях, означенных в этой главе, используются средства вычислительной техники, но и в целом ряде преступлений, относящихся к другим главам уголовного кодекса (мошенничество, кража, хулиганство и т.д.), получившим в последствие название «компьютерные преступления».
Сбор доказательств по «компьютерным» преступлениям, а так же квалификация этих преступлений, чаще всего не возможна без исследования программного обеспечения. Результатом такого исследования должно стать обследование программного комплекса на предмет возможности совершения с его помощью или в отношении его преступных деяний, или обнаружения на нем следов преступления.
С развитием научной деятельности и возникновением новых научных направлений и теорий в криминалистической практике возникает необходимость в появлении новых видов, родов и классов судебных экспертиз. Именно это произошло с компьютерным программным обеспечением. Его стремительное развитие обусловило возникновение нового рода экспертиз - программно-компьютерного, который вошел в класс компьютерно-технических экспертиз.
Основными чертами современного состояния экспертного исследования компьютерных средств является отсутствие нормативно-методического обеспечения самой экспертизы и непроработанность процессуальных аспектов с ней связанных. Существующие же в настоящее время материалы в основном направлены на рассмотрение работы оперативно-розыскных и следственных органов, связанной с получением информации, представленной в виде электронных документов, графических изображений, видео- и аудиоинформации. Однако уже на сегодняшний день практика раскрытия и расследования преступлений, сопряженных с использованием программно-компьютерных средств настоятельно требует разработки системных методических рекомендаций, позволяющих повысить эффективность сбора, исследования и использования доказательств по делам связанным с использованием и созданием компьютерных программ Одним из важных направлений этой деятельности является экспертное исследование программных продуктов, причем это в первую очередь связано с вопросами направленными на выявление фактов и обстоятельств, связанных с разработкой и противоправным использованием программно-компьютерных средств, что и определяет актуальность поставленных вопросов Именно на их разрешение будет направлено диссертационное исследований!
Целью диссертационного исследования является решение актуальной научно-прикладной задачи по разработке теорешческих и методических основ экспертного исследования программного обеспечения компьютерных систем Она заключается в обосновании предмета и объектов нового рода судебной прогрнаммно-компьютерной экспертизы (СПКЭ), формулировании методических рекомендаций по назначению, производству, оценке и использованию ее результатов Достижению цели исследования способствовала постановка и решение еще двух задач, а именно: анализ способов совершения и сокрытия преступлений, сопряженных с созданием и использованием программного обеспечения, и выработка рекомендаций по проведению следственных действий, связанных с собиранием криминалистически значимой информации о программных продуктах
Предметом исследования являются закономерности формирования системы научно-технических и правовых знаний, синтез которых составляет научную и практическую основу судебной программно-компьютерной экспертизы (СПКЭ).
Объектом исследования является экспертная деятельность по исследованию программных средств, создаваемых и используемых при совершении компьютерных преступлений.
Методологической и теоретической основой исследования послужили основные положения материалистической диалектики - как общенаучного метода познания, а так же законы, подзаконные и нормативные акты, определяющие работу следственных, экспертных и судебных учреждений При решении поставленных задач нами использовался широкий круг методов научного исследования системно-структурный метод, методы наблюдения, метод сравнительного анализа, обобщения следственной и судебной практики.
Исследования, проведенные на стыке ряда научных дисциплин, потребовали использования литературы в области философии, уголовно-правовых наук, кибернетики, программирования, математики, информатики и других наук, что предопределило комплексный характер данного исследования.
Теоретическую основу работы составили труды ученых в области криминалистики и судебной экспертизы. Методологические основы СКТЭ, как самостоятельного класса инженерно-технических экспертиз, были впервые исследованы Е.Р. Российской В последствии в ее совместных работах с \ И Усовым эта теория получила свое дальнейшее развитие Ряд положений, связанных с классификацией СКТЭ, были высказаны Т И. Абдурагимовой, Т В. Аверьяновой, А В Гортинским, В.А Мещеряковым, А И Яковлевым, А А Васильевым и др Полное исследование концептуальных основ судебной компьютерно-технической экспертизы, одной из составляющих которой и является судебная программно-компьютерная экспертиза было проведено Усовым А.И..
Эмпирическая база исследования. В течение 1999-2004 гг нами было изучено свыше 100 заключений экспертов, в которых проводились исследования компьютерны^ средств Произведен обзор и анализ отечественного _ и зарубежного опыта В процессе исследования автор
1 ■■<■* Ж *
участвовал в работе по темам НИР «Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации», «Выбор классификационных признаков и обоснование системы структурных методов и средств производства КТЭ» и «Методы и средства решения задач КТЭ» Их разработка велась в соответствии с Постановлением Правительства РФ №1701-р от 22.10.1999 г. Результаты исследований и получили одобрение в ГУ ЭКЦ МВД России и в ЮИ МВД России. Дальнейшая работа проводилась в РФЦС при Минюсте России. Диссертантом использован также собственный опыт экспертной деятельности по исследованию компьютерных средств, в том числе и в РФЦСЭ при Минюсте России. В диссертационном исследовании использовались документы юридической направленности из практики правоохранительных и судебных органов, в частности' уголовные дела, экспертные заключения и приговоры суда В работе над диссертацией также использованы законы и подзаконные акты, регламентирующие работу экспертных, следственных подразделений МВД России, судебных и экспертных учреждений Министерства юстиции России.
Научная новизна диссертационного исследования состоит в уточнении существующих и создании новых теоретических и практических аспектов использования специальных знаний в области компьютерных средств при расследовании и раскрытии преступлений Форма их применения - судебная программно-компьютерная экспертиза. В работе исследуются и обосновываются правовые, процессуальные, организационные и методические аспекты судебно-экспертной деятельности по исследованию программно-компьютерных средств.
На защиту выносятся следующие положения:
1. Преступления, сопряженные с созданием и использованием программно-компьютерных средств, не ограничиваются только преступлениями, предусмотренными 28 главой УК РФ, и на сегодняшний день включают большое количество иных преступлений (терроризм, хулиганство, кражи, нарушение авторских прав и т.д.)
2. Способы совершения и сокрытия преступлений, сопряженных с использованием и производством программных продуктов, определяющие выбор средств и методов для производства судебной программно-компьютерной экспертизы, в большинстве своем осуществляются в виде проведения атак на информационно-компьютерные системы Лишь небольшая их часть представляет собой неправомерное использование программных средств, полученных легальным способом (нарушение авторских и смежных прав, изютовление и сбыт поддельных кредитных карт, ценных бумаг, денежных знаков и т.д.).
3. Судебная программно-компьютерная экспертиза средств является новым родом судебных экспертиз, относящихся к классу компьютерно-технических В состав этого рода входят четыре вида судебных экспертиз экспертиза системного программного обеспечения; экспертиза сервисов
\Veb-cepBepoB; программно-компьютерная экспертиза системной безопасности, программно-компьютерная экспертиза баз и банков данных.
4 В число объектов СПКЭ входят исполняемые модули, пакеты программ, алгоритмы, исходные тексты программ, представленные как на электронных, так и на бумажных носителях
5. Производство следственных действий по собиранию криминалистически значимой информации о программных продуктах, сопряжено с обязательным участием в них специалистов в области информационных технологий и необходимостью использования специальной техники
6. Проведенный в работе анализ следственной и экспертной практики показал, что объективное определение механизма и динамики преступного события в сфере современных информационных технологий, возможно лишь при всестороннем использовании специальных знаний СПКЭ в совокупности с иными областями судебно-экспертной деятельности. Такими как: судебными экономическими, судебными инженерно-техническими, товароведческими (автороведческими) экспертизами В связи с этим установлено, что наиболее оптимальным решением проблемы выбора эксперта и экспертного учреждения для назначения судебной программно-компьютерной экспертизы является обращение в государственные судебно-экспертные учреждения
7 Предложения по оптимизации процесса оценки результатов судебной программно-компьютерной экспертизы следователем и судом. Эта оценка должна осуществляться по общим правилам оценки доказательств Совершенствованию этого процесса и преодолению трудностей, возникающих у субъекта доказывания, будут способствовать:
- установление компетентности эксперта, выполнившего судебную программно-компьютерную экспертизу, с помощью системы квалификационных категорий, которая может быть реализована через систему аттестаций сотрудников экспертных подразделений с присвоением квалификационной категории (первой, в юрой, высшей) по анало1 ии с системой, действующей в здравоохранении,
- контроль над процессуальной «чисгоюй» объектов судебной программно-компьютерной экспертизы, их корректным изъятием и хранением;
- использование экспертом СПКЭ только паспортизированных экспертных методик и апробированных программно-технических средств.
8. Предложения по совершенствованию подготовки специалистов в области СПКЭ Наиболее эффективным способом подготовки экспертов судебной программно-компьютерной экспертизы является создание в технических вузах отделений или факультетов, где будет осуществляться подготовка судебных экспертов в рамках высшего профессионального образования по специальности «Судебная экспертиза» со специализацией «судебная компьютерно-техническая экспертиза», в рамках которой и будет
проводиться более узкая специализация по изучению судебной программно-компьютерной экспертизы.
Практическая значимость представляемой работы заключается в возможности использования полученных результатов в экспертной, а также следственной и оперативной практике при раскрытии и расследовании преступлений, сопряженных с созданием и применением программных продуктов Проведенное исследование может стать одним из первых этапов становления СПКЭ как нового рода судебных экспертиз. Материалы представляемой работы могут быть использованы при подготовке специалистов в юридических и технических вузах, а так же на курсах повышения квалификации работников экспертных организаций.
Апробация и внедрение в практику и учебный процесс результатов диссертационного исследования проводились на научно-практических конференциях и семинарах. Основные положения диссертации опубликованы в 8 научных статьях, в отчетах по научно-исследовательской работе и методических рекомендациях, внедренных в учебный процесс МГЮА, спецсеминар «Судебная экспертиза в уголовном и гражданском судопроизводстве, по делам об административных правонарушениях», и МГТУ им. Н.Э.Баумана при чтении курса «Судебная компьютерно-техническая экспертиза».
СТРУКТУРА ДИССЕРТАЦИОННОГО ИССЛЕДОВАНИЯ И ЕГО СОДЕРЖАНИЕ
Диссертация состоит из введения, двух глав, заключения, библиографического списка используемой литературы и 2-х приложений
Во введении обосновывается выбор темы диссертационного исследования, ее актуальность, формулируется прикладная научная задача, раскрываются методологические основы и способ ее решения. Приводится теоретическая база исследования, описываются полученные результаты, дается характеристика их научной новизны и практической значимости Указаны формы апробации и внедрения результатов исследования в практическую деятельность органов внутренних дел. Сформулированы основные положения диссертационного исследования, выносимые на защиту
Первая глава «Теоретические и процессуальные аспекты судебной программно-компьютерной экспертизы» состоит из трех параграфов и посвящена разработке основных теорешческих положений диссертационного исследования.
В первом параграфе анализируются преступления, совершаемые с использованием или в отношении программно-компьютерных средств, рассматриваются и классифицируются способы их совершения и сокрытия
Отмечается, что современная практика раскрытия и расследования преступлений характеризуется ростом преступлений в сфере компьютерной иьформации, при работе с которыми остро встает вопрос об исследовании программного продукта Помимо предусмотренных уголовным законодательством самостоятельных составов преступлений (Глава 28 УК РФ), еще целый ряд уголовно наказуемых деяний по своему составу вплотную
сопряжены с указанной сферой или, иначе говоря, так называемыми «компьютерными преступлениями». Все эти преступления практически напрямую связаны с преступлениями, заключающимися в осуществлении атак на информационно-компьютерные системы. Лишь небольшая их часть представляет собой неправомерное использование программных средств, полученных легальным способом (нарушение авторских и смежных прав, изготовление и сбыт поддельных кредитных карт, ценных бумаг, денежных знаков и т.д.).
Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости компьютерной системы. Существуют обычные (локальные) атаки, осуществляемые в пределах одной компьютерной системы, и удаленные - обусловленные распределенностью ресурсов и информации в пространстве, характерным для глобальных вычислительных сетей (ВС). Они отличаются, во-первых, тем, что злоумышленник может находиться за тысячи километров от атакуемого объекта, и, во-вторых, тем, что нападению может подвергаться не конкретный компьютер, а информация, передающаяся по сетевым соединениям. С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими как по количеству попыток, так и по успешности их применения и, соответственно, обеспечение безопасности вычислительных сетей, с точки зрения противостояния удаленным атакам, приобретает первостепенное значение.
Под удаленной атакой понимается информационное разрушающее воздействие на распределенную ВС, программно осуществляемое по каналам связи.
Общая классификация атак была проведена еще в 1975 году. Одной из первых публикаций, в которой она была приведена, является работа Л. Дж. Хофмана «Современные методы защиты информации». Мы, так же как В.А.Мещеряков, приведенный в ней перечень считаем актуальным и на сегодняшний день.
Поэтому, проанализировав предложенную в этой работе классификацию, мы сделали заключение, что криминалистически значимую информацию на основании изучения программно-компьютерных средств можно получить в том случае, если преступления совершались по средствам проведения следующих атак:
• Атаки на основе «тонного кода» Данный случай представляет собой доработку выявленных недостатков функционирующего программного обеспечения, при котором кроме устранения основной причины вносятся дополнительные функции, позволяющие автору доработки проникать в автоматизированную систему не авторизованным способом
Примером может служить раскрытое в 1991 юду хищение 125 ООО долларов во Внешэкономбанке СССР. При расследовании было установлено, что путем модификации расчет ною алгоритма из под учета ЭВМ были выведены и подготовлены к хищению еще 750 ООО долларов.
• Атака на основе «отказа в доступе» В данном случае используется программа, захватывающая права привилегированного пользователя на первоочередное использование ресурсов вычислительной системы и проведение планомерного отказа в доступе законным пользователям.
Примером здесь может служить неправомерное использование каналов доступа в глобальную сеть Интернет путем выдачи себя за легального авторизованного пользователя Так на территории г Белгорода в течение сентября - ноября 1998 г. гражданин А. осуществлял выход в сеть Интернет, используя для этого реквизиты фирмы «Камелот», полученные им в результате использования программы получения пароля для входа в компьютерную сеть
• Атаки на основе «индуцирования ошибок» При такой атаке создается программа, производящая внутри себя ряд ошибок и сохраняющая в общедоступных местах вычислительной системы информацию о поведении операционной системы (вектор состояния или дамп памяти) и системы защиты информации. После этого нарушитель может с использованием обычных средств получить эту информацию и составить впечатление о защитных механизмах атакуемой системы.
• Атаки на основе «взаимодействующих синхронных процессов». В данном случае одновременно (с максимально возможной степенью) запускаются два или более процесса, использующих одни и те же ресурсы вычислительной системы, при этом большинство операционных систем (даже рассчитанных на мультизадачную работу) реально выполняют все операции только последовательно, разрывая каждую операцию на отдельные порции (кванты) и сохраняя их промежуточные результаты. Одновременное обращение к одним и тем же ресурсам может вызывать различные нестандартные (непредусмотренные разработчиком) ситуации, которыми может воспользоваться злоумышленник
• Атаки типа «NAK» Свое имя данный способ проникновения в автоматизированные информационные системы получи из-за ключа телетайпа '^АК", используемого для выполнения операции кратковременного прерывания какого-либо процесса. В большинстве операционных систем существует возможность прерывания какого-либо процесса для выполнения другой команды или программы с последующим возвращением к выполнению прерванною процесса. Как правило, проектировщики уделяют слишком мало внимания защите прерванного информационного процесса и злоумышленник (преступник) может скопировать или внести изменения в состояние прерванного процесса.
• Атаки на основе «перестановочного программирования» В данном случае злоумышленник подготавливает специальные программы, осуществляющие перебор всех возможных изменений в позициях или порядке входных информационных элементов для выявления нестандартной (не предусмотренной разработчиком) реакции автоматизированной информационной системы.
• Атаки ни основе «поэлементной декомпозиции» При осуществлении атаки такого рода происходит разбиение критичной информации (паролей, идентификационных имен и т.п ) на элементы и по отдельным фрагментам предъявляется системам защиты информации атакуемой автоматизированной информационной системы. Анализируя реакцию системы защиты информации (время реакции и ее разновидности) злоумышленник получает возможность изучить строение защитных механизмов и преодолеть их. Одной из разновидностей данного метода является получение тождественной копии программного обеспечения, установленного в атакуемой автоматизированной информационной системе, дизассемблирование его исполняемого кода или выполнение на специально подготовленной вычислительной среде (на компьютере «под отладчиком»),
• Атаки типа «Piggy back» В данном случае злоумышленник подключается к линии информационного взаимодействия и генерирует ложные сообщения об отказе в доступе, возврате сообщения как ошибочном и т п При этом регистрируются действия правомерного пользователя, который начинает попытки повторного подключения к информационной системе другими различными способами.
• Атаки на основе «троянского коня» Этот термин означает установку злоумышленником-программистом в атакуемую про1рамму «точки входа» и ее дальнейшее использование для скрытного проникновения. В настоящее время данным термином также называется и создание специальных программ, которые наряду с известными полезными функциями выполняют вредоносные недокументированные функции. Например, известны факты создания вредоносных программ, имеющих одинаковое имя, размер и другие «внешние» параметры, совпадающие с широко известными и распространенными программами типа Norton Utility, Rar.exe, а так же встроенные в электронные почтовые сообщения.
Рассмотрены способы совершения ряда наиболее часто встречающихся преступлений, при подготовке, свершении и (или) сокрытии которых использовались программно-компьютерные средства К этим преступлениям отнесены: клевета (ст. 129), и оскорбление (ст. 130), хулиганство (ст.213), вандализм (ст.214), кража (ст. 158), мошенничество (ст.159), нарушение авторских и смежных прав (ст 146), изготовление или сбыт поддельных денег или ценных бумаг (ст 186), изготовление или сбыт поддельных кредитных либо расчетных карт или иных платежных документов (ст 187), терроризм (ст. 205),.
Хотелось бы отметить, что при расследовании преступлений, связанных с программно-компьютерными средствами, част приходится рассматривать дела по совокупности статей: преступления, предусмотренные в 28 Главе УК России, и преступления, предусмотренные иными главами Это обуславливается тем, что способы совершения преступлений зачастую охватывают сразу несколько статей. Примером этому могут служить практически все преступления рассмотренные в этом параграфе Из их описания видно, что производство следственных действий к которым
относится и экспертное исследование программных продуктов, по делам, связанным с программными средствами, обусловлено рядом характерных особенностей, которые будут рассмотрены далее.
Второй параграф посвящен обоснованию выделения судебной программно-компьютерной экспертизы в отдельный род судебных экспертиз, и рассмотрению ее предмета, объектов и задач.
Предмет судебной программно-компьютерной экспертизы можно определить как факты и обстоятельства, имеющие значение для уголовного, гражданского или арбитражного дела, связанные с созданием, использованием или распространением компьютерных программ, устанавливаемые на основе специальных познаний в области информационно-вычислительной техники, программирования и алгоритмизации.
Использование программного обеспечения, позволяющего управлять работой компьютерной техники во всех сферах человеческой деятельности, не исключая и криминальную, поставило задачу исследования этих новых объектов в интересах суда и следствия Поскольку компьютерные программы в процессе своего создания проходят три стадии: алгоритм, исходный тексты программы и сама программа, исходя из этого, родовыми объектами судебной программно-компьютерной экспертизы являются: исполняемые модули, пакеты, алгоритмы и исходные тексты программ
Задачи экспертизы классифицируются по различным основаниям. По цели, как основному содержанию понятия задачи, в литературе различают две больших категории- идентификационные и диагностические.
Идентификационные задачи - решаются в процессе отождествления объекта по его материально фиксированным отображениям, то в судебной программно-компьютерной экспертизе к ним можно отнести:
- индивидуальное отождествление оригинала программы (инсталляционной версии) и её копии на носителях данных компьютерной системы;
- установлением групповой принадлежности программного обеспечения по общим признакам;
- выявление частных признаков программы, позволяющих впоследствии идентифицировать ее авторство;
- выявление частных признаков программы, позволяющих впоследствии выявить взаимосвязь с информационным обеспечением исследуемой компьютерной системы;
- выявление частных признаков программы, позволяющих впоследствии выявить взаимосвязь с аппаратным обеспечением исследуемой компьютерной системы;
- установление признаков контрафактности представленных на экспертизу информационно-программных продуктов.
Диагностические задачи - касаются определения свойств и состояния объекта исследования, установления отклонений от определенных характеристик, определения причин этих изменений и меры ее связи с совершенным преступлением.
К диагностическим задачам судебной программно компьютерной экспертизы относятся:
- определение основных характеристик операционной системы;
- выявление и исследование функциональных свойс(в. а также настроек программного обеспечения, времени его инсталляции (установки на машинный носитель);
- определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объем, дата создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, « недокументированных функций);
- диагностирование алгоритма программного продукта (представленного как в виде программного продукта, так и графического или текстового файла);
- установление видов инструментальных средств, использованных при разработке программного продукта (алгоритма);
- установление типов аппаратно-программных платформ, поддерживаемых программным продуктом;
- установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений (обновлений, изменений состава);
- определение целей и условий изменения свойств и состояния программного обеспечения (преднамеренное изменение каких-либо функций, конфигурирование на конкретную аппаратную среду);
- установление способа осуществления изменений в программе (например, воздействие вредоносной программы, ошибки программной среды, несанкционированный доступ);
- определение свойств и состояния программы по ее отображению в обрабатываемых данных (по содержанию служебных, системных файлов), по обеспечивающим аппаратным средствам;
- выявление структуры механизма события по результатам работы программного обеспечения и в динамике;
- установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями.
Необходимость в выделении судебной программно-компьютерной экспертизы в отдельный род судебных экспертиз возникла в связи с выделением в нем следующих видов судебной экспертизы
- Экспертиза системного программного обеспечения
- Экспертиза сервисов ШеЬ-серверов.
- Про1 раммно-компьютерная экспертиза системной безопасности
- Про! раммно-компьютерная экспертиза баз и банков данных
Оно базируется на необходимости для экспертов познаний не только в общей теории программирования, но и в ряде отличных друг от друга областей
В первую очередь эго касается инструментария и углубленного знания характеристик не только отдельных операционных систем, но и даже их частей
Третий параграф диссертационного исследования посвяшен анализу процессуальных и тактических особенностей производства следственных действий, связанных с собиранием криминалистически значимой информации о программных продуктах. Основными следственными действиями при собирании криминалистически значимой информации по подобным уголовным делам, по мнению диссертанта, являются' следственный осмотр, обыск, выемка, допрос участников процесса, следственный эксперимент и арест вычислительной сети.
В диссертации отмечается, что при расследовании преступлений связанных с использованием или созданием программно-компьютерных средств проводятся следующие виды осмотров:
- Осмотр места происшествия или помещений, не являющихся местом преступления, при осуществлении которого следователь должен сосредоточить внимание не только на программной составляющей, но и на аппаратной, поскольку работа некоторых программных продуктов напрямую зависит от нее (например: наличие модемной или иной связи для работы локальных и/или глобальных сетей)
- Осмотр предметов - аппаратных составляющих компьютера и внешних носителей информации. В процессе осмотра предметов возможно обнаружение криминалистически значимой информации о программных продуктах, например, выяснение того, какие программы могут быть установлены на компьютер, лицензионные ли они, установление возможных способов попадания программного продукта в компьютер или в компьютерную сеть.
- Осмотр документов. Тщательный осмотр всех документов, вплоть до клочков бумаги и записей на упаковках носителей информации, может нести криминалистически значимую информацию. Это объясняется тем, что практически всс пользователи информационно-компьютерных систем, и в большей мере программисты и системные администраторы, ведут записи различных параметров и опций системы При этом, как правило, делают заметки в процессе работы над профаммными продуктами на различных клочках бумаги, иногда на том, что попалось под руку (коробки, лейблы, вкладыши внешних носителей информации) Подобного рода записи могут сыграть важную роль для следствия.
Обыск состоит в отыскании и принудительном изъятии из помещений, находящихся в ведении обыскиваемого лица, членов его семьи или организации или у самого обыскиваемого аппаратных, программных компьютерных средств, внешних носителей компьютерной информации, документов, имеюших значение для расследуемого дела.
В диссертации указывается, что основной задачей руководителя следственной группы и специалистов, проводящих обыск или осмогр, применительно к программным средствам является обеспечение сохранности
криминалистически значимой информации о программных продуктах, имеющейся на внутренних и внешних носителях информации
Выемка состоит в изъятии аппаратных, программных компьютерных средств и внешних носителей информации, имеющих значение для дела, местонахождение которых известно. Во время проведения выемки не разрешается при отказе выдать веши или выдачи только части вещей проводить их поиски, даже если известно где они находятся
В результате проведенного диссертантом исследования следственной и оперативной практики установлено, что в ряде случаев отсутствие специалиста при проведении перечисленных следственных действий приводит к тому, что вместо искомых предметов и документов изымаются другие, не имеющие отношение к делу. Так при выемке текстов программных продуктов необходимо удостовериться в том, что изымаемый текст является исходным текстом интересующего следствие программного продукта. Именно участие соответствующего специалиста помогает следователю выявить признаки, свидетельствующие об отношении предмета или документа к расследуемому событию.
При проведении перечисленных следственных действий во время расследования преступлений, в которых были использованы программные средства тем или иным образом, необходимо учитывать ряд тактических особенностей, присущих именно этим преступлениям
Первой из них является получение максимума информации об объекте осмотра (обыска, выемки). По вопросу состава этой информации мы согласны с профессором Российской Е.Р и доктором юридических наук Усовым А И , которые в своих трудах указывают на го, что она должна состоять из выяснения следующих данных:
- количество компьютеров и их типы;
- организация электропитания и наличие автономных источников питания;
- используемые носители компьютерных данных;
- наличие локальной сети и выхода в другие сети;
- используемое системное и прикладное программное обеспечение;
- наличие систем защиты информации, их типы;
- возможность использования средств экстренного уничтожения компьютерной информации;
- квалификация пользователей и их взаимоотношения в коллективе;
- персонал, обслуживающий технику и их отношения друг с другом и с пользователями сети.
Второй, немаловажной особенностью является, впрочем, как и при проведении аналогичных действий по делам, связанным с компьютерными преступлениями, подбор участников оперативной группы В нее необходимо включить, по возможности, максимальное количество специалистов в области информационно-вычислительной техники и программирования Именно они должны совершать все необходимые действия по осмотру, изъятию и
закрепления полученной информации о программных продуктах. Остальных участников следственной группы надо привлекать исключительно к выполнению задач, обеспечивающих беспрепятственную работу специалистов Выполнение данных требований гарантирует, что не будет по невнимательности или неосторожности совершены действий, которые повлекут за собой невосполнимую потерю данных К гаким действиям можно отнести некорректный выход из программы, подключение или отключение дополнительных аппаратных средств и т.п
Третья особенность напрямую зависит от наличия необходимой техники. Хотелось бы отметить, что проведение следственных действий по делам, связанным с необходимостью сбора криминалистически значимой информации о программных продуктах, как ни какие иные следственные действия по «компьютерным» преступлениям, требует наличия у оперативной группы техники, позволяющей обследовать вычислительные машины, расположенные на месте происшествия (обыска, выемки), не прибегая к внутренним средствам самих исследуемых компьютеров. Эти требования возникают потому, что модули исследуемого программного обеспечения или же иные программные продукты, уничтожающие информацию, могут быть привязаны к выполнению подчас «безобидных» действий именно на конкретном аппаратном обеспечении, и могут не позволять копировать именно с него данные на иные носители информации. К разряду такой техники относятся, портативные компьютеры, переносные винчестеры, иные внешние носители информации, позволяющие производить с них загрузку необходимых программ.
Проанализировав тактические и процессуальные особенности осмотра, обыска и выемки, которые уже были частично рассмотрены в работах Российской Е.Р., Усова А.И., Васильева А А и др., автор пришел к выводу о том, что существует еще три следственных действия, не рассматриваемых ранее, с ярко выраженными особенностями их проведения, в результате проведения которых можно получить криминалистически значимую информацию о программных продуктах Это допрос, наложение ареста на вычислительную сеть и следственный эксперимент.
Допрос - следственное действие, заключающиеся в получении и закреплении (фиксации) устных сведений - показаний - о существенных для данного дела обстоятельствах
На стадии подготовки к допросу специалист в области программирования и алгоритмизации может помочь следователю сформулировать вопросы, требующие познаний в отделенных областях науки, техники, искусства, ремесла. На этой же стадии он, по указанию следователя, может приготовить технические средства для предъявления в ходе допроса вещественных доказательств, например, текстов программных продуктов, продемонстрировать работу программного модуля.
На основной стадии специалист включается в допрос после того, как следователь выяснил все интересующие его обстоятельства С разрешения следователя задает допрашиваемому вопросы которые касаются деталей, связанных со специальными знаниями, требующих уточнения Участвующий в
допросе специалист так же помогает следователю точнее уяснить обстоятельства расследуемого дела.
При расследовании уголовных дел, связанных с созданием и использованием программных продуктов, следственные эксперименты проводятся для установления возможности конкретных лиц работать с определенными программами, подключаться к сетям ЭВМ (включая глобальную сеть), осуществлять удаленный доступ, производить поддельные деньги, создавать прикладные и системные программы, манипулировать программными средствами и данными с использованием имевшихся у них на момент совершения преступления конкретных аппаратно-технических и программных средств, при воздействии иных, установленных входе расследования, факторов и др.
Помимо следственных экспериментов по установлению возможностей выполнения определенных действий могут проводиться эксперименты по установлению возможностей наступления определенных последствий. Основная масса этих экспериментов направлена на проверку возможностей и функциональных характеристик вредоносных программ.
Еще одним необходимым процессуальным действием при расследовании компьютерных преступлений на наш взгляд является наложение ареста на вычислительную сеть (предложено впервые Российской Е.Р), к сожалению пока не получившим отражение в законодательстве Российской Федерации. Это действие наиболее актуально именно для сохранения криминалистически значимой информации о компьютерных программах, поскольку в результате него блокируется работа всей вычислительной сети (ВС), следовательно, исключается возможность изменить виртуальную следовую картину, как на рабочих станциях', так и на серверах" с использованием удаленного доступа или доступа из локальной сети.
Арест вычислительной сети наиболее актуален для разветвленной сети с большим количеством серверов и рабочих станций, поскольку именно в таких сетях бывает трудно сразу определить, где именно можно обнаружить криминалистически значимою информацию, связанную с расследуемым преступлением. Это связано с тем, что при таком построении ВС возможно распределенное хранение данных; протоколирование совершаемых в сети программных действий как централизованное, так и локальное (на каждой машине пользователя); программно- и аппаратно-организованное разграничение прав доступа, связанное как с авторизацией пользователя, так и ЭВМ. Все это обуславливает необходимость создания условий полной
1 Рабочая станция [work station] 1 ЭВМ, рассчитанная на одного попьчоватегся но более тошная, чем персональный компьютер Обычно исполыуется как профессионально ориентированное автоматизированное рабочее место 2 ЭВМ включенная в локальную вычисли гельную сеть
" Сервер [server] 1 Программа предоставляющая определенные услуги другим программам, которые называются ктиентами Программа-сервер и прираммы-кчиепты могут выполняться на одном или на равных компьютерах 2 ЭВМ, на которой выпоппяется программа-сервер
изоляции сети до завершения исследования всех ее составляющих на предмет обнаружения необходимой следствию информации о программных продуктах
Подводя итог всему выше сказанному, необходимо отметить две основных особенности проведения следственных действий, связанных с собиранием криминалистически значимой информации о программных продуктах'
первое - следственные действия по данным делам требуют участия в них специалистов в области информационных технологий;
второе - необходимость использования специальной техники не только на стадии проведения судебной программно-технической экспертизы, но и при проведении иных действий по собиранию и проверке доказательств.
Вторая глава «Производство судебной программно-компьютерной экспертизы, оценка и использование ее результатов» состоит из трех параграфов и посвящена раскрытию правовых, организационно-методических и технологических основ производства судебной программно-компьютерной экспертизы.
В первом параграфе исследуются вопросы назначения судебной программно-компьютерной экспертизы. Предлагается решение совместно со специалистом относительно судебной программно-компьютерной экспертизы вопросов:
- определение вида (рода) экспертизы;
- выбора экспертного учреждения и эксперта;
- формулирование вопросов эксперту;
- подготовка материалов для экспертизы, в том числе и подбор образцов для сравнительного исследования;
- о целесообразности назначения дополнительной, повторной, комиссионной, комплексной экспертизы.
Рассматриваются вопросы необходимости назначения и производства комплексных судебных программно-компьютерных экспертиз и иных родов и видов судебной экспертизы. Приводятся наиболее актуальные на сегодняшний день области специальных знаний, в комплексе с которыми должна назначаться СПКЭ. К ним относятся судебная финансово-экономическая экспертиза, бухгалтерская экспертиза, судебно-техническая экспертиза документов, судебная информационно-компьютерная экспертиза (данных), автороведческая судебная товароведческая и др.
Во втором параграфе рассматриваются общетеоретические основы и методические рекомендации производства судебных программно-компьютерных экспертиз Автором предложены порядок проведения, средства и методы исследования программных средств компьютерных систем.
Исследование объектов проводится по обшей схеме включающей в себя подготовительный и аналитический этапы
Надо отметить, что из-за своей специфичности объекты судебной программно-компьютерной экспертизы могут быть представлены как в электронном виде, так и на бумажных носителях Осмотр объектов в первом случае проводится по общим правилам применимым к объектам компьютерно-
технической экспертизы При представлении объекта СГНО на бумажном носителе информации компьютерной системы, в основном он совпадает с осмотром документов поступивших для проведения технико-криминалистическо! о исследования документов
По характеру выполняемых действий осмотр объектов СПКЭ можно разделить на' общий осмотр, осмотр вложений и внешний осмотр компьютерных средств (в частности, носителей информации) При внешнем осмотре изучаются следственные документы поступившие вместе с объектами, а та к же целостность печатей и упаковки. Особое внимание нужно уделить объектам судебной программно-компьютерной экспертизы, представленным в электронном виде. Они могут быть предоставлены как на внешних носителях информации (FDD, CD стримерных кассетах и др.), так и на внутренних, установленных внутри компьютерной системы. Необходимо проверить исключение возможности доступа к программному продукту после изъятия объекта При осмотре вложений проводится вскрытие упаковки и внешний осмотр носителей информации.
Осмотр объектов судебной программно-компьютерной экспертизы должен заканчиваться подробным описанием признаков исследуемых носителей информации Для аппаратных носителей, как внешних, так и внутренних, этими признаками являются: тип (вид, модель); форм-фактор и геометрические размеры; цвет; наличие или отсутствие серийного номера, кода и т.п.; отличительные признаки и особенности с полным их описанием и составом (кнопки, переключатели, наклейки, характерные надписи, повреждения и т.п.). Для бумажных носителей - тип размер, цвет, наличие повреждений, способ нанесения информации, реквизиты, иные характерные отметки (например, комментарии на полях). Признаки самих программных объектов устанавливаются в ходе экспертного исследования.
Проведение организационно-технических мероприятий, необходимых для последующих исследований, включает определение требуемого технического (стендового оборудования, либо специального аппаратно-программного инструментария) и организационно-методического обеспечения (экспертных методик, рекомендаций, инструкций и пр.). В процессе этих действий эксперт СПКЭ должен, в соответствии с разработанным планом действий, наметить перечень аппаратно-программных средств, которые он будет использовать при исследовании, определить степень своего участия и способ взаимодействия с другими экспертами при проведении комплексной и комиссионной экспертизы.
Все инструментальные средства для исследования объектов судебной программно-компьютерной экспертизы представпяют собой компьютеры и компьютерные программы Их задача выявить признаки исследуемого объекта, которые смогут послужить основанием для выводов, гипотез или утверждений в рамках проводимой экспертизы.
Все средства можно условно поделить на средства, которые исследуют динамические характеристики программы и статические характеристики К статическим характеристикам программы относятся ее структура,
используемые модули, интерфейсы, размер файла, в котором содержится код программы, дата его создания К динамическим характеристикам время и скорость выполнения отдельных функций программы, используемые ресурсы операционной системы, генерируемые сообщения (для MS Windows), используемые программой функции операционной системы (для Windows -API функции), используемые внешние устройства
Аналитический этап судебной программно-компьютерной экспертизы. В общем случае, при производстве судебной программно-компьютерной экспертизы может осуществляться, как раздельное, так и сравнительное исследование При изучении свойств и состояния объекта СПКЭ, чаще всего выполняется раздельное (аналитическое) исследование В этом случае сущность действий эксперта заключается в выявлении общих и частных признаков, необходимых для решения поставленной экспертной задачи. При решении идентификационной задачи может проводиться сравнительное исследование объектов, в ходе которого эксперт будет искать совпадения или различия в исследуемых программных продуктах. Примером этому может служить сравнительное исследование программ на обнаружение признаков контрафактности.
Выполнение аналитического этапа судебной программно-компьютерной экспертизы требует учета не только вида исследуемого объекта (§ 1.2 данного диссертационного исследования), но и способа его представления. Так при исследовании текстов программ представленных на бумажных носителях, необходимо предварительно провести аналитическое исследование представленного текста и лишь за тем перенести программу на стендовый компьютер эксперта для дальнейшего исследования В случаях предоставления объектов в электронном виде, наоборот, всегда объект сначала переносится на стендовый компьютер эксперта и только затем происходит его исследование
При исследовании различных объектов судебной программно-компьютерной чкспер1 изы так же применяются различные методы исследования Так при исследовании исполняемых модулей применяется дизассемблирование, а при исследовании текстов программ компилирование Возможно применение различных методов и при сравнительном исследовании алгоритмов программных продуктов Важно отметить одно, все применяемые методы заимствованы из области информационных технологий, а именно из программирования.
При рассмотрении исследовательского этапа автором были разработаны методические рекомендации по исследованию программных продуктов на признаки контрафактности и поиска признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования
Анализ результатов исследования и формулирование выводов эксперта по судебной программно-компьютерной экспертизе являются заключительной частью аналитического этапа. Анализ результатов проводится путем обобщения всех ранее рассмотренных признаков в их совокупности. В этой стадии находят свое применение логические методы- синтез, дедукция,
индукция; вероятностно-статистические методы и модельные методы исследования.
В третьем параграфе на основе анализа следственной и судебной практики производится исследование оценки заключения эксперта по судебной программно-компьютерной экспертизе следователем и судом с точки зрения его допустимости, относимости, наличия и характера связей между ними
По мнению автора, оценка таких экспертных выводов осуществляется по общим правилам оценки доказательств с учетом особенностей, характерных для заключений экспертов Совершенствованию этого процесса и преодолению трудностей, возникающих у субъекта доказывания, будут способствовать-
1. Установление компетентности эксперта, выполнившего судебную программно-компьютерную экспертизу. С точки зрения диссертанта, этому способствует установление специальной, экспертной подготовки лица, проводящего экспертизу, которая должна быть проведенной по одной из предложенных схем:
- Прием на работу специалистов в сфере современных информационных технологий с последующим повышением их квалификации в области криминалистики, судебной экспертизы, основ общего и процессуального права;
- Открытие в юридических вузах специальности «судебная экспертиза», а в ней специализацию «компьютерно-техническая экспертиза»;
- Открытие в технических вузах специальности «судебная экспертиза» со специализацией «судебная компьютерно-техническая экспертиза».
А так же выяснение квалификационного уровня эксперта. Этот критерий компетентности эксперта может быть реализован через систему аттестации сотрудников экспертных подразделений с присвоением квалификационной категории (первой, в юрой, высшей) по аналогии с системой, действующей в здравоохранении.
2. Осуществление контроля над процессуальной «чистотой» объектов судебной программно-компьютерной экспертизы, их корректным изъятием и хранением.
3 Использование экспертом СПКЭ только паспортизированных экспертных методик и апробированных программно-технических средств.
Указанные условия оценки заключений СПКЭ позволят эффективнее использовать результаты данного вида экспертных исследований в судопроизводстве
В заключении по итогам проведенного исследования и обобщения полученных результатов формулируются выводы и предложения.
Устанавливается, что практически все преступления, сопряженные с созданием и использованием программно-компьютерных средств, напрямую связаны с преступлениями, заключающимися в осуществлении атак на информационно-компьютерные системы, лишь небольшая их часть
представляет собой неправомерное использование программных средств полученных легальным способом
Отмечается, что широкая область применения компьютерных технологий в преступной деятельности и высокая степень се латентности, напрямую свидетельствуют о необходимости скорейшего становления теоретических и методических основ Судебной программно-компьютерной экспертизы, которая является самостоятельным родом судебных экспертиз, входящим в класс судебных компьютерно-технических экспертиз. Также в заключении показано, что объективное определение механизма и динамики преступного события в сфере современных информационных технологий, возможно лишь при всестороннем использовании специальных познаний СПКЭ в совокупности с иными областями судебно-экспергной деятельности.
Подводятся итоги анализа специальных знаний, показывающего, что не смотря на обязательные для всех знания в общей теории программирования и алгоритмизации, профессионалы. специализирующиеся в различных направлениях СПКЭ, должны обладать обширными знаниями в ряде областей отличных друг от друга. В первую очередь это касается инструментария и углубленного знания характеристик не только отдельных операционных систем, но и даже их частей.
Предлагаются способы подготовки квалифицированных кадров для проведения судебной программно-компьютерной экспертизы
Устанавливается, что при проведении следственных действий, связанных с собиранием криминалистически значимой информации о программных продуктах необходимо участие специалиста в области программирования и алгоритмизации. Это объясняется отсутствием у следователей достаточной подготовки в области информационных технологий и устоявшихся представлений о возможностях судебной программно-компьютерной экспертизы.
Всесторонне рассмотренные в работе действия эксперта СПКЭ на подготовительной стадии, в процессе детального исследования объектов экспертизы, а также оценке результатов исследования позволяют эффективно провести исследование программно-компьютерных средств и сформулировать полученные экспертом выводы
В заключении отмечается, что при оценке и использовании результатов судебной программно-компьютерной экспертизы следователем и судом, их рассмотривают с точки зрения относимости, допустимости и достоверности полученных доказательств. Повышение доказательственной ценности выводов СПКЭ неразрывно связано с дальнейшим совершенствованием ее методического обеспечения и повышением уровня квалификации экспертов ее проводящих.
Основные положения диссертационного исследования опубликованы в следующих работах автора:
1 Семикаленова А.И Усов Л И Проблемы экспертного исследования информационно-программных продуктов на признаки контрафактности Сб тезисов докл Всеросс конфер "Состояние, проблемы применения и
совершенствования законодательства о борьбе с организованной преступностью и коррупцией", М.: Московский институт МВД России, 2000 (0,2 п.л.)
2. Семикаленова А.И. К вопросу подготовки экспертов в области компьютерно-технической экспертизы. Информатизация правоохранительных систем IX международная научная конференция: Сборник трудов, Академия управления МВД России, 2000 (0,2)
3. Семикаленова А.И., Усов А.И., Прозоров А.А. Применение специальных познаний при ус гановлении признаков контрафактности информационно-программной продукции: Сб. Экспертная практика. №49, М.,ГУ ЭКЦ МВД России, 2000 (0,6)
4. Зубаха B.C., Саенко Г.В., Волков Г.А., Белый С.Л., Усов А И., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы (Методические рекомендации). -М.: ГУ ЭКЦ МВД России, 2001 (3,4 п.л.)
5. Зубаха B.C., Усов А.И., Семикаленова А.И. Установление контрафактности информационно-программной продукции // Бюллютень «Оператино-розыскная работа»,М., МВД России, №1,2001 (0,4 п.л )
6. Саенко Г.В., Волков Г.А., Усов А.И., Семикаленова А.И. Роль и место судебной экспертизы в борьбе с компьютерной преступностью // Материалы рабочей группы «Влияние информационных технологий на национальную безопасность» - 4-я конференция Консорциума ПрМ, -М.: МГУ им.Ломоносова, 2001. (0,1 пл.)
7. Семикаленова А.И. Некоторые правовые вопросы, решаемые при установлении контрафактное™ информационно-программных продуктов // Криминалистика. XXI век: Материалы научно-практической конференции, в 2-т -М.: ГУ ЭКЦ МВД России, 2001. Т 1 (0,25 п.л.)
8. Семикаленова А.И., Усов А.И. Криминалистические аспекты борьбы с кибертерроризмом // Материалы 2-й Международной научно-практической конференции «Мировое сообщество в борьбе с терроризмом», М.: «Интерполитех», 2001 (0,2 п.л )
9 Актуальные проблемы разработки методического обеспечения экспертного исследования компьютерных программ. // Научное издание. Воронежские криминалистические чтения. Сборник научных трудов. Выпуск 5, Воронеж, 2004 (0,2 п.л.)
Сдано в печать 13 января 2005г. Объем печати 1 п л Заказ № 523. Тираж 110 экз. Отпечатано- ООО «Спринт-Принт» г. Москва, ул Краснобогатырская, 92 тел 963-41-11,964-31-39
да- 15 2t
РНБ Русский фонд
2006-4 2529
СОДЕРЖАНИЕ ДИССЕРТАЦИИ по праву и юриспруденции, автор работы: Семикаленова, Анастасия Игоревна, кандидата юридических наук
Введение.
Глава 1: Теоретические и процессуальные аспекты судебной программнокомпьютерной экспертизы.
§ 1.1. Способы совершения и сокрытия преступлений, сопряженных с использованием программно-компьютерных средств.
§ 1.2. Предмет, объекты и задачи судебной программно-компьютерной экспертизы. $ 1.1. Процессуальные и тактические особенности производства следственных действий, связанных с собиранием криминалистически значимой информации о программных продуктах.
Глава 2. Производство судебной программно-компьютерной экспертизы, оценка и использование ее результатов.
§ 2.1. Особенности назначения судебной программно-компьютерной экспертизы.
§ 2.2. Основы методики производства судебной программнокомпьютерной экспертизы.
§ 2.3. Оценка и использование результатов экспертизы судебной про|раммно-компыотерных средств.
Заключен».
ВВЕДЕНИЕ ДИССЕРТАЦИИ по теме "Судебная программно-компьютерная экспертиза по уголовным делам"
Актуальность темы исследования
Массовая компьютеризация, начавшаяся в России в конке 80-х - первой половине 90-х годов, привела к развитию рынков компьютеров и программного обеспечения, повышению профессиональной подготовки пользователей, увеличению потребностей организаций в совершенствовании технологий обработки данных, значительно расширила сферу применения ЭВМ Благодаря ей стало возможным связать в огромную информационную систему практически весь мир, скорость и полнота движения информации по которой значительно превышает аналогичные параметры движения информации по телефонным и телеграфным сетям. Также стало возможным более точное осуществление сложнейших расчетов и выкладок за короткие промежутки времени, хранение больших упорядоченных массивов информации, передача видео- и аудиоинформации, документов практически в масштабе реального времени. Развитие программных и аппаратных средств привело к тому, что интерфейс человек - компьютер - человек стал чрезвычайно простым в освоении. С современным компьютером сегодня справится даже ребенок. Но этот факт никак не умаляет возможностей, которые можно реализовать при помощи компьютера, тем более, если он подключен к какой-либо глобальной, региональной или локальной сет*.
Как любой инструмент, компьютер можно использовать как для благих дел, так и во вред. Преступное сообщество просто не могло пропустить такой уникальный инструмент как компьютер и не пропустило. Результатом этого стало появление нового вида преступности, который в Уголовном кодексе Российской Федерации получил название «Преступления в сфере компьютерной информации». Именно им посвящена 28 глава УК РФ. Надо отметить, что не только в преступлениях, означенных в этой гаме, используются средства вычислительной техники, но и в целом ряда преступлений, относящихся к другим главам уголовного кодекса (мошенничество, кража, хулиганство и т.д.). Количество таких преступлений возрастает пропорционально распространению компьютерных систем в самые разнообразные сферы жизнедеятельности общества. Только в 2000 г. было зарегистрировано 800 преступлений в сфере неправомерного доступа к компьютерной информации1.
Однако данная статистика далеко не полно отражает современные масштабы компьютерной преступности, прежде всего из-за ее высокой ла-тентности. Проведенный опрос более 100 роео&еких компаний, работающих в сферах высоких технологий, телекоммуникаций и бизнеса, показал, что 65% опрошенных сообщили о нарушениях компьютерной безопасности в течение 2001 г. Причем половина случаев связана с попытками несанкционированного доступа в систему извне и изнутри компании, 26% опрошенных столкнулись с отказом в работе важнейших корпоративных систем. Опрос 459 директоров фирм по ннформшдювтыи технологиям и руководителей компаний в 17 странах в 2002 г. показал, что 40% организаций вообще не расследуют случаи несанкционированного доступа в информационные сети (ИС), и такое же число организаций в состоянии обнаружить только атаку на ИС2.
Сбор доказательств по «компьютерным» преступлениям, а также их квалификация, не возможна без исследования прсигрвммного обеспечения. Результатом таких исследований должно стать обследование программного комплекса на предмет возможности совершения с его помощью или в отношении его преступных деяний или обнаружения на нем следов преступления. Подобные исследования в уголовно-процессуальном законодательстве получили название экспертных исследований.
Аидоев Б.В., Пак П.Н. и ф. Расследование преступлений гофере компьютерной информации. - М., 2001.
2 Мур М. Исследования в обняли информациошюй-безопасное^ Научно-практическая конференция «Безопасность тетсоммумиюцпшшх и информационных технологий для взаимодействия граждан, "бизнеса и органов государственной власти». - М., 2002.
С развитием научной деятельности и возникновением новых научшх направлений, теорий и открытий в криминалистической практике возникает сначала необходимость» а затем и появляется как вид, род или класс новых экспертиз, исследующих те новые, но уже вошедшие в общественную жизнь достижения научно-технического прогресса. Именно это и произошло с компьютерным программным обеспечением. Его стремительное развитие обусловило возникновение нового вод» женсршз - программно-компьютерных, которые вошли в класс инженерно-технических экспертиз на основе того, что своим рождением сама вычислительная техника обязана именно инженерно-технической мысли. В основе ее деятельности лежат законы и открытия, сделанные именно в этой области научных познаний. Однако, несмотря на научную подкрепленность со стороны технических наук развитие компьютерно-технических экспертиз в нашей стране затрудняю. Это связано с наличием проблем как процессуального, так и организационного порядка, решение которых потребовало скорейшего начала исследований по вопросам разработки и применения криминалистических методов и средств для производства экспертных исследований компьютерного программного обеспечения.
Основной чертой современного состояния экспертного исследования компьютерных средств является не только отсутствие нормативно-методического обеспечения самой экспертизы, но и непроработанность процессуальных аспектов с ней связанных. Существующие же в настоящее время материалы обладают общим характером и, в основном, направлены на рассмотрение работы оперативно-розыскных и следственных органов, связанной с получением информации, представленной в виде электронных документов, графических изображений, видео- и аудиоинформации. Однако уже на сегодняшний день практика раскрыла и расследования преступлений, сопряженных с использованием компьютерных средств, настоятельно требует разработки системных методических рекомендации, позволяющих повысить эффективность сбора, исследования и использования доказательств. В связи с этим существенно возрастает роль применения специальных инженерных познаний в расследовании этого вида преступлений. Одной из важных ссорой этой деятельности является исследование программных продуктов, направленное на выявление фактов и обстоятельств, связанных с противоправным использованием и разработкой программных компьютерных средств, что и определяет актуальность поставленных вопросов. Именно на их разрешение будет направлено диссертационное исследование. Научную новизну сосшиют основные положения по выбору, созданию и применению методически подходов к использованию специальных познаний в области исследования программно-компьютерных средств.
Целью исследования является решение актуальной научно-прикладной задачи по разработке теоретических и методических основ экспертного исследования программного обеспечения компьютерных систем. Она заключается в обосновании предмета и объектов нового рода судебной компьютерно-технической экспертизы (СПКЭ), формулировании методических рекомендаций по ее назначению, производству, оценке и использованию ее результатов. Достижению цели исследования способствовала постановка и решение еще двух задач, а именно: анализ споссбов совершения и сокрытия преступлений, сопряженных с созданием и использованием программного обеспечения, и выработка рекомендаций по проведению следственных действий, связанных с собиранием криминалистически значимой информации о программных продуктах.
Предмет исследования представляют закономерности формирования системы научно-технических и правовых знаний, синтез которых составляют научную и практическую основу судебной программно-компьютерной экспертизы (СПКЭ).
Объектом исследования является экспертная деятельность по исследованию программных средств, создаваемых и используемых при совершении компьютерных преступлений.
Методологической и теоретической основой исследования послужили основные положения материалистической диалектики как общенаучного метода познания, законы, подзаконные и нормативные акта, определяющие работу следственных, экспертных и судебных учреждений. При решении поставленных задач нами использовался широкий круг методов научного исследования: системно-структурный метод, методы наблюдения, сравнительного анализа, обобщение следственной и судебной практики.
Исследования, проведенные на стыке ряда научных дисциплин, потребовали использования литературы в области философии, логики, уголовно-правовых наук, кибернетики, математики, информатики и других наук, что предопределило комплексный характер данного исследования.
Теоретическую основу работы составили труды ученых в области криминалистики и судебной экспертизы. Методологические основы СКТЭ, как самостоятельного рода класса инженерно-технических экспертиз, были впервые исследованы Е.Р. Российской (1996), а в последствии (1997-2002) в работах Е.Р. Российской и А.И. Усова эта теория получила свое дальнейшее развитие. Ряд положений, связанных с классификацией СКТЭ, были высказаны Т.Н. Абдурагимовой (2001), Т.В. Аверьяновой (1999-2001), А.В. Гор-тннским (2000), ВЛ. Мещеряковым (2000-2002), А.И. Яковлевым (2000), А.А. Васильевым (2002) и другими научными и практическими работниками ЭКУ. А.И. Усовым (2002) было произведено полное исследование концептуальных основ судебной компьютерно-технической экспертизы, одной из составляющих которой и является судебная программно-компьютерная экспертиза.
Эмпирическая база исследования. В течение 1999-2002 гг. нами было изучено свыше 150 заключений экспертов, в которых проводилось исследование компьютерных средств. Произведен обзор и анализ отечественного и зарубежного опыта. В процессе исследования автор участвовал в работе по темам НИР «Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» (коллектив авторов ЭКЦ МВД России и ЮИ МВД РФ) № 4.2 плана НИР 2000 г. и «Методы и средства решения задач КТЭ» №303.13 плана НИР 2001 - 2002 гг. ЭКЦ МВД России. Их разработка велась в соответствии с Постановлением Правительства РФ №1701-р от 22.10.1999 г. Результаты исследований обсуждались в ГУ ЭКЦ МВД России и в ЮИ МВД России и получили одобрение. Диссертантам использован также собственный огшт экспертной деятельности по исследованию компьютерных средств, в том числе и в ГУ ЭКЦ МВД России. В дисоертационном исследовании использовались документы юридической направленности из практики правоохранительных и судебных органов, в частности уголовные дела, экспертные заключения и приговоры суда. В работе над диссертацией также использованы законы и подзаконные акты, регламентирующие роботу экспертных, саедсгтвеюшх подразделений МВД России, судебных и экспертных учреждений Министерства юстиции России.
Научная новизна диссертационного исследования состоит в уточнении существующих и создании новых теоретических и практических аспектов использования специальных знаний в области компьютерных средств при расследовании и раскрытии преступлений. Форма их применения - судебная программно-компьютерная экспертиза. В роботе исследуются и обосновываются правовые, процессуальные, организационные и методические аспекты судебно-экспертной деятельности по исследованию программно-компьютерных средств.
На защиту выносятся следующие положения: 1. Преступления, сопряженные с созданием и использованием программно-компьютерных средств, не ограничиваются только преступлениям!, предусмотренными 28 главой УК РФ, и на сегодняшний день вюпочшот большое количество иных преступлений (терроризм, хулиганство, кражи, нарушение авторских прав и т.д.)
2. Способы совершения и сокрытия преступлений, сопряженных с использованием и производством программных продуктов, определяющие выбор средств и методов для производства судебной программно-компьютерной экспертизы, в большинстве своем осуществляется в виде проведения атак на информационно-компьютерные системы. Лишь небольшая их часть представляет собой неправомерное использование программных средств, полученявдс легальным способом (нарушение авторских и смежных прав, изготовление и сбыт поддельных кредитных карт, ценных бумаг, денежных знаков и т.д.).
3. Судебная программно-компьютерная экспертиза средств является новым родом судебных экспертиз, относящихся к классу компьютерно-технических. В состав этого рода входят четыре вида судебных экспертиз: экспертиза системного программного обеспечения; экспертиза сервисов Web-серверов; программно-компьютерная экспертиза системной безопасности; программно-компьютерная экспертиза баз и банков данных.
4. В число объектов СПКЭ входят исполняемые модули и пакеты программ, алгоритмы, исходные тексты программ представленные как на электронных, так и на бумажных носителях.
5. Производство следственные действия по собиранию криминалистически значимой информации о программных продуктах, сопряжено с сбяэатель-ным участием в них специалистов в области информационных технологий и необходимостью использования специальной техники.
6. Проведенный в работе анализ следственной и экспертной практики показал, что объективное определение механизма и динамики преступного -события в сфере современных информационных технологий, возможно лишь при всестороннем использовании специальных знаний СПКЭ в совокупности с иными областями судебно-экспертной деятельности. Такими как: судебными экономическими, судебиюш тшеиержьтехническинш, товароведческими (автироведческими) экспертизами. В связи с этим установлено, что наиболее оптимальным решением проблемы выбора эксперта и экспертного учреждения для назначения судебной программно-компьютерной экспертизы является сбравденне в государственные судебно-экспертные учреждения.
7. Предложения по оптимизации процесса оценки результатов судебной программно-компьютерной экспертизы следователем и судом. Она должна осуществляться по общим правилам оценки доказательств. Совершенствованию этого процесса м преодолению трудностей, возникающих у субъекта доказывания, будут способствовать:
- установление компетентности эксперта, выполнившего судебную программно-компьютерную экспертизу, с помощью системы квалификационных категорий, которая может быть реализована через систему аттестаций сотрудников экспертных подразделений с присвоением квалификационной категории (первой, второй, высшей) по аналогии с системой, действующей в здравоохранении;
- контроль над процессуальной «чистотой» объектов судебной программно-компьютерной экспертизы, их корректным изъятием и хранением;
- использование экспертом СПКЭ только паспортизированных экспертных методик и апробированных программно-технических средств.
8. Предложения по совершенствованию подготовки специалистов в области СПКЭ. Наиболее эффективным способом подготовки экспертов судебной программно-компьютерной экспертизы является создание в технических вузах отделений или факультетов, где будет осуществляться подготовка судебных экспертов в рамках высшего профессионального образования по специальности «Судебная экспертиза» со специализацией «судебная компьютерно-техническая экспертиза», в рамках которой и будет проводиться более узкая специализация по изучению судебной протрамшю-компьютерной экспертизы.
Апробация и внедрение в практику и учебный процесс результатов диссертационного исследования проводились на научно-практических конференциях и семинарах в Академии управления МВД России («X Международная конференция по информатизации правоохранительных систем» (г. Москва, 2000г.); в Московском институте МВД Роесии «Состояние, проблемы применения и совершенствования законодательства о борьбе с организованной преступностью и коррупцией» (2000 г.); ив 4-ой конференции Консорциума ПрМ в МГУ им. Ломоносова (2001 г.) в рабочей группе «Влияние информационных технологий на национальную безопасность»; ГУ ЭКЦ МВД России (2001 г.) «Криминалистика. XXI век», «Мировое сообщество в борьбе с терроризмом» (2001 г.).
Основные положения диссертации опубликованы в 9 научных статьях, в отчетах по няучно-исхледовательской работе «Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» // Тема НИР № 4.2. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ. 2000., Отчет о научно-исследовательской работе «Выбор классификационных признаков и обоснование системы структурных методов и средств производства КТЭ» // Промежуточный отчет. Тема НИР №3.13. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ.2001, Отчет о научно исследовательской работе «Методы и средства решения задач компьютерно-технической экспертизы // Заключительный отчет, Тема НИР №3.7. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ, 2002. и в методических рекомендациях, внедренных в учебные процессы МГТУ мим. Н.Э.Баумана в курсе компьютерно-техническая экспертиза» и МПОА, спец-семинар ««Судебная экспертиза в уголовном и гражданском судопроизводстве» по ценам об административных правонарушениях».
Структура диссертационного исследования предопределена смыслом и логикой исследования. Работа состоит из введения, двух глав, заключения, списка литературы и приложения.
ВЫВОД ДИССЕРТАЦИИ по специальности "Уголовный процесс, криминалистика и судебная экспертиза; оперативно-розыскная деятельность", Семикаленова, Анастасия Игоревна, Москва
Выводы эксперта СПКЭ могут иметь различную логическую форму. Существует много таких форм. Поскольку от этого во многом зависит доказательственное значение заключения, рассмотрим основные из них.
По содержанию выводы эксперта можно разделить на идентификационные и диагностические. Для идентификационных исследований характерны три вида выводов - об индивидуальной принадлежности, о родовой (групповой) принадлежности и о том, что объекты имеют единый источник происхождения. Второй дается тогда, когда индивидуальное тождество оказалось по каким-либо причинам недостижимым. Последняя группа выводов формулируется в тех случаях, когда невозможно корректно ответить на вопросы о полном отождествлении программных продуктов, чаще всего они даюггся при исследовании объектов поступивших на экспертизу в различном исполнении (например, программный модуль и текст программы).
В ходе диагностического исследования может быть сформулировано несколько типов видов. Так, при проведении классификации, т.е. установлении принадлежности объекта к какому-то классу объектов СПКЭ, формулируется классификационный вывод. В отличие от идентификационных исследований, здесь задача установления индивидуального тождества не ставится, объект исследуется в единственном числе, без какого-либо сравнения с дру
147 Судебно-компьютерное исследование компьютерных средств н систем: Основы методического обеспечения: Учебное пособие / А.И. Усов // Нод ред. проф. Е.Р. Российской. - М.: Издательство «Экзамен», издательство «Право и закон», 2003. гими, и отнесение его к какому-либо классу является конечной целью исследования. Он обычно имеет самостоятельное доказательственное значение148 (например, при отнесении объекта СПКЭ к конкретному виду программного обеспечения - прикладное, системное).
При проведении общего диагностического исследования компьютерных средств определяются свойства и состояние объекта, соответствие или несоответствие их какой-то норме149 (например, соответствие типа файла, описания его содержания и указанного в имени файла расширения).
При ситу алогических исследованиях объектов СПКЭ (когда анализу подвергается какое-то событие, информационный процесс) даются выводы о механизме события или его отдельных фрагментах, условиях и обстоятельствах (месте, времени, последовательности и т.п.)1S0. Например, при определении действий, выполнявшихся с программным обеспечением, с выявлением количества, времени, условий их модификации, при проведении нелегального доступа в компьютерные системы.
Кроме приведенного деления выводов по их содержанию существуют и другие формы выводов (по иным основаниям)151.
По определенности (степени их подтвержденное™) выводы делятся на: категорические - выводы, содержащие достоверные знания эксперта о факте, независимо от каких-либо условий его существования. Могут быть утвердительно положительными и утвердительно отрицательными. Даются тогда, когда результаты исследования полностью его подтверждают 152. На
148 См., например, Криминалистика. Учебник под ред. Р.С. Белкина. - М.: 1999
149 Там же.
150 Там же.
131 Орлов Ю.К. Заключение эксперта и его оценка по уголовным делам.-М.:Юрнст,
1995.
152 Энциклопедия судебной экспертизы/Под ред. Т.В.Аверьяновой, Е.Р. Российской. - М.: «Юристь»,1999. пример, выявленные программные средства (указывается перечень файлов) обладает признаками вредоносности; вероятные - выводы, содержащие обоснованное предположение (гипотезу) эксперта об установленном факте. Обычно они отражают неполную внутреннюю психологическую убежденность в достоверности аргументов, среднестатистическую доказанность факта, невозможность достижения полного знания. Они допускают возможность существования факта, но ж исключают абсолютно другого (противоположного вывода). По существующему законодательству вероятный вывод не может быть использован в обвинительном заключении, решении суда и пр. Однако подобный вывод может являться обосновывающим новые знания, быть использован как ориентирующая информация при разработке следственных версий и т.п. Кроме того, необходимо отметить, что при получении общего вероятного вывода по экспертизе некоторые промежуточные выводы могут быть и категоричными153.
В выводах о возможности, в отличие от выводов о действительности, констатируется не факт объективной действительности, а лишь возможность какого-либо события, явления (например, наличие установок средств удаленного доступа к сети о возможности работы в сета Интернет). Возможность не следует смешивать с вероятностью. Если вероятность - это характеристика нашего знания, которая может повышаться по мере его углубления, то возможность - это объективное состояние вещей. Возможность устанавливается достоверно и, будучи установленной, не меняется от того, реализовалась она практически или нет. Поэтому недопустима встречающаяся в практике подмена вероятных выводов выводами о возможности. Это может привести к путанице и ошибкам. Например, вывод типа: «Использование данного программного продукта могло повлечь за собой несанкционированную модификацию информации», — можно понять и как то, что модификация информации, вероятно, произошла в результате работы именно этой программы, и как
153 Там же. то, что данная программ не имеет к этому никакого отношения. Она лишь может совершить модификацию, при определенном стечении обстоятельств, происшествие которых эксперту достоверно установить не удалось. Поэтому выводы о «возможности» должны формулироваться экспертом только в том случае, когда им решается вопрос не о имевшем место в действительности факте, а о фактической возможности какого-либо события, явления154 (например, о возможности осуществления несанкционированного доступа к информации с помощью представленного программного обеспечения).
По отношению к установленному факту: положительные (утвердительные) и отрицательные - отрицательный вывод констатирует отсутствие устанавливаемого факта, свойства (например, на представленном компьютере не обнаружено программное обеспечение с признаками контрафактности). Обычно отрицательной вывод является оправдательным доказательством. От отрицательных выводов необходимо отличать отрицающие формулировки типа «не исключено», «не означает» и т.п. Употребление таких формулировок в выводах справедливо признается недопустимым. Так, вывод типа «не исключено, что данный документ был подготовлен на представленном компьютере», по существу равнозначен выводу о невозможности решения вопроса, поскольку последний тоже не исключает такой возможности. Поэтому отрицающие формулировки не несут никакой дополнительной информации, а лишь затрудняют понимание вывода. Вместе с тем они вполне допустимы не в -самом выводе, а в пояснениях (комментариях) к нему, которые нередко выносятся в синтезирующую часть заключения эксперта и могут иметь большое значение для правильного понимания и оценки вывода155 (например, эксперт, установив, что исследуемые файлы относятся к файлам баз данных, что они были созданы и управляются
154См., например, Орлов Ю.К. Заключение эксперта и его оценка по уголовным делам. - М.: Юрист, 1995.
155 Орлов Ю.К. Заключение эксперта и его оценка по уголовным делам. - М.: Юрист, 1995. одной СУБД, может указать, что это не означает их принадлежность к одной и той же базе данных, т.е. существование между ними функциональной взаимосвязи).
По характеру отношений между следствием и его основанием: условные - признание факта в зависимости от определенных обстоятельств, достоверности предыдущих знаний, доказательственности других фактов {если ., то .). Таким образом, истинность данного вывода ставится в зависимость от какого-либо условия156 (например, найденная вредоносная программа имеет дату создания 00.00.00, если настройки системной даты не подвергались модификации); безусловные - признание факта, не ограниченное ни какими условиями157 (например, на данном компьютере была обнаружена программа, несанкционированно копирующая содержащуюся в системе информацию на конкретный адрес электронной почты). Выводы данного типа могут также высказываться в категорической и вероятностной форме.
По выбору одной из двух (или нескольких) исключающих друг друга возможностей: альтернативные {многовариантные) — выводы, содержащие строго раздельное суждение, указывающее на возможность существования любого из перечисленных в нем взаимоисключающих фактов и необходимость выбора следователем (судом) какого-либо одного из них и признание его имевшим место в действительности. Т.е. альтернативный вывод формулируется, когда эксперту не удалось прийти к единственному варианту решения, и ито
56Энциклопедия судебной экспертизы / Под ред. Т.В. Аверьяновой, Е.Р. Роосин-ской. - М.: «Юристы»,1999.
157 Энциклопедия судебной экспертизы / Под ред. Т.В. Аверьяновой, Е.Р. Российской. - М.: «Юристы»,1999. гом исследования явилось несколько вариантов 158 (вирусная программ могла попасть в компьютерную систему по сети Интернет или занесена пользователем при помощи внешнего магнитного носителя). Альтернативные выводы допустимы, когда названы все без исключения альтернативы: каждая из них должна исключать другую, и тогда от ложности одного можно логически перейти к истинности другого, от истинности первого к ложности второго); однозначный вывод дается, когда эксперт приходит к единственному варианту решения (исследуемые программы имеют единый источник происхождения).
Завершающий этап с составлением заключения эксперта. На данном этапе составляется текст заключения, приложения, оформляются иллюстрации, упаковываются объекты и другие поступившие на экспертизу материалы. Необходимо отметить, что уголовно-процессуальный закон регламентирует содержание заключения эксперта лишь в самых общих чертах. Однако на практике выработаны подробные реквизиты заключения эксперта, и определена его структура, что нашло закрепление в различных ведомственных положениях и инструкциях, регулирующих деятельность экспертных учреждений, а также отражено в бланках (образцах) заключения эксперта. Для РФЦСЭ при Минюсте России таким документом является Приказ № 364 от 20 декабря «Об утверждении Методических рекомендаций по производству судебных экспертиз в государственных судебно-экспертных учреждениях системы Министерства юстиции Российской Федерации». Упаковка объектов, поступивших на исследование, должна производится в соответствии с рекомендациями, предложенными в § 1.3 настоящей диссертации.
Итак, исходя из изложенного, можно сделать вывод, что представленные элементы экспертной методики по проведению экспертизы аппаратно-компьютерных средств, базируются на изложенных
158 См., например, Энциклопедия судебной экспертизы / Под ред. Т.В. Аверьяновой, Е.Р. Российской. - М.: «Юристь», 1999. Орлов Ю.К. Заключение эксперта и его оценка по уголовным делам. - М.: Юрист, 1995. выше принципах, и при правильном выборе эксперта способны обеспечить составление качественного экспертного заключения. Рассмотренные в этом параграфе аспекты предоставляют широкие возможности эксперту СПКЭ как по проведению самого экспертного исследования, интерпретации полученных результатов, так и по выработке содержания заключения экспертизы.
§ 23. Оценка и использование результатов экспертизы судебной программно-компьютерных средств.
Обязательным элементом процесса судебного доказывания является оценка собранных по делу доказательств, которая производится следователем или судом по своему внутреннему убеждению, на основе всестороннего, полного и объективного рассмотрения всех обстоятельств дела » их совокупности (ст. 17 УПК РФ). В соответствии с уголовно- процессуальным законодательством результаты судебной программно-компьютерной экспертизы, представленные в виде заключения эксперта, являются доказательствами, а, следовательно, их оценка производится по общему правилу оценки доказательств. Под оценкой доказательств понимается логический процесс определения их допустимости, относимости, наличия и характера связей между ними, определение значения и путей использования доказательств для обнаружения истины159. Особенности оценки такого специфичного вида доказательств как заключение эксперта подробно рассматривались в работах многих ученых: Арсеньева В.Д.160, Белкина Р.С.161, Корухова Ю.Г.162, Орлова
159 Белкин Р.С. Собирание, исследование и оценка доказательств. Сущность и методы. - М.,1966. - С.66-67
1М Арсеньев ВД Актуальные вопросы оценки заключения эксперта как доказательства по уголовному делу // Теоретические и методические вопросы судебной экспертизы: Сб. науч. трудов ВНИИСЭ. - М., 1985.
161 Белкин Р.С. Указ. раб. с. 281-203
Ю.К.163, Российской Е.Р.164 и др. Поэтому, для рассмотрения данного вопроса относительно судебной программно-компьютерной экспертизы может быть применена общая схема оценки заключения, разработанная в криминалистической литературе165: допустимость заключения: соблюдение порядка назначения и проведения судебной программно-компьютерной экспертизы; соблюдение процедуры постановки вопросов об исследовании программ эксперту на судебном разбирательстве; подлежит ли эксперт отводу; правильность оформления заключения судебной программно-компьютерной экспертизы; допустимость объектов экспертизы: соблюден ли процессуальный порядок получения программных объектов; соблюдены ли правила транспортировки и хранения информационных носителей, на которых записаны программные объекты; определение достоверности заключения:
162 Корухов Ю.Г. Достоверность экспертного заключения и пути совершенствования ее оценки //Вопросы теории судебной экспертизы и совершенствование деятельности судебно-экспертных учреждений: Сб. науч. трудов ВНИИСЭ.- М., 1988. - с.6-8
163 Орлов Ю.К. Заключение эксперта и его оценка по уголовным делам. М., 1995. с.
40-55
164 Российская ЕЛ1. Судебная эксперта» в уголовном, гражданском и арбитражном процессе. - М., 1996.
165 См., например, Лифшиц Е.М., Михайлов В.А. Назначение и производство экспертизы. - В.: ВСШ МВД РФ, 1977; Российская Е.Р. Судебная экспертиза в уголовном, гражданском, арбитражном процессе, М,: Право и закон, 1996.
- надежность примененной методики по исследованию программных продуктов;
- правомерность применения методики исследования программных продуктов в конкретном случае;
- достаточность представленного эксперту исследовательского материала;
- правильность представленных исходных данных о программном продукте; определение обоснованности полученных результатов:
- определение полноты проведенного экспертом исследования программного продукта;
- степень подтверждения вывода проведенным исследованием программного продукта; определение доказательственного значения заключения.
Отправным моментом всего процесса оценки является определение допустимости заключения судебной программно-компьютерной экспертизы, которая заключается в проверке соблюдения процессуального порядка подготовки, назначения и проведения экспертизы. Проверке подлежат: законность назначения данной экспертизы и соблюдение необходимых требований к постановлению о ее назначении; соблюдение охраняемых законом прав обвиняемого и других участников процесса при производстве СПКЭ и назначении экспертизы; соблюдение процессуального порядка разъяснения эксперту его прав и обязанностей и предупреждения об уголовной ответственности за дачу заведомо ложного заключения; наличие всех необходимых по закону реквизитов заключения как процессуального акта.
Вопросы оценки заключения эксперта с точки зрения его допустимости подробно рассмотрены в процессуальной литературе166, однако, как показывает изучение судебно-следственной практики, в отношении судебной программно-компьютерной экспертизы они вызывают затруднения. Основываясь на проведенных нами исследованиях167, мы пришли к выводу о том, что основную сложность вызывает вопрос проверки соответствия квалификации и опытности эксперта. Следователь и суд затрудняются объективно оценить компетентность эксперта, так как эти сведения, отражаемые в заключении, носят формальный характер. Представляется, что ни стаж работы, ни образовательная специальность, указываемая в заключении, не могут характеризовать в полном объеме экспертную компетентность и способность решить поставленные задачи. Мы, так же, как и ряд ученых, занимавшихся этой проблемен!168, считаем, что оценка компетентности эксперта судебной программно-компьютерной экспертизы должна идти по пути выяснения трех основных составляющих его подготовки: специального образования (в нашем случае - в области информационных технологий); судебно-экспертной подготовки; квалификационного уровня эксперта.
166 Петрухин И.Л. Экспертиза как средство доказывания в советском уголовном процессе. - М., 1964. - с.245. Белкин Р.С. Указ. раб., с.287-288.
167 НИР-2000 № 4.2. «Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» - М.: ЭКЦ МВД, 2000
168 См., например, Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001. с. 262. Семикаленова А.И. К вопросу о подготовке экспертов в области компьютерно-технических экспертиз. // Информатизация правоохранительных систем. IX международная научная конференция. Сборник трудов. - М.: 2000, с. 438-432. Шведова Н.Н. Применение компьютерных технологий в технико-криминалистических исследованиях документов. Дисс. . кнд. Юрнд. Наук. - Волгоград: ЮИ МВД, 1999.
Совершенно очевидным является то, что эксперты должны обладать познаниями как в сфере информационных технологий, так и в сфере криминалистики, судебной экспертизы и общих основ права.
Опираясь на предложенный перечень познаний, необходимых для эксперта в области судебной программно-компьютерной экспертизы, мы можем поставить вопрос о подготовке экспертных кадров необходимой квалификации. На наш взгляд существует три способа решения этой проблемы.
Прием на работу специалистов в сфере современных информационных технологий с последующим повышением их квалификации в области криминалистики, судебной экспертизы, основ общего и процессуального права.
Довод о том, что специалисты в области судебной программно-компьютерной экспертизы должны очень хорошо разбираться в вопросах, связанных с программным обеспечением, не подлежит сомнению. Исходя из этого, подобный выбор подготовки персонала является достаточно обоснованным. Такие специалисты хорошо подготовлены в области наук, связанных с информационными технологиями. Они получили соответствующую практическую и теоретическую подготовку в области естественнонаучного и технического познания мира, обладают широкими навыками в обращении с компьютерной и иной техникой, имеющей в основе своей работы теорию образования и движения информационных процессов. Таким образом, данные специалисты подходят в полной мере для проведения СПКЭ. Тем не менее, необходимо учитывать и процессуальную сторону деятельности эксперта.
Из процессуального законодательства нам известно, что экспертное заключение является доказательством. Однако, как мы уже говорили, оценка достоверности установленных экспертом выводов представляет собой сложный процесс. Так, следователем или судом всегда обсуждается вопрос о допустимости заключения эксперта как источника доказательств. И в этом процессе важную роль играет его приемлемость с точки зрения процессуальной формы и соблюдения экспертом процессуальных положений. Они как раз и свидетельствуют о компетенции эксперта и являются далеко не последним доказательством этого. Именно поэтому такие специалисты могут и должны получить необходимую им юридическую подготовку в процессе работы, обучаясь на курсах повышения квалификации по следующей программе169: базовая юридическая подготовка в одном из юридических вузов или на курсах повышения квалификации (примерный тематический план подготовки экспертов государственных судебно-экспертных учреждений по специальности судебная программно-компьютерная экспертиза предложен в приложении 2); стажировка в одном из экспертных учреждений, проводящих СПКЭ; участие в научно-практических семинарах и тематических конференциях.
Однако, взглянув на этот способ решения кадровой проблемы с другой стороны, становится ясно, что, беря во внимание стремительный рост числа преступлений, так или иначе связанных с программными средствами, и соответственно растущие потребности в проведении СПКЭ, отвлечение экспертов от производственного процесса станет маловероятным и неэффективным. При этом затяжной процесс обучения в области юриспруденции приведет к серьезным экспертным ошибкам.
169 Приказ Минюста РФ № 112 от 15.06.2004
Открытие в юридических вузах специальности «судебная экспертиза», а в ней специализацию «компьютерно-техническая экспертиза».
Изначально судебных экспертов - экспертов криминалистов начали готовить в юридических вузах системы МВД. И сейчас в Саратовском юридическом институте проводятся семинары и стажировки. Однако необходимо напомнить, что, по нашему мнению, судебная программно-компьютерная экспертиза является родом экспертиз, относящихся к классу компьютерно-технических экспертиз. Вследствие этого обучение СПКЭ в рамках ее класса с углубленной специализацией на последних годах обучения является наиболее продуктивным способом подготовки экспертов данного направления.
Рассматриваемый способ является в какой-то мере противоположным предыдущему. При этом способе эксперты для проведения СПКЭ готовятся в юридических вузах и на протяжении всего обучения получают хорошую юридическую подготовку. Студенты, выбравшие своей специальностью СПКЭ, должны будут помимо курсов по праву, судебной экспертизе и криминалистики изучить общематематические и естественнонаучные предметы, а также специализированные курсы информационных технологий.
Несомненным плюсом данного способа подготовки специалистов является то, что они будут обладать более глубокими познаниями в области права. Минусом - то, что эти вузы, обладая хорошей юридической базой, имея сильные преподавательские составы и налаженный учебный процесс по юридическим и иным гуманитарным наукам, практически не обладают достаточной технической базой, необходимой для подготовки специалистов в области СПКЭ. Существующие в таких вузах кафедры информатики на оегодняшний день не готовы обучать тонкостям информационных технологий. Поскольку организация новых технических и естественнонаучных кафедр, а также наработка практико-теоретических основ в гуманитарных учебных заведениях очень долгий и трудоемкий процесс, естественным было бы предложить создать факультеты судебной компьютерно-технической экспертизы в технических вузах страны.
Открытие в технических вузах кафедры «судебнаи экспертиза» со специализацией «судебная компьютерно-техническая экспертиза».
Этот способ подготовки представляется наиболее подходящим. Так как большое количество государственных технических учебных заведений на сегодняшний момент имеют хорошую, устоявшуюся за много лет, теоретическую базу в технических областях науки, а также хорошо поставленный и отработанный учебный процесс именно по компьютерно-информационным направлениям. Подобные вузы страны также имеют неплохую техническую базу, способную обеспечить всем необходимым студентов, обучающихся по этим специальностям. Но, к сожалению, у них есть один немаловажный недостаток - юридические направления там практически не развиты, что и является несомненным минусом этого способа подготовки специалистов. Однако существует возможность его преодоления без больших потерь для учебного процесса. Так, юридическое образование можно развить на основе уже имеющихся гуманитарных кафедр, добавив к ним необходимые кафедры права, криминалистики и судебной экспертизы, или приглашать для преподавания этих дисциплин преподавателей из юридических вузов, успевших уже зарекомендовать себя с хорошей стороны. Чтение лекций, проведение семинаров и лабораторных работ по техническим и естественнонаучным предметам в этом случае могли бы вестись по уже отлаженным методикам. Принимая во внимание все выше сказанное и учитывая быстрый рост коммерческих гуманитарных учебных заведений, хотелось бы отметить, что данный подход является наиболее оптимальным решением проблемы. Именно в таких вузах и при таких условиях появилась бы возможность открыть специальность компьютернотехнической экспертизы, которая выпускала бы квалифицированные экспертные кадры, в том числе и по судебной программно-компьютерной экспертизе.
Подобные рассуждения о подготовке специалистов в области судебной экспертизы на базе технических вузов уже не один год рассматриваются в научных кругах170. Разрабатываются новые методики, учебные планы, в которых большое внимание придается именно техническим и естественным наукам, предполагается наиболее полное совместное использование всех возможностей технических и юридических вузов. Одним из ярких примеров такой работы без сомнения является открытие специальности «судебная экспертиза» в Ml "1'У им. Н.Э. Баумана. Подготовленный таким образом специалист будет удовлетворять критерию компетентности по первым двум признакам, а именно специального образования и судебно-экспертной подготовке. Пока этих специалистов готовят в рамках второго высшего образования. Однако планируется со следующего учебного, года начать подготовку в рамках первого образования. Этим специалистам будут выдавать дипломы государственного образца. Однако необходимо отметить, что этот способ подготовки специалистов не будет исключать аттестацию экспертов на получение права подписи.
Последний из указанных критериев оценки компетентности эксперта (квалификационный уровень эксперта) может быть реализован через систему аттестации сотрудников экспертных подразделений с присвоением квалификационной категории (первой, второй, высшей) по аналогии с системой, действующей в здравоохранении171. Деятельность ныне сущест
170 См., например, Усов А.И. Концептуальные основы судебной компьютерно-технической экспертизы. Дисс— докт-юрид. наук - М., 2002.
171 Приказ Министра здравоохранения ■ медицинской промышленности Российской Федерации № 33 от 16.02.1995 г. "Об утверждении положения об аттестации врачей, провизоров и других специальностей с высшим Образованием в системе министерства здравоохранения". вующих квалификационных комиссий нередко сводится к оформлению допусков к производству того или иного вида экспертиз специалистам, впервые принимаемыми на должность эксперта в данные подразделения. Представляется, что процедура аттестации должна быть тесно связана с непосредственным повышением экспертной квалификации в специализированных учебных заведениях, региональных базовых экспертных подразделениях. Таким образом, квалификационная категория эксперта действительно будет отражать уровень его компетенции, что облегчит оценку заключения по судебной программно-компьютерной экспертизе следствием
172 и судом
Следующим вопросом, которому следует уделить особое внимание, является допустимость объектов судебной программно-компьютерной экспертизы, исследующихся во время судебной программно-компьютерной экспертизы. Если изучаемые программные средства будут признаны недопустимыми, то автоматически теряет это свойство и само данное по ним заключение. В связи с этим всегда должна быть проверена процессуальная сторона объектов экспертного исследования. Для этого, прежде всего, нужно установить, был ли законным способ их получения. Анализ практики собирания доказательств по делам, связанным с созданием и использованием программных продуктов, показывает, что компьютерные средства могут быть изъяты в ходе следственного действия (осмотра, обыска, выемки) либо представлены кем-нибудь из участников процесса или посторонними лицами. Техническая документация на программные продукты, как проектного, так и пользовательского содержания, может быть истребована в учреждениях, предприятиях и у должностных лиц. В любом случае при совершении означенных действий должен быть соблюден процессуальный порядок получения следователем (судом) этих объектов. Особенно это относится к получению в ходе
172 Шведова Н.Н. Применение компьютерных технологий в технико-криминалистических исследованиях документов. Дисс. . кнд. Юрид. Наук. - Волгоград: ЮИ МВД, 1999. следственных действий объектов, которые в дальнейшем могут стать вещественными доказательствами (главы 24 и 25 УПК РФ). Если при зтом были допущены существенные нарушения (например, изменена информация о последнем запуске программного продукта), ставящие под сомнение достоверность результатов следственного действия (например, осмотра содержимого винчестера компьютера), то вещественные доказательства могут быть признаны недопустимы»»!. А это, в свою очередь, влечет недопустимость и заключения эксперта по исследованию объектов СПКЭ.
При изучении материалов уголовных дел173 было установлено, что в большинстве случаев защитой ставились под сомнение выводы экспертизы именно в связи с исследованием недоброкачественных в процессуальном смысле объектов. Объяснением этой ситуации является то, что следователи до настоящего времени часто переоценивают свои навыки по работе с компьютерной техникой и с программным обеспечением в частности, поэтому изъятие нередко происходит с грубыми тактическими нарушениями. Изымаемые объекты подробно на месте не осматриваются, и в протоколах никак не отражаются их индивидуальные признаки. Так, на наш взгляд, при изъятии программного продукта должно быть зафиксировано не только его название и месторасположение на носителе информации, но и его файловый состав со всеми атрибутами, описан способ изъятия и новое место расположения.
На допустимость объекта СПКЭ влияет не только соблюдение правил его получения, но и надлежащее его хранение уже после изъятия, в частности это касается носителей информации, на которых хранится программа - объект (ст. 82 УПК РФ). Оно должно исключать возможность преднамеренных или случайных изменений (подмены) объекта, так как сомнение в подлинности объекта экспертного исследования также может повлечь недопустимость заключения эксперта СПКЭ174.
173 Отчет о НИР «Методы и средства решения задач КТЭ» (промежуточиый).-М.ГУ ЭКЦ МВД России, 2000.
174 См., например, Орлов Ю.К. Указ. работа, с.43-44
Необходимо отметить, что эксперт, выполняющий судебную программно-компьютерную экспертизу, должен обращать внимание как на безупречность изъятия объектов, которое может осуществляться в рамках осмотра, обыска или выемки, так и на правильность упаковки, транспортировки и хранения. Последнее вызывает наибольшую тревогу, поскольку именно при хранении чаще всего бывают «скомпрометированы» будущие объекты исследований. Многие следователи пытаются самостоятельно, без соблюдения процессуальных требований, осмотреть и исследовать работу программных средств. При изъятии программных продуктов вместе с аппаратной составляющей компьютерной системы некоторые следователи заблуждаются, предполагая, что использование компьютерных средства в служебных или личных целях, не затрагивая программного обеспечения, предназначенного на исследование, не приводит к изменению, а в некоторых случаях даже уничтожению объекта. Однако, даже при отсутствии следов подобной деятельности на исследуемой программе, обнаружение их в системе в целом ставит под сомнение неизменность изъятого объекта. Анализ практики показывает, что именно такая версия защиты (внесение изменений в компьютерную программу после ее изъятия у пользователя) преобладает в делах, по которым проводилась СПКЭ.
Иногда судебно-экспертные исследования программно-компьютерных средств проводятся при недостаточных материалах. Эксперты редко пользуются правом участия в следственных действиях, а также истребования дополнительных материалов уголовного дела, которые следователь обязан предоставить при необходимости для исследования (ст.57 УПК РФ). Они должны проверять правильность исходных данных, указываемых в постановлении следователя или определении суда о назначении экспертизы. Не редко возникает ситуация, при которой эксперту не хватает тех данных, которые указаны в постановлении, и необходимо ознакомиться со всеми материалами, представленными в деле. Так, например, при поступлении на исследование компьютерной системы, в постановлении было указано, что лица, проходящие по данному уголовному делу, обвиняются в разбойном нападении, а вопрос был поставлен о том, можно ли с помощью представленного аппаратно-программного комплекса печатать поддельные рецептурные бланки? Для проведения исследования эксперту понадобились дополнительные материалы, в частности образцы тех поддельных рецептурных бланков, печать которых предполагалась с использованием представленной системы173.
Заключение
Актуальность проблемы расследования «компьютерных» преступлений, совершаемых с использованием программно-компьютерных средств и имеющих высокую латентность, обусловила выбор нами темы диссертационного исследования, связанной с разработкой теоретических и методических основ экспертного исследования компьютерных программ. Решение этой новой научной задачи обеспечивает расширение и усиление доказательственной базы при расследовании «компьютерных» преступлений, имеет существенное значение для криминалистики и требует адекватной методологии для ее разрешения.
По итогам проведенного исследования и обобщения полученных результатов сформулированы следующие выводы и предложения:
1) Для обеспечения быстрого и качественного расследования преступлений, сопряженных с созданием и использованием программно-компьютерных средств необходимо конкретизировать данные о способах их совершения и сокрытая. Практически все они напрямую связаны с преступлениями, заключающимися в осуществлении атак на информационно-компьютерные системы. Лишь небольшая их часть представляет собой неправомерное использование программных средств полученных легальным способом (нарушение авторских и смежных прав, изготовление и сбыт поддельных кредитных карт, ценных бумаг, денежных знаков и т.д.).
В рассмотренных способах совершения и сокрытия преступления программные продукты могут выступать в качестве средств совершения и сокрытия компьютерных преступлений, быть предметом преступного посягательства либо хранителями криминалистически значимой информации, возникающей при подготовке к преступлению и его осуществлении. Перечисленные в диссертационном исследовании особенности совершения рассматриваемой категории преступлений могут быть эффективно использованы при планировании расследования и их профилактики.
2) Широкая область применения компьютерных технологий в преступной деятельности и высокая степень ее латентности напрямую свидетельствуют о необходимости скорейшего становления теоретических и методических основ судебной компьютерно-технической экспертизы, в том числе и экспертиз программных средств (СПКЭ), часто единственного источника виртуальных следов криминального события. Решение этих вопросов позволит обеспечить эффективное и качественное повышение уровня расследования преступлений, совершаемых в сфере компьютерной информации.
3) Проведенный в работе анализ области специальных познаний, показывает, что несмотря на обязательные для всех познания в общей теории программирования и алгоритмизации, профессионалы, специализирующиеся в различных направлениях программно-компьютерной экспертизы, должны обладать обширными познаниями в ряде областей отличных друг от друга. В первую очередь это касается инструментария и углубленного знания характеристик не только отдельных операционных систем, но и даже их частей. На наш взгляд, дальнейшее развитие информационных технологий только увеличит перечень специализаций в области разработки и исследования программного обеспечения. Поэтому в работе сделан вывод о том, что назрела необходимость в выделении программно-компьютерной экспертизы в отдельный род судебных экспертиз с выделением в нем видов судебной экспертизы:
- Экспертиза системного программного обеспечения;
- Экспертиза сервисов Web-серверов;
- Программно-компьютерная экспертиза системной безопасности;
- Программно-компьютерная экспертиза баз и банков данных.
4) В работе предложено судебную программно-компьютерную экспертизу считать новым родом компьютерно-технических экспертиз, предметом которой являются факты и обстоятельства, имеющие значение для уголовного, гражданского или арбитражного дела, связанные с созданием, использованием или распространением компьютерных программ, устанавливаемые на основе специальных познаний в области информационно-вычислительной техники, программирования и алгоритмизации. Результатом проведенного в работе исследования стало выделение объектов судебной программно-компьютерной экспертизы, которыми являются программы для ЭВМ, алгоритмы, исходные тексты программ.
5) При изучении российского и зарубежного опыта по проведению следственных действий, связанных с собиранием криминалистически значимой информации о программных продуктах, нами было установлено, что в их проведении необходимо участие специалиста. Это объясняется тем, что специалист в сфере разработки и использования современных информационных технологий может четко определить, какая именно, где и в каком виде должна находиться криминалистически значимая информация, связанная с делами подобного рода. Наиболее полезно такое участие в следственном осмотре, обыске и выемке, допросе участников процесса, следственном эксперименте и аресте вычислительной сети, который, по нашему мнению, необходимо внести, как новое следственное действие в Уголовно-процессуальный кодекс Российской Федерации.
6) Проведенный в работе анализ следственной и экспертной практики показал, что объективное определение механизма и динамики преступного события в сфере современных информационных технологий возможно лишь при всестороннем использовании специальных познаний СПКЭ в совокупности с иными областями судебно-экспертной деятельности. Выявлены условия назначения комплексных экспертиз для решения смежных вопросов и взаимосвязь судебной программно-компьютерной экспертизы судебно-экономическими, инженерно-техническимии товароведческими экспертизами. В связи с этим также было установлено, что наиболее оптимальным решением проблемы выбора эксперта и экспертного учреждения для назначения судебной программно-компьютерной экспертизы является обращение в Государственные экспертные учреждения.
Помимо этого, нами заострено внимание на необходимости привлечения эксперта в качестве консультанта уже на стадии назначения судебной программно-компьютерной экспертизы, что объясняется отсутствием у следователей (судей) устоявшихся представлений о возможностях судебной программно-компьютерной экспертизы, а также недостаточной их подготовкой в области подготовки материалов для рассматриваемой экспертизы.
7) Всесторонне рассмотренные в работе действия эксперта СПКЭ на подготовительной стадии, в процессе детального исследования объектов экспертизы, а также оценки результатов исследования позволяют эффективно провести исследование программно-компьютерных средств и сформулировать полученные экспертом выводы. Анализ существующих и перспективных экспертных методов и средств исследования вещественных доказательств по уголовным делам, сопряженным с применением программно-компьютерных средств, позволил сформировать основы методического обеспечения СПКЭ.
Изученные требования к выводам судебной программно-компьютерной экспертизы и их классификация предоставляют широкие возможности эксперту по интерпретации и трактовке полученных результатов, стройному логическому оформлению своих умозаключений на основе выявленных или представленных ему данных об исследуемом объекте и общего научного положения в соответствующей отрасли знания.
8) Опыт предшествующего периода правоприменительной практики и современных условий позволил выработать определенные подходы при решении возникающих проблем оценки и использовании результатов судебной программно-компьютерной экспертизой следователем и судом. Поэтому они рассмотрены с точки зрения относимости, допустимости и достоверности доказательств. Повышение доказательственной ценности выводов СПКЭ неразрывно связано с дальнейшим совершенствованием ее методического обеспечения и повышением уровня квалификации экспертов ее проводящих.
9) К частным экспертным методикам, разработанным в ходе настоящего исследования, отнесены: методика по исследованию информационно-программной продукции на признаки котрафактности и методика поиска признаков выполнения несанкционированных действий или использования специальных программ удаленного администрирования. Указанные частные методики представляют собой способы решения соостветствующих конкретных задач судебной программно-компьютерной экспертизы
10) Важной составляющей при оценке экспертного заключения является профессиональная подготовка экспертов, его выполнивших. Так как судебная экспертиза - это новая синтетическая отрасль знания, включающая в себя подготовку по юридическим и экспертным дисциплинам, соответственно этому были предложены три способа подготовки квалифицированных кадров:
1. Прием на работу специалистов в сфере современных информационных технологий, с последующим повышением их квалификации в области криминалистики, судебной экспертизы, основ общего и процессуального права.
2. Открытие в юридических ВУЗах специальностей «судебная экспертиза», а в ней предусмотреть специализацию «судебная компьютерно-техническая экспертиза».
3. Открытие в технических ВУЗах кафедры «судебная экспертиза» со специализацией « судебная компьютерно-техническая экспертиза».
Наиболее перспективным, на наш взгляд, является третий способ подготовки. Поскольку именно он оптимально сочетает в себе возможность получения полноценной технической и юридической подготовки будущих экспертов.
БИБЛИОГРАФИЯ ДИССЕРТАЦИИ «Судебная программно-компьютерная экспертиза по уголовным делам»
1. Уголовно-процессуальный кодекс Российской Федерации. М.: ЭКМОС, 2002. -480с
2. Федеральный закон «О правовой охране программ для электронных вычислительных машин и баз данных» от 23 сентября 1992 г. № 35231, Ведомости съезда народных депутатов РФ и Верховного Совета РФ, 1992. №42
3. Приказ Министерства юстиции Российской Федерации № 34720 декабря 2002 г. «Об утверждении Инструкции по организации производства судебных экспертиз в судебных учреждениях системы Министерства юстиции Российской Федерации»
4. Приказ Министерства юстиции Российской Федерации № 112 «Об утверждении Положения об организации профессиональной подготовки и повышения квалификации государственных судебно-экспертных учреждений Министерства юстиции Российской Федерации»
5. Абдурагимова Т.Н. Расследование изготовления, сбыта и использов-ния поддельных пластиковых карт. М.: Право и закон, 2001. - 129 с.
6. Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Российская Е.Р., Криминалистика. Учебник для вузов. Под ред. Заслуженного деятеля науки Р.Ф., профессора Р.С. Белкина. М.: Издательская группа НОРМА - ИНФРА • М, 1999. - 990 с.
7. Андреас Ценк Novel NetWare 4.x : перевод с немецкого, К: Торгово-издательское бюро BMV, 1996 - с.784
8. Андреев Б.В., Пак П.Н. и др. Расследование преступлений в сфере компьютерной информации М., 2001. -231с
9. Белкин Р.С. Криминалистическая энциклопедия. М.: Мегатрон XXI, 2000-334 с.
10. Белкин Р.С. Курс криминалистики: Учебное пособие для вузов. — 3-еизд., дополненное. М.: ЮНИТИ-ДАНА, закон и право, 2001.- 837с.
11. Белкин Р.С. Собирание, исследование и оценка доказательств. М: Наука. 1966,-295 с.
12. Вещественные доказательства; Информационные технологии процессуального доказывания / Под общ. ред. д.ю.н., проф. В Л. Колднна. -М.: Издательство НОРМА, 2002. 768 с.
13. Винберг А.И. Криминалистическая экспертиза в советском уголовном процессе. М., 1956
14. Возможности производства судебной экспертизы в государственных судебно-экспертных учреждениях Минюста России. Научное издание М.: АНТИДОР, 2004. - 512 с.
15. Джек Такет (мл.), Стив Барнет Использование Linux : Специальное издание.: 5-е изд.: Пер с англ.: Уч. Пос. -М.: издательский дом «Вильяме», 2000. с. 784
16. Доказывание в уголовном процессе: традиции и современность/ Под ред. В .А. Власихинаю- М.: Юрист 2000. 272 с.
17. Дорот В. и Новиков Ф. Толковый словарь современной компьютерной лексики, С.-Пб.: «БВХ - Санкт-Петербург», 1999, - 384 с.
18. Жданов А.Г. Предмет, объекты и исходные данные пожарно-технической экспертизы -М.: ВНИИ МВД СССР, 1989. 72 с.
19. Зинин A.M. Криминалистика в следственных действиях: Учебно-практическое пособее / A.M. Зинин. М.: Издательство «Экзамен», издательство «Право и закон», 2004. — 144 с.
20. Зинин А.М. Криминалистика в следственных действиях: Учебно-практическое пособие. М.: Издательство «Экзамен», издательство «Право и закон», 2004.
21. Злотя В.П. и др. Методические рекомендации по выявлению и раскрытию нарушений авторских и смежных прав на аудиовизуальные произведения. М.: ВНИИ МВД России, 1999.-40 с.
22. Зубаха В .С., Усов А.И., Саенко Г.В., Волков Г. А., Белый С.Л., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. М.: ГУ ЭКЦ МВД России, 2000. -71с
23. Ищенко П.П. Специалист в следственных действиях (уголовно-процессуальный и криминалистические аспекты). — М.: 1990.
24. Колдин В.Я. Идентификация и ее роль в установлении истины по уголовным делам. М., 1969. - 144 с.
25. Комментарий к законодательству о судебной экспертизе. Уголовное, гражданское, арбитражное судопроизводство / Отв. ред. д.ю.н., профессор В.Ф. Орлова. М.: Норма, 2004 - 192 с.
26. Комментарий к Уголовному кодексу Российской Федерации изд. 2-е, изм. И доп. Под общ. Ред.ген.прокурора РФ, проф. Ю. И. Скуратоваи председателя Верховного Суда Р.Ф. В.М. Лебедева. —М.: Издательская группа ИНФРА-М НОРМА, 1997. - 815 с.
27. Криминалистика: Краткий курс/ Е.П. Ищенко; Моск.гос.юрид.акад. -М.: ИНФРА-М, 2003.- 302с.
28. Кушнеренко С.П., Е.И. Панфилова Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях: Учебное пособие. СПб., 1998. - 56с.
29. Лифшиц Е.М., Михайлов В.А. Назначение и производство экспертизы. В.: ВСШ МВД РФ, 1977.
30. Максимов В.Ю. Компьютерные преступления, (вирусный аспект). — Ставрополь: Кн. Изд-во, 1999. 112 с.
31. Медведовский И.Д, Семьянов П.В., ПлатоновВ.В. Атака через Internet / Под научной редакцией проф. П. Д. Зегжды. М: НПО «Мир и се-мья-95», 1997.
32. Методология проведения исследований и экспертиз аудиовизуальных произведений/Материалы семинара по Интеллектуальной Собственности для сотрудников МВД России. М.: ЭКЦ МВД России, 1999. -36 с.
33. Мещеряков АЛ. Преступления в сфере компьютерной информации: правовой и криминалистический анализ. Ворорнеж: Воронежский государственный университет, 2001.-176 с.
34. Михайлов В.А., Дубягин Ю.П. Назначение и производство судебной экспертизы. Уч. пособие. Волгоград, 1991. 260 с
35. Назначение и производство судебных экспертиз: Пособие для следователей, судей и экспертов. //Под ред. Аринушкина Г.П., Шляхова А.Р. М.: Юрид. лит., 1988. - 320 с
36. Нехорошее А.Б., Компьютерные преступления: квалификация, расследование, экспертиза. Часть 1 / Под ред. В.Н. Черкасова. Саратов: СЮИ МВД РОССИИ, 2003.- 204с.
37. Орлов Ю.К. Заключение эксперта и его оценка по уголовным делам, М.: Юрист, 1995. 64 с.
38. Основы судебной экспертизы. Часть 1. Общая теория / под ред. Ко-рухова Ю.Г. М.: РФЦСЭ, 1997. - 430 с.
39. Палиашвили А.Я. Экспертиза в суде по уголовным делам. М., 1973 — 142с.
40. Петрухин ИЛ. Экспертиза как средство доказывания в советском уголовном процессе. М., 1964. - 266 с.
41. Преступления в сфере компьютерной информации: квалификация и доказывание: Учеб. Пособие / Под ред. Ю.В. Гаврилина. -М.: ЮИ МВД РФ, 2003. -245с
42. Расследование неправомерного доступа к компьютерной информации: Учебное пособие / Под ред. профессора Н.Г. Шурухнова. М.: ЮИ МВД РФ, Книжный мир, 2001ю 88 с.
43. Расследование правомерного доступа к компьютерной информации. Учебное пособие. Изд. 2-е, дополненное и переработанное / Под ред. Д.ю.н. проф. Н.Г. Шурухнова. М.: Московский университет МВД России, 2004. - 352 с.
44. Рахунов Р.Д. Теория и практика экспертизы в советском уголовномпроцессе. М., 1953. -248 с.
45. Российская Е. Р. Криминалистика. Вопросы и ответы: Учеб. пособие для вузов. М: Закон и право, 2000. - 351с.
46. Российская Е.Р. Комментарий к Федеральному закону «О государственной судебно-экспертной деятельности в Российской Федерации».- М.: Право и закон; Юрайт-Издат, 2002. 384
47. Российская Е.Р. Судебная экспертиза в уголовном гражданском и арбитражном процессе, М.: Право и Закон, 2004. - 656 с.
48. Российская Е.Р. Судебная экспертиза в уголовном гражданском и арбитражном процессе. М.: Право и Закон, 1996. -224 с.
49. Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. — М.: Право и закон, 2001. — 416 с.
50. Словарь основных терминов судебных экспертиз. М.: ВНИИСЭ 1980.-22 с.
51. Современные возможности судебных экспертиз: Методическое пособие для экспертов, следователей и судей / Л.Д. Беляева, А.Ю. Буты-рин, Ю.М. Воронков и др.; нач. ред. Ю.Г. Корухов. М.: 2000. - 261 с.
52. Современный словарь иностранных слов. М.: «Русский язык», 1999.- 742 е.; Тихомирова Л.В., Тихомиров М. Ю. Юридическая Энциклопедия /Под ред. М.Ю. Тихомирова. М.: Издание г-на Тихомирова М.Ю., 1999. - 526 с
53. Соловьев В.Н. Вредоносные программы: расследование и предупреждение преступлений. -М.: Собрание, 2004. 224.С
54. Судебно-экспертное исследование компьютерных средств и систем: Основы методического обеспечения: Учебное пособие / Усов А. А. // Под ред. проф. Е.Р.Россинской. М: Издательство «Экзамен», издательство «Право и закон», 2003.
55. Уголовно-процессуальное право: Учебник под общей редакцией профессора, заслуженного деятеля наук РФ П.АЛупинской. 2-еизд., перераб. И доп. -М.: Юрист 1997. 591
56. Усов А.И. Методы и средства решения задач компьютерно-технической экспертизы: Учебное пособие. -М.: ГУ ЭКЦ МВД России, 2002. 368 с.
57. Фигурнов В.Э. IBM PC для пользователей. Изд. 7-е, перераб. И доп. -М.: ИФРА-М, 1997, с. 640
58. Философский словарь / Под ред. И.Т. Фролова 6-е изд. Перераб. и доп. - М.: Политиздат, 1991. - 560 с.
59. Чельцов М.А., Чельцова Н.В. Проведение экспертизы в советском уголовном процессе. — М., 1954. 280 с
60. Шаламов М.П. Теория улик. М., 1960.
61. Шляхов А.Р. Судебная экспертиза, организация и проведение, -М.: «Юридическая литература», 1979. 168 с.
62. Энциклопедия судебной экспертизы / Под ред. Т.В. Аверьяновой, Е.Р. Российской. -М.: Юрист, 1999. 552 с.
63. Юридический энциклопедический словарь //гл. ред. А.Я. Сухарев; М.М. Богуславского и др. 2-е изд., доп. - М.: Совецкая Энциклопедия, 1987 - 528 с.1. Статьи72. Computerworld # 27 1997
64. Аверьянова Т.В. Еще раз о компьютерно-технической экспертизе // Информатизация правоохранительных систем: Тезисы докладов международной IX научной конференции. М., 2000.
65. Арсеньев В.Д. Актуальные вопросы оценки заключения эксперта как доказательства по уголовному делу // Теоретические и методические вопросы судебной экспертизы: Сбор. науч. трудов ВНИИСЭ. М., 1985
66. Арсеньев В.Д., Орлов Ю.К. Проблемы правового регулирования экспертизы в уголовно-процессуальном и гражданском процессуальномзаконодательстве Союза ССР и союзных республикУ/Сбор. науч. трудов ВНИИСЭ.- М., 1973. Вып. 5. - с. 126.
67. Галяшина Е.И. Современные возможности фоноскопической и авто-роведческой экспертиз //Закон, №3,2003
68. Долгин А.Е. Защита программного обеспечения от исследования. // НСК N 1, специальный выпуск, Москва, 1992 г
69. Зельдес И.М. Содержание и структура заключения эксперта //Сбор, науч. трудов ВНИИСЭ. М., 1973. - Вып.7. - с. 19
70. Зубаха B.C., Усов А.И. и др. Современные тенденции и перспективы развития судебной экспертизы в сфере высоких технологий ( по опыту зарубежной экспертной практики) // Сбор. Экспертная практика. № 49. М.: ГУ ЭКЦ МВД России, 2000.
71. Комиссаров А.Ю. Первая международная конференция Интерпола по компьютерной преступности // Интерпол. 1995. № 14.
72. Корухов Ю.Г. Достоверность экспертного заключения и пути совершенствования ее оценки //Вопросы теории судебной экспертизы и совершенствование деятельности судебно-экспертных учреждений: Сбор. науч. трудов ВНИИСЭ.- М., 1988. с.6-8
73. Костин П.В. Вопросы назначения и проведения КТЭ // Сб. трудов IX международной научной конференции «Информатизация правоохранительных систем». М.: Академия Управления, 2000.
74. Кулаков Д.В., Пахомов А.В. Особенности назначения экспертизы (исследования) полиграфической упаковки аудиовизуальной продукции // Следователь. М.: Юриздат, 2000.
75. Кулаков Д.В., Пахомов А.В. Особенности назначения экспертизыисследования) полиграфической упаковки аудиовизуальной продукции/Следователь. М.: Юриздат, 2000. - С. 13-15
76. Курило А.И. О проблеме компьютерной преступности // НТИ серия 1. Организация и методика информационной работы 1993. - №8 - с.6.
77. Мур М. Исследования в области информационной безопасности в России и СНГ // Научно-практич. конференция «Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти». М., 2002.
78. Панфилова Е.И. Уголовно-процессуальные способы изъятия компьютерной информации // Материалы Всероссийского научно-практического семинара (28-31 мая, 2000), г. Белгород, 2000.
79. Попов В.И. Опыт производства компьютерных экспертиз в ЭКУ УВД Белгородской области // Материалы Всероссийского научно-практического семинара (28-31 мая, 2000). Белгород, 2000.
80. Российская Е.Р. Некоторые аспекты теории методов экспертного исследования. // «Актуальные проблемы криминалистического обеспечения расследования преступлений»: Материалы научно-практической конференции. М.: Академия Управления МВД РФ, 1996.
81. Российская Е.Р. Новое процессуальное законодательство: Реалии и перспективы использования специальных знаний. // Воронеж : 2004.
82. Российская Е.Р. О доказательственном значении результатов комплексного исследования вещественных доказательств // Проблемы уголовного процесса и криминалистики. М., 1982.
83. Российская Е.Р. Общеэкспертные методы исследования вещественных доказательств и проблемы их систематизации. // В кн.: 50 лет НИИ криминалистики: Сб. научных трудов ЭКЦ МВД РФ. М., 1995.
84. Российская Е.Р. Предмет и практические приложения компьютерно-технической экспертизы // Тезисы докладов на международной конференции «Информатизация правоохранительных систем». Ч.2.- М.: Академия управления МВД РФ, 1998.
85. Российская Е.Р. Проблемы криминалистических и судебно-экспертных методов исследования вещественных доказательств. // Проблемы совершенствования производства криминалистических экспертиз: Материалы научно-практич. конференции. Саратов: СЮИ, 1998.
86. Российская Е.Р. Проблемы становления компьютерно-технической экспертизы как нового рода инженерно-технических экспертиз. // «Криминалистика в XXI веке»: Материалы научно-практич. конференции.- М.: ГУ ЭКЦ МВД РФ, 2001.
87. Российская Е.Р. Система криминалистической техники в свете современных представлений о природе криминалистики: Сб. трудов «Современные проблемы криминалистики». М.: Академия управления МВД РФ, 1998.
88. Российская Е.Р. Специальные познания и их роль в современном судопроизводстве. «Правовые свободы и правовые ограничения»: Материалы Всероссийской межвузовской научно-практической конференции. М.: РГТУ, 2001.
89. Российская Е.Р., Усов А.И. Классификация компьютерно-технической экспертизы и ее задачи. // «Уголовный процесс и криминалистика на рубеже веков»: Материалы научно-практической конференции. М.: Академия управления МВД РФ, 2000.
90. Семенов Н.В., Мотуз О.В. Судебно-кибернетическая экспертиза — инструмент борьбы с преступностью XXI века // Защита информации. Конфедент. -1999. -№1-2.
91. Семикаленова А.И. К вопросу о подготовки экспертов в области компьютерно-технических экспертиз. // Информатизация правоохранительных систем: IX международная научная конференция.
92. Сборник трудов. М: 2000, с. 438-432.
93. Скакун Ю. Смерть пиратству. // Компьютерра, 2000. №17 (340)
94. Статкус В.Ф., Зернов С.И. Регистрационная паспортизация методик экспертных исследований. //Межд. конференция "Информатизация правоохранительных систем: Тезисы докл. М., 1998. - 4.2. - с.9
95. Тимофеев И.Н. и др. Проведение криминалистических исследований для определения признаков контрафактности компакт-дисков и компакт-кассет. // Вестник МВД России, М., 1998. - №№ 5,6
96. Усов А.И. Видовая классификация компьютерно-технической экспертизы// Сбор. Экспертная практика, № 48. М.: ЭКЦ МВД России, 2000.
97. Усов А.И. Возможности судебной экспертизы в раскрытии и расследовании преступлений, сопряженных с использованием компьютерных средств// Сбор, тезисов 2 научно-практической криминалистической конференции « Кримтехника-2000», М.: ВВЦ, 2000.
98. Усов А.И. Задачи компьютерно-технической экспертизы// Сб. Экспертная практика, № 49. М.: ЭКЦ МВД России, 2000.
99. Усов А.И., Прозоров А.А., Семикаленова А.И. Применение специальных познаний при установлении признаков контрафактности информационно-программной продукции // Сб. Экспертная практика. №49, M.jy ЭКЦ МВД России, 2000
100. Усов А.И., Волков Г.А. Зубаха B.C., Белый C.JI. Современные тенденции и перспективы развития судебной экспертизы в сфере высоких технологий // Сб. Экспертная практика, № 47. М.: ЭКЦ МВД России, 1999.
101. Усов А.И., Зубаха B.C. Направления разработки методического обеспечения производства компьютерных экспертиз и исследований // Сб. Экспертная практика, № 47. М.: ЭКЦ МВД России, 1999
102. Хитев. П.А., Виноградов В.Н. Об опыте организации производства КТЭ в УВД Владимирской области. Опыт производства КТЭ электронных записных книжек // Материалы Всероссийского научно-практического семинара (28-31 мая, 2000 г.). Белгород: Изд. 2000.
103. Чибисов В .Н., Маркилов И.А. Опыт проведения информационно-аналитических технических экспертиз и исследований// Материалы Всероссийского научно-практического семинара (28-31 мая, 2000.). Белгород: Изд. 2000.
104. Усова А.И. Концептуальные основы судебной компьютерно-технической экспертизы: Дисс.докт. юрид. наук. М.: МИ МВД России, 2002 7.
105. Васильев А.А. Судебная аппаратно-компьютерная экспертиза, правовые организационные и методические аспекты: Дисс. кнд. юрид. наук. М.: ЮИ МВД России, 2002
106. Касаткин А.В. Тактика собирания и исполдьзования компьютернойинформации: Дис. канд. юрид. наук. М., 199
107. Шведова Н.Н. Применение компьютерных технологий в технико-криминалистических исследованиях документов: Дисс. кнд. юрид. наук. Волгоград:, 1999
108. Яковлев Л.Н. Теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации: Дисс. кнд. юрид. наук. Саратов.: СЮИ МВД России, 2000.
109. Отчеты о научно-исследовательской работе
110. Отчет о научно-исследовательской работе «Выбор классификационных признаков и обоснование системы структурных методов и средств производства КТЭ» // Промежуточный отчет. Тема НИР №3.13. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ, 2001.
111. Отчет о научно исследовательской работе «Методы и средства решения задач компьютерно-технической экспертизы» // Заключительный отчет, Тема НИР №3.7. Коллектив авторов. ЭКЦ МВД России и ЮИМВДРФ, 2001.
