ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ КАЗЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ВОЛГОГРАДСКАЯ АКАДЕМИЯ МИНИСТЕРСТВА ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ» Вехов В.Б., Ковалев С.А. КОМПЬЮТЕРНОЕ МОДЕЛИРОВАНИЕ ПРИ РАССЛЕДОВАНИИ ПРЕСТУПЛЕНИЙ В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ Учебное пособие Волгоград 2014 Вехов В.Б. Компьютерное моделирование при расследовании преступлений в сфере компьютерной информации : учеб. пособие / В.Б. Вехов, С.А. Ковалев; под ред. д-ра юрид. наук, профессора Б.П. Смагоринского. – Волгоград : ВА МВД России, 2014. – 77 с. Авторы: Вехов В.Б., профессор кафедры юриспруденции, интеллектуальной собственности и судебной экспертизы Московского государственного технического университета им. Н.Э. Баумана, доктор юридических наук, профессор. Ковалев С.А., доцент кафедры криминалистической техники, учебно-научного комплекса экспертно-криминалистической деятельности Волгоградской академии МВД России, кандидат юридических наук. Рецензенты: Бычков В.В., ученый секретарь Академии Следственного комитета Российской Федерации, кандидат юридических наук, доцент, полковник юстиции. Разбегаев П.В., заместитель начальника кафедры информатики и математики Волгоградской академии МВД России, кандидат педагогических наук, доцент, полковник полиции. Одобрено редакционно-издательским советом Волгоградской академии МВД России С учетом последних достижений отечественных наук уголовно-правового цикла, передовой практики органов предварительного расследования системы МВД России рассмотрены проблемы совершенствования деятельности по расследованию преступлений в сфере компьютерной информации на основе широкого использования современных средств и методов компьютерного моделирования. Пособие предназначено для обеспечения учебных занятий, проводимых со слушателями факультетов повышения квалификации образовательных учреждений МВД России, которые имеют базовое профессиональное образование, стаж работы в правоохранительных органах и проходят переподготовку либо повышают свою квалификацию в рамках дополнительного профессионального образования по курсу повышения квалификации следователей, специализирующихся на расследовании дел о преступлениях компьютерной информации и высоких технологий. В процессе его изучения обучаемые получают теоретические знания, овладевают практическими умениями и приобретают навыки, необходимые им для эффективной работы по расследованию преступлений выделенной категории. Издание может быть использовано при подготовке специалистов в образовательных учреждениях высшего профессионального образования других правоохранительных органов, а также в системе служебной подготовки сотрудников органов предварительного расследования по соответствующей специализации. Вехов В.Б., Ковалев С.А., 2014 Волгоградская академия МВД России, 2014 2 СОДЕРЖАНИЕ Введение…………………………………………………………………. 4 1. Теоретические основы построения типовой компьютерной модели преступлений в сфере компьютерной информации………. 6 2. Понятие и основные элементы типовой компьютерной модели преступлений в сфере компьютерной информации………………... 12 3. Использование компьютерного моделирования при планировании расследования преступлений в сфере компьютерной информации...………………………………………... 41 4. Особенности построения компьютерных моделей расследования отдельных видов преступлений в сфере компьютерной информации..…………………………………. 58 Заключение………………………………………………………………. 70 Список рекомендованной литературы…………………………………. 71 3 ВВЕДЕНИЕ Поступательное развитие нашей страны в XXI веке характеризуется стремительно протекающими процессами глобализации и переходом от постиндустриального общества к обществу информационному. Информация стала неотъемлемой частью большинства общественных отношений и превратилась в товар, обладающий высокой ценностью. В настоящее время не вызывает сомнения тот факт, что большинство технологических операций, связанных с обработкой этого продукта, осуществляется с помощью программно-технических средств и с использованием методов современных компьютерных технологий. В свою очередь, подавляющая часть отношений, возникающих между субъектами – физическими и юридическими лицами, происходит на основе применения разнообразных систем электронного документооборота, базирующихся на локальных, региональных и глобальных информационно-телекоммуникационных сетях. Обработанная с их помощью информация изменяется качественно и количественно, что неизменно влечет создание нового информационного продукта, объективно находящегося в особой материальной форме – электронно-цифровой. Таким образом, с позиций действующего уголовного законодательства Российской Федерации эта информация получает статус компьютерной со всеми вытекающими из этого правовыми последствиями. Известно, что в последние годы проблемы борьбы с преступлениями в сфере компьютерной информации вышли не только на государственный, но и на международный уровень. Особую тревогу у правоохранительных органов вызывает факт расширения масштабов и появления новых разновидностей этих преступных посягательств. Как следует из пункта 10 Стратегии национальной безопасности Российской Федерации до 2020 года1 «На обеспечение национальных интересов Российской Федерации негативное влияние будут оказывать… совершенствование форм противоправной деятельности в кибернетической области и в сфере высоких технологий». Рассматривая данную проблему с криминалистических позиций, нельзя не отметить постоянное технологическое совершенствование способов совершения названных преступных посягательств, специфичность следовых картин, высокую динамику их развития и изменения, которые обусловлены стремительным развитием сетевых компьютерных технологий, повышением уровня специальных знаний в этой области у преступников различных 1 Утверждена Указом Президента Российской Федерации от 12 мая 2009 г. № 537. 4 государств, а также общим снижением возрастных границ получения таких знаний и их применения на практике в повседневной жизни. Вместе с тем реалии сегодняшнего дня требуют от криминалистики как науки создание новых технических средств, приемов, методик и рекомендаций, базирующихся на использовании современных компьютерных технологий и метода моделирования, способных кардинальным образом повлиять на результативность и качество расследования преступлений, в том числе в сфере компьютерной информации. Основным направлением такого технологического рывка должно стать внедрение в рассматриваемую криминалистическую деятельность систем электронного документооборота (как в узком, так и в широком их понимании), построенных в виде автоматизированных информационных систем, способных функционировать в рамках информационно-телекоммуникационных сетей, созданных для нужд правоохранительных органов. 5 1. Теоретические основы построения типовой компьютерной модели преступлений в сфере компьютерной информации Каждый исследователь при анализе обширного круга научной литературы по проблеме моделирования открывает для себя целый спектр значений термина «модель». В арсенале современной науки едва ли можно найти еще понятие, которое встречалось бы на страницах печати столь часто и в таких разных значениях. В современном научном познании все большую роль приобретают информационные модели, которые, будучи как бы «информационными слепками» оригинала, могут замещать последний на определенных стадиях исследования». В сфере организации раскрытия и расследования преступлений моделирование имеет целью достижение оптимальных результатов в отправлении правосудия и охране общественного порядка. Объектами моделирования здесь могут быть: а) процессы выявления, раскрытия и расследования преступлений; б) следственные действия, оперативно-розыскные и организационные мероприятия; в) сложные экспертные исследования; г) структура доказательств по делу. Приемы моделирования заключаются в создании мысленных моделей о характере преступления, его причинах, механизме образования следов, направлении расследования; сетевых планов, обеспечивающих наглядность планирования; а также моделирование с помощью ЭВМ для решения организационно-управленческих задач с большим объемом информации, одновременная быстрая оценка которой не под силу человеку. С помощью ЭВМ и информационных баз данных моделируется программа розыска подозреваемого по заранее разработанным алгоритмам. Вместе с тем известно, что компьютерное моделирование – это метод решения задачи анализа или синтеза сложной системы на основе использования ее компьютерной модели. Его суть заключается в получении количественных и качественных результатов на основе имеющейся модели. Компьютерное моделирование имеет ряд преимуществ по сравнению с другими видами моделирования. В частности, оно позволяет учитывать большое количество переменных, предсказывать развитие нелинейных процессов, возникновение синергетических эффектов; дает возможность не только получить прогноз, но и определить, какие управляющие воздействия приведут к наиболее благоприятному развитию событий. 6 Компьютерное моделирование является также одним из эффективных методов решения задач анализа и синтеза сложных систем, в том числе тех, которые изучаются криминалистикой. Методологической основой компьютерного моделирования является системный анализ (в то время как у моделирования на ЭВМ – те или иные разделы теории математических моделей), именно поэтому в ряде литературных источников наряду с термином «компьютерное моделирование» используется термин «системное моделирование». К основным этапам компьютерного моделирования можно отнести: 1) постановка задачи, определение объекта моделирования; 2) разработка концептуальной модели, выявление основных элементов системы и связей между ними; 3) формализация, т. е. переход к математической модели; 4) создание алгоритма и написание программы; 5) планирование и проведение компьютерных экспериментов; 6) анализ и интерпретация результатов. Следует заметить, что традиционные виды моделирования не противопоставляются компьютерному. Наоборот, доминирующей тенденцией сегодня является взаимопроникновение всех видов моделирования, симбиоз различных информационных технологий в области моделирования, особенно для сложных моделируемых объектов (систем). Так, имитационное моделирование включает в себя концептуальное моделирование (на ранних этапах формирования имитационной модели), логико-математическое (включая методы искусственного интеллекта) – для целей описания отдельных подсистем модели, а также в процедурах обработки и анализа результатов какого-либо эксперимента и принятия решений; технология проведения, планирования эксперимента с соответствующими математическими методами привнесена в имитационное моделирование из физического (натурного) моделирования; наконец, структурно-функциональное моделирование используется при создании стратифицированного описания многомодельных комплексов. Нельзя так же упускать из виду и то обстоятельство, что с технической точки зрения под компьютерной моделью понимается: 1) условный образ объекта или некоторой системы, описанный с помощью взаимосвязанных компьютерных таблиц, блок-схем, диаграмм, графиков, рисунков, анимационных фрагментов, гипертекстов и т.д. и отображающий структуру и взаимосвязи между элементами объекта – структурнофункциональная модель; 2) отдельная программа для ЭВМ, совокупность программ, программный комплекс, позволяющий с помощью последовательности вычислений и 7 графического отображения их результатов воспроизводить (имитировать) процессы функционирования объекта. Логичность и формализованность компьютерных моделей позволяет выявить основные факторы, определяющие свойства изучаемого объекта-оригинала (или целого класса объектов). С учетом изложенного, сформулируем следующие базовые понятия: 1. Компьютерное моделирование, используемое в криминалистике («криминалистическое компьютерное моделирование») – это метод решения криминалистической задачи анализа (синтеза) сложного объекта или системы, заключающийся в создании компьютерной (электронно-цифровой) модели, которая обладает необходимым для исследования сходством с находящимся в сфере уголовного судопроизводства оригиналом, а также в последующем исследовании и использовании этой модели в качестве средства получения криминалистически значимой информации в целях раскрытия, расследования и предупреждения преступления. 2. Под используемой в криминалистике компьютерной моделью следует понимать электронно-цифровой образ1 сложного криминалистического объекта (системы), воспроизводящий и заменяющий его (ее) так, что изучение и использование этого образа позволит получить об оригинале информацию, необходимую для успешного решения научных и прикладных задач криминалистики. Определяя критерии классификации криминалистических компьютерных моделей, обратим внимание на следующее. При использовании метода компьютерного моделирования происходит качественное и количественное видоизменение первоначальной информации, неизменно влекущее создание нового информационного продукта, выраженного в особой материальной форме – электронно-цифровой. Обработанная таким образом она объективно становится компьютерной информацией. Принимая за основу методологический подход, предложенный В.Б. Веховым2, целесообразно классифицировать криминалистические компьютерные модели на следующие виды: В данном случае образ понимается как результат отражательной (познавательной) деятельности субъекта моделирования – отражения в его сознании предметов, явлений и процессов объективной действительности. 2 Вехов В.Б. Понятие и механизм образования электронно-цифровых следов // Криминалистическое учение о компьютерной информации и средствах ее обработки: дис. … д-ра юрид. наук. Волгоград, 2008. С. 84-94. 8 1 1. Программа для ЭВМ (компьютерная программа) – это представленная в объективной форме совокупность данных и команд, предназначенных для функционирования электронных вычислительных машин и других компьютерных устройств в целях получения определенного результата (ст. 1261 Гражданского кодекса Российской Федерации, далее – ГК РФ). 2. База данных – представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью ЭВМ (п. 2 ст. 1260 ГК РФ). 3. Сайт – совокупность программ для электронных вычислительных машин и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается через сеть по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты в сети1. 4. Информационная система (автоматизированная информационная система) – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств2. Мысленная криминалистическая модель – модель информационная (т. е. накопитель информации об исследуемом объекте, явлении, процессе), а также содержательная, отражающая свойства исследуемого явления, процесса или объекта. В ней находят отражение как качественные, так и количественные характеристики явления, процесса или объекта. Она замещает недостающие звенья, устраняет пробелы в объяснении фактов, способствует отысканию доказательств, их исследованию и, таким образом, раскрытию неизвестного. Модель упорядочивает полученную информацию в определенную систему и позволяет истолковывать и оценивать свойства и качества процесса, явления или объекта познания. С моделью возможно проводить эксперименты в целях ее более глубокого изучения, а также ее элементов, не подвергая риску деформации реально существующий объект и воссоздавая уже уничтоженный, или объект, только прогнозируемый к появлению. Видимое преимущество модельного подхода к систематизации данных о преступной деятельности заключается и в четкой структуризации эмпирического материала в модели, представленного в виде алгоритма. Это позволяет положить мысленную модель в основу компьютерных программ по расследованию соответствующего вида преступной деятельности без дополнительной предварительной обработки Об информации, информационных технологиях и о защите информации: закон Российской Федерации от 27.07.2006 г. № 149-ФЗ. Ст. 2. 2 Там же – п. 3 ст. 2. 9 1 данных об этих преступлениях1. Модель физически может быть представлена в виде автоматизированной информационной системы (АИС), в базах данных которой содержится соответствующим образом упорядоченная криминалистически значимая информация о преступном посягательстве. При этом структура баз данных должна быть приведена в соответствие с элементным составом типовой информационной модели отдельного вида преступлений, выделенного по криминалистическому основанию, например, в сфере компьютерной информации. Алгоритм работы этой АИС должен максимально полно учитывать корреляционную зависимость между компьютерными моделями всех элементов, составляющих типовую информационную модель выделенных преступных посягательств. В этом заключается симбиоз различных видов криминалистического моделирования, который должен в конечном итоге привести к созданию компьютерной системы – автоматизированной методики расследования отдельных видов преступлений. Заметим, что разработка автоматизированной методики расследования отдельных видов преступлений опирается на типовую информационную модель преступной деятельности, которая служит основой для построения соответствующей компьютерной модели преступлений данного вида. С научных позиций последняя посредством компьютерного программирования реализует мысленную (абстрактную) модель преступной деятельности. При этом необходимо осознать, что автоматизация криминалистических моделей представляет собой не простой перевод криминалистически значимой информации в электронно-цифровую форму, информационных моделей – в их компьютерные аналоги, а осуществление криминалистической деятельности на качественно новом технологическом уровне, ее развитие и совершенствование. На основании изложенного сформулируем следующие выводы: 1. Криминалистическое компьютерное моделирование – это метод решения криминалистической задачи анализа (синтеза) сложного объекта или системы, заключающийся в создании компьютерной (электронно-циф-ровой) модели, которая обладает необходимым для исследования сходством с находящимся в сфере уголовного судопроизводства оригиналом, а также в последующем исследовании и использовании этой модели в качестве средства получения Телегина Т.Д. Оптимизация разработки частных методик расследования преступлений: опыт типового криминалистического моделирования [Электрон. ресурс] : Официальный сайт Саратовского Центра по исследованию проблем организованной преступности и коррупции. Электрон. дан. Режим доступа: http://sartraccc.ru. 10 1 криминалистически значимой информации в целях раскрытия, расследования и предупреждения преступления. 2. Автоматизация криминалистических моделей представляет собой не простой перевод криминалистически значимой информации в электронноцифровую форму, информационных моделей – в их компьютерные аналоги, а осуществление всей криминалистической деятельности на качественно новом технологическом уровне, ее развитие и совершенствование. 3. Криминалистическая компьютерная модель – это электронно-цифровой образ сложного криминалистического объекта (системы), воспроизводящий и заменяющий его (ее) так, что изучение и использование данного объекта позволит получить об оригинале информацию, необходимую для успешного решения научных и прикладных задач криминалистики. В основе ее создания лежит системно-структурный подход, который рассматривает деятельность как систему, обеспечивает выделение ее элементов, прослеживает функции каждого из них и выявляет связи между ними. 4. Криминалистические компьютерные модели классифицируются по объективной форме представления на следующие категории: компьютерная программа; база данных; сайт; автоматизированная информационная система. 5. Автоматизированная методика расследования отдельных видов преступлений является компьютерной системой, базирующейся на типовой компьютерной модели преступлений выделенного вида. Подводя итог изложенному, отметим, что назрела необходимость, упорядочения обширного материала, накопленного в отечественной криминалистике по рассматриваемой проблематике, переосмысления активно используемых криминалистических категорий, их доработки, а при необходимости создания и научного обоснования новых, учитывающих сущность и возможности современных компьютерных технологий. 11 2. Понятие и основные элементы типовой компьютерной модели преступлений в сфере компьютерной информации В настоящее время в криминалистике существует устоявшаяся позиция по вопросу определения понятия и содержания типовой информационной модели преступлений. Так, еще в 1989 г. В.Я. Колдин определил ее как «информационную систему, построенную на основе обобщения представительного массива уголовных дел определенной категории, отражающую закономерные связи между существенными для раскрытия и расследования элементами программно-целевого комплекса, способа действия преступника, механизма расследуемого события, обстановки преступления и особенностями личности преступника и служащую для выдвижения типовых следственных версий»1. В последующем, совместно с Е.П. Ищенко, который исследовал типовые информационные модели преступной деятельности и алгоритмизацию первоначального этапа расследования2, он пришел к пониманию того, что типовая информационная модель преступлений – это «информационная система, построенная на основе статистической обработки репрезентативной выборки уголовных дел определенной категории, отражающая закономерные связи между элементами события преступления, используемая для построения типовых версий и формирования методики расследования данной категории преступлений»3. Принимая за основу данный методологический подход, под типовой информационной моделью преступлений в сфере компьютерной информации следует понимать информационную систему, построенную на основе статистической обработки репрезентативной выборки уголовных дел о преступных посягательствах названного вида, которая отражает закономерные связи между типичными элементами события преступления, Типовые модели и алгоритмы криминалистического исследования: учеб. пособие / под ред. В.Я. Колдина. М., 1989. С. 31. 2 Ищенко Е.П. Типовые информационные модели преступной деятельности и алгоритмизация первоначального этапа расследования: дис. … д-ра юрид. наук. Свердловск, 1989. 3 Ищенко Е.П., Колдин В.Я. Типовая информационная модель преступления как основа методики расследования // Правоведение. 2006. № 6. С. 137. 12 1 используется для построения типовых версий, а также формирования методики расследования данной категории преступлений. С учетом вышеизложенного типовая компьютерная модель преступлений в сфере компьютерной информации – это автоматизированная информационная система, построенная на основе научных знаний о типовой информационной модели преступлений названного вида и являющаяся одним из компонентов автоматизированной методики расследования этих преступных посягательств. Вопрос компонентного содержания типовой информационной модели преступлений в сфере компьютерной информации, без знания которого нельзя построить их компьютерную модель, является спорным. Неоднозначность решения вопроса предопределяется разным формулированием понятий «криминалистическая характеристика преступлений» и «типовая информационная модель преступлений»1. В настоящее время в криминалистике сложились два основных подхода к построению этой модели: 1) «элементный» – связанный с описанием элементов преступной деятельности; 2) «фазовый» – подразумевающий описание фаз преступной деятельности. Анализ различных точек зрения ученых-криминалистов на содержание типовой информационной модели преступлений в сфере компьютерной информации показал, что до настоящего времени исследователи проблемы не пришли к единому мнению о ее элементном составе. При решении этого вопроса предлагаем руководствоваться как минимум двумя посылами: вопервых, выделяемый элемент модели должен быть значимым для разработки частной методики расследования данного вида преступлений, в том числе автоматизированной; во-вторых, содержать в себе сведения, криминалистически значимые для расследования большинства таких преступлений. С учетом вышеизложенного в качестве базовых компонентов типовой компьютерной модели преступлений в сфере компьютерной информации выделим следующие криминалистически значимые сведения: 1) о видовом предмете преступного посягательства; 2) способе совершения преступления и механизме следообразования; 3) типичных обстоятельствах совершения преступления (обстановка, время, место, выполняемая технологическая операция при компьютерной обработке информации); Последняя была подробно рассмотрена в предыдущем параграфе настоящего учебного пособия. 13 1 4) личности вероятного преступника, типичных мотивах и целях преступления; 5) закономерных связях между этими элементами. Важно подчеркнуть, что при создании типовой компьютерной модели преступлений названной категории эти криминалистически значимые сведения должны быть объективно представлены в электронной форме в виде программы для ЭВМ, базы данных, сайта или автоматизированной информационной системы. В процессе изучения модели она подвергается логическому анализу и мысленному эксперименту с выведением суждений и их проверкой. В ходе его проведения субъект моделирования выделяет условия, которые воздействуют на объект, сознательно и планомерно изменяет эти условия, определяет, какое воздействие они оказывают на объект и модель, и, сопоставляя свои суждения с установленными фактами, осуществляет корректировку модели1. Осмыслив изученную модель, субъект моделирования выводит из нее следствия, т. е. суждения о фактах, которые должны существовать в реальной действительности при условии правильности модели, и приступает к ее проверке. Последняя предполагает осуществление действий, направленных на обнаружение и исследование упомянутых фактов. Проверить модель – значит выяснить, имеют ли место в действительности те факты (события, процессы, следы и т. д.), суждения о которых были сформулированы в процессе изучения модели. Оценка результатов проведенной в этом направлении работы позволяет сделать вывод о достоверности либо об ошибочности, о неточности в какойлибо части построенной модели (и необходимости ее корректировки)2. Рассмотрим указанную последовательность действий. Криминалистически значимые сведения о предмете преступного посягательства в сфере компьютерной информации имеют важное практическое значение как для квалификации преступления, так и решения иных задач расследования. Они неразрывно связаны с другими сведениями, входящими в состав рассматриваемой типовой компьютерной модели, поскольку установленная система криминалистических признаков, свойств, особенностей предмета преступления в конкретном месте на конкретном машинном носителе в конкретной программной среде в конкретное время позволяет с высокой степенью точности смоделировать процесс совершения преступного посягательства и выделить в нем интересующие следствие обстоятельства его совершения. 1 2 Образцов В. А. Выявление и изобличение преступника. М., 1997. С. 221. Там же. С. 243. 14 Известно, что основной предмет и (или) средство совершения преступлений выделенного вида – компьютерная информация. Как научная категория она исследовалась многими учеными: В.Б. Веховым, Ю.В. Гаврилиным, О.Г. Григорьевым, А.С. Егорышевым, Д.А. Илюшиным, А.В. Касаткиным, Л.Б. Красновой, Т.Э. Кукарниковой, В.В. Крыловым, В.А. Мещеряковым, В.А. Милашевым, А.В. Остроушко, В.Ю. Рогозиным, Л.Н. Соловьевым, А.И. Усовым, А.Н. Яковлевым и другими. В 1995 г. (до установления уголовной ответственности за совершение преступлений в сфере компьютерной информации и принятия других специальных законов, регулирующих общественные отношения в сфере компьютерной обработки и защиты информации) В.Б. Вехов определил компьютерную информацию как информацию, циркулирующую в вычислительной среде, зафиксированную на физическом носителе в форме, доступной восприятию ЭВМ, или передающуюся по телекоммуникационным каналам, т.е. сформированную в вычислительной среде информацию, пересылаемую посредством электромагнитных сигналов из одной ЭВМ в другую, из ЭВМ на периферийное устройство либо на управляющий датчик оборудования1. Как следует из примечания 1 к ст. 272 УК РФ, компьютерная информация – это сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. «Как предмет преступного посягательства, – писал В.В. Крылов, – компьютерная информация есть сведения, знания или набор команд (программ), предназначенных для использования в ЭВМ или управления ею, находящиеся в ЭВМ или на машинных носителях, – идентифицируемый элемент информационной системы, имеющий собственника, установившего правила ее использования»2. Впоследствии в своей докторской диссертации он добавил, что «введение в данное определение указания на права собственности на компьютерную информацию позволяет при необходимости определить лицо, которому криминальной деятельностью причинен вред»3. Б.В. Андреев, П.Н. Пак и В.П. Хорст правильно подчеркивают то обстоятельство, что специфичность компьютерной информации состоит лишь в Вехов В.Б. Криминалистическая характеристика и совершенствование практики расследования и предупреждения преступлений, совершаемых с использованием средств компьютерной техники: дис. … канд. юрид. наук. Волгоград, 1995. С. 32. 2 Крылов В.В. Информационные компьютерные преступления. М., 1997. С. 35. 3 Крылов В.В. Основы криминалистической теории расследования преступлений в сфере информации: дис. … д-ра. юрид. наук. М., 1998. С. 76. 15 1 особенности ее представления – электронно-цифровом кодировании1. Это положение подтверждается нормами действующего международного и отечественного законодательства: 1. «Компьютерная информация – это информация, находящаяся в памяти компьютера, на машинных или иных носителях, в форме, доступной для восприятия ЭВМ, или передающаяся по каналам связи»2. 2. «Главная функция любой компьютерной системы заключается в обработке данных. Термин «данные» определяется как факты, инструкции или концепции, излагаемые обычным образом, в форме, поддающейся пониманию человеком или автоматизированной обработке. Электронные данные представляют собой серию магнитных точек в постоянной или временной запоминающей среде или форме электронных зарядов в процессе их передачи. Если данные поддаются идентификации и контролю по конкретному носителю данных, то с юридической точки зрения они могут рассматриваться как единый и ощутимый материальный предмет. Данные, обрабатываемые в рамках компьютерной системы, уже нельзя контролировать по их носителю. Операционные системы автономно перемещают файлы данных из одного физического места в запоминающей среде в другое. В компьютерных сетях распределенная обработка данных делает невозможным для лиц, контролирующих данные, устанавливать физическое местонахождение всего или части файла без принятия специфических мер»3. 3. «Электронное сообщение – информация, переданная или полученная пользователем информационно-телекоммуникационной сети», т. е. «технологической системы, предназначенной для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники». 4. «Электронный документ – документ, в котором информация представлена в электронно-цифровой форме». Криминалистические признаки компьютерной информации4: Андреев Б.В., Пак П.Н., Хорст В.П. Расследование преступлений в сфере компьютерной информации. М., 2001. С. 54-56. 2 Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации (подписано 1 июня 2001 г. в Минске (Республика Беларусь) на заседании Совета глав государств СНГ) – п. «б» Ст. 1. 3 Эффективное предупреждение преступности: в ногу с новейшими достижениями // Материалы Десятого Конгресса Организации Объединенных Наций по предупреждению преступности и обращению с правонарушителями: A/CONF.187/10. Вена, 10-17 апреля 2000 г. – п. 8. 4 Вехов В.Б. Криминалистическое учение о компьютерной информации и средствах ее обработки: дис. … д-ра юрид. наук. Волгоград, 2008. С. 85. 16 1 1) является одной из объективных форм существования информации – электронно-цифровой формой; 2) всегда будет опосредована через материальный носитель, вне которого физически не может существовать; 3) может быть предметом коллективного пользования, так как доступ к ней могут одновременно иметь несколько лиц, например, при работе с информацией, содержащейся на электронной странице или сайте сети «Интернет»; 4) достаточно просто и быстро преобразуется из одной объективной формы в другую, копируется на определенные виды материальных носителей и пересылается на любые расстояния, ограниченные только радиусом действия современных средств электросвязи; 5) осуществление процессов собирания, исследования и использования криминалистически значимой компьютерной информации возможно только с помощью программных и аппаратных средств – компьютерных программ, баз данных, машинных и иных материальных носителей, электронно-цифровых устройств, компьютерных систем и сетей. Анализ криминалистической литературы показал, что в настоящее время остается спорным вопрос классификации рассматриваемого элемента типовой компьютерной модели преступлений выделенного вида. По этому поводу заметим, что когнитивные методы «классифицирования, распределения по группам, классам, разрядам, типам и т. п., упорядочивают воспринимаемый и познаваемый мир и позволяют предвидеть и предсказывать объекты и другие сущности реального мира»1. Криминалистическая классификация также включается в число наиболее эффективных средств познания, поскольку она способствует исследованию отдельных явлений, выявлению закономерностей их развития и определению путей их использования. В нашем случае распределение компьютерной информации как предмета и (или) средства совершения преступления по группам выполняется не только для систематизации исходных данных. С учетом богатого фактического материала практики выявления, раскрытия и расследования преступлений в сфере компьютерной информации «помимо систематизационных задач классификация выполняет и другие сложные функции: она позволяет вовлечь в поле зрения исследователя весь объем классифицируемого материала, охватить большой диапазон изучаемых объектов и, следовательно, избежать Микешина Л.А. Категоризация и особенности создания абстракций в гуманитарных науках // Философия науки. Методология и история конкретных наук. М., 2007. С. 259. 17 1 односторонности их научной интерпретации»1. В то же время классификация не может рассматриваться как самостоятельная задача, выдвинутая безотносительно к предмету, цели и задачам исследования. Принципы систематизации и основные элементы криминалистических систем и классификаций изучаются криминалистической систематикой – специальным разделом общей теории криминалистики, основывающимся на положениях системно-структурного подхода к изучению явлений действительности. Исходным принципом системного исследования в криминалистике служит представление о целостности изучаемой системы. Каждая исследуемая система может расчленяться самыми различными способами, поэтому каждый ее элемент в соответствующих случаях рассматривается как нечто сложное, например, как подсистема. В свою очередь, система как нечто целое может рассматриваться как подсистема по отношению к системе более высокого уровня2. Системный подход позволяет научно обоснованно осуществлять классификацию криминалистических объектов (в нашем случае это элементы типовой компьютерной модели преступлений в сфере компьютерной информации. – С.К.), являющуюся одним из необходимых условий использования практикой криминалистических рекомендаций, совершенствования этой практики и осуществления связей как внутри самой науки, так и между науками, лежащими в рамках одной научной специальности. «В криминалистической науке, – писал Р.С. Белкин, – мы имеем дело с логическими классификациями, в практике борьбы с преступностью – с предметными классификациями, точнее – с предметным классифицированием на основе научной или эмпирической, классификации»3. Причем частные криминалистические классификации – существенная часть криминалистической систематики. Помимо своего гносеологического значения, как одного из средств познания, эти классификации представляют собой и одно из средств практической деятельности, разрабатываемых криминалистикой специально для борьбы с преступностью4. Все это в полной мере относится и к криминалистическим классификациям выделенных объектов. Алексеев С.С. Правовые средства: постановка проблемы, понятие, классификация // Советское государство и право. 1987. № 6. С. 16. 2 Белкин Р.С. Криминалистика: проблемы, тенденции, перспективы. Общая и частные теории. М., 1987. С. 130. 3 Там же. С. 134. 4 Белкин Р.С. Указ. соч. С. 133. 18 1 В 2008 г. В.Б. Вехов, основываясь на результатах изучения 439 материалов уголовных дел и обвинительных приговоров судов из 38 субъектов Российской Федерации, разработал и достаточно убедительно обосновал многоуровневую криминалистическую классификацию компьютерной информации1. Принимая ее за основу и дополняя результатами научного исследования, полученными Л.Н. Соловьевым2, полагаем верным выделение трех критериев ее классификации: 1. По юридическому положению (недокументированная и документированная). 2. По категории доступности (общедоступная и охраняемая законом). 3. По форме представления (электромагнитный сигнал, электронное сообщение, электронный документ, файл, компьютерная программа, база данных, электронная страница, сайт). Выделим компьютерные программы, классифицируемые по функциональному назначению: 1) системная (BIOS, системный загрузчик, утилита, программа-оболочка, операционная система); 2) прикладная; 3) вредоносная; 4) инструментальная (транслятор, компилятор, декомпилятор, интерпретатор, исследовательская или тестовая); 5) база данных; 6) электронная страница; 7) сайт. При этом вредоносные программы могут быть подразделены: 1) по способу создания (специально созданные; созданные путем, внесения изменений в существующие программы; модифицированные); 2) по способности к самораспространению (самораспространяющиеся вредоносные программы – компьютерные вирусы, компьютерные черви; программные закладки – осуществляющие сбор информации об информационных процессах, протекающих в компьютерной системе, обеспечивающие неправомерный доступ, наделенные деструктивными функциями, блокирующие работу средств компьютерной техники; комбинированные); Вехов В.Б. Криминалистическое учение о компьютерной информации и средствах ее обработки: дис. … д-ра юрид. наук. Волгоград, 2008. С. 84-94. 2 Соловьев Л.Н. Расследование преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ: автореф. дис. ... канд. юрид. наук. М., 2003. С. 6. 19 1 3) по наличию в них открыто декларируемых функций (имеющие открыто декларируемые функции – троянские программы; не имеющие открыто декларируемых функций – скрытые вредоносные программы); 4) по видам оказываемого воздействия (на общую работоспособность компьютерной системы или сети; на аппаратные средства компьютерной техники; на системную область и файловую структуру; на конфиденциальность информации; на здоровье человека), 5) по направленности оказываемого воздействия (направленные на индивидуально-определенный объект; ненаправленного действия). Продолжая исследование вопроса отметим, что наибольший научный интерес вызывает соотношение между двумя видами предметов преступного посягательства, выделенных в главе 28 УК РФ, – охраняемой законом (ст. 272 и ст. 274 УК РФ) и общедоступной компьютерной информации (ст. 273 УК РФ). Обобщение данных государственной статистики о преступлениях этих видов, совершенных в Российской Федерации за десять лет, позволяет с определенной долей вероятности проиллюстрировать указанное положение следующим образом (диаграмма 1). Диаграмма Соотношение видов компьютерной информации - предметов преступлений, выделенных в главе 28 Уголовного кодекса Российской Федерации 86% 14% Охраняемая законом компьютерная информация Общ едоступная компьютерная информация 20 Анализ материалов уголовных дел и обвинительных приговоров судов показал, что предметом посягательства в преступлениях выделенного вида чаще всего являются следующие разновидности охраняемой законом компьютерной информации: 1) статистическая информация о предоставленных услугах электросвязи, содержащаяся в базах данных операторов электросвязи, в том числе провайдеров услуг Интернет – в 53% случаев; 2) информация о расчетно-кассовых операциях, содержащаяся в памяти контрольно-кассовых машин, банкоматов, платежных и торговых терминалов, игровых и лотерейных автоматов, платежно-расчетных карт – в 17% случаев; 3) чужие идентификационные данные для работы в сети оператора электросвязи, дистанционного доступа к информационному сетевому ресурсу или электронному расчетному счету потерпевшего – в 11% случаев; 4) персональные данные физических лиц, а также сведения, составляющие служебную тайну – в 5% случаев. Обращает на себя внимание тот факт, что в последнее время преступники все чаще осуществляют неправомерные доступы к различным информационным базам данных, содержащим конфиденциальную информацию различной категории. Подчеркнем, что криминалистически значимые сведения о компьютерной информации как предмете преступного посягательства позволяют: 1) установить данные о ее обладателе – потерпевшем (физическом или юридическом лице)1 и его местонахождении; 2) получить данные о географическом расположении места преступления и его адресе; 3) установить способ совершения преступления, места локализации следов и сведения о личности преступника (-ов). В этом проявляются корреляционные связи между исследованным и другими компонентами типовой компьютерной модели преступлений рассматриваемой категории. Криминалистически значимые сведения о типичных обстоятельствах совершения преступления (обстановка, место, время, выполняемая технологическая операция при компьютерной обработке информации) являются еще одним элементом рассматриваемой дефиниции. В любом криминалистическом исследовании категории «обстановка», «место» и «время совершения преступления» рассматриваются во взаимосвязи. Обладатель компьютерной информации – лицо, самостоятельно создавшее компьютерную информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к такой информации, определяемой по каким-либо признакам. 21 1 Это оправданно, так как обстановка совершения преступления как любой фрагмент объективной реальности существует в определенных пространственно-временных рамках. Под обстановкой совершения преступления в криминалистическом аспекте понимается система различного рода взаимодействующих между собой до и в момент совершения преступления объектов, явлений и процессов, характеризующих место, время, вещественные, природно-климатические, производственные, бытовые и иные условия окружающей среды и другие факторы объективной реальности, определяющие возможность, условия и иные обстоятельства совершения преступления1. Элементы указанной обстановки оставляют различного рода следыпоследствия, по которым можно получить важные сведения2, а именно: – какие из вышеотмеченных условий и факторов непосредственно предшествовали преступлению, сопровождали его, каковы были их взаимодействия, содержание и характер влияния на совершенное деяние; – что в обстановке исследуемого события было специально подготовлено преступником, а что не зависело от него; – как в целом сложившееся до и в момент совершения деяния фактическое положение было использовано в преступных целях, в частности, при выборе способа совершения преступления; – что в данной обстановке способствовало и препятствовало подготовке, совершению и сокрытию следов преступления и как это учитывалось преступником; – какие факторы необычного (нетипичного) свойства проявились в сложившейся ситуации и какое влияние они оказали на событие преступления; – кто мог создать или воспользоваться объективно сложившейся ситуацией для совершения преступления и др. Обстановка совершения преступления в сфере компьютерной информации способна влиять на формирование всех остальных элементов рассматриваемой дефиниции, например: определять особенности поведения преступника и потерпевшего на месте происшествия, влиять на выбор преступником того или иного способа подготовки, совершения и сокрытия преступного посягательства. Так например, В.Е. Козлов пришел в целом к правильному выводу о том, что способ совершения этих преступных деяний будет определяться характерными составляющими обстановки3: Яблоков Н.П. Криминалистика: учебник для вузов и юридических факультетов. М., 2003. С. 32. 2 Там же. С. 33. 3 Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М., 2002. С. 168. 22 1 1) местом и временем действия преступника (преступников); 2) особенностями компьютеризации субъекта хозяйствования; 3) особенностями организации информационной безопасности; 4) возможностями нарушения целостности компьютерной информации без непосредственного участия человека; 5) уровнем квалификации специалистов, обеспечивающих защиту информации, а также администрирование компьютеров и их сетей. К особенностями компьютеризации субъекта хозяйствования он правильно отнес такие факторы обстановки совершения преступлений, как1: – количество компьютеров у потерпевшего, их тип; – наличие используемых компьютерных сетей, их топология; – наличие или отсутствие возможности протоколирования доступа к компьютерной информации; – наличие или отсутствие выхода в глобальные компьютерные сети; – тип используемого телекоммуникационного оборудования; – тип используемого программного обеспечения электронной почты; – использование либо неиспользование программной или аппаратной защиты информации, способ ее реализации; – тип используемых внешних машинных магнитных, оптических и иных носителей. К особенностям организации системы информационной безопасности потерпевшего – инженерно-техническое, организационное обеспечение, а также организацию управления защитой информации. В качестве факторов, влияющих на возможность нарушения целостности компьютерной информации без непосредственного участия человека, им были выделены2: – повреждение либо выход из строя компьютерного оборудования в результате нестабильности системы электропитания, стихийных бедствий либо неблагоприятных условий эксплуатации; – выход из строя магнитных машинных носителей информации; – неполадки кабельных систем, вызывающие сохранение неверной компьютерной информации либо снижение производительности сети ЭВМ; – программные и аппаратные сбои, возникающие в результате некорректной работы прикладного программного обеспечения либо операционных систем. Анализ различных эмпирических источников1 показывает, что типичные условия подготовки и совершения преступлений в сфере компьютерной 1 2 Тамже. С. 169. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М., 2002. С. 170. 23 информации следует рассматривать в контексте угроз безопасности компьютерной информации и объектам информатизации – средствам и системам информатизации, техническим средствам приема, передачи и обработки информации, помещениям, в которых они установлены, а также помещениям, предназначенным для проведения конфиденциальных совещаний, заседаний и переговоров. Этот элемент обстановки совершения преступлений рассматриваемой категории был подробно изучен В.Б. Веховым и В.А. Голубевым, которые правильно предложили классифицировать все возможные угрозы безопасности компьютерной информации и объектам информатизации по ряду следующих оснований2. 1. По источникам происхождения: 1.1. Внешние – обусловленные воздействием внешних факторов (стихийными бедствиями, природными явлениями, техногенными катастрофами, политическими решениями, законодательными и иными нормативно-правовыми актами, социальными явлениями, информатизацией, появлением новых информационных технологий и другими). 1.2. Внутренние – возникающие в процессе непосредственной обработки, оборота и защиты компьютерной информации и объектов информатизации. 2. По природе возникновения: 2.1. Естественные (объективные) – обусловленные воздействием объективных внешних и внутренних неблагоприятных факторов, не зависящих от воли человека (природных – стихийных бедствий и природных явлений; технических – самопроизвольного разрушения компьютерной информации, машинных носителей и других объектов информатизации, которые проявляются в виде сбоев в работе программного обеспечения, ЭВМ, системы ЭВМ или их сети, размагничивания машинных магнитных носителей информации, помех в канале радиосвязи, отказе оборудования или системы защиты информации, обрушении несущих конструкций помещения, где обрабатывается или хранится компьютерная информация и др.). 2.2. Искусственные (субъективные) – обусловленные воздействием на компьютерную информацию и объекты информатизации деятельностью человека (неумышленной – ошибки, допущенные при проектировании, создании (построении), обработке (эксплуатации) и защите компьютерной Мещеряков В.А. Основы методики расследования преступлений в сфере компьютерной информации: дис. ... д-ра юрид. наук. Воронеж, 2001. С. 148-153; Рогозин В. Ю. Особенности расследования и предупреждения преступлений в сфере компьютерной информации: дис. … канд. юрид. наук. Волгоград, 1997. С. 28-30. 2 Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ: монография / под ред. проф. Б. П. Смагоринского. Волгоград, 2004. С. 129-131. 24 1 информации, машинных носителей и других объектов информатизации (ошибки проектирования, кодирования, изготовления (построения), пусконаладочных работ, обслуживания (эксплуатации), ремонта, управления и другие; умышленной – правонарушения). 3. По принципу влияния: 3.1. С использованием непосредственного физического доступа субъекта к компьютерной информации и машинным носителям, а также на объект информатизации. 3.2. С использованием дистанционного доступа по техническим каналам (электросвязи, телекоммуникаций, инженерно-технических систем и коммуникаций, в том числе путем установления скрытого технического канала доступа к компьютерной информации). 4. По характеру влияния: 4.1. Пассивные – без воздействия на компьютерную информацию, машинные носители и другие объекты информатизации (например, путем визуального наблюдения за процессом обработки компьютерной информации и объектом информатизации, снятия (перехвата) компьютерной информации с технических каналов и другие). 4.2. Активные – путем воздействия на компьютерную информацию, машинные носители, средства их защиты и другие объекты информатизации. 5. По объектам влияния: 5.1. Неизбирательные – влияющие на компьютерную информацию и объект информатизации в целом. 5.2. Избирательные – влияющие только на конкретную компьютерную информацию и объект информатизации либо на определенную их составляющую. 6. По способу влияния: 6.1. Непосредственные – непосредственно влияющие на компьютерную информацию и объект информатизации. 6.2. Опосредованные – влияющие на второстепенную (вспомогательную) компьютерную информацию и вспомогательный объект информатизации (при стечении благоприятных или определенных условий эти воздействия приводят к воздействию на основную компьютерную информацию и главный объект информатизации). 7. По цели реализации: 7.1. Нарушение конфиденциальности компьютерной информации. 7.2. Нарушение целостности компьютерной информации, ЭВМ, системы ЭВМ или их сети. 25 7.3. Нарушение доступности компьютерной информации, ЭВМ, системы ЭВМ или их сети. 7.4. Неправомерное использование компьютерной информации, ЭВМ, системы ЭВМ или их сети. Наиболее важным компонентом обстановки совершения преступления в сфере компьютерной информации являются специфические условия деятельности потерпевшего (физического или юридического лица). Они подразделяются на объективные и субъективные1. К объективным условиям совершения преступления относятся: – вид деятельности или род занятия потерпевшего; – форма собственности предприятия или физического лица; – юридическое положение и категория доступности используемой компьютерной информации; – вид права собственности на обрабатываемую и используемую компьютерную информацию (информационные ресурсы), а также средства ее обработки; – назначение и структура организации информационного производственного процесса, характер потребляемых ресурсов и выпускаемой продукции; – система учета и отчетности по документам на машинном носителе информации, ее соответствие действующему законодательству, правилам, положениям и иным нормативным документам; – кадровое и материально-техническое обеспечение обработки компьютерной информации; – вид используемых средств компьютерной техники, связи и телекоммуникаций, их тактико-технические характеристики и соответствие категории обрабатываемых информационных ресурсов; – наличие необходимых помещений и вспомогательного оборудования; – наличие, техническое состояние и соответствие средств защиты информации, а также охраны объектов информатизации категории обрабатываемых информационных ресурсов; – наличие необходимой организационно-распорядительной документации, регламентирующей порядок обработки и использования охраняемой законом компьютерной информации, ее соответствие Специальным требованиям защиты информации. К субъективным условиям относятся такие факторы социальнопсихологического и организационно-управленческого характера, как: Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: учеб.-метод. пособие. М., 2000. С. 10-11. 26 1 – отступление от технологических режимов обработки информации; – отсутствие, несовершенство или отступление от правил производства, проведения пусконаладочных, ремонтных, регламентных (техническое обслуживание) работ, эксплуатации программ для ЭВМ, баз данных и средств компьютерной техники, а также учета, хранения, распределения и расходования машинных носителей информации; – отсутствие или несоответствие средств защиты информации ее категории; – нарушение правил работы с охраняемой законом компьютерной информацией; – необоснованность использования средств компьютерной техники в конкретных технологических процессах и операциях; – неудовлетворительная организация производственных процессов, наличие одновременно ручных и автоматизированных этапов обработки документов; – отсутствие должного контроля со стороны администрации за деятельностью своих работников, задействованных на чувствительных этапах обработки компьютерной информации; – психологически неправильные межличностные взаимоотношения должностных лиц с подчиненными и другими работниками и т. д.1 Субъективные факторы могут существенно влиять на обстановку совершения преступлений рассматриваемого вида и определенным образом формировать ее. Вместе с этим она во многом определяет выбор и корректирует способ совершения преступления. В ней также проявляются отдельные криминалистически значимые личностные черты преступника, формирующего (частично или полностью) данную обстановку и приспосабливающегося к ней. В этом и заключаются корреляционные связи между отмеченными компонентами типовой компьютерной модели преступлений исследуемой категории. Местом совершения преступления всегда будет то, где находятся или находились на момент совершения преступного деяния средства компьютерной техники и машинные носители – орудия преступления. При этом место непосредственного совершения противоправного деяния (место, где выполнялись действия объективной стороны состава преступления) и место наступления вредных последствий могут географически не совпадать. Обобщение материалов следственной практики, проведенное А.С. Егорышевым, показало, что такое несовпадение наблюдалось при совершении 79% неправомерных доступов к охраняемой законом компьютерной Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: учеб.-метод. пособие. М., 2000. С.15. 27 1 информации (ст. 272 УК РФ)1. Это бывает практически в каждом случае опосредованного (дистанционного) доступа к компьютерной информации, подвергшейся преступному воздействию. В случае же непосредственного доступа место совершения противоправного деяния и место наступления вредных последствий совпадают. Подобное преступление часто совершается самими работниками потерпевшего юридического лица (предприятия, организации, учреждения). Таким образом, компьютерные преступления могут иметь транснациональный характер – преступление совершается в одной стране, а его общественно опасные последствия наступают в другой. При этом если неправомерный доступ к компьютерной информации совершается одновременно с нескольких ЭВМ, то число мест совершения преступления будет равно числу задействованных компьютеров. Поэтому местом совершения компьютерного преступления целесообразно считать то транспортное средство, тот участок местности или территорию того помещения, учреждения, предприятия, организации, государства, где были совершены общественно опасные деяния, независимо от места наступления преступных последствий2. Изучение материалов следственной и судебной практики показало, что типичными местами преступления в сфере компьютерной информации выступают: жилище преступника – 51% случаев, место его работы (учебы), не являющееся местом нахождения потерпевшего, – 27% случаев. Реже (13% случаев) – это общественное место, являющееся местом установки стационарного или подключения мобильного компьютерного терминала – средства совершения преступления. Характерно, что по месту нахождения потерпевшего совершается всего 7% таких преступлений. Анализ материалов уголовных дел показал, что время совершения преступлений в сфере компьютерной информации устанавливается в 96% случаев: в 73% случаев – с точностью до минуты, в 17% случаев – до часа, в 6% случаев – до дня. Это происходит благодаря автоматической регистрации наиболее значимых операций и фиксации событий, связанных с обработкой компьютерной информации. Данные криминалистически значимые сведения получаются процессуальным путем сотрудниками органов предварительного расследования, например, при осмотре электронных документов, содержащихся в фискальной памяти контрольно-кассовой техники (платежных и торговых терминалах, банкоматах, бимчекерах, контрольно-кассовых машин), Егорышев А.С. Расследование и предупреждение неправомерного доступа к компьютерной информации: автореф. дис. … канд. юрид. наук. Самара, 2004. С. 11. 2 Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ: монография / под ред. проф. Б. П. Смагоринского. Волгоград, 2004. С. 133. 28 1 автоматизированных системах видеонаблюдения, контроля доступа, учета соединений абонентов в сети электросвязи и других. Криминалистически значимые сведения о личности вероятного преступника, типичных мотивах и целях преступления являются еще одним важным системным элементом типовой компьютерной модели преступных посягательств рассматриваемого вида. Известно, что результаты любой преступной деятельности всегда содержат следы личности субъекта, и, в частности, сведения о некоторых его личных социально-психологических свойствах и качествах, преступном опыте, специальных знаниях, поле, возрасте и др. Криминалистически значимая информация о личности преступника, выявленная при расследовании и сопоставленная с данными о способе, механизме и обстановке совершения преступления в сфере компьютерной информации, создает новую самостоятельную информацию, позволяющую правильно определить направление, а также приемы розыска, задержания и последующего изобличения субъекта. Сведения о еще неизвестном преступнике обычно накапливаются по мере получения информации о виде, месте и времени совершения деяния, предмете посягательства по оставленным им следам на месте преступления, показаниям свидетелей, потерпевших и из других источников. Полученная таким образом информация позволяет правильно определить направление, средства и способы его розыска и задержания1. Принимая во внимание то обстоятельство, что 89% преступлений в сфере компьютерной информации совершается в условиях неочевидности, рассмотрим типовую модель «компьютерного» преступника. Исследованием данной дефиниции в разные годы занимались В.Б. Вехов, Ю.В. Гаврилин, В.А. Голубев, А.С. Егорышев, С.В. Крыгин, В.В. Крылов, В.А. Мещеряков, А.В. Остроушко, В.Ю. Рогозин, Г.В. Семенов, Л.Н. Соловьев, а также другие отечественные и зарубежные ученые-криминалисты. Проанализировав имеющиеся на сегодняшний день научные разработки, мы пришли к выводу о том, что в основу типовой компьютерной модели преступника названного вида следует положить его криминалистическую характеристику, представленную в виде развернутой системы, которую предложили В.Б. Вехов и В.А. Голубев2. В качестве элементов системы, Яблоков Н.П. Криминалистика: учебник для вузов и юридических факультетов. М., 2003. С. 33-34. 2 Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ: монография / под ред. проф. Б. П. Смагоринского. Волгоград, 2004. С. 133-140. 29 1 характеризующей личность преступника, ими были выделены и детально раскрыты: 1) степень правовой ответственности лиц («компьютерные правонарушители», «компьютерные маньяки», «профессиональные компьютерные преступники»); 2) преступная специализация («крекеры»1, «фрикеры»2, «кардеры»)3; 3) категория доступа субъекта к предмету преступного посягательства – компьютерной информации («внутренние пользователи», «внешние пользователи»); 4) правовое положение (зарегистрированные – санкционированные пользователи, незарегистрированные – несанкционированные пользователи); 5) возраст; 6) пол; 7) специальные знания, умения и навыки; 8) уровень образования; 9) уровень интеллектуального развития; 10) мотивы и цели совершения преступления. Изучение материалов современной следственной и судебной практики в целом подтверждает данные, полученные названными исследователями. Так, в 96% случаев преступники были мужчинами; их возраст составляет 16-55 лет; чаще других совершают преступления в сфере компьютерной информации лица в возрасте 19-25 лет (54%) и в 16-18 лет (27%); на момент совершения преступного посягательства 43% лиц имели среднее специальное образование, 41% – высшее и только 16% – среднее; специальное образование в области информационных технологий и компьютерной информации имели 59% преступников; в 72% они являлись сотрудниками учреждений и предприятий, использующих интернет-технологии в своей хозяйственной деятельности, при этом 36% из них имели непосредственное отношение к эксплуатации компьютерной техники; в 31% случаев преступники действовали в составе группы лиц и группы лиц по сговору, а в 0,7% случаев – в составе ОПГ и преступного сообщества. Исходя из криминалистической характеристики предмета преступного посягательства, выделим типичные мотивы совершения преступлений в сфере компьютерной информации. Крэкер (жарг. Крякер) (англ. cracker) – тип компьютерного взломщика. Фрикер – взломщик телефонных сетей. 3 Кардер – мошенник, который собирает информацию о платежных пластиковых картах обманным путем. 30 1 2 1. Корыстные мотивы экономического характера. Применительно к рассматриваемой категории преступных посягательств данная мотивация является преобладающей. Условно ее можно подразделить на следующие виды: 1) неправомерная экономия расходов по оплате услуг электросвязи, в том числе доступа к информационным ресурсам сети Интернет и цифрового телевещания (оплата услуг электросвязи за счет потерпевшего); 2) получение доходов от незаконного использования предмета преступного посягательства – компьютерной информации. 2. Мотивация «уклонение от разоблачения». Этот вид мотивации характерен для преступлений в сфере компьютерной информации, совершенных группой лиц, группой лиц по предварительному сговору, организованной группой или преступным сообществом (преступной организацией). 3. Исследовательский интерес. Указанный тип мотивации чаще детерминирует действия лиц с техническим образованием и высоким уровнем интеллектуального развития для утверждения своих профессиональных возможностей, проверки и демонстрации своей квалификации или удовлетворения собственного любопытства. 4. Хулиганские побуждения. Этот вид мотивации присущ предыдущей категории лиц, в то же время имеющих ярко выраженные антисоциальные установки поведения. Важнейшим элементом типовой компьютерной модели преступлений любого вида, в том числе рассматриваемого, является совокупность криминалистически значимых сведений о типичных способах их совершения и механизмах следообразования. Известно, что под способом совершения преступления в криминалистике понимают объективно и субъективно обусловленную систему поведения субъекта до, в момент и после совершения им преступления, оставляющую характерные следы вовне, позволяющие с помощью криминалистических приемов и средств получить представление о сути происшедшего события, своеобразии преступного поведения правонарушителя, его отдельных личностных данных и, соответственно, определить оптимальные методы решения задач раскрытия и расследования преступления1. Иными словами, способ совершения преступления слагается из комплекса специфических действий правонарушителя по подготовке, совершению и маскировке преступного посягательства. Нередко эти действия представляют собой целую систему со многими ее элементами и оставляют во внешней обстановке соответствующие отражения, составляющие информационную модель 1 Яблоков Н.П., Колдин В.Я. Криминалистика: учебник. М., 1990. С. 327. 31 преступления, о чем мы писали ранее в настоящей работе. Как всякий акт человеческого поведения выбор способа совершения преступления предопределяются совокупностью многих причин и условий, оказывающих влияние как прямо, так и опосредованно. Поэтому способ совершения преступления всегда является результатом действия значительного числа факторов. И чем больше факторов обусловливают выбор способа совершения преступления, тем больше следов оставляет преступник, а значит, большим объемом информации будет располагать сотрудник органа предварительного расследования для выдвижения следственных и розыскных версий. Применительно к исследуемой дефиниции наибольшую ценность будут представлять следы, указывающие на то, каким образом преступник: прибыл на место преступления, покинул его, преодолел различного рода преграды (механические, аппаратные и программные), использовал свое служебное положение, достиг намеченной цели, какие специфические знания, умения и навыки применил, пытался или не пытался скрыть следы совершенного деяния, а также своего пребывания на месте преступления. Не менее существенны следы, указывающие на количество лиц, совершивших преступление в сфере компьютерной информации, примененных ими средствах, орудиях, материалах и технических устройствах, а также свидетельствующие о характере связи преступника с предметом преступного посягательства, и др. 1 Именно такие признаки, проявляющиеся вовне, позволяют своевременно, в процессе первоначальных следственных действий, установить способы подготовки, совершения и сокрытия расследуемого преступного деяния. При этом с криминалистической точки зрения важно не только выявить все внешние проявления способа совершения преступления, но и установить, что было заранее подготовлено субъектом, а что стало результатом приспособления к сложившейся на момент совершения деяния внутренней и внешней обстановке. Это связано с тем, что сам факт и характер вносимых в заранее продуманный способ совершения преступления коррективов содержит существенную информацию о степени осведомленности преступника о той обстановке, которая сложилась к моменту преступного деяния, привычках, навыках, наличии преступного опыта, некоторых психофизических, социальных, интеллектуальных, профессиональных и иных особенностях субъекта этого деяния2. Вехов В.Б. Криминалистическая характеристика и совершенствование практики расследования и предупреждения преступлений, совершаемых с использованием средств компьютерной техники: дис. … канд. юрид. наук. Волгоград, 1995. С. 69-70. 2 Белкин Р.С., Лузгин И.М. Криминалистика: учеб. пособие. М., 1978. С. 243. 32 1 Вместе с тем способ совершения преступления в сфере компьютерной информации всегда конкретен, и у него немало таких «граней», которые имеют важное следственно-оперативное значение. Среди них можно выделить: распространенность данного способа; конкретные приемы его применения; используемые при этом технические и иные средства, их конструктивные особенности; методы их использования при подготовке и совершении преступления, а также сведения о том, как подготавливалось преступление; каким образом проводятся тренировки; как и где изготавливаются или приспосабливаются необходимые орудия и другие технические средства совершения преступления; каковы источники их получения; какие недостатки в их учете и хранении облегчили доступ к ним преступным элементам; какие технологические процессы, оборудование, материалы использовались для их изготовления; как они применялись при совершении преступления и т. д.1 Выделять способ совершения преступления как структурный элемент типовой компьютерной модели преступлений в сфере компьютерной информации нужно всегда во взаимосвязи с типичными последствиями (т. е. следами) его применения. «Голое» описание способа совершения преступления, – справедливо подчеркнул Р.С. Белкин, – не достигает цели, его надо производить либо от следов применения данного способа с тем, чтобы по ним раскрывать механизм преступления, либо к следам применения этого способа, чтобы, зная его, суметь обнаружить доказательства совершенного преступления и установить личность преступника»2. В этой связи нецелесообразно «отрывать» от способа совершения преступления типичные для него следы и выделять последние в качестве самостоятельного элемента в структуре рассматриваемой дефиниции. Исследованием вопросов, связанных с определением понятия и содержания, а также разработкой классификации способов совершения преступлений в сфере компьютерной информации, занимались В.Б. Вехов, Ю.В. Гаврилин, В.А. Голубев, А.С. Егорышев, Д.А. Илюшин, В.Е. Козлов, С.В. Крыгин, В.В. Крылов, В.А. Мещеряков, У.А. Мусаева, А.В. Остроушко, В.В. Попова, В.Ю. Рогозин, Г.В. Семенов, Л.Н. Соловьев и другие ученые-криминалисты. Анализ научных трудов названных авторов по рассматриваемой проблематике показал, что наиболее правильными с методологической точки зрения, применительно к построению типовой компьютерной модели преступлений в сфере компьютерной информации, являются Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ: монография / под ред. проф. Б.П. Смагоринского. Волгоград, 2004. С. 146. 2 Белкин Р.С. Курс криминалистики: В 3-х т. Криминалистические средства, приемы и рекомендации. М., 1997. Т.3. С. 314. 33 1 криминалистическая классификация и сведения о типичных способах их совершения и соответствующих им механизмах следообразования, предложенные В.Б. Веховым, В.В. Поповой и Д.А. Илюшиным1. Заметим, что в качестве основного классифицирующего признака ученые предложили использовать метод, с помощью которого преступник осуществляет целенаправленное воздействие на средство электронно-вычислительной техники и компьютерную информацию. Таким образом, были выделены следующие общие группы способов совершения этих преступлений2: 1. Непосредственный доступ к машинным носителям и средствам компьютерной техники, содержащим в своей памяти компьютерную информацию. 2. Дистанционный доступ к машинным носителям и охраняемой законом компьютерной информации. 3. Фальсификация входных (выходных) данных и управляющих команд. 4. Несанкционированное внесение изменений в существующие программы для ЭВМ и создание вредоносных программных средств. 5. Незаконное распространение машинных носителей, содержащих компьютерную информацию. 6. Комплексные способы. К первой группе относятся традиционные методы получения доступа к машинным носителям и средствам компьютерной техники как предметам – чужому имуществу. Они используются субъектами при совершении преступлений против собственности. Однако в данном случае цель – получение неправомерного доступа к компьютерной информации, содержащейся в их памяти, для ее уничтожения, модификации, блокирования либо копирования. Наиболее распространены такие способы, как: постоянное или временное изъятие этих объектов путем кражи, мошенничества (обмана, введения в заблуждение или легендирования), грабежа и разбоя; обращение их в свою пользу или в пользу других лиц. Специфичными следами применения этих способов выступают: следы орудий взлома и инструментов; одорологические следы; следы повреждения, уничтожения и (или) модификации охранных (сигнальных) устройств, а также замков и запирающих механизмов; показания автоматизированных систем охраны и контроля доступа в помещение, где находятся средства компьютерной техники (СКТ) и (или) машинные носители информации (МНИ), например, фото- или видеодокументы из систем охранного видеонаблюдения; Вехов В.Б., Попова В.В., Илюшин Д.А. Тактические особенности расследования преступлений в сфере компьютерной информации: науч.-практ. пособие. М., 2004. С. 29-35. 2 Вехов В.Б., Попова В.В., Илюшин Д.А. Указ соч. С. 29-35. 34 1 следы пальцев рук на СКТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, розетках и штепсельных вилках, тумблерах, кнопках и рубильниках, включающих СКТ и электрооборудование; остатки соединительных проводов и изоляционных материалов, капли припоя, канифоли или флюса; следы проплавления, прокола, надреза изоляции проводов СКТ, наличие участков механического сдавливания и приклеивания сторонних предметов; следы фальсификации первичных документов, отражающих движение МНИ и документированной компьютерной информации, а также операции, произведенные с их помощью. Ко второй группе способов относятся те, которые основаны на применении средств дистанционного доступа к МНИ и охраняемой законом компьютерной информации. Типичными орудиями совершения преступления являются: 1) специальные технические средства, предназначенные (разработанные, приспособленные, запрограммированные) для негласного дистанционного копирования, модификации, блокирования и уничтожения компьютерной информации с технических устройств ее обработки и передачи; 2) вредоносные программы для ЭВМ1; 3) специальные программно-технические средства подбора пароля (кода) доступа к ЭВМ, системе ЭВМ, их сети и охраняемой компьютерной информации («код-грабберы» и программы для ЭВМ – «генераторы паролей»); 4) средства электросвязи; 5) ПЭВМ со стандартным программным обеспечением и промежуточные (транзитные) МНИ. В юридической литературе рассматриваемая группа способов совершения преступлений в сфере компьютерной информации часто называется «телекоммуникационным доступом», поскольку их реализация невозможна без установки временного или использования постоянно существующего канала электросвязи. Таким образом, неправомерные действия всегда осуществляются через промежуточные (транзитные) машинные носители информации и средства электросвязи2. Нередко методы применения указанных орудий заимствуются преступниками у сотрудников силовых структур, спецслужб и Подробнее о вредоносных программах для ЭВМ и других компьютерных устройств, а также типичных следах их применения см.: Нехорошев А.Б., Шухнин М.Н., Юрин И.Ю., Яковлев А.Н. Практические основы компьютерно-технической экспертизы. Саратов, 2007. С. 192-197. 2 Крылов В.В. Основы криминалистической теории расследования преступлений в сфере информации: дис. ... д-ра юрид. наук. М., 1998. С. 214-218. 35 1 правоохранительных органов, уполномоченных на проведение специальных технических мероприятий: прослушивание телефонных переговоров; снятие информации с технических каналов связи; контроль электронных сообщений («электронной почты»); перехват информации техническими средствами разведки; осуществление преднамеренных программно-технических воздействий на информацию с целью ее разрушения (уничтожения) или искажения в процессе обработки, передачи и хранения. Чаще других преступники используют такие способы дистанционного доступа к МНИ и охраняемой законом компьютерной информации, как: 1. Пассивный (бесконтактный) перехват – дистанционный перехват электромагнитных излучений, испускаемых при работе СКТ. 1.1 Перехват оптических сигналов (изображений) в видимом, инфракрасном (ИК) и ультрафиолетовом (УФ) диапазонах волн (осуществляется преступником с помощью оптических, оптикоэлектронных, телевизионных, тепловизионных, лазерных, фото- и других визуальных средств съема информации); 1.2 Перехват акустических сигналов, распространяющихся в воздушной, водной и твердой средах (осуществляется с использованием акустических, гидроакустических, виброакустических и лазерных средств); 1.3 Перехват электромагнитных сигналов, распространяющихся по техническим каналам основных и вспомогательных средств и систем в виде паразитных информативных физических полей: побочных электромагнитных излучений и наводок (ПЭМИН), паразитных модуляций ВЧ сигналов, паразитных информативных токов и напряжений, образуемых за счет эффекта электроакустического преобразования сигналов в сетях электросвязи, электрификации, электрочасофикации, охранно-пожарной сигнализации, в компьютерных системах и сетях, в блоках СКТ и т. п. 2. Активный (контактный) перехват. Осуществляется путем непосредственного подключения к ЭВМ, системе ЭВМ, их сети или системе передачи данных различных радиоэлектронных и специальных технических средств (соответственно РЭС или СТС) – штатных оперативно-технических, добытых различными способами или специально изготовленных, разработанных, приспособленных и запрограммированных. В данном случае преступник может целенаправленно воздействовать на СВТ в целом, машинный носитель информации, систему санкционирования доступа к ним, каналы передачи данных и саму компьютерную информацию1. Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия / под ред. проф. Б.П. Смагоринского. М., 1996. С. 57-70.; Вехов В.Б. Электронные технические устройства как орудия преступлений // Защита информации. Конфидент, 2001. № 2. С. 80-83.; Вехов В.Б. 36 1 3. Использование вредоносных программ для ЭВМ. Заключается в негласном внедрении различными способами в ЭВМ, систему ЭВМ или сеть ЭВМ специальных программ: разведывательных – «троянский конь», «троянская матрешка» и других; разрушающих компьютерную информацию и повреждающих средства ее хранения (МНИ), обработки и передачи – «временная» или «логическая бомба», «компьютерный вирус»1. Как свидетельствуют данные статистики, в первом квартале 2010 г. количество новых вредоносных программ для ЭВМ, использованных в целях совершения преступлений в сфере компьютерной информации и ранее неизвестных специалистам в области антивирусной защиты, возросло на 61%. Характеризуя их с криминалистических позиций, следует отметить, что все эти вредоносные программы относятся к категории «троянский конь». За указанный период 15% преступлений были совершены с применением традиционных и хорошо известных науке и практике «компьютерных вирусов», 9% преступных посягательств – при помощи «компьютерных червей»2. Типичными следами являются: показания регистрирующей (мониторинговой) аппаратуры (радиосканирующих и пеленгующих устройств, компьютеризированных анализаторов проводных сетей электросвязи; программно-технических средств защиты портов ЭВМ – рабочих станций компьютерной сети; аппаратуры контроля и регистрации соединений абонентов в сети электросвязи; специальных программ для ЭВМ – «семантических ловушек» и «антивирусов»)3; вышеуказанные орудия преступления или их части; методическая литература, видеодокументы, а также отдельные их фрагменты, описывающие технологию создания и (или) применения рассматриваемых средств преступления; машинные носители с компьютерной информацией, к которой был осуществлен незаконный доступ, либо ее производные, содержащиеся на иных материальных носителях. К третьей группе относятся способы совершения преступлений в сфере компьютерной информации, основанные на фальсификации (модификации) входных (выходных) данных и управляющих команд. В криминальной Нарушение режима конфиденциальности информации при подделке банковских карт // Защита информации. Инсайд, 2008. № 5. С. 82-85. 1 Нехорошев А.Б., Шухнин М.Н., Юрин И.Ю., Яковлев А.Н. Практические основы компьютерно-технической экспертизы. Саратов, 2007. С. 192-197. 2 61% новых ИТ-угроз за первый квартал 2010 г. – банковские трояны [Электронный ресурс]: CNews. Электрон. СМИ. Режим доступа: http://safe.cnews.ru. 3 О понятии и элементах дорожки электронно-цифровых следов см.: Вехов В.Б. Понятие и механизм образования электронно-цифровых следов // Криминалистическое учение о компьютерной информации и средствах ее обработки: дис. … д-ра юрид. наук. Волгоград, 2008. С. 95-113. 37 практике они используются для совершения экономических преступлений, например, осуществления подмены входных и (или) выходных данных бухгалтерского учета в процессе автоматизированной обработки документов. Способы рассматриваемой группы применяются преступниками, как правило, в тех случаях, когда принимаемые меры защиты информации от несанкционированного доступа и использования не соответствуют статусу ее правовой защиты, а также установленным правилам защиты информации1. Так, отсутствие должного контроля со стороны администрации и службы безопасности организации за деятельностью своих работников позволяет им в корыстных целях фальсифицировать данные, отраженные в документах на машинных носителях и машинограммах – бумажных копиях электронных документов, полученных по каналам электросвязи2. Такими способами совершаются хищения денежных средств и иные преступные посягательства, ведется так называемая «двойная» или «черная бухгалтерия». Типичные следы можно обнаружить путем попарного сравнения данных, содержащихся в следующих документах, по схеме: первичные документы, на основе которых формируется электронный документ электронный документ машинограмма – копия электронного документа на бумажном носителе первичные документы. Четвертая группа – это несанкционированное внесение изменений в существующие программы для ЭВМ и создание вредоносных программных средств, результатом действия которых является уничтожение, блокирование, модификация либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Например, см.: Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К): утв. решением Коллегии Государственной технической комиссии при Президенте Российской Федерации от 02 марта 2001 г. № 7.2; Требования к защите от несанкционированного доступа к программам, транслируемым с применением системы цифрового телевизионного вещания DVB, при их передаче по каналам связи, образованным спутниковыми линиями передачи сети связи общего пользования: утв. приказом Министерства информационных технологий и связи Российской Федерации от 11 января 2006 г. № 3; Требования по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации: утв. приказом Министерства информационных технологий и связи Российской Федерации от 09 января 2008 г. № 1; Стандарт Банка России СТО БР ИББС-1.0-2006 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения»: утв. распоряжением Центрального Банка России от 26 января 2006 г. № Р-27. 2 Вехов В.Б. Преступления связанные с неправомерным использованием баз данных и содержащийся в них компьютерной информации // Защита информации. Инсайд, 2008. № 2. С. 78-81. 38 1 Следует обратить внимание на то обстоятельство, что так называемые «крэкпрограммы», с помощью которых осуществляется дезактивация программных средств защиты охраняемой законом компьютерной информации, например программ для ЭВМ – объектов авторского права, являются орудием (средством) совершения преступления, предусмотренного ст. 272, а не ст. 273 УК РФ1. Они могут использоваться в качестве вещественных доказательств в соответствии со ст. 81 УПК РФ. Типичные следы: сбой в работе программы для ЭВМ; нарушение работы ЭВМ, системы ЭВМ, их сети, а также периферийного оборудования, управляемого ЭВМ; уничтожение, блокирование, модификация либо копирование информации определенного вида; несанкционированное изменение структуры расположения файлов (папок – директориев) и (или) программ для ЭВМ на МНИ; появление в памяти компьютерного устройства или на МНИ новой информации (файлов, программ, директориев), происхождение которой неизвестно; показания тестирующих (специальных, антивирусных) и мониторинговых программ для ЭВМ; расхождение контрольных данных, отраженных в журнале оператора (администратора сети) ЭВМ2, с фактическими, реально находящимися в ЭВМ, системе ЭВМ, их сети или на отдельном МНИ. К пятой группе способов относятся действия субъекта, выражающиеся в незаконном распространении машинных носителей, содержащих охраняемую законом компьютерную информацию или сведения, распространение (оборот) которых запрещен под угрозой уголовного наказания, например, порнографических материалов и вредоносных программ для ЭВМ. Группа комплексных способов совершения преступлений в сфере компьютерной информации основана на применении преступником двух и более способов различных групп, причем один из них всегда используется как Вехов В.Б., Махмудов М.А. Особенности расследования неправомерного получения услуг спутникового цифрового телевидения // Проблемы борьбы с преступностью: российский и международный опыт: сб. науч. тр. Волгоград, 2009. Вып. 1. С. 35-42. 2 Контрольные показатели о состоянии вычислительной системы или учетные данные о произведенных операциях снимаются и фиксируются оператором (администратором сети) ЭВМ в специальном журнале, который называется «журнал оператора (администратора сети) ЭВМ» («кассовая книга» и т. д.). Это происходит в момент окончания работы на ЭВМ или по завершению выполнения определенных операций в конце каждого рабочего дня либо при передачи смены между операторами (администраторами). Порядок ведения журнала и время снятия контрольных показателей определяется ведомственными нормативными актами, приказом руководителя организации и должностными обязанностями оператора (администратора сети) ЭВМ. 39 1 основной, а другие выполняют вспомогательные функции, например, сокрытие следов преступления1. Очевидно, что все рассмотренные элементы типовой компьютерной модели преступлений в сфере компьютерной информации не в полной мере раскрывают ее содержание, а приводимый перечень ее составляющих не является исчерпывающим. Вместе с тем, учитывая специфику рассматриваемого вида преступных посягательств и новизну исследованной дефиниции, мы посчитали возможным акцентировать внимание именно на отмеченных криминалистически значимых сведениях. С учетом изложенного сделаем следующие выводы: 1. Типовая информационная модель преступлений в сфере компьютерной информации – это информационная система, построенная на результатах статистической обработки репрезентативной выборки уголовных дел о преступных посягательствах названного вида, которая отражает закономерные связи между типичными элементами события преступления, используется для выдвижения типовых версий и является методологической основой формирования методики расследования преступлений данного вида. 2. Типовая компьютерная модель преступлений в сфере компьютерной информации – автоматизированная информационная система, построенная на основе научных знаний о типовой информационной модели преступлений названного вида и выступающая одним из компонентов автоматизированной методики расследования этих преступных посягательств. 3. Базовыми элементами типовой компьютерной модели преступлений в сфере компьютерной информации являются криминалистически значимые сведения, объективно представленные в электронно-цифровой форме: о видовом предмете преступного посягательства; о типичных обстоятельствах совершения преступления (обстановке, времени, месте, выполняемой технологической операции при компьютерной обработке информации); о личности вероятного преступника, типичных мотивах и целях преступления; о способе совершения преступления и механизме следообразования; о закономерных связях между этими элементами. В связи с тем, что типовые информационную и компьютерную модели преступлений в сфере компьютерной информации можно рассматривать как отражение структуры данной преступной деятельности в деятельности криминалистической, а функциональные характеристики этих моделей – с позиций адекватности такого отражения, необходимо рассмотреть Вехов В.Б. Особенности расследования DDoS-атак, совершенных на web-серверы организаций // Проблемы борьбы с преступностью: российский и международный опыт: сб. науч. тр. Волгоград, 2009. Вып. 1. С. 25-34. 40 1 гомоморфизм между системами преступной и криминалистической деятельности. Поскольку чем более адекватно последняя отражает структуру преступной деятельности, тем выше ее эффективность. 3. Использование компьютерного моделирования при планировании расследования преступлений в сфере компьютерной информации Известно, что моделирование начинается с постановки проблемы и определения задачи, которая должна быть решена с его помощью (эти вопросы были подробно рассмотрены в первой главе настоящей работы). Сам же процесс моделирования состоит из трех стадий: 41 1) построения модели объекта (в данном случае – одного из компонентов автоматизированной методики расследования преступлений в сфере компьютерной информации); 2) изучения построенной модели; 3) реализации модели (проверки модельной информации на практике в деятельности органов предварительного расследования). Построить модель указанного объекта – значит, во-первых, на основании собранных фактических данных, личного и обобщенного опыта составить общее представление о характере, природе и групповой принадлежности объекта; во-вторых, определить структуру, наполнить необходимыми деталями созданный эскизный образ объекта; в-третьих, тем или иным способом зафиксировать построенную модель1 (в нашем случае – это электронноцифровой способ фиксации, осуществляемый с помощью автоматизированной информационной системы). Метод моделирования должен применяться на всем протяжении поисковопознавательной деятельности каждого вида: с момента изучения исходной информации до принятия решения о завершении деятельности. Причем вначале – это мысленная модель, фиксируемая в памяти субъекта моделирования, которая в последующем находит свое выражение в бумажном и (или) электронном документе. Рассмотренная в данном пособии типовая информационная модель преступлений выделенного вида предоставляет сотруднику органа предварительного расследования информацию, необходимую для планирования следственных действий, оперативно-розыскных и организационных мероприятий. В то же время она является техникокриминалистическим средством, оптимизирующим и автоматизирующим данную деятельность. Как отмечалось, в ряде проведенных в последнее время криминалистических исследований, посвященных методике расследования преступлений в сфере компьютерной информации, были получены интересные с научной точки зрения сведения о частоте связей отдельных элементов этих преступных деяний, на основе которых исследователь должен построить типовую, а затем и индивидуальную модель расследуемого события. Практика показывает, что эта задача весьма затруднительна для сотрудников органов предварительного расследования, так как необходимые сведения им приходится выбирать из правовых норм и обширного справочного материала (Уголовного и Уголовнопроцессуального кодексов, федеральных законов и других нормативно1 Образцов В.А. Выявление и изобличение преступника. М., 1997. С. 220. 42 правовых актов, регулирующих общественные отношения в сфере информации, информационных технологий и защиты информации, криминалистической научной продукции и т. д.), большая часть которого к конкретному случаю расследования не относится. Представляется, что в современных условиях развития науки и техники указанную задачу следует решать на основе криминалистического компьютерного моделирования. Эту идею поддерживает большинство опрошенных респондентов: 85% руководителей следственных органов, 76% следователей, специализирующихся на расследовании преступлений в сфере компьютерной информации, и 64% следователей, расследующих преступления иных видов. Поскольку в практическом аспекте компьютерное моделирование преступления и планирование его расследования осуществляются на основе следственной ситуации, считаем целесообразным, рассмотреть эту криминалистическую деятельность в рамках ситуационного анализа и принятия сотрудником органа предварительного расследования тактических решений. Развитие компьютерных технологий и специфика расследования преступлений в сфере компьютерной информации требуют переосмысления теории и практики собирания доказательств не только тогда, когда подлежащая приобщению к уголовному делу информация хранится на машинных носителях и в памяти различных компьютерных устройств, но и в иных случаях. Эти технологии также оказывают влияние как на процесс планирования расследования преступлений отдельных видов, так и на планирование деятельности следователя в целом. Например, как показало проведенное исследование, с использованием компьютера и текстового редактора планирование по уголовному делу осуществляют 71% руководителей следственных органов, 59% следователей, занимающихся расследованием преступлений общеуголовной категории, и 42% следователей, специализирующихся на расследовании преступлений в сфере компьютерной информации. Рассмотрим вопрос о том, возможно ли эффективное применение криминалистических рекомендаций по планированию расследования преступлений в сфере компьютерной информации в условиях применения следователем компьютерных технологий. При этом особое внимание уделим изучению специфики планирования работы следователя с использованием специальных программ моделирования процесса расследования. С учетом современных достижений в науке и развитием информационнокомпьютерных технологий представляется более надежным и эффективным нужные для процесса планирования знания и правовые определения хранить не в «памяти следователей», а использовать для его организации специальное 43 программное обеспечение. Данная позиция закреплена в части 4 статьи 11 Федерального закона «О полиции» (от 07.02.2011 г. № 3-ФЗ), в которой указано, что сотрудники полиции имеют возможность использовать в целях раскрытия, расследования и предупреждения преступлений автоматизированные информационные системы, а также интегрированные банки данных. Это позволит требующуюся для планирования информацию сделать более полной и доступной одновременно многим следователям, что, в свою очередь, будет способствовать оптимизации их деятельности. В специальной литературе изложены различные мнения по данному вопросу. Например, И.Е. Быховский считает, что раскрыть атипичное преступление, пользуясь типовой программой, невозможно, поскольку «использование жестких программ, содержащих команды, исключает возможность учета особенностей личности и самого следователя, и обвиняемого, и других лиц, проходящих по делу»1. По его мнению, такая программа должна базироваться на материалах обобщения практики, стимулировать инициативу следователя на отыскание других, не предусмотренных авторами программы путей выяснения того или иного вопроса. «Идея программирования расследования не должна лишать следователя возможности поиска эвристических решений, – подчеркивает И.Е. Быховский, – следствие всегда было, есть и будет не только комплексом научных положений и рекомендаций, но и искусством нахождения истины»2. Следует поддержать высказанные им предложения по поводу оптимального применения программ для ЭВМ при расследовании преступлений. Таким образом, программы (алгоритмы) расследования преступлений отдельных видов являются элементом частных криминалистических методик. Они должны представлять собой многовариантные системы следственных, оперативно-розыскных, организационно-технических и иных действий и мероприятий3. При этом наряду с повторяющимися действиями и мероприятиями в программах (алгоритмах) расследования преступлений, в том числе в сфере компьютерной информации, встречаются специфические, проводящиеся только при одной следственной ситуации. Полагаем, что в современных условиях широкого применения компьютерных технологий эту проблему возможно разрешить на новом качественном уровне путем создания Быховский И.Е. Программированное расследование: возможности и перспективы // Актуальные проблемы советской криминалистики. М., 1980. С. 61-65. 2 Там же. С. 66. 3 Возгрин И.А. Научные основы криминалистической методики расследования преступлений. СПб., 1993. Ч. IV. С. 29. 44 1 полноценных автоматизированных методик расследования преступлений отдельных видов. По мнению многих ученых, наиболее перспективным направлением использования компьютерных технологий для обеспечения планирования расследования преступлений являются специально созданные для этих целей автоматизированные информационные системы (АИС) – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. При этом база данных законодателем определена как «представленная в объективной форме совокупность самостоятельных материалов (статей, расчетов, нормативных актов, судебных решений и иных подобных материалов), систематизированных таким образом, чтобы эти материалы могли быть найдены и обработаны с помощью электронной вычислительной машины – ЭВМ» (п. 2 ст. 1260 ГК РФ). В соответствии с пунктом 33 части 1 статьи 13 Федерального закона «О полиции» (от 07.02.2011 г. № 3-ФЗ), сотрудники полиции имеют право использовать в своей деятельности информационные системы; формировать, вести и использовать банки данных оперативно-справочной, криминалистической, экспертно-криминалистической, разыскной и иной информации о лицах, предметах и фактах; использовать банки данных других государственных органов и организаций, в том числе персональные данные граждан, если федеральным законом не установлено иное. Из изложенного следует, что особую значимость представляют базы данных (БД), содержащие сведения об обстоятельствах, подлежащих доказыванию при расследовании преступлений как в сфере компьютерной информации, так и иных видов. В связи с этим одним из наиболее важных с криминалистической точки зрения является вопрос о структуре такой базы данных. Как правильно отметил И.А. Возгрин, программы (алгоритмы) расследования данного вида преступления (в нашем случае – это преступления в сфере компьютерной информации) должны строиться поэтапно (наиболее подробно для первоначального этапа, начиная с момента получения первичной информации и обнаружения признаков преступления), по наиболее часто встречающимся следственным ситуациям, с учетом выдвигаемых в каждой из них типичных следственных версий. Они должны включать научно обоснованную систему следственных, оперативно-розыскных, организационнотехнических и иных действий и мероприятий, направленных на быстрое и полное установление истины по уголовному делу1. 1 Возгрин И.А. Указ. соч. С. 29. 45 Общепризнанным в криминалистике является мнение о том, что основу планирования составляют версии. Понятие, структура и содержание версии, как отмечалось, исследовали многие ученые. Одним из наиболее значимых является вопрос о выдвижении и оценке версий. В деятельности следователя по планированию расследования обычно выделяют следующие основные элементы: – изучение имеющихся фактических данных; – выдвижение версий, определение вопросов, подлежащих выяснению; – определение круга следственных действий и организационных мероприятий, подлежащих проведению по каждой версии, сроков и последовательности их проведения, а также исполнителей; – корректировка плана в ходе расследования в соответствии с получаемой информацией1. При расследовании преступлений в сфере компьютерной информации и в условиях применения следователем компьютерных технологий эти элементы деятельности имеют некоторую специфику, которую исследовали, в частности, В.Б. Вехов и А.Ф. Родин2. Во-первых, следователю должна быть предоставлена возможность сравнивать имеющиеся у него фактические данные по расследуемому уголовному делу с информацией об аналогичных преступлениях, содержащейся в компьютерных базах данных, обеспечивающих функционирование криминалистических учетов органов внутренних дел. Во-вторых, базы данных должны быть максимально полными, базироваться на современных достижениях науки уголовного процесса, криминалистики, информатики и других областей знаний, а также учитывать практику расследования уголовных дел рассматриваемого вида. В-третьих, у следователя должны быть технические возможности оперативно воспользоваться такими базами данных, что в условиях современного состояния обеспеченности следователей компьютерной техникой и программным обеспечением, как было отмечено, не такая простая задача. Филиппов А. Г. Планирование расследования // Криминалистика: учебник для вузов МВД России. Т.2; Техника, тактика, организация и методика расследования преступлений / редкол.: Б.П. Смагоринский, А.Ф. Волынский, А.А. Закатов, А.Г. Филиппов. Волгоград, 1994. С. 277. 2 Родин А.Ф., Вехов В.Б. Использование компьютерных технологий в деятельности следователя / под ред. проф. Б. П. Смагоринского. Волгоград, 2003. С. 89. 46 1 В-четвертых, следователь должен видеть преимущества использования программных средств при планировании расследования преступлений и уметь ими пользоваться. Анализ криминалистической литературы и практики расследования отдельных видов преступлений показывает, что применение следователем компьютерных технологий обусловливает специфику проведения таких операций, как выдвижение версий и определение вопросов, подлежащих доказыванию (выяснению). Это проявляется в том, что, во-первых, при использовании специализированного программного обеспечения и информационных баз данных следователь, прежде всего, имеет дело с так называемыми «типичными» версиями1. Во-вторых, речь должна идти уже не о выдвижении версий на основе изучения исходной криминалистически значимой информации на первоначальном этапе расследования, а о выборе для дальнейшей проверки наиболее вероятных типовых версий, содержащихся в базах данных специализированного программного обеспечения. В-третьих, мыслительный процесс следователя по выдвижению версий предопределен спецификой и качеством имеющегося в его распоряжении программного обеспечения ПЭВМ, а также качеством методического обеспечения этой деятельности. Вопрос о типичных версиях достаточно разработан в криминалистической науке и использование следователем на практике таких версий ни у кого возражений не вызывает. Более того, в следственной практике при расследовании преступлений отдельных видов уже давно применяются «типовые программы расследования преступлений»2. Под типовой криминалистической программой понимается система рекомендаций, включающих описание средств, приемов, методов их решений, цель которой заключается в оказании сотрудникам органов предварительного расследования помощи в получении доказательственной информации по уголовному делу3. В таких программах для каждого подлежащего доказыванию обстоятельства указаны следственные действия, оперативно-розыскные и иные мероприятия, рекомендуемые типовой программой для установления выбранных следователем обстоятельств. Применение в следственной практике таких Васильев А.Н. Общие вопросы планирования предварительного расследования // Планирование расследования преступлений. М., 1957. С. 40-41; Шляхов А.Р. Планирование предварительного следствия. М., 1957. С. 14. 2 Белкин Р.С. Курс криминалистики: в 3 т. Частные криминалистические теории. М., 1997. Т. 2. С. 364-366. 3 Густов Г.А. Проблемы программирования расследования преступлений // Проблемы программирования, организации и информационного обеспечения предварительного следствия: межвуз. сб. науч. тр. Уфа, 1989. С. 18. 47 1 программ, особенно по технически сложным для расследования преступлениям, показало их безусловную полезность1. Однако использование программного обеспечения рассматриваемой категории требует от следователя определенных навыков, поскольку «типовые программы структурированы таким образом, что ссылки на следственные действия, оперативно-розыскные и иные мероприятия, рекомендуемые для установления обстоятельств, подлежащих доказыванию, даются в зашифрованном виде, с использованием цифровых обозначений (порядковый номер следственного действия → номер действия или мероприятия)»2. По этой же причине корректировка и дополнение таких типовых программ самими пользователями в процессе их использования также весьма затруднительны. Эффективность использования типовых программ при планировании расследования преступлений значительно повышается в случае занесения содержащихся в них сведений в специальные компьютерные базы данных либо использования пошаговой гипертекстовой технологии доступа к информации. При этом значительно упрощается поиск необходимой информации и, что немаловажно, вывод обобщенных данных по запросам следователя на экран монитора, на печать, в файл или текстовый редактор. В то же время использование типовых программ с применением средств компьютерной техники предъявляет особые требования к содержанию и структуре таких программных продуктов. Как известно, следователь выдвигает версии на основе имеющейся в его распоряжении информации, объем которой часто бывает весьма незначителен. При применении компьютерных технологий следователь использует информацию из частных и видовых методик расследования преступлений, хранящейся в памяти ЭВМ. Ее объем существенно больше, поэтому возникает проблема классификации, что необходимо для корректного поиска рекомендуемых для дальнейшей проверки версий. Анализ имеющих в распоряжении следователя данных о преступлении, которые он использует для решения вопроса о выдвижении конкретных версий, показывает неоднородность такой информации. Например, при расследовании неправомерного доступа к охраняемой законом информации, находящейся в сети «Интернет», сведения о наличии модема, подключенного к компьютеру или интегрированного в него, в совокупности с иной информацией могут выступать снованием для выдвижения версии о том, что преступление могло Бедняков Д.И. Непроцессуальная информация и расследование преступлений. М., 1991. С. 155-156. 2 Родин А.Ф., Вехов В.Б. Использование компьютерных технологий в деятельности следователя / под ред. проф. Б.П. Смагоринского. Волгоград, 2003. С. 90-91. 48 1 быть совершено с использованием данного компьютера. И наоборот, если сведения о подключении модема к компьютеру отсутствуют, то версия о том, что с его помощью, возможно, было совершено названное преступное деяние, либо другие аналогичные версии должны быть исключены. Изучение практики разработки и эксплуатации специализированных компьютерных программ и систем, обеспечивающих процесс расследования преступлений, в том числе в сфере компьютерной информации, показывает, что постановка задачи и программирование такой рекомендующей базы данных, как с технической, так и с научно-методической позиций, особой сложности не вызывает. Наиболее трудным представляется выявление признаков типичных версий отдельных видов преступлений. Это должно стать обязательным предметом исследования при разработке рекомендаций по их расследованию. Определение вопросов, подлежащих выяснению, в условиях применения следователем компьютерных технологий также имеет особенности. Здесь речь должна идти не об анализе версий в целях определения признаков выдвинутых версий и формулировании указанных вопросов, а об их отборе (поиске) в имеющейся компьютерной базе данных. Это обусловлено тем, что анализ типичных версий, выведение следствий и формулирование подлежащих доказыванию обстоятельств по определенным видам преступлений или конкретным преступлениям производится заранее, на этапе заполнения баз данных при создании программного обеспечения. Изучение изложенных в криминалистической литературе типовых и частных методик, методических рекомендаций по планированию расследования отдельных видов преступлений, а также имевшихся в нашем распоряжении компьютерных программ, обеспечивающих этот процесс, позволило сделать вывод о необходимости классификации обстоятельств, подлежащих доказыванию, с учетом возможности применения баз данных. Представляется, что основанием для такой классификации должны стать преступления (их виды), для доказывания которых устанавливается наличие либо отсутствие определенного обстоятельства. Основываясь на изложенных теоретических положениях, в целях совершенствования деятельности по расследованию преступлений рассматриваемого вида на основе широкого использования средств и методов компьютерного моделирования автором этих строк, совместно с В.Б. Веховым, была создана автоматизированная информационная система «Расследование преступлений в сфере компьютерной информации». Она является основой, на которой в последующем может быть создана полноценная автоматизированная методика расследования данных преступных посягательств, включающая модуль оформления всех процессуальных и организационных документов по 49 проверочному материалу (уголовному делу). Рассмотрим алгоритм ее строения и принцип работы. После запуска программы и нажатия интерактивной кнопки «начать работу с программой» на дисплее монитора ЭВМ появляется окно ввода (выбора) исходной информации (рис. 1), которое называется «Исходные данные». В окне пользователю предлагается выбрать одно из поводов для возбуждения уголовного дела (ст. 140 УПК РФ) о преступлении в сфере компьютерной информации, а именно: 1. Поступило заявление о преступлении от потерпевшего –представителя юридического лица или гражданина (заявление о преступлении – письменное или устное). 2. Непосредственное обнаружение признаков преступления органом дознания (рапорт об обнаружении признаков преступления с приложенными к нему материалами оперативно-розыскной деятельности или доследственной проверки). 3. Непосредственное обнаружение признаков преступления следователем при расследовании уголовных дел о преступлениях других видов (рапорт об обнаружении признаков преступления с копиями документов из уголовного дела). Рис. 1. Окно «исходные данные» Выбрав указателем «мыши» нужный пункт исходных данных, пользователь посредством технологии «гипертекст» переходит в соответствующее окно 50 программы, следующий этап расследования – доследственная проверка (рис. 21). Рис. 2-1. Окно «доследственая проверка» В данном окне на дисплее ЭВМ выводится примерный план доследственной проверки, сведения и документы, которые должны находиться в распоряжении следователя (дознавателя) для принятия обоснованного решения о возбуждении уголовного дела о преступлении в сфере компьютерной информации. По этому поводу поясним, что в зависимости от содержания исходной информации о происшедшем событии следователь имеет возможность до возбуждения уголовного дела провести в порядке ст. 144 УПК РФ предварительную проверку фактов, изложенных в сообщении о преступлении. Разумеется, такая проверка проводится в стадии возбуждения уголовного дела, что типично для преступлений в сфере компьютерной информации. Она проводится в сроки, жестко регламентированные действующим уголовно-процессуальным законом (чч. 1 и 3 ст. 144 УПК РФ). Вследствие этого целесообразно разработать план предварительной (доследственной) проверки. Анализ специальной литературы, посвященной этому вопросу, показал, что наиболее удачным для целей 51 компьютерного программирования является план, предложенный В.Б. Веховым, В.В. Поповой и Д.А. Илюшиным, который используется при разработке нашей АИС в следующем объеме1: 1) истребование необходимых материалов (документов), свидетельствующих о противоправности события либо отражающих незаконность проведения операции в сфере компьютерной информации; 2) анализ полноты комплекта и содержания документов, подтверждающих противоправность исследуемого деяния; 3) проверка подлинности и действительности документов, имеющихся в распоряжении дознавателя, органа дознания или следователя; 4) вопросы лицам, на которых ссылается заявитель или имеются данные о них как о возможных свидетелях происшедшего события; 5) получение объяснения от заявителя и возможных свидетелей (очевидцев) события; 6) предварительное исследование предметов и документов – возможных орудий преступления (машинных носителей информации (МНИ), программ для ЭВМ, баз данных, отдельных файлов, специальных технических средств и других); 7) ознакомление с технологией использования документированной компьютерной информации в конкретном технологическом процессе или операции; 8) изучение правовой основы операции, итогом которой явилось событие, изложенное в сообщении о преступлении; 9) консультации со специалистами. При необходимости следователь имеет возможность по гиперссылке перейти к электронно-цифровой форме (бланку) либо образцу соответствующего документа, например, протоколу принятия устного заявления о преступлении, осмотра места происшествия; примерному образцу письменного заявления потерпевшего, рапорта об обнаружении признаков преступления и др. (рис. 22). Кроме того, в указанном плане могут быть предусмотрены и другие проверочные и организационные действия Данная информация может служить ориентиром для сотрудников органа предварительного расследования при разработке ими рабочего плана проверки сообщения о преступлении в сфере компьютерной информации. Эти сведения мы разместили в соответствующей базе данных рассматриваемой АИС. Вехов В.Б., Попова В.В., Илюшин Д.А. Тактические особенности расследования преступлений в сфере компьютерной информации: науч.-практ. пособие. М., 2004. С. 55-56. 52 1 Рис. 2-2. Окно «доследственая проверка» С учетом данных, полученных в результате предварительной проверки поступивших материалов, принимается решение о возбуждении уголовного дела, об отказе в его возбуждении или передаче сообщения о преступлении по подследственности в соответствии со ст. 151 УПК РФ. Процесс оформления одного из этих процессуальных документов автоматизирован путем включения в АИС их электронных бланков. Следующей стадией планирования расследования по преступлениям выделенного вида является выдвижение следственных версий, установление обстоятельств, подлежащих доказыванию по уголовному делу, а также определение перечня следственных действий, оперативно-розыскных и организационных мероприятий по проверке каждой версии. Для квалификации преступного деяния, предусмотренного ст. 272-274 УК РФ, и возбуждения уголовного дела по признакам преступления, указанного в диспозициях этих статей, на дисплей выводятся соответствующие интерактивные методические рекомендации. Изучение материалов уголовных дел показало, что предметом преступного посягательства является компьютерная информация следующих видов: 1) статистическая информация о предоставленных услугах электросвязи, содержащаяся в базах данных операторов электросвязи, в том числе провайдеров услуг Интернет; 53 2) информация о расчетно-кассовых операциях, содержащаяся в памяти контрольно-кассовых машин, банкоматов, платежных и торговых терминалов, игровых и лотерейных автоматов, платежно-расчетных карт; 3) чужие идентификационные данные для работы в сети оператора электросвязи, дистанционного доступа к информационному сетевому ресурсу или электронному расчетному счету потерпевшего; 4) персональные данные физических лиц, а также сведения, составляющие служебную тайну; 5) вредоносные программы для ЭВМ. Если предметом преступления является охраняемая федеральным законом компьютерная информация, то дальнейшая работа осуществляется по гиперссылке на методические рекомендации, предусмотренные для квалификации преступных деяний по ст. 272 и 274 УК РФ. Если же это не охраняемая законом информация – на методические рекомендации, предусмотренные для квалификации преступлений по ст. 273 УК РФ. После выбора указателем «мыши» соответствующей статьи УК РФ на экране появляется ее полный текст с гиперссылками по каждому преступлению, указанному в диспозиции. Активировав необходимую гиперссылку, следователь переходит в меню выбора следственных ситуаций, типичных для выбранного преступного посягательства (рис. 3). Анализ материалов уголовных дел о преступлениях в сфере компьютерной информации показал, что типичными ситуациями первоначального этапа расследования являются: 1. Информация о мотивах, способе совершения общественно опасных деяний и личности правонарушителя отсутствует. 2. Имеются сведения о мотивах, способе совершения преступления, но нет сведений о личности преступника. 3. Известны мотивы, способы совершения и сокрытия преступления, личность преступника и другие обстоятельства. 54 Рис. 3. Окно «типичные ситуации первоначального этапа расследования» По каждой ситуации программа предлагает несколько следственных версий, например, о преступлении, предусмотренном ст. 273 УК РФ (рис. 4). Рис. 4. Окно «следственные версии» На данном этапе пользователь может выбрать любую из предложенных следственных версий, после чего на экран будет выведена следующая информация: – перечень обстоятельств, подлежащих установлению и доказыванию по выбранной версии (рис. 5); 55 Рис. 5. Окно «обстоятельства, подлежащие установлению и доказыванию» – список следственных действий, оперативно-розыскных и организационных мероприятий, которые необходимо провести на первоначальном этапе расследования для проверки выбранной версии (рис. 6). Рис. 6. Окно «первоначальные следственные действия, оперативно-розыскные и организационные мероприятия» 56 Выведенный на экран перечень можно просмотреть в многостраничном режиме, записать в файл, загрузить в текстовый редактор MS Word для корректировки либо дополнения или вывести на печать, воспользовавшись для этого соответствующими интерактивными кнопками браузера – меню. Записанная в текстовый файл информация об обстоятельствах, подлежащих доказыванию, может быть впоследствии использована следователем при составлении письменных рабочих планов расследования по уголовному делу, организации и производства конкретного следственного действия. По соответствующей гиперссылке следователь может войти в электронную форму рабочего плана расследования и приступить к ее заполнению; перейти к содержащимся в АИС методическим рекомендациям по тактике организации и производства конкретного следственного действия, оперативно-розыскного или организационного мероприятия, а затем – к электронной форме протокола следственного действия, образцу оформления соответствующего ОРМ или иного документа. Для этих целей в АИС включены соответствующие базы данных. По аналогичному алгоритму осуществляется работа со всеми другими разделами АИС, обеспечивающих модуль «Обстоятельства, подлежащие доказыванию». Представленные в рассматриваемой АИС структура и направления расследования носят рекомендательный характер. Следователь может использовать их в качестве ориентира, адаптируя предложенные электронные рекомендации под конкретное расследуемое преступление в сфере компьютерной информации. При этом АИС используется не только как автоматизированная рекомендующая система, но и как техникокриминалистическое средство, позволяющее следователю организовать и вести электронный документооборот по проверяемому материалу или уголовному делу. Это можно осуществить посредством интегрированной в рассматриваемую АИС специальной базы данных, в которой содержатся электронные бланки и образцы процессуальных и иных документов, оформление которых предусмотрено действующим уголовно-процессуальным законодательством и другими нормативными правовыми актами. В ходе интервьирования на вопрос: «Если при расследовании преступления у Вас была бы возможность воспользоваться рекомендующей информационной системой, которая моделирует алгоритм его расследования применительно к типичным следственным ситуациям, то помогло бы это Вам в расследовании или нет?» утвердительно ответило абсолютное число респондентов: 96% руководителей следственных органов, 94% следователей, специализирующихся 57 на расследовании преступлений в сфере компьютерной информации, и 87% следователей, занимающихся расследованием преступлений иных видов. Известно, что при рассмотрении вопроса о видах планирования по способу фиксации информации выделяют мысленное и письменное планирование. При этом обычно подчеркиваются неоспоримые преимущества письменной формы плана1. Более предпочтительно в данном случае вести речь не о видах планирования, поскольку собственно планирование в своей основе является мыслительной деятельностью, а формах фиксации плана. В связи с автоматизацией процесса планирования на основе использования компьютерных технологий возможна и электронная форма планов: плана расследования преступления, календарного плана работы следователя, плана подготовки и производства следственного действия и других. Данные проведенного анкетирования респондентов из 61 субъекта Российской Федерации свидетельствуют о том, что специализированные компьютерные программы при планировании расследования преступлений используют всего лишь 6% следователей, занимающихся расследованием преступлений в сфере компьютерной информации, и 1% следователей, расследующих преступления иных видов. Действительно, электронная форма плана требует значительно меньше времени на ее разработку и оформление по сравнению с аналогичной письменной. Применение компьютерных технологий, моделирующих процесс расследования, при планировании оптимизирует работу следователя, облегчая и ускоряя выполнение большого числа операций, затрачиваемых на составление плана расследования по отдельным уголовным делам, а затем – календарного плана работы по всем находящимся в его производстве уголовным делам. Оптимизация предопределена как самой структурой баз данных, используемых для автоматизации вида деятельности, так и спецификой вывода для дальнейшего использования содержащейся в них информации. Использование компьютерных технологий в планировании позволяет и руководителю следственного органа более эффективно претворять в жизнь научные рекомендации об осуществлении «контроля за продуктивным использованием рабочего времени» следователем2. Ратинов А.Р. Судебная психология для следователей. М., 1967. С. 153; Копылов И.А., Резван А.П., Косарев В.Н. Криминалистические версии и планирование расследования. Волгоград, 2000. С. 23. 2 Каретников А.С. Организация контроля в следственном отделении органа внутренних дел. Волгоград, 1994. С. 18. 58 1 По типу и способу планирования действий, направленных на исследование обстоятельств совершенного преступления, различают планирование: по версиям, эпизодам, составам преступления, виновным лицам1. При использовании локальных сетей и ведении общих баз данных повышается эффективность работы по планированию расследования, осуществляемого группой следователей при расследовании дел особой сложности или многоэпизодных дел2. В этом случае руководитель при составлении общего плана расследования может использовать преимущества компьютерных технологий. 4. Особенности построения компьютерных моделей расследования отдельных видов преступлений в сфере компьютерной информации При разработке АИС «Расследование преступлений в сфере компьютерной информации» в качестве модели, принципиально необходимой для разработки криминалистических рекомендаций по их расследованию, была создана базовая открытая модель с использованием метода алгоритмизации и программного продукта MS Word, доступного каждому непрофессиональному пользователю ПЭВМ. Это позволит следователю, не специализирующемуся на расследовании преступлений в сфере компьютерной информации, методически грамотно организовать свою работу, сократить сроки ее выполнения и получить качественный результат, оформив его надлежащим образом. В дальнейшем, по мере накопления знаний, он может без привлечения специалиста в области компьютерных технологий корректировать с помощью MS Word информацию, содержащуюся в базах данных АИС, дополнять их, а также строить новые логические связи между элементами системы. Таким образом базовый алгоритм ее работы будет развиваться как «дерево», на котором год от года Копылов И. А., Резван А. П., Косарев В. Н. Криминалистические версии и планирование расследования. Волгоград, 2000. С. 24. 2 Савельев А. К. Процессуальные и организационно-тактические проблемы расследования сложных многоэпизодных дел: автореф. дис. ... канд. юрид. наук. Волгоград, 1999. 59 1 будут появляться все новые «ветки» – алгоритмы расследования конкретных преступлений названного вида и находящиеся на них «листья» – электронные формы и образцы процессуальных и иных документов. Исследование типовой модели расследования преступлений в сфере компьютерной информации показало, что модели расследования различных видов преступлений в сфере компьютерной информации имеют схожую структуру и различаются в основном по обстоятельствам, подлежащих установлению и доказыванию. При расследовании неправомерного доступа к компьютерной информации подлежат установлению следующие обстоятельства1: 1) факт неправомерного доступа к компьютерной информации; 2) место несанкционированного проникновения в компьютерную систему или сеть; 3) время несанкционированного доступа; 4) надежность средств защиты компьютерной информации; 5) способ совершения несанкционированного доступа; 6) лица, совершившие неправомерный доступ к компьютерной информации; 7) виновность и мотивы лиц, совершивших неправомерный доступ к компьютерной информации; 8) вредоносные последствия неправомерного доступа к компьютерным системам или сетям, выраженные в несанкционированном обладателем уничтожении, модификации, блокировании, копировании охраняемой законом компьютерной информации, нарушении работы ЭВМ, системы ЭВМ или их сети; 9) обстоятельства, способствовавшие неправомерному доступу к компьютерной информации. Факты неправомерного доступа к информации в компьютерной системе или сети первыми обычно обнаруживают сами пользователи информационной системы. Однако они не всегда вовремя сообщают об этом правоохранительным органам: как правило, руководители, в частности кредитно-финансовых и банковских учреждений, не хотят вызывать у клиентов сомнения в надежности своих организаций. Они также опасаются, что по этому факту начнется проведение проверок, ревизий и экспертиз, в процессе проведения которых могут быть выявлены серьезные недостатки. Преступления, связанные с несанкционированным доступом к сети Интернет, обнаруживаются после того, как провайдер, предоставляющий Скоромников К.С. Особенности расследования неправомерного доступа к компьютерной информации. Расследование преступлений повышенной общественной опасности: пособие для следователя / под ред. Н.А. Селиванова, А.И. Дворкина. М., 1998. С. 348-349. 60 1 доступ к сети, присылает счет о предоставленных услугах на сумму, явно превышающую реальную работу зарегистрированного пользователя в сети либо по времени, либо по объему полученной информации. В результате официально зарегистрированный пользователь отказывается платить за услуги, которыми не пользовался, а провайдер несет убытки. Возможны и другие варианты развития событий. Выявить факты неправомерного доступа к компьютерной информации можно и в процессе проведения оперативно-розыскных мероприятий, проверки сообщения о преступлении, в ходе ревизий (документальных проверок) или в ходе расследования уголовного дела о преступлениях иного вида. При расследовании преступных деяний, предусмотренных ст. 273 УК РФ, законодатель фактически предусматривает ответственность за совершение следующих преступлений: 1) создание вредоносных программ; 2) внесение соответствующих изменений в существующие программы; 3) использование вредоносных программ; 4) распространение вредоносных программ; 5) распространение машинных носителей с такими программами. При расследовании создания вредоносных программ для ЭВМ или внесения изменений в существующие программы таких изменений, которые наделяют обычную программу вредоносными функциями, подлежат установлению следующие обстоятельства1: 1) факт создания вредоносной программы для ЭВМ; 2) способ создания вредоносной программы; 3) ее предназначение и механизм действия; 4) место, время создания, используемое для этого программное обеспечение и компьютерная техника; 5) личность создателя вредоносной программы; 6) цель и мотив создания программы; 7) наличие или отсутствие умысла на использование и распространение данной программы; 8) размер материального ущерба; 9) причины и условия, способствующие совершению преступления. Как правило, вредоносная программа обнаруживается в момент, когда явно проявляются последствия ее применения, либо путем сканирования пользователем компьютерной системы, носителя информации антивирусным Преступления в сфере компьютерной информации: Квалификация и доказывание: учеб. пособие / под ред. Ю.В. Гаврилова. М., 2003. С. 110. 61 1 программным обеспечением, особенно часто практикуемой при использовании чужих машинных носителей или получении электронной почты. Наряду с этим она может быть обнаружена и на оптических носителях информации, в частности путем изучения информации обложки компакт-диска. При расследовании использования вредоносных программ для ЭВМ подлежат установлению следующие обстоятельства1: 1) источник происхождения вредоносной программы; 2) личность ее создателя; 3) факт использования вредоносной программы для ЭВМ; 4) наличие вредоносных последствий, размер материального ущерба; 5) предназначение вредоносной программы и механизм ее действия; 6) причинная связь между использованием данной программы и наступившими вредоносными последствиями; 7) источник происхождения данной программы у использовавшего ее лица, кто ее создатель; 8) осведомленность лица, использовавшего программу, о ее вредоносных свойствах; 9) наличие умысла на использование данной программы; 10) мотив и цель использования вредоносной программы; При расследовании распространения вредоносных программ для ЭВМ и машинных носителей с такими программами подлежат установлению следующие обстоятельства2: 1) факт распространения вредоносной программы для ЭВМ; 2) предназначение вредоносной программы; 3) источник происхождения данной программы у распространявшего ее лица; 4) личность создателя вредоносной программы; 5) осведомленность лица, распространяющего программу, о ее вредоносных свойствах; 6) наличие умысла на распространение данной программы; 7) размер материального ущерба; 8) мотив и цель распространения вредоносной программы; 9) причины и условия, способствующие совершению преступления. Прежде всего, необходимо установить факты наличия конкретных правил эксплуатации ЭВМ на данном объекте. Они могут касаться порядка создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю компьютерной информации, защиты ее на любой Там же. С. 111. Преступления в сфере компьютерной информации: Квалификация и доказывание: учеб. пособие / под ред. Ю.В. Гаврилова. М., 2003. С. 112. 62 1 2 стадии информационного процесса. К правилам эксплуатации ЭВМ могут относиться: требования по сертификации компьютерных сетей и оборудования; техническая документация на приобретаемые компьютеры; конкретные принимаемые в определенном учреждении или организации, оформленные нормативно и подлежащие доведению до сведения соответствующих работников правила внутреннего распорядка; должностные инструкции конкретных сотрудников; правила пользования компьютерными сетями1. Факты грубого нарушения правил эксплуатации ЭВМ, как правило, становятся известными, в первую очередь, непосредственным владельцам и пользователям компьютерной системы или сети после обнаружения ими отсутствия необходимой информации или существенного изменения ее, когда это уже негативно отразилось на основной деятельности предприятия, организации, учреждения. Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования, которое обычно проводится службой информационной безопасности того объекта, где это произошло; прокурорской проверки; оперативно-розыскных мероприятий. Материалы, поступившие следователю для решения вопроса о возбуждении уголовного дела, подлежат тщательному и всестороннему изучению. Следователь должен усмотреть в них основание для возбуждения уголовного дела, убедиться в наличии достаточных данных, указывающих на признаки преступления (ст. 140 УПК РФ)2. Важным составным элементом модели конкретного преступления в сфере компьютерной информации является блок первоначальных следственных действий, оперативно-розыскных и организационных мероприятий, к которым относятся: 1. Возбуждение уголовного дела. 2. Заполнение и предоставление в информационный центр МВД, ГУВД, УВД субъекта Российской Федерации учетных документов по форме № 1 (статистическая карточка на выявленное преступление) и форме № 3 (статистическая карточка о движении уголовного дела)3. 3. Составление плана расследования. 4. Допрос заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей. Там же. С. 117. Преступления в сфере компьютерной информации: Квалификация и доказывание: учеб. пособие / под ред. Ю.В. Гаврилова. С. 118. 3 Типовое положение о едином порядке организации приема, регистрации и проверки сообщений о преступлениях (утв. приказом Генпрокуратуры, МВД, МЧС, Минюста, ФСБ, Минэкономразвития и торговли, ФСКН Российской Федерации от 29 декабря 2005 г. №№ 39/1070/1021/253/780/353/399). Приложение 4. 63 1 2 5. Решение вопроса о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях. 6. Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее). 7. Осмотр места происшествия. 8. Проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, обнаружения следов и других вещественных доказательств. 9. Выемка и последующий осмотр средств электронно-вычислительной техники, предметов, материалов и документов (в том числе находящихся в электронной форме на машинных носителях), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия. 10. Допросы свидетелей (очевидцев). 11. Допросы подозреваемых (свидетелей), ответственных за данный участок работы, конкретную производственную операцию и защиту информации. 12. Обыски на рабочих местах и по месту проживания (в жилище) подозреваемых. 13. Назначение судебной компьютерно-технической, радиотехнической, бухгалтерской и иных экспертиз. При выборе интерактивным указателем «мыши» соответствующего следственного действия на дисплей монитора выводятся методические рекомендации по производству следственного действия, после которых предусмотрена гиперссылка на электронный бланк процессуального документа, который необходимо заполнить по результатам проведенного следственного действия. Рассмотрим этот вопрос подробнее. При выборе пользователем гиперссылки «Возбуждение уголовного дела» на дисплее отображается электронно-цифровая форма постановления о возбуждения уголовного дела и принятия его к производству, которую следователь может заполнить. Гиперссылка «Заполнение и предоставление учетных документов» содержит следующие электронные формы: а) статистическую карточку на выявленное преступление (форма № 1); б) статистическую карточку о движение уголовного дела (форма № 3)1. Пользователь АИС можно самостоятельно добавить и другие электронные формы, предусмотренные названным Типовым положением. 64 1 Кликнув курсором мыши на гиперссылку «Составление плана расследования», для заполнения открывается форма рекомендуемого плана следственных действий, оперативно-розыскных и иных мероприятий. «Допрос заявителя или лиц, на которых указано в исходной информации как на возможных свидетелей», позволяет перейти к следственному действию «Допрос потерпевшего» (рис. 7). Рис. 7. Окно «допрос потерпевшего» В данном окне пользователю предлагаются методические рекомендации по ведению допроса потерпевшего по преступлениям в сфере компьютерной информации. Дается определение допроса потерпевшего, стадии его производства и рекомендуемый перечень вопросов, которые необходимо ему задать1. После их изучения следователь по гиперссылке переходит к электронному бланку протокола данного следственного действия и может начать его производство. При этом с помощью сервисов MS Word он может скопировать все или отдельные вопросы в текст протокола, а также иную необходимую для его заполнения информацию из других электронных документов дела (в многооконном режиме). Гиперссылка «Решение вопроса о возможности задержания преступника с поличным и о необходимых в связи с этим мероприятиях» позволяет перейти к экранной странице «Задержание преступника с поличным» (рис. 8). Вехов В.Б. Особенности расследования преступлений, совершенных с использованием пластиковых карт и их реквизитов: монография. Волгоград, 2005. С. 246-248. 65 1 Рис. 8. Окно «Задержание преступника с поличным» Здесь приводятся криминалистические рекомендации о том, в каком случае при расследовании уголовных дел о преступлениях в сфере компьютерной информации и как тактически грамотно необходимо применять задержание преступника с поличным. Кроме того, имеются ссылки на бланки процессуальных документов, находящиеся в формате MS Word: 1) протокол задержания подозреваемого; 2) постановление о производстве личного обыска подозреваемого (обвиняемого) в случаях не терпящих отлагательства; 3) протокол личного обыска. При выборе пользователем гиперссылки «Вызов необходимых специалистов для участия в осмотре места происшествия (если он не был произведен ранее)» осуществляется переход в окно «Состав следственно- оперативной группы» (рис. 9). Анализ материалов уголовных дел о преступлениях в сфере компьютерной информации показал, что в составе СОГ, проводившей осмотр места происшествия, чаще всего принимают участие: – оперуполномоченный подразделения «К» или ДЭБ; – следователь; – следователь, оперуполномоченный подразделения «К», эксперт-криминалист, специалист в области электросвязи и компьютерных технологий; –иные лица. 66 Рис. 9. Окно «Состав следственно-оперативной группы» В окне выводятся криминалистические рекомендации по особенностям формирования следственно-оперативной группы для проведения осмотра места происшествия по уголовным делам о преступлениях в сфере компьютерной информации1. Гиперссылка «Осмотр места происшествия» позволяет перейти на одноименную экранную страницу (рис. 10). Рис. 10. Окно «Осмотр места происшествия» В появившемся окне представлена информация о понятии места происшествия, тактике проведения его следственного осмотра2; имеется ссылка Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ / под ред. проф. Б.П. Смагоринского. Волгоград, 2004. С. 177-179. 2 Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ / под ред. проф. Б.П. Смагоринского. С. 174-186. 67 1 для перехода к составлению протокола осмотра места происшествия в электронно-цифровом виде. Проведенное исследование позволило выявить типичные места происшествий по делам о преступлениях в сфере компьютерной информации: а) место обнаружения признаков преступления; б) места непосредственного совершения преступных деяний; в) места подготовки (приискания) орудий преступления (документов; паролей, кодов и ключей доступа; вредоносных программ для ЭВМ; средств электросвязи; специальных технических средств для негласного получения, уничтожения, модификации, блокирования и копирования информации, нарушения работы ЭВМ, системы ЭВМ или их сети). При выборе гиперссылки «Проведение оперативно-розыскных мероприятий в целях установления причин совершения преступления, выявления лиц, виновных в его совершении, обнаружения следов и других вещественных доказательств» пользователь переходит в окно «Оперативно-розыскные мероприятия» (рис. 11). Рис. 11. Окно «оперативно-розыскные мероприятия» Здесь рекомендованы основные ОРМ, которые могут проводиться параллельно со следственными действиями по делам о преступлениях в сфере компьютерной информации. К ним относятся: опросы граждан; привлечение к розыску общественности; рассылка ориентировок; снятие информации с технических каналов связи; изъятие образцов для сравнительного исследования; проверка по учетам конкретных лиц; наведение справок. Кликнув курсором мыши на гиперссылку «Выемка и последующий осмотр средств электронно-вычислительной техники, предметов, материалов и документов (в том числе находящихся в электронной форме на машинных 68 носителях), характеризующих производственную операцию, в ходе которой по имеющимся данным совершены преступные действия», открывается окно, в котором дан перечень следующих действий: 1) осмотр ЭВМ; 2) осмотр машинного носителя информации; 3) осмотр документа на машинном носителе; 4) изъятие ЭВМ и компьютерной информации. Данный перечень выполнен также с использованием технологии гипертекста. При выборе соответствующей позиции, на экран пользователю выводятся криминалистические рекомендации по тактике производства конкретного следственного действия. Прочитав их, следователь может перейти к производству следственного действия и оформлению процессуального документа в электронно-цифровой форме (рис. 12-15)1. Одним из разделов приводимых рекомендаций является алгоритм развернутых обстоятельств, которые необходимо отразить в протоколе осмотра названных предметов (документов). Рис. 12. Окно «осмотр ЭВМ» Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ / под ред. проф. Б. П. Смагоринского. С. 186-205. 69 1 Рис. 13. Окно «осмотр машинного носителя информации» Рис. 14. Окно «осмотр документа на машинном носителе» 70 Рис. 15. Окно «изъятие ЭВМ и компьютерной информации» При выборе пользователем гиперссылки «Допрос свидетелей (очевидцев)» открывается окно «Допрос свидетелей»1. В данном разделе программы рассматриваются особенности проведения допроса свидетелей (очевидцев) и содержится ссылка на электронный бланк протокола допроса свидетеля. Аналогичным образом построены и функционируют модули «Допрос подозреваемого»2, «Обыск и выемка»3, «Назначение судебных экспертиз»4 – те следственные действия, которые чаще всего производятся сотрудниками органов предварительного расследования по уголовным делам о преступлениях исследуемого вида. Вехов В.Б. Особенности расследования преступлений, совершенных с использованием пластиковых карт и их реквизитов: монография. Волгоград, 2005. С. 248-250. 2 Там же. С. 250-256. 3 Вехов В.Б., Голубев В.А. Расследование компьютерных преступлений в странах СНГ / под ред. проф. Б. П. Смагоринского. С. 205-212. 4 Вехов В.Б., Попова В.В., Илюшин Д.А. Тактические особенности расследования преступлений в сфере компьютерной информации: науч.-практ. пособие. М., 2004. С. 84-98. 71 1 ЗАКЛЮЧЕНИЕ Криминалистика на всем протяжении своего развития эффективно интегрировала достижения других наук, современные технологии, методы и технические средства для решения постоянно усложняющихся задач борьбы с преступностью. В условиях массового использования глобальных, региональных и локальных информационно-телекоммуникационных технологий, базирующихся на цифровых средствах электросвязи и обработки компьютерной информации, повсеместного перехода на электронный документооборот, реализуемый посредством различных автоматизированных информационных систем, неуклонного роста числа и степени тяжести преступных посягательств, совершаемых с их помощью, проблемы внедрения в криминалистическую деятельность последних достижений в области теории моделирования, кибернетики, системотехники, электросвязи, информатики остаются чрезвычайно актуальными. Наиболее злободневными в современных условиях являются теоретические и прикладные проблемы компьютерного моделирования при расследовании преступлений в сфере компьютерной информации, которым посвящено настоящее учебное пособие. Междисциплинарный подход, органично сочетающий методы точных и гуманитарных наук, позволяет на методологическом уровне связать последние достижения криминалистики в области типовой информационной модели преступлений в сфере компьютерной информации с программированием их расследования, организацией и ведением служебного электронного документооборота по уголовным делам. Рассмотренное в настоящем учебном пособии технико-криминалистическое средство неоднократно дорабатывалось с учетом пожеланий и замечаний практических работников, после чего оно было введено в эксплуатацию и в настоящее время эффективно используется сотрудниками семи органов предварительного расследования системы МВД России. 72 СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ Нормативные акты 1. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.) // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (19922011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 2. Уголовный кодекс Российской Федерации: закон Рос. Федерации от 13.06.1996 г. № 63-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (1992-2011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 3. Уголовно-процессуальный кодекс Российской Федерации: закон Рос. Федерации от 18.12.2001 г. № 174-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (19922011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 4. Гражданский кодекс Российской Федерации. Часть 4: закон Рос. Федерации от 18.12.2006 г. № 230-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (19922011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 5. О полиции: закон Рос. Федерации от 07.02.2011 г. № 3-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (1992-2011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 6. Об оперативно-розыскной деятельности: закон Рос. Федерации от 12.08.1995 г. № 144-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (1992-2011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 73 7. О государственной тайне: закон Рос. Федерации от 21.07.1993 г. № 5485I // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (1992-2011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 8. О связи: закон Рос. Федерации от 07.07.2003 г. № 126-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (1992-2011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 9. Об электронной подписи: закон Рос. Федерации от 06.04.2011 г. № 63-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (1992-2011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. 10.Об информации, информационных технологиях и о защите информации: закон Рос. Федерации от 27.07.2006 г. № 149-ФЗ // Автоматизированная справочная правовая система «Консультант Плюс». Версия 4000.00.15. Проф. (1992-2011) [Электронный ресурс]. – Электрон., дан. и прогр. – М.: ОАО «Консультант Плюс». – Режим доступа: локальная сеть каф. ОСР ФПК ВА МВД России. – Загл. с экрана. Учебная и справочная литература 1. Андреев Б.В. Расследование преступлений в сфере компьютерной информации / Б.В. Андреев, П.Н. Пак, В.П. Хорст. – М., 2001. – 152 с. 2. Антипов В.П. Планирование расследования нераскрытых преступлений: монография / В.П. Антипов. – М., 2006. – 152 с. 3. Баранов А.К. Компьютерные системы поддержки принятия следователем тактических решений / А.К. Баранов, С.И. Цветков. – М., 1992. – 112 с. 4. Белкин Р.С. Криминалистическая энциклопедия / Р.С. Белкин. – М., 2000. – 334 с. 5. Белкин Р.С. Курс криминалистики: учеб. пособие для вузов / Р.С. Белкин. – М., 2001. – 960 с. 6. Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия / В.Б. Вехов; под ред. проф. Б.П. Смагоринского. – М., 1996. – 182 с. 74 7. Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: учеб.метод. пособие / В.Б. Вехов. – Волгоград, 1998. – 72 с. 8. Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: учеб.-метод. пособие. Изд. 2-е, доп. и испр. / В.Б. Вехов. – М., 2000. – 64 с. 9. Вехов В.Б. Расследование компьютерных преступлений в странах СНГ / В.Б. Вехов, В.А. Голубев; под ред. проф. Б.П. Смагоринского. – Волгоград, 2004. – 304 с. 10.Вехов В.Б. Тактические особенности расследования преступлений в сфере компьютерной информации: науч.-практ. пособие / В.Б. Вехов, В.В. Попова, Д.А. Илюшин. – М., 2004. – 160 с. 11.Волчецкая Т.С. Криминалистическая ситуалогия: монография / Т.С. Волчецкая; под ред. проф. Н.П. Яблокова. – Калининград, 1997. – 248 с. 12.Волчецкая Т.С. Современные проблемы моделирования в криминалистике и следственной практике: учеб. пособие / Т.С. Волчецкая. – Калининград, 1997. – 95 с. 13.Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: учеб. пособие / Ю.В. Гаврилин; под ред. проф. Н.Г. Шурухнова. – М., 2001. – 88 с. 14.Глинский Б.А. Моделирование как метод научного исследования / Б.А. Глинский. – М., 1965. – 227 с. 15.Густов Г.А. Моделирование в работе следователя / Г.А. Густов. – Л., 1980. – 188 с. 16.Егорышев А.С. Расследование и предупреждение неправомерного доступа к компьютерной информации / А.С. Егорышев. – Уфа, 2005. – 148 с. 17.Ищенко Е.П. ЭВМ в криминалистике / Е.П. Ищенко. – Свердловск, 1987. – 91 с. 18.Каминский М.К. Рефлексивный анализ и моделирование как средство преодоления тупиковых ситуаций расследования / М.К. Каминский. – Ижевск, 1998. – 82 с. 19.Козлов В.Е. Теория и практика борьбы с компьютерной преступностью / В.Е. Козлов. – М., 2002. – 336 с. 20.Компьютерные технологии в юридической деятельности: учеб. и практ. пособие / под ред. проф. Н.С. Полевого, канд. юрид. наук В.В. Крылова. – М., 1994. – 304 с. 21.Криминалистика: учеб. для студентов вузов / под ред. А.Ф Волынского, В.П. Лаврова. – М., 2008. – 943 с. 75 22.Крылов В.В. Расследование преступлений в сфере информации / В.В. Крылов. – М., 1998. – 264 с. 23.Куванов В.В. Реконструкция при проведении криминалистических экспертиз / В.В. Куванов. – Караганда, 1974. – 81 с. 24.Кулагин Н.И. Планирование расследования сложных многоэпизодных дел / Н.И. Кулагин. – Волгоград, 1976. – 63 с. 25.Кушниренко С.П. Уголовно-процессуальные способы изъятия компьютерной информации по делам об экономических преступлениях: учеб. пособие / С.П. Кушниренко, Е.И. Панфилова. – СПб., 2003. – 104 с. 26.Леонов А.П. Применение банков данных для моделирования версий / А.П. Леонов. – М., 1982. – 62 с. 27.Лузгин И.М. Моделирование при расследовании преступлений / И.М. Лузгин. – М., 1981. – 152 с. 28.Мещеряков В.А. Преступления в сфере компьютерной информации: основы теории и практики расследования / В.А. Мещеряков. – Воронеж, 2002. – 408 с. 29.Планирование расследования преступлений отдельных видов / под ред. С.М. Самоделкина. – Волгоград, 1995. – 64 с. 30.Преступления в сфере компьютерной информации: квалификация и доказывание: учеб. пособие / под ред. Ю.В. Гаврилина. – М., 2003. – 245 с. 31.Расследование неправомерного доступа к компьютерной информации / под ред. Н.Г. Шурухнова. – М., 1999. – 254 с. 32.Расследование преступлений повышенной общественной опасности: пособие для следователей / под ред. проф. Н.А. Селиванова, канд. юрид. наук А.И. Дворкина. – М., 1998. – 444 с. 33.Родин А.Ф. Использование компьютерных технологий в деятельности следователя / А.Ф. Родин, В.Б. Вехов; под ред. проф. Б.П. Смагоринского. – Волгоград, 2003. – 156 с. 34.Россинская Е.Р. Судебная компьютерно-техническая экспертиза / Е.Р. Россинская, А.И. Усов. – М., 2001. – 416 с. 35.Советов Б.Я. Моделирование систем: учеб. для вузов – 3-е изд., пераб. и доп. / Советов Б.Я., Яковлев С.А. – М., 2001. – 343 с. 36.Типовые модели и алгоритмы криминалистического исследования: учеб. пособие для слушателей ФПК / под ред. В.Я. Колдина. – М., 1989. – 184 с. 37.Цветков С.И. Информационно-аналитическая работа, версии и планирование при расследовании деятельности преступных структур: лекция / С.И. Цветков. – М., 1994. – 31 с. 76 38.Шаталов А.С. Криминалистические алгоритмы и программы: Теория. Проблемы. Прикладные аспекты / А.С. Шаталов. – М., 2000. – 250 с. 39.Шиканов В.И. Теоретические основы тактических операций в расследовании преступлений / В.И. Шиканов. – Иркутск, 1983. – 200 с. 40.Шляхов А.Р. Планирование предварительного следствия. – М., 1957. – 112 с. 41.Яблоков Н.П. Криминалистика: учебник для вузов и юридических факультетов / Н.П. Яблоков. – М., 2003. – 376 с. 42.Яблоков Н.П. Криминалистика: природа и система / Н.П. Яблоков, А.Ю. Головин. – М., 2005. – 174 с. Публикации 1. Вехов В.Б. Особенности применения программного обеспечения специального назначения при расследовании преступлений в сфере компьютерной информации / В.Б. Вехов, С.А. Ковалев // Проблемы борьбы с преступностью: российский и международный опыт. – Вып. 2: сб. науч. ст. – Волгоград: ВА МВД России, 2011. – 366 с. (С. 62-68). 2. Вехов В.Б. Теоретические и прикладные проблемы применения программного обеспечения специального назначения при расследовании преступлений в сфере компьютерной информации / В.Б. Вехов, С.А. Ковалев // Вестник Воронежского института МВД России. – Воронеж: Воронежский институт МВД РФ, 2012. № 1. – 224 с. (С. 38-41). 3. Вехов В.Б. Особенности расследования изготовления и оборота материалов с порнографическими изображениями несовершеннолетних, совершенных с использованием информационно-телекоммуникационных технологий / В.Б. Вехов, Б.П. Смагоринский, А.Н. Мартынов // Вестник Волгоградской академии МВД России. Вып. 1 (20) 2012: науч.-метод. журнал. – Волгоград: ВА МВД РФ, 2012. – 256 с. (С. 159-166). 4. Вехов В.Б. Тактика получения информации о соединениях между абонентами и (или) абонентскими устройствами / В.Б. Вехов // Вестник Волгоградской академии МВД России. Вып. 1 (20) 2012: науч.-метод. журнал. – Волгоград: ВА МВД РФ, 2012. – 256 с. (С. 79-82). 5. Вехов В.Б. Применение информационных систем специального назначения в раскрытии и расследовании преступлений / В.Б. Вехов // Оперативно-разыскное право: сб. науч. ст. / отв. ред. Н.В. Павличенко. – Волгоград: ВА МВД России, 2013. – С. 26-32. 6. Вехов В.Б. Проблемы борьбы с киберпреступностью в современных условиях / В.Б. Вехов // Технико- криминалистическое обеспечение 77 раскрытия и расследования преступлений: сб. науч. трудов. – Волгоград: ВА МВД России, 2013. – С. 151-156. 7. Вехов В.Б. Особенности проведения доследственной проверки по делам о преступлениях в сфере компьютерной информации / В.Б. Вехов // Эксперт-криминалист, 2013. № 4. – 44 с. (С. 2-4). 8. Вехов В.Б. Работа с электронными доказательствами в условиях изменившегося уголовно- процессуального законодательства / В.Б. Вехов // Российский следователь, 2013. № 10. – 48 с. (С. 22-24). 9. Вехов В.Б. Использование компьютерных технологий в криминалистической деятельности и уголовном процессе / В.Б. Вехов // Вестник Академии Следственного комитета Российской Федерации, 2014. № 1. – 120 с. (С. 70-74). Электронный ресурс 1. Методика расследования преступлений в сфере компьютерной информации [Электронный ресурс]: Автоматизированная методика расследования. – Версия 1.2 / постановка задачи В.В. Попова; информ. обеспеч. А.В. Остроушко; программирование С.В. Гаврилюк. – Электрон. дан. и прогр. – М.: СК, ВЮИ МВД России, [1997]. – Загл. с экрана; 2. Расследование компьютерных преступлений [Электронный ресурс]: имитационно-обучающая программа для ЭВМ / постановка задачи А.Ф. Родин; информ. обеспеч. В.Б. Вехов; программирование Л.Ф. Абросимова. – Электрон. дан. и прогр. – Волгоград: ВЮИ МВД России, [1995-1997]. – 1 электрон. опт. диск (CD-ROM) : цв. ; 12 см. – Загл. с экрана. 3. Расследование преступлений, совершаемых с использованием платежных пластиковых карт [Электронный ресурс]: Автоматизированная информационная система. – Электрон. дан. и прогр. – М.: СК, ВНИИ МВД России, [2002]. – Загл. с экрана; 4. Расследование преступлений в сфере компьютерной информации [Электронный ресурс]: Автоматизированная информационная система / Ковалев С.А., Вехов В.Б. – Электрон. дан. и прогр. – Волгоград: ВА МВД России, [2009-2011]. – 1 электрон. опт. диск (CD-ROM) : цв. ; 12 см. – Загл. с экрана. 5. Россия предложила странам СНГ вместе бороться с киберпреступностью [Электронный ресурс]: Новости Мира. – Электрон. СМИ. – Режим доступа: http://for-ua.com/world/2009/06/04/123010.html. – Загл. с экрана. 78 6. Телегина Т.Д. Оптимизация разработки частных методик расследования преступлений: опыт типового криминалистического моделирования / Т.Д. Телегина // Официальный сайт Саратовского Центра по исследованию проблем организованной преступности и коррупции [Электрон. ресурс]. – Режим доступа: http://sartraccc.ru/i.php?oper=read_file&filename=Pub/telegina (25-1106).htm. – Загл. с экрана. Вехов Виталий Борисович доктор юридических наук, профессор Ковалев Сергей Александрович кандидат юридических наук Компьютерное моделирование при расследовании преступлений в сфере компьютерной информации Учебное пособие В авторской редакции Подписано в печать 11.11.2014 Формат 60 х 90 1/16 усл. печ. л. 4,81 Тираж 1000 экз. Печать офсетная Заказ № 55 ___________________________________ Отпечатано в цифровой типографии «БУКИ ВЕДИ» 79 На оборудовании Konica Minolta ООО «Ваш полиграфический партнер», ул. Ильменский пр-д, д. 1, корп. 6 80