Для того чтобы исключить потерю или порчу компьютерной информации, нужно соблюдать некоторые меры предосторожности. Предлагаемые советы помогут Вам в работе.
Совет 1. Выполняйте копии с разрядным потоком.
Обычно компьютерные доказательства сохраняются путем создания точной копии с оригинала (первоначального доказательства), прежде чем выполняется любой анализ. Практика показывает, что делать копии компьютерных файлов, используя только стандартную резервную программу, недостаточно. Ценные доказательства могут существовать и в форме уничтоженных или скрытых файлов, а данные, связанные с этими файлами, можно сохранить только с помощью специальных программ. Правоохранительным органам доступно специализированное программное обеспечение, которое выполняет эту задачу, например SafeBack; для гибких дискет бывает достаточно программы DOS Diskcopy.
Совет 2. Проверяйте временные файлы.
Текстовые редакторы и программы базы данных создают временные файлы как побочный продукт нормальной работы программного обеспечения. Большинство пользователей компьютера не сознает важности создания этих файлов, потому что они обычно уничтожаются программой в конце сеанса работы. Однако данные, содержащиеся внутри этих уничтоженных файлов, могут оказаться наиболее ценными с точки зрения доказательства. Особенно если исходный файл был шифрован или документ подготовки текстов был напечатан, но никогда не сохранялся на диске. Подобно волшебству эти файлы могут быть восстановлены.
Совет 3. Проверяйте Swap File Окна.
Популярность Microsoft Windows принесла некоторые дополнительные выгоды компьютерным исследователям, осуществляющим поиск новых источников компьютерного доказательства. Swap File Окна работают как огромная база данных, и много различных временных фрагментов данных или даже весь документ подготовки текстов могут заканчиваться в этом файле. Тщательный анализ Swap File может завершиться открытием ценного доказательства, когда Windows включается.
Совет 4. Делайте сравнение документов.
Часто дубли текстовых файлов можно найти на жестком диске и (или) на гибких дискетах. Мелкие изменения или изменения между версиями одного и того же документа могут иметь доказательную ценность. Эти различия можно легко идентифицировать с помощью наиболее современных текстовых редакторов. Только этот единственный прием позволит сэкономить многие часы работы. Учитывая, что возникающий в результате файл изменяется текстовым процессором, убедитесь, что Вы работали с копией.
Повсеместное внедрение компьютеров требует изменения уголовно-процессуальных норм, регламентирующих процедуру доказывания в части использования новых источников доказательств. В то же время перед органами следствия и суда открываются новые возможности использования ранее не существовавших носителей информации.
10. СУДЕБНАЯ ЭКСПЕРТИЗА
Использование специальных познаний
при расследовании преступлений, связанных
с применением компьютерной техники
Расследование преступлений, совершаемых с использованием компьютерной техники, представляет значительные трудности для следователей. Сам специфический способ совершения подобных деяний недостаточно изучен, в связи с этим сложности возникают не только при поиске следов, но и при их фиксации, закреплении и исследовании. Кроме того, следователи ни психологически, ни технически, ни профессионально пока не готовы к целенаправленной и эффективной деятельности по раскрытию и доказыванию таких преступлений. Впрочем, стремительное развитие информационных технологий порождает и новые способы совершения преступлений, а значит, еще долгое время следственные органы будут действовать с некоторым отставанием от проявлений преступных посягательств. Именно поэтому расследование данного вида преступлений, как никакого другого, связано с использованием знаний специалистов самых разных отраслей (в основном, конечно, электроники, программирования и средств связи).
Использование специальных познаний при расследовании преступлений в сфере компьютерной информации может осуществляться в виде:
неофициальных консультаций у специалистов-профес-сионалов в различных отраслях науки и техники;
участия специалистов при производстве следственных действий;
проведения экспертиз.
Неофициальные консультации проводятся чаще всего до возбуждения уголовного дела или на начальном этапе расследования, необходимы для получения общих сведений о действии ЭВМ, их систем и сетей, построения общей модели способа совершения преступления и никак не отражаются в материалах дел. Если же лицо приглашается для участия в следственных действиях в качестве специалиста, то его статус имеет процессуальную регламентацию в соответствии со ст. 1331 УПК РСФСР. Об использовании специальных познаний при производстве осмотра, обыска и выемки речь шла в соответствующих разделах. Заметим лишь, что специалист может участвовать и в других следственных действиях, указанных в Законе, например в следственном эксперименте. Лицо, привлекавшееся для участия в следственных действиях в качестве специалиста, не может выступать в качестве эксперта по тому же уголовному делу.
Основная задача специалиста заключается в даче консультаций по правилам обращения с вычислительной техникой, выявлении средств компьютерной техники, описании аппаратных устройств и программного обеспечения, поиске информации в компьютере, оказании следователю помощи при изъятии средств вычислительной техники и информации, подготовке их к транспортировке и хранению. В этом разделе мы ограничимся рассмотрением вопросов, связанных с назначением следователем экспертиз.
Заключение эксперта по рассматриваемым делам является одним из важнейших источников доказательств. Именно экспертные исследования позволяют придать изъятым аппаратным средствам, программному обеспечению и компьютерной информации доказательственное значение, упрощая процедуру юридической оценки собранных по делу материалов. В таких условиях основными задачами следователя являются лишь поиск, фиксация, изъятие с помощью специалистов и представление эксперту необходимых материальных объектов — носителей информации о деятельности экономического субъекта.
Заключение эксперта оценивается следователем исключительно на основании анализа и сопоставления всех имеющихся материалов дела и доказательств. Это обстоятельство требует определенных знаний и опыта, поэтому рекомендуется поручать расследование подобных дел следователям, уже имеющим опыт либо прошедшим специальную подготовку. В случае неясности или неполноты заключения эксперт может быть допрошен или перед ним ставятся дополнительные вопросы. Если же у следователя возникают сомнения в выводах эксперта или если выводы противоречат другим доказательствам, уголовно-процес-суальным законом предусмотрена проверка выводов путем назначения повторной экспертизы, поручаемой другому эксперту.
Экспертиза компьютерной техники и информации еще окончательно не сформировалась как самостоятельный род судебных экспертиз, поэтому до сих пор не принято единой для всех экспертных учреждений терминологии, в том числе не определено и название экспертизы. В различных учреждениях и в литературе ее называют по-разному: компьютерно-техническая, программно-техническая, кибернетическая, информационно-техническая, информационно-технологическая и т. п. Мы постарались обобщить накопленный опыт назначения экспертиз, но он не может рассматриваться сейчас как данность, как единственно возможный путь решения задач расследования. Информационные технологии меняются ежечасно, поэтому, назначая экспертизу, следователь должен осведомиться, каковы возможности экспертных исследований в его регионе в данный момент.
Предпочтительно назначать экспертизы в экспертных учреждениях. В настоящее время они выполняются экспертными службами Министерства юстиции РФ, МВД РФ, ФСБ РФ. При отсутствии в регионе таковых экспертиза может быть назначена в научно-исследовательских или учебных институтах, имеющих соответствующую техническую базу и специалистов, можно также использовать другие учреждения и коммерческие фирмы, осуществляющие закупку, поставку, ремонт, наладку и обслуживание вычислительной техники и программного обеспечения, разработку оригинальных программ.
Объекты, подлежащие экспертному исследованию
Экспертным исследованиям подлежат предметы и документы, имеющие значение для расследования уголовного дела и изъятые в ходе следствия в строго процессуальном порядке путем осмотра, обыска или выемки таким образом, как указано выше. Объекты, представляемые на экспертизу, весьма разнообразны. Ими могут быть:
компьютеры, их системы и сети, а также их отдельные части и комплектующие, сопроводительная документация к ним;
периферийные устройства: клавиатура, манипуляторы всех видов (“мышь”, джойстик, трекбол), дисплеи, модемы, сканеры и коммуникационные устройства компьютеров и вычислительных сетей, сопроводительная документация к ним и т. д.;
магнитные носители информации (жесткие диски, дискеты, оптические диски, стриммерные ленты, видеокассеты и т. п.);
различные коммуникационные устройства (пейджеры, телефонные аппараты, электронные записные книжки, мобильные телефоны и другая бытовая техника, содержащая информацию в электронном виде), непосредственно линии электросвязи и обеспечивающие их устройства, иные электронные носители текстовой и цифровой информации (контрольно-кассовые машины и т. п.), сопроводительная документация к ним;
документы, изготовленные с использованием компьютерных систем и электронных средств передачи и копирования информации (факсы, ксерокопии и т. д.);
компьютерная информация (программы, тексты) в различном виде;
документация по работе с информацией, информационными системами и оборудованием;
видео - и звукозаписи, визуальная и звуковая информация, в том числе на лазерных дисках;
иные электронные технические средства, множительная техника, средства спецтехники и связи, электронные замки, электронные средства охраны и безопасности экономического субъекта, пластиковые карты различного назначения.
Судя по стремительному развитию информационных технологий, их использование в преступной деятельности будет постоянно меняться, поэтому и предусмотреть все возможные объекты исследований в настоящее время невозможно.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
