Эксперт по производству компьютерных экспертиз что за должность

Обновлено: 07.07.2024

МИНИСТЕРСТВО ВНУТРЕННИХ ДЕЛ РОССИЙСКОЙ ФЕДЕРАЦИИ

от 29 июня 2005 года N 511

Вопросы организации производства судебных экспертиз в экспертно-криминалистических подразделениях органов внутренних дел Российской Федерации

(с изменениями на 27 июня 2019 года)

Документ с изменениями, внесенными:

1.1. Инструкцию по организации производства судебных экспертиз в экспертно-криминалистических подразделениях органов внутренних дел Российской Федерации (приложение N 1).

1.2. Перечень родов (видов) судебных экспертиз, производимых в экспертно-криминалистических подразделениях органов внутренних дел Российской Федерации (приложение N 2).

2. Контроль за выполнением настоящего приказа возложить на заместителя Министра, который несет ответственность за деятельность федерального государственного казенного учреждения "Экспертно-криминалистический центр Министерства внутренних дел Российской Федерации".

(Пункт в редакции, введенной в действие с 24 февраля 2013 года приказом МВД России от 15 октября 2012 года N 939. - См. предыдущую редакцию)

в Министерстве юстиции

23 августа 2005 года,

регистрационный N 6931

Приложение N 1
к приказу МВД России
от 29 июня 2005 года N 511

ИНСТРУКЦИЯ
по организации производства судебных экспертиз в экспертно-криминалистических подразделениях органов внутренних дел Российской Федерации

(с изменениями на 11 октября 2018 года)

I. Общие положения

(Пункт в редакции, введенной в действие с 21 декабря 2015 года приказом МВД России от 27 октября 2015 года N 1012. - См. предыдущую редакцию)

Собрание законодательства Российской Федерации, 2001, N 23, ст.2291; 2002, N 1, ст.2; 2007, N 7, ст.831; 2007, N 31, ст.4011; 2009, N 26, ст.3122; 2011, N 50, ст.7351. Далее - Федеральный закон "О государственной судебно-экспертной деятельности в Российской Федерации".

(Сноска в редакции, введенной в действие с 24 февраля 2013 года приказом МВД России от 15 октября 2012 года N 939. - См. предыдущую редакцию)

Далее - МВД России .

2. В ЭКП экспертизы производятся в соответствии с Перечнем родов (видов) судебных экспертиз, производимых в экспертно-криминалистических подразделениях органов внутренних дел Российской Федерации.

З. При производстве экспертиз ЭКП осуществляют функции, исполняют обязанности, имеют права и несут ответственность как государственные судебно-экспертные учреждения.

5. Производство экспертиз в ЭКП организуется по административно-территориальному принципу.

При отсутствии в ЭКП управления на транспорте Министерства внутренних дел Российской Федерации по федеральному округу, линейного управления Министерства внутренних дел Российской Федерации на железнодорожном, водном и воздушном транспорте, министерства внутренних дел по республике, главного управления, управления Министерства внутренних дел Российской Федерации по иному субъекту Российской Федерации возможности производства экспертизы (отсутствуют эксперт по конкретной специальности, необходимая материально-техническая база либо специальные условия для проведения исследований), ее производство осуществляется в ближайшем отделе (отделении) специальных экспертиз и исследований экспертно-криминалистических центров указанных территориальных органов МВД России, где такая возможность имеется.

(Абзац в редакции, введенной в действие с 24 февраля 2013 года приказом МВД России от 15 октября 2012 года N 939. - См. предыдущую редакцию)

6. В федеральном государственном казенном учреждении "Экспертно-криминалистический центр Министерства внутренних дел Российской Федерации" производятся экспертизы для подразделений МВД России, наделенных правом осуществления процессуальной деятельности.

Далее - ЭКЦ МВД России.

Для подразделений органов внутренних дел Российской Федерации, а также судов и других правоохранительных органов, уполномоченных назначать судебную экспертизу, в ЭКЦ МВД России производятся повторные и наиболее сложные экспертизы, требующие применения уникальной аппаратуры или новых методик.

7. Организация производства экспертиз возлагается на начальника ЭКП, который пользуется правами и выполняет обязанности руководителя государственного судебно-экспертного учреждения, предусмотренные Федеральным законом "О государственной судебно-экспертной деятельности в Российской Федерации", иными законодательными и нормативными правовыми актами Российской Федерации, нормативными правовыми актами МВД России и настоящей Инструкцией.

8. Руководитель вправе делегировать часть своих полномочий по организации производства экспертиз своим заместителям и руководителям структурных подразделений ЭКП. При этом в их должностных инструкциях указывается, какие конкретно полномочия им делегируются.

9. Производство экспертиз осуществляется сотрудниками ЭКП, аттестованными на право самостоятельного производства экспертиз по соответствующей экспертной специальности. На них распространяются права и обязанности эксперта, предусмотренные Федеральным законом "О государственной судебно-экспертной деятельности в Российской Федерации", иными законодательными и нормативными правовыми актами Российской Федерации, нормативными правовыми актами МВД России и настоящей Инструкцией.

Эксперты, прошедшие подготовку по конкретной экспертной специальности, могут участвовать в производстве экспертиз под руководством эксперта, имеющего право самостоятельного производства экспертиз по соответствующей специальности. При этом экспертиза, произведенная в указанном порядке, не является комиссионной, заключение экспертов подписывается сотрудниками ЭКП, принимавшими участие в ее производстве.

(Абзац в редакции, введенной в действие с 28 апреля 2017 года приказом МВД России от 18 января 2017 года N 15. - См. предыдущую редакцию)

10. Эксперт дает заключение от своего имени на основании проведенных исследований и несет за него личную ответственность, предусмотренную законодательством Российской Федерации.

11. Эксперт предупреждается об ответственности за дачу заведомо ложного заключения в соответствии с законодательством Российской Федерации.

12. Экспертизы в ЭКП производятся, как правило, в срок, не превышающий пятнадцати суток, в порядке очередности поступления материалов.

Более длительный срок производства экспертизы устанавливается руководителем в случаях, когда требуется исследование значительного объема материалов, применение продолжительных по времени методик исследования, а также при наличии в производстве у эксперта значительного количества экспертиз, о чем информируется орган или лицо, назначившее экспертизу.

Очередность производства экспертиз может быть изменена руководителем по мотивированному обращению органа или лица, назначившего экспертизу, в целях соблюдения процессуальных сроков, исследования скоропортящихся объектов, в иных случаях, требующих немедленного производства экспертизы.

13. Срок производства экспертизы исчисляется со дня поступления постановления о назначении экспертизы и объектов, подлежащих исследованию, в ЭКП по день подписания руководителем сопроводительного письма к заключению эксперта.

14. Научно-методическое и организационное обеспечение производства экспертиз в ЭКП осуществляет ЭКЦ МВД России.

II. Порядок приема материалов экспертизы

15. Постановление (определение) о назначении экспертизы и прилагаемые к нему объекты исследования принимаются руководителем либо сотрудником (работником), которому делегированы данные полномочия.

16. Прилагаемые к постановлению о назначении экспертизы объекты принимаются, как правило, в упакованном и опечатанном виде. Упаковка должна содержать пояснительные надписи и исключать возможность доступа к содержимому без ее повреждения.

Вскрывать упаковку с поступившими в ЭКП объектами имеет право только эксперт, которому поручено ее производство.

Сведения об отсутствии упаковки объектов, а также о наличии повреждений упаковки указываются на копии постановления, в реестре или почтовом уведомлении, а также в заключении эксперта.

III. Организация производства экспертиз

17. Поступившие на экспертизу постановления и объекты рассматриваются руководителем и передаются исполнителю в течение суток, а в случае их поступления в нерабочие дни - в первый рабочий день, следующий за выходным или праздничным днем.

Далее - материалы экспертизы.

18. При рассмотрении поступивших материалов экспертизы руководитель изучает постановление о назначении экспертизы, определяет вид, характер и объем предстоящего исследования и на этом основании определяет:

исполнителя (исполнителей) экспертизы, а также ведущего эксперта при производстве комиссионной или комплексной экспертизы;

срок производства экспертизы;

порядок привлечения к проведению экспертизы специалистов иных экспертных, научных и других учреждений, указанных в постановлении;

необходимость обращения к лицу (органу), назначившему экспертизу, с ходатайством о привлечении к производству экспертизы лиц, не являющихся сотрудниками данного ЭКП;

необходимость реализации иных мероприятий, предусмотренных Федеральным законом "О государственной судебно-экспертной деятельности в Российской Федерации", а также иными законодательными актами Российской Федерации.

19. При наличии оснований, предусмотренных Федеральным законом "О государственной судебно-экспертной деятельности в Российской Федерации", иными законодательными актами Российской Федерации, руководитель возвращает материалы экспертизы назначившему ее лицу или органу без исполнения с указанием причин возврата в сопроводительном письме.

Компьютерно-техническая экспертиза (КТЭ) - представляет собой вид инженерно технических экспертиз, проводимых для выявления и изучения компьютерной информации в целях расследования преступлений и разбирательств по арбитражным спорам различного правового характера, а также установления причин возникновения компьютерных инцидентов с целью ликвидации их последствий.

Очень часто КТЭ проводится в следственных и судебных целях. Ранее, я рассказывал о правонарушениях в компьютерной сфере в статьях:

Сегодня сотрудники правоохранительных органов получают достаточное техническое образование необходимое для грамотного реагирования в случае пресечения правонарушений с сфере информационных технологий, но ещё сравнительно недавно при задержании и изъятии вещественных доказательств могли произойти серьёзные ошибки.

Правила фиксации информации и техники на момент изъятия

1. Одним из главных правил является полное документальное фиксирование процесса изъятия компьютерных средств - составление протокола с фото- и видео- съёмкой, произведение обысков с учётом всех процессуальных норм, присутствия понятых, предупреждения подозреваемого об уголовной ответственности в случае сокрытия улик. Фиксирования изымаемой аппаратуры, программного обеспечения, документации и любых источников компьютерной информации, указывающей на совершение преступления.

2. Запрет на использование компьютерной техники, которая была изъята - доступ к надёжно зафиксированной и изъятой правомерным способом аппаратуре должен совершать сертифицированный эксперт при активизированной системе аудио- и видео- протоколирования процесса экспертизы.

Информация, указывающая на преступный характер деяний, может быть удалена или повреждена в случае некорректного обращения с компьютерной техникой (включения, использования в целях удовлетворения любопытства).

3. Запрет на допуск к изъятой аппаратуре её владельцев и посторонних лиц - почти, такое же правило, как и п. 2, но здесь речь идёт о возможном удалении преступной информации самим пользователем, который выражая желание помочь следствию, и получив доступ, к своему инструменту совершения преступления, может незаметно уничтожить улики, например, если система удаления информации запрограммирована на ввод условленной команды в строке ввода пароля.

4. Профессиональная проверка компьютерного средства на вирусы, закладки и системы противодействия вторжению - как правило, все компьютерные устройства проверяются на особом стенде и не запускаются под своими операционными системами. Это правило позволяет обойти "заряженные" на ликвидацию информации устройства.

Но, не всё ещё легко контролируется в результате оперативных действий. Например, особую сложность представляет изъятие компьютерных систем, которые имеют встроенную автономную аппаратную систему уничтожения информации при смене места расположения устройства или отключения его от других устройств компьютерного комплекса.

Виды компьютерно-технических экспертиз

КТЭ совершает исследовательские и аналитические действия с объектами экспертизы, условно разделёнными на три класса:

Компьютерные экспертизы подразделяются :

компьютерно-техническая экспертиза аппаратных средств - производит исследование и анализ технических компьютерных средств
компьютерно-техническая экспертиза программных средств - проводит экспертизу прикладного и системного ПО
компьютерно-техническая экспертиза информации (данных) - может производить экспертные действия не только с цифровыми объектами, но и с технической документацией и другими данными на бумажном носителе
комплексная компьютерно техническая экспертиза (при экспертизе целостной компьютерной системы)
компьютерно-техническая экспертиза специальных средств - в отличие от стандартных видов экспертизы, в этом случае объектами являются технические средства мало относимые к компьютерным средствам, но выполняющие функции в общей компьютерной системе
судебная компьютерно-техническая экспертиза - установление любого факта по решению суда

Круг вопросов, на которые отвечают компьютерно-технические экспертизы очень большой и, приведя все эти вопросы в данной статье, можно создать полный справочник по компьютерно-технической криминалистике.

Для решения своих задач клиент может получить предварительную консультацию в центрах КТЭ, которые имеют полномочия выдавать экспертные заключения определённой категории сложности (детализации).

Сертифицированные эксперты при проведении исследовательских и аналитических работ учитывают множество факторов, определяют и исследуют многие информационные объекты, анализируют данные подсистем регистрации и учёта.

Функции подсистем регистрации и учёта

Подробно о рекомендуемых функциях можно прочитать в Руководящем документе " Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации " утверждённом решением Председателя Гостехкомиссии РФ от 30 марта 1992 года, в котором приводятся требования к шести классам уровня защищённости системы . Ознакомиться с документом частично и заказать бесплатную демонстрацию системы можно на сайте "Техэксперт" .

Некоторые контрольные функции системы :

осуществление регистрации входа/выхода субъектов доступа в систему/из системы
регистрация выдачи печатных документов, сохранения данных во внешние файлы
регистрация запусков/завершения всех задач и процессов системы
регистрация попыток доступа программных средств к защищаемым файлам
регистрация попыток доступа к терминалам ЭВМ, узлам сети, каналам связи, внешним устройствам, записям, полям записей, томам, каталогам, файлам
регистрация изменений полномочий субъектов доступа и объектов доступа
автоматический учёт создаваемых защищаемых объектов
учёт всех защищаемых носителей информации, регистрация в соответствующих журналах доступа или выдачи/приёма
осуществление сигнализации о попытках нарушения защиты на терминал администратора с блокировкой дальнейших действий нарушителя

Отсутствие вышеуказанных и других регистрационно-контрольных функций в системе делает систему слабо защищённой или подозрительной в сфере применения.

Знание возможностей компьютерно-технической экспертизы и умение вовремя обратиться за проведением компьютерно-технического аудита повышает уровень безопасности информационного комплекса организации в целом.

Добрый день. Мы с вами уже рассматривали технологии точного проведения компьютерной экспертизы. Такие нюансы, как правила первоначального осмотра компьютерной техники и его протоколирования. Правила подготовки техники к перемещению, правила анализа информации на разных носителях, и другие. Рассматривали вопросы КТЭ в отношении таких сегментов как хард и софт.

Сегодня наша тема – это вопросы, которые используются экспертами во время проведения исследований компьютерных систем, носителей информации, и самой информации разного типа. Сюда же включены вопросы, относящиеся к работе с защищенными данными. Эти вопросы компьютерно-технической экспертизы дадут понять, какие задачи она в частности может решать.

В качестве компьютерных данных экспертиза изучает любую информацию аппаратных и вычислительных частей компьютерных систем. Все виды файлов прикладных и пользовательских программ, системных файлов, специальных и профессиональных программ, базы данных, все виды мультимедийных файлов. Само программное обеспечение, операционные системы, оболочки и интерфейсы. Информацию, расположенную на различных носителях, хранящих данные в цифровом виде.

Темы для вопросов КТЭ (компьютерно-технической экспертизы) в отношении изменения данных

В отношении компьютерных данных, компьютерной информации и любого содержимого жестких дисков и других носителей и компьютерных систем применяются следующие вопросы:

Для разных типов компьютерных данных и файлов решается вопрос о том, каков тип обнаруженных или рассматриваемых данных, и каково их обеспечение с точки зрения программных средств. Какие программы и программные средства работают с этими типами данных и файлов.

Сюда же могут относиться ситуативные вопросы о том, находятся ли на исследуемой компьютерной системе (носителе) программные средства, которые должны отвечать за использование этих данных. Если да – то какова хронология использования, создания, редактирования интересующих экспертизу или любых данных на этой компьютерной системе с помощью этих программ. И вот эти вопросы:

каковы подробности изменения, удалений, перемещений, публикаций данных, файлов и сведений на этой компьютерной системе.
Какими пользователями на этой компьютерной системе (в дальнейшем КС) производились действия с файлами, все или интересующие экспертизу.
Какие действия на этой КС производились с программным обеспечением, было ли оно модифицировано, изменено, удалено, установлено за определенный период времени.

Кем из пользователей КС производились манипуляции с программным обеспечением.
Какие изменения в составе и состоянии ПО и КС были произведены в результате действий, производимых с программным обеспечением.
Какие произошли изменения в возможностях и функциональности программ и операционной системы на этой КС в результате действий пользователей.

Темы для вопросов о свойствах и атрибутах сведений, содержащихся на носителях информации. Об их защите

Отдельной областью интереса экспертов являются носители данных. Происходит исследование и классификация носителей данных любого типа. Происходит исследование данных как содержания определенных носителей – с точки зрения обследования носителей. Такой тип постановки вопросов имеет свое собственное значение при проведении некоторых исследований. Вот вопросы для исследования различных носителей и данных, которые мы на них обнаруживаем:

какого типа форматирование имеет носитель и каковы параметры записи на него информации.
Как с точки зрения характеристик можно описать логическое и физическое размещение сведений на носителе.
Каким является доступ к информации, находящейся на носителях – закрытым, ограниченным или свободным, или архивным доступом.
Каковы более детальные характеристики имеющегося доступа ко всей информации или к разным частям информации на носителе.
Имеются ли на носителе информации средства для защиты данных, которые на нем находятся.
Какие средства защиты данных имеются на носителе, и какими свойствами и возможностями они обладают.
Какие именно сведения, данные и файлы защищены на носителе с помощью средств защиты. Если разные материалы защищены разными средствами или степенями защиты, то какова эта разница и эти параметры.
В каком установленном режиме находятся средства защиты данных, как можно обойти эти средства защиты, и были ли уже применены способы такого обхода.
С какой целью была преодолена защита сведений, и какие изменения и операции с данными были совершены после преодоления этой защиты.

Еще некоторые вопросы к данным, которые мы обнаруживаем и исследуем на носителях информации

Что можно рассказать об атрибутах – таких, как стандартные атрибуты файлов определенного типа и общие атрибуты, даты и время изменений, сохранений, создания, удаления.
Что можно сказать о параметрах, относящихся ко времени и характеру действий с данными.
Для выполнения каких задач могут использоваться данные, и что можно сообщить об их потребительских свойствах.
В отношении определенной задачи – есть ли на носителе информации средства для ее решения, и если есть – то какие.
Можно ли найти отличия между состоянием и составом данных на момент экспертизы с типовым состоянием данных и программ.
Какие могут быть найдены отличия между типовым представлением и нынешним состоянием данных в областях вредоносных включений или включений, изменяющих возможности и функции, в области нарушения оригинального состава и целостности, формата и других параметров данных и программ.
Если экспертизе и следствию были представлены какие-то образцы и фрагменты данных, то какие части этих данных и в каком виде можно обнаружить на исследуемых носителях и компьютерных системах.
Можно ли обнаружить на носителе информации сведения и данные, имеющие отношение к рассматриваемым следствием делам и вопросам.
Какие из обнаруженных сведений, находящихся на носителях, можно отнести к рассматриваемому делу.

В этой области могут рассматриваться еще многие детали и промежуточные вопросы, относящиеся к конкретному делу, и могущие возникать в процессе расследования. Очень важной областью считаются исследования действий пользователей с разным доступом на исследуемых нами носителях и компьютерных системах.

Вопросы о действиях пользователей с данными и конкретной компьютерной системой. О подробностях эксплуатации компьютеров и данных

Что можно узнать у объектов наших исследований о том, кто создавал, использовал, модифицировал информацию, кто и как с ней работал, и какие получал результаты.
Специальные личные сведения, такие как имена, пароли и другая информация для прав доступа и редактирования, управления данными, программами и компьютерными системами – можно ли их найти.
Какие есть на компьютере следы операций и действий с информацией, программами и файлами.
Насколько соответствует или не соответствует принятым регламентам и правилам, общим и каким-то конкретным (в организации, например), обращение с информацией и компьютерными системами за время, предшествующее КТЭ.
Если мы с вами (компьютерная экспертиза) рассматриваем события, то имеется ли причинная связь между этими событиями и действиями, которые производились на исследуемых компьютерах и с находящимися на них данными.
Также в отношении событий, которые мы рассматриваем, и действий, которые явились их причиной: какова была временная и событийная последовательность действий, предпринятых для получения определенных результатов, которые мы рассматриваем.
Отражается ли в найденных данных механизм действий, приведший к получению определенных результатов.

До того, как данные или программы в компьютерной системе или на носителе информации были модифицированы, удалены, использованы или изменены, каким было их первоначальное состояние.

Вот так, и углубляясь в более детальные вопросы в каждом конкретном случае, специалисты АНО «Судебный эксперт» и других полноценно подготовленных организаций, системно рассматривают данные любого рода.

Направления вопросов для экспертного исследования устройств или целостных компьютерных систем, или частей и компонентов КС

Подвергаются исследованию и сами компьютерные системы, как аппаратно-программные комплексы, полные и неполные, и их части. Объект исследования при этом рассматривается с другой стороны, не так, как рассматривается информация. Для такого исследования как базовые используются следующие темы вопросов:

можно ли оборудование, представленное экспертам, охарактеризовать как компьютерную систему.
Рассматривается, представлена на экспертизу целостная компьютерная система, или только ее часть.
Для компонентов компьютерной системы и\или для КС в целом, определяются характеристики сборки, характеристики отдельных составляющих, тип и марка КС и\или компонентов, характеристики изготовления компонент и всей системы.
Определяется – компьютерная система является типовой, или специальной, или расширенной, настроенной, или произведенной, или собранной для выполнения каких-то специальных задач. Каковы потребительские функции устройства или КС.
Какие задачи на практике решает КС или устройство, и какие функции выполняет. Какие задачи может выполнять объект экспертизы.
Есть ли у объекта исследования особо выраженные отдельные потребительские свойства и в чем они заключаются.
Относительно конкретных, определенных задач – может ли эта система или устройство выполнять указанные задачи.
Можно ли найти в этой системе специальные сервисные недокументированные возможности, какие они, используются ли они, и для чего они могут использоваться.
На момент проводимых исследований – может ли система выполнять свои функции, и находится ли она в рабочем состоянии.
Разные режимы использования и эксплуатации – есть ли они в рассматриваемой системе, и каков их перечень. Какой из режимов задействован в настоящий момент. В каком состоянии находятся эксплуатационные настройки устройства или КС.

Кроме этих вопросов при исследовании компьютерных систем и компьютерных устройств рассматриваются такие вопросы, как следы, механизм, хронология и результаты работы этих систем в локальной или всемирной сети.

Рассматриваются сеансы работы с системами и устройствами разных пользователей. Учетные записи пользователей, информация о них, их данные, записи об их работе. Результаты их работы, и возможные пути применения их работы, их возможные и действительные результаты. Много внимания уделяется в большинстве случаев изучению систем защиты.

Для каждого расследования эксперты работают по тем или иным направлениям вопросов – важна, как и в других видах экспертных работ, их верная постановка. Для этого в АНО «Судебный эксперт» проводятся консультации с заказчиками. После правильной постановки вопросов и целей экспертных исследований, после изучения вашего случая, эксперты работают в выбранном направлении.

Чтобы пройти бесплатные консультации, и воспользоваться всеми возможностями современной независимой компьютерно-технической экспертизы, вы можете обратиться к нам в любой момент по телефону, по электронной почте, по факсу, через форму обратной связи. В АНО «Судебный эксперт» есть опыт работы со сложными случаями, с арбитражными судами, судами, со следствием, и с заказчиками разного уровня и типа – поэтому мы ждем вас для того, чтобы помочь в разрешении любых ситуаций!

Компьютерно-техническая экспертиза (КТЭ) -- самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических.

КТЭ проводится в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.

При производстве КТЭ решаются в основном следующие задачи:

– определение вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик;
– определение фактического состояния и исправности аппаратного средства, наличия физических дефектов;
– определение основных характеристик операционной системы;
– выявление и исследование функциональных свойств, а также настроек программного обеспечения, времени его инсталляции;
– определение фактического состояния программного объекта, состава соответствующих ему файлов, их параметров (объемы, даты создания, атрибуты), способов ввода-вывода информации, наличия или отсутствия каких-либо отклонений от типовых параметров (например, недокументированных функций);
– диагностирование алгоритма программного продукта, видов использованных при его разработке инструментальных средств;
– установление первоначального состояния программы (например, при начальной инсталляции) и выявление возможных последующих изменений;
– выявление структуры механизма события по результатам работы программного обеспечения и в динамике;
– установление причинной связи между действиями пользователя компьютерной системы в отношении программного обеспечения и наступившими последствиями;
– идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы;
– отождествление содержания файла с данными в копии исследуемого файла либо в представленном документе (в т.ч. в бумажной копии в комплексе с технико-криминалистическим исследованием документов).

Объектами компьютерно-технической экспертизы являются:

– персональные компьютеры; периферийные устройства, сетевые аппаратные средства; интегрированные системы, любые комплектующие всех указанных компонент (аппаратные блоки, машинные носители информации, платы расширения и т.п.).
– программы для ЭВМ, алгоритмы, исходные тексты программ;
– текстовые и графические документы (в электронной форме), изготовленные с использованием компьютерных средств; данные в форматах мультимедиа; информация в форматах баз данных, других приложений прикладного характера;

Решая вопрос о назначении экспертизы, следователь должен акцентировать внимание на поиске, фиксации, изъятии и представлении эксперту необходимых материальных объектов -- носителей информации, а также на уяснении и формировании задач, стоящих перед следствием. Вследствие недостаточной подготовки следователи зачастую при назначении экспертизы компьютерных систем неправильно ставят перед экспертом вопросы. Наиболее типичны здесь две ошибки:

1) Постановка излишне общих вопросов, не имеющих значения для рассматриваемого дела (также переписывание всего списка вопросов). Классические примеры:
- – «Восстановить и распечатать всю удаленную информацию».
- – «Какая информация содержится на «винчестере?».
- – «Возможно ли сделать вывод о том, что Иванов И.И. имеет прямое отношение к созданию и редактированию файлов, содержащихся на носителе?».
- – «Имеются ли на представленном жестком диске программы, предназначенные для получения неправомерного доступа к защищенной компьютерной системе или сети?». (Оценка вредоносности программы является частью юридической квалификации состава преступления и должна даваться органами следствия или судом).
Вопросы, решаемые компьютерно-технической экспертизой:
- 1. Соответствует ли комплектация представленных на исследование системных блоков комплектации, указанной в гарантийных талонах на них?
- 2. Имеются ли на винчестере представленного на исследование системного блока персонального компьютера файлы, в том числе удаленные, содержащие информацию о «…» (указать конкретные ключевые слова для поиска)?
- 3. Имеется ли на винчестере представленного на исследование системного блока информация о логинах и паролях, использованных для доступа в глобальную всемирную сеть Интернет?
- 4. Какие последние сайты посещались пользователем данного компьютера?
- 5. Какие функции реализует представленная на исследование программа и какие действия она выполняет?
В качестве общей рекомендации при назначении компьютерно-технических экспертиз следует сказать, что конкретный перечень и формулировку вопросов с учетом обстоятельств дела целесообразно согласовывать с экспертами отдела компьютерно-технических экспертиз ГЭКЦ МВД Республики Беларусь.

Общие рекомендации по подготовке материалов и по оформлению постановления о назначении компьютерно-технической экспертизы

Основным требованием является правильная упаковка компьютерной техники и носителей информации, направляемых для производства компьютерно-технических экспертиз.

Основными ошибками являются:
- – отсутствие упаковки;
- – использование в качестве упаковочного материала только липкой ленты;
- – направление объектов без сопроводительных бирок;
Поэтому можно выработать следующие рекомендации:
- 1. Все изымаемое аппаратное оборудование и носители информации опечатывать и упаковывать таким образом, чтобы исключить:
  - – возможность их включения и работы с ними при хранении;
  - – разборку и демонтаж отдельных компонентов;
  - – уничтожение или изменение состояния технических средств и информации;
  - – возможность повреждения и уничтожения технических средств и информации при транспортировке.
  - – наименование того, что находится в пакете либо коробке с указанием количества;
  - – где, когда, у кого изъято, в ходе какого следственного действия;
  - – подписи с указанием фамилий и инициалов участников следственного действия.
  К упаковке изымаемых компьютерно-технических устройств и носителей информации предъявляются следующие требования:
  - 1. Вещественные доказательства упаковываются в картонные коробки или мешки, которые заклеиваются в местах вскрытия липкой лентой.
  - 2. Упаковка должна обеспечивать исключение свободного перемещения объектов внутри.
  - 3. Мелкие объекты (дискеты, компакт-диски, флэш-накопители, накопители на жестких магнитных дисках и др.) могут быть упакованы в отдельные металлизированные или бумажные пакеты, при этом перед помещением в бумажные пакеты их целесообразно завернуть в металлическую фольгу.
  - 4. При невозможности упаковки средств компьютерной техники в отдельную коробку допустимо использование листов плотной бумаги, картона, прочных целлофановых пакетов или кусков ткани, со всех сторон закрывающих изымаемые объекты. Их можно закрепить при помощи липкой ленты, исключив при этом ее контакт с поверхностью объекта.
  Выполнение вышеуказанных требований позволит максимально исключить возможность повреждения объектов, поступающих для производства компьютерно-технических экспертиз, обеспечит сохранность их признаков и свойств, а также хранимой на них информации.
  
  Читайте также: