1. Если компьютер выключен, а следственная группа ограничена во времени (например, приближается конец рабочего дня на предприятии), то целесообразнее опечатать техническое устройство и продолжить работу на следующий день либо изъять его для осмотра в условиях экспертной лаборатории.

2. Проводить осмотр информации в компьютере нужно только при наличии достаточного количества времени. При выполнении этой работы спешка недопустима.

3. Если специалист, осматривающий компьютер, находит незнакомые или “подозрительные” программы, осмотр следует немедленно прекратить, компьютер вывести из рабочего состояния, опечатать, составить протокол и изъять ПК для исследования в условиях экспертно-криминалистической лаборатории.

4. Если при осмотре компьютера специалисту слишком настойчиво пытаются “оказать помощь” сотрудники предприятия, то следует поступить так, как описано в предыдущем пункте.

5. Необходимо помнить, что любое неквалифицированное действие может привести к порче или полной потере информации, а это более пагубно для следствия, чем ложное обвинение членов группы в непрофессионализме со стороны заподозренной организации. Нередко лишенные возможности уничтожить информацию работники предприятия пытаются “вывести следователя из себя”, чтобы он совершил ошибку, которую впослед­ствии используют адвокаты либо которая нанесет вред информации.

Позднее в условиях следственного кабинета или экспертно-криминалистической лаборатории специалисты-программисты или эксперты по поручению следователя производят “взлом” паролей и кодов и дальнейшее исследование содержащейся в компьютере информации.

НЕ нашли? Не то? Что вы ищете?

Если выдача информации происходит добровольно, для ее изъятия следственная группа должна иметь:

дискеты в упаковках или россыпью, предварительно отформатированные;

коробки (желательно пластиковые) для хранения дискет;

пакеты для упаковки дискет в коробке;

устройство для записи информации на компакт-диски (СD-R или CD-RW);

комплект чистых компакт-дисков;

материал для опечатывания дискет и компьютеров (коробки, липкую ленту, веревки, мешки и т. д.).

Как уже говорилось выше, на жестком диске обычно хранятся только управляющие и прикладные программы, а информация по ним может находиться на дискетах. Возможны случаи, когда информация накапливается очень быстро, тогда на винчестере в базе данных может храниться информация за какой-то незначительный период времени, а остальные данные содержатся на дискетах. Иногда предприятия архивируют информацию, для чего применяют дискеты, оптические диски, стриммерные ленты и т. д. На них же могут находиться и резервные копии материалов. В некоторых случаях компьютерная информация может записываться и храниться на видеокассетах.

Поиск дискет и компакт-дисков производится так же, как и поиск обычных документов: у компьютеров на столах, в ящиках столов, в сейфах и других местах, в том числе в личных вещах работников предприятия и присутствующих в помещениях. Для обнаружения проводится личный обыск этих лиц, а также вещей, им принадлежащих. В идеале каждое подразделение долж­но иметь журнал учета дискет с указанием информации, записанной на них.

Все обнаруженные дискеты и компакт-диски просматриваются на компьютере и при наличии на них информации, касающейся расследуемого уголовного дела, незамедлительно изы­маются. Если следственная группа ограничена во времени, все найденные материалы и дискеты следует опечатать и изъять.

При подготовке дискет к изъятию с них необходимо снять как минимум две копии: одна оставляется в качестве контрольного варианта; другая предназначена для проведения экспертизы. Лучше иметь три копии документов, тогда третью можно использовать непосредственно для работы следователя.

После копирования информации на дискеты в качестве меры предосторожности следует использовать защиту дискет от записи на всех экземплярах. На дискете 3,5 дюйма защита записи имеет вид защелки и находится в нижнем левом углу дискеты. Для запрещения записи защелку следует отодвинуть так, чтобы закрываемое ею отверстие было открыто. В этом случае произвести запись на такую дискету и, следовательно, “испортить” находящуюся на ней информацию невозможно. Заклеить отверстие можно полоской бумаги, предварительно поставив на нее подпись кого-либо из присутствовавших на обыске (лучше понятых, а не членов оперативной группы). После этого дискету нужно опечатать.

Если следователь располагает устройством для записи на компакт-диск, то достаточно одной копии всей информации, изымаемой в организации. В настоящее время это идеальный вариант для расследования, поскольку информация, скопированная на компакт-диск, не может быть изменена или уничтожена, что исключает появление защитной версии заподозренного лица о несоответствии изъятой информации оригиналу. Копия на CD должна сопровождаться записью на упаковке, подписанной понятыми, с указанием точной даты и времени получения этой версии.

Для просмотра большого количества файлов могут привлекаться технические помощники, но их работа должна проводиться в присутствии представителей обыскиваемого предприятия и понятых.

При работе с вычислительной техникой следователь сам должен неуклонно выполнять следующее правило и требовать того же от членов следственной группы, специалистов и понятых: если в работе с компьютером или информацией в нем у специалиста возникают сомнения или подозрения, связанные с работой самого компьютера или исследуемых им программ, следственные действия нужно немедленно прекратить, технику опечатать, составить протокол и изъять. В противном случае интересующая следствие информация может быть безвозвратно утеряна.

4. ВЫЕМКА

Объектами выемки могут быть определенные предметы и документы. К ним можно отнести и компьютерные файлы, если достоверно известно, где и у кого они находятся. В соответствии со ст. 167 УПК РСФСР выемка производится на основании постановления, в котором указывается местонахождение искомых предметов и документов, в связи с чем они подлежат изъятию, их наименование и индивидуальные признаки, в присутствии понятых и представителя администрации или собственника фирмы либо уполномоченного ими лица. До начала этого следственного действия всем присутствующим разъясняются их права и обязанности.

Выемка отличается от обыска тем, что перед выемкой лицо, проводящее это следственное действие, обращается к тем, в обладании или владении кого искомые объекты находятся, с требованием выдачи имеющих значение для дела предметов и документов. Причем с большей или меньшей степенью вероятности должно быть известно, где и у кого находятся интересующие следствие предметы и документы и какие именно. По делам об экономических преступлениях это возможно, поскольку прежде всего следствие интересуют документы заподозренной фирмы, а документооборот известен заранее полностью или в общих чертах в связи с действием Федерального закона “О бухгалтерском учете” от 21 ноября 1996 г. (с измен. и доп. от 23 июля 1998 г.)[7], единого для всех экономических субъектов, действующих на территории России, независимо от организационно-правовых форм и форм собственности.

Требования лица, проводящего выемку, и производимые им действия носят принудительный характер независимо от того, передаются ли требуемые документы и предметы добровольно или отбираются принудительно. Подготовительная работа к выемке проводится так же, как и к обыску.

Не является выемкой истребование следователем (дознавате­лем) документов в соответствии со ст. 70 УПК РСФСР. Такой за­прос не сопровождается изъятием документов в учреждениях и ор­ганизациях, в том числе у экономических субъектов. В таких случаях руководители учреждений, организаций, должностные ли­ца и граждане обязаны представить в органы расследования документы, указанные в запросе. Некоторое исключение составляют справки кредитных организаций (банков) по опе­ра­циям и сче­там юридических лиц и граждан, осуществля­ю­щих предпринимательскую деятельность без образования юридического лица. В соответствии со ст. 26 Федерального закона “О банках и банковской деятельности в РФ” такие справки кредитные организации выдают органам предварительного следствия по находящимся в их производстве уголовным делам только с согласия прокурора.

5. ОСМОТР

По делам об экономических преступлениях в целях обнаружения следов преступления чаще всего проводятся осмотры документов и предметов, а также помещений. Значительно реже встречается осмотр местности и места происшествия.

Осмотр помещений имеет много общего с обыском, поэтому рекомендации по проведению обыска и его подготовке можно полностью отнести и к осмотру. Цель обоих следственных действий — обнаружение и изъятие следов преступления, вещественных доказательств, документов и других объектов, имею­щих значение для дела. Для достижения этой цели при обыске и осмотре применяются одинаковые приемы и средства.

Отличие состоит в том, что в ходе осмотра отражается обстановка, в которой осуществляет свою деятельность экономический субъект. В зависимости от конкретного преступления особое значение могут иметь факты наличия или отсутствия осуществления производственных операций, хранения сырья, материалов, готовой продукции, оборудования того вида и в том количестве, какое следует из документов, а также самих документов, их реестров, финансовых и учетных операций и другие обстоятельства. Фиксация и исследование этих обстоятельств могут иметь значение для расследования уголовного дела.

При осмотре помещений обращается внимание на обстановку на предприятии или в организации с целью установления того, имеются ли у экономического субъекта автономные компьютеры, локальные вычислительные сети или выход в глобальную сеть и где они находятся (если обнаружены лишь следы их пребывания в данном помещении); учитывая разнообразие в конструктивном исполнении компьютеров, их размерах и малые размеры дискет, следует особенно внимательно осматривать личные вещи сотрудников и труднодоступные места, так как в них легко скрыть и то и другое.

Осмотр компьютера

Приступая к осмотру компьютера, следователь и специалист, непосредственно производящий все действия на ЭВМ, должны придерживаться следующих рекомендаций:

перед выключением питания нужно по возможности закрыть все используемые на компьютере программы. Помните, что некорректный выход из некоторых программ может повлечь за собой уничтожение информации или порчу самой программы;

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17