Аспекты криминалистического исследования компьютерной информации и её носителей

Благодарим Вас за посещение http://Ndki. narod. ru

Аспекты криминалистического исследования компьютерной информации и ее носителей // Вестник Муниципального института права и экономики (МИПЭ). – Вып. 1. – Липецк: Издательство НОУ «Интерлингва», 2004. – С. 14 – 27.

ББК 67.52

аспекты криминалистического исследования

компьютерной информации и её носителей

, доцент кафедры организации следственной работы Волгоградской академии МВД России, кандидат юридических наук, доцент

Анализ следственной практики показывает, что очень часто по делам о компьютерных преступлениях[1] возникает настоятельная необходимость производства осмотра и последующего уголовно-процессуального исследования компьютерной информации и её материальных носителей, которые в дальнейшем используются в качестве вещественных доказательств. При этом, компьютерная информация может являться как предметом, так и средством преступного посягательства. В отдельных случаях, в соответствии с п. 3 ч. 1 ст. 81 УПК РФ, она также может относиться к «документам, которые могут служить средствами для

обнаружения преступления и установления обстоятельств уголовного дела».

Компьютерная информация – это информация, зафиксированная на машинном носителе в форме, доступной восприятию ЭВМ. При этом, информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.[2] Иными словами, компьютерная информация – это сведения, циркулирующие в вычислительной среде, зафиксированные на машинном носителе в форме, доступной восприятию ЭВМ, или передающиеся по каналам электросвязи посредством электромагнитных сигналов из одной ЭВМ в другую, из ЭВМ на периферийное устройство, либо на управляющий датчик оборудования.

С криминалистической точки зрения компьютерную информацию условно можно подразделить по следующим основаниям.

1. По юридическому положению:

1.1 Не документированная компьютерная информация – данные, команды и сигналы, образующиеся в процессе создания, преобразования, передачи, хранения, воспроизведения, уничтожения информации и не обладающие признаками документа. Однако, если они используются в качестве идентификационных реквизитов сообщения, то играют существенную роль в определении его документальности.

1.2 Документированная компьютерная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.[3]

2. По категории доступности:

2.1 Общедоступная – компьютерная информация общего пользования (с неограниченным доступом).

2.2 Охраняемая законом – компьютерная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.[4] Данному условию удовлетворяют сведения, отнесенные к различным видам тайн (государственная, служебная, коммерческая, банковская, предварительного расследования, медицинская, личная, семейная и др.),[5] передаваемые путем переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений;[6] являющиеся объектом авторских и смежных прав;[7] имеющие статус персональных данных – сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность.[8] Эта информация всегда будет чужой для лица, не имеющего к ней доступа на законных основаниях, либо получившего его в нарушении установленного порядка, с нарушением правил ее защиты.

Следует также учесть, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.[9] В соответствии со ст. ст. 6, 12, 17 и 23 Федерального закона «Об информации, информатизации и защиты информации» компьютерная информация является имуществом со всеми правовыми последствиями, вытекающими из этого понятия, например, определяемыми ст. 209 «Содержание права собственности» ГК РФ.

3. По форме представления:

3.1 Электромагнитный сигнал – средство переноса компьютерной информации в пространстве и во времени с помощью электромагнитных колебаний (волн).[10]

3.2 Упорядоченные семантические данные и команды.

3.3 Файл – поименованная область записей на машинном носителе информации (МНИ), где в закодированном виде хранится строго определенная информация с реквизитами, позволяющими ее идентифицировать. Как в библиотеке, архиве или папке упорядочивают местоположение книги или документа, так и на МНИ упорядочивают файлы. Для этого ему присваивается определенное имя, которое,

во-первых, позволяет отличить его от множества других файлов, и, во-вторых, дает некоторое представление о категории сведений, содержащихся в нем, или о лице, его создавшем. Однако, это не является обязательным: файлу может быть дано любое условное наименование, не связанное с его содержанием. К имени файла может быть добавлено так называемое «расширение», то есть примечание, содержащее не более трех символов. Расширение отражает специфику формата файла и особенности его использования. По расширению, как правило, можно установить название или вид программы для ЭВМ, с помощью которой файл был создан.

При создании файла или изменении его содержания компьютерной системой или программой для ЭВМ автоматически регистрируется дата и время, когда эти действия были совершены. Они берутся ЭВМ из внутрисистемных показаний встроенного календаря и таймера (часов) и могут быть изменены пользователем «вручную». Имя, тип, дата и время являются атрибутами файла, которые фиксируются в каталоге.

Каталог файлов – директорий («папка») содержит информацию о группе файлов, хранимых совместно на одном машинном носителе. Директорий имеет имя (название) и, в свою очередь, может быть зарегистрирован в другом директории (одна «папка» может быть вложена в другую). В этом случае он становится подчиненным или «под – директорием». Так образуется иерархическая файловая система: на каждом машинном носителе всегда имеется корневой директорий – тот, в котором начинают регистрироваться обычные файлы («главная папка») и под-директории 1-го уровня («папки», вложенные в нее); в них, в свою очередь, могут регистрироваться файлы и под-директории 2-го уровня («папки» вложенные в «папки» 1-го уровня) и т. д.

3.4 Программа для ЭВМ – это объективная форма представления совокупности данных и команд, предназначенных для функционирования ЭВМ и других компьютерных устройств с целью получения

определенного результата, а также подготовленные и зафиксированные на физическом носителе материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.[11] По функциональному назначению они подразделяются на следующие виды.

1. Системные программы:

1.1 Базовая система ввода-вывода информации (BIOS) – специальная программа, записываемая на интегральную микросхему постоянного запоминающего устройства (ПЗУ). BIOS обеспечивает автоматический запуск ЭВМ после включения электропитания и организует базовый процесс ввода-вывода информации на уровне бинарных кодов – машинных языков, преобразующих (кодирующих) всю информацию (сигналы, данные, команды) в логическую последовательность цифр «0» и «1». (Отсюда пошли такие названия как «цифровая фотография», «электронно – цифровая подпись» и другие – В. В., В. П., Д. И).

1.2 Системный загрузчик – программа, которая также находится в ПЗУ. Она автоматически включается после исполнения BIOS и производит тестирование всех технических устройств как в самой ЭВМ (интегральных микросхем: ОЗУ, центрального процессора, кэш-памяти и др.; винчестера, дисководов, громкоговорителя и др.), так и подключенных к ней (периферийных устройств). При положительном результате тестирования программа запускает на исполнение (загружает) с винчестера или иного машинного носителя операционную систему и передает ей управление ЭВМ. Эта программа также позволяет пользователю выборочно работать с несколькими операционными системами на одной ЭВМ.

1.3 Операционная система (ОС) – совокупность взаимосвязанных программ, выступающих в качестве интеллектуального посредника между аппаратными средствами, средствами электросвязи системы или сети ЭВМ и пользователем (человеком). Она состоит из следующих программных компонент:

• командного процессора (интерпретатора команд) – обеспечивает анализ и исполнение команд, подаваемых пользователем с пульта управления ЭВМ (клавиатуры), в том числе загружает программы в оперативную память (ОЗУ) и запускает их на исполнение;

• драйверов – программ, обеспечивающих автоматическое управление периферийным оборудованием (каждому отдельно взятому периферийному устройству соответствует свой драйвер);

• файловой системы – программ, обеспечивающих логическое размещение и хранение данных и команд на машинных носителях информации в виде логических дисков, папок (каталогов) и файлов.

1.4 Вспомогательные программы (утилиты) – расширяют возможности функционирования операционной системы по отдельным направлениям организации процесса автоматической обработки информации. С помощью этих программ пользователь получает набор дополнительных инструментов по контролю, мониторингу и управлению компонентами ОС, а также внутренними и внешними устройствами ЭВМ.

1.5 Программы - оболочки – сервисные программы, облегчающие работу пользователя с операционной системой. Например, на протяжении ряда лет самой популярной программой–оболочкой являлась «Norton Commander», которая была разработана американским программистом Питером Нортоном. В настоящее время в ОС Windows используется ее аналог – «Windows Commander».

2. Прикладные программы – программы для ЭВМ с которыми непосредственно работает пользователь для решения вычислительных и информационных задач. Они подразделяются на следующие виды.

2.1 Пакеты прикладных программ – наборы специализированных программных инструментов, предназначенные для решения задач определенного класса. К ним относятся: текстовые процессоры (редакторы); настольные издательские системы; табличные процессоры

(электронные таблицы); графические редакторы; автоматизированные рабочие места (АРМ); системы автоматизации проектирования (САПР); системы управления базами данных (СУБД); архиваторы; организаторы сетевого планирования и управления проектами; антивирусные программы и системы; программы защиты от несанкционированного доступа; инструментальные средства отладки программ; игры; программы распознавания символов; электронные переводчики; программы обработки фото-, видео и звукозаписи; мультимедиа; имитационно – обучающие программы; экспертные системы; программы управления технологическими процессами и др.).

2.2 Базы данных – объективные формы представления и организации совокупности данных (например: статей, расчетов), систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ.[12]

3. Инструментальные программы – системы программирования. Они используются для создания всех вышеуказанных программ и имеют следующую классификацию.

3.1 Трансляторы – программы, которые производят перевод исходного текста программы, написанного человеком на одном из языков программирования (Turbo C, Turbo C++, Turbo Pascal, Microsoft C, Microsoft Basic, Clipper и др.), на машинный язык кодов команд (объектный код).

3.2 Компиляторы (редакторы связей) – программы, позволяющие работать с библиотекой стандартных подпрограмм, которые негласно для пользователя выполняют ввод-вывод данных и команд, их преобразование, математические функции, обращение к операционной системе для работы в которой пишется новая программа, обработку возможных ошибок во время исполнения программы и выдачу сообщений о них пользователю, остановку исполнения (прерывания) программы по определенным

командам и др. Компиляторы обеспечивают выбор конкретных подпрограмм из библиотеки, компонуют и логически присоединяют их к созданной с помощью транслятора новой программе (автоматически устанавливают необходимые логические связи). Без них вновь созданная программа не будет работать в определенной операционной системе, программной среде либо на ЭВМ определенного вида. Компилятор в качестве входных данных имеет набор объектных кодов исходной программы, библиотеку стандартных подпрограмм, а в результате создает из этих компонент набор кодов с программой, готовой к исполнению (работе), или загрузочный модуль.

3.3 Декомпиляторы – программы, выполняющие функции, обратные трансляторам. Они воспроизводят и преобразуют объектный код в исходный текст (с машинного языка на язык программирования).

3.4 Интерпретаторы – программы, совмещающие в себе функции транслятора и компилятора. Пользователь вводит в нее с клавиатуры текст программы, написанной на определенном языке программирования, например, на Бэйсике, и сразу же начинает ее использовать.

Компьютерная информация всегда опосредована через материальный (машинный) носитель, вне которого она не может существовать. Машинный носитель информации (МНИ) можно определить как любое техническое устройство либо физическое поле,[13] предназначенное для фиксации, хранения, накопления, преобразования и передачи компьютерной информации. Наиболее распространены следующие виды машинных носителей информации:

• внутренний накопитель на жестком магнитном или магнито – оптическом диске (НЖМД или НМОД – винчестер);

• внешний накопитель на жестком магнитном диске (ЗИП-драйвер);

• внешнее устройство накопления информации (стриммер);

• накопитель на магнитной ленте или специальной металлической нити (в кассетах или бобинах);

• гибкий магнитный диск (ГМД – дискета);

• оптический или магнитооптический диск (лазерный или компакт - диск);

• бумажная (картонная), пластиковая или металлическая карта;

• интегральная микросхема памяти (ИМСП) – микроэлектронное изделие окончательной или промежуточной формы, предназначенное для выполнения функций электронной схемы памяти ЭВМ и других компьютерных устройств, элементы и связи которого неразрывно сформированы в объеме и (или) на поверхности материала, на основе которого изготовлено изделие;[14]

• листинг – распечатка компьютерной информации на твердом физическом носителе (бумаге или пленке);

• физическое поле[15] – материальный носитель физических взаимодействий искусственного или естественного происхождения.

С криминалистических позиций, все МНИ можно классифицировать на следующие группы.

1. По времени хранения информации:

• оперативные – обеспечивающие кратковременное хранение данных и команд, например, оперативное запоминающее устройство (ОЗУ) или электромагнитное поле;

• постоянные – время хранения информации ограничивается лишь сроком службы (физическим износом) материала МНИ, например, постоянное запоминающее устройство (ПЗУ) или магнитная лента.

2. По условиям корректировки информации:

• не перезаписываемые – МНИ, на которые информация записывается один раз и хранится постоянно до момента физического уничтожения или полного старения (износа) ее носителя – позволяют использовать информацию без корректировки только в режиме «чтение», например, перфокарта, перфолента, карта со штрих-кодом, не перезаписываемый оптический диск (компакт-диск), не перезаписываемая ИМСП;

• однократно перезаписываемые – машинные носителя, позволяющие произвести одноразовую корректировку ранее записанной на них информации – информация на них записывается частями (порциями, импульсами) до тех пор, пока объем свободной памяти не будет исчерпан, либо один раз с одновременной перезаписью всех ранее записанных данных, например, интегральная микросхема ПЗУ ЭВМ или иного компьютерного устройства;

• многократно перезаписываемые – МНИ, допускающие многократную перезапись и чтение компьютерной информации, например, магнитные диски и ленты, магнитооптические диски, интегральная микросхема ОЗУ, электромагнитное поле.

Основные криминалистические особенности компьютерной информации заключаются в следующем:

1) она достаточно просто и быстро преобразуется из одной объектной формы в другую, копируется (размножается) на различные виды машинных носителей и пересылается на любые расстояния, ограниченные только радиусом действия современных средств электросвязи;

2) при изъятии (копировании) компьютерной информации, в отличие от изъятия материального предмета (вещи), она сохраняется в первоисточнике, так как доступ к ней могут одновременно иметь несколько лиц, например, при работе с информацией, содержащейся на электронной странице глобальной сети ЭВМ «Интернет», доступ к которой одновременно имеют несколько пользователей.

В соответствии с Концепцией правовой информатизации России, утвержденной Указом Президента РФ от 28.06.93 г. № 000, использование компьютерной информации сопровождается строгим соблюдением требований ее защиты, а нарушение требований защиты информации расценивается как несанкционированный доступ (НСД) к ней.[16]

Доступ к компьютерной информации – это всякая форма проникновения к ней с использованием средств электронно - вычислительной техники (СВТ), позволяющая манипулировать информацией (уничтожать ее, блокировать, модифицировать и копировать).[17] В зависимости от расстояния между местом применения СВТ – средства совершения преступления и местом нахождения компьютерной информации – предмета преступного посягательства, различают дистанционный и непосредственный доступ. Дистанционный доступ осуществляется путем установки специального канала связи, по которому осуществляются неправомерные действия с компьютерной информацией и ее производными. При этом, всегда используются промежуточные (транзитные) машинные носители информации и средства электросвязи. Непосредственный доступ заключается в необходимости нахождения субъекта на месте преступления до, в момент и (или) после его совершения. Эти обстоятельства имеют криминалистическое значение и связаны с определением места и способа преступления, преступника и потерпевшего.

Уничтожение компьютерной информации состоит в ее ликвидации любыми способами, которая приводит к невозможности использования информации по целевому назначению и не зависит от возможности ее восстановления средствами и методами, которыми располагает потерпевший. Одним из таких способов является стирание информации с машинного носителя – частичное уничтожение компьютерной информации с машинного носителя, заключающееся в ликвидации отдельных признаков, позволяющих ее идентифицировать.

Блокирование компьютерной информации – физическое воздействие на компьютерную информацию, ее машинный носитель и (или) программно-технические средства ее обработки и защиты, результатом которого явилась временная или постоянная невозможность осуществлять какие-либо операции над компьютерной информацией.

Модификация компьютерной информации – это внесение в нее любых несанкционированных собственником или владельцем изменений.[18]

Копирование компьютерной информации – это повторение и устойчивое запечатление компьютерной информации любыми способами на отличном от оригинала машинном носителе при одновременной сохранности признаков, идентифицирующих ее.

С учётом вышеуказанного представляется, что продолжение научно-теоретических и практических исследований проблем использования компьютерной информации и её машинных носителей как вещественных доказательств по уголовным делам, во-первых, является актуальным и своевременным, во-вторых, будет способствовать качественному улучшению методического обеспечения деятельности правоохранительных органов по борьбе с компьютерными преступлениями.

Литература

1. Компьютерное преступление – это виновно совершённое общественно опасное деяние, запрещённое Уголовным законом Российской Федерации под угрозой наказания, посягающее на общественные отношения в сфере создания, обработки, передачи, использования и защиты компьютерной информации.

2. Ст.2 Федерального закона от 20.02.95 г. «Об информации, информатизации и защите информации» и ч.1 ст.272 Уголовного кодекса РФ.

3. Ст. 2 Указ. ФЗ.

4. Там же.

5. Подробнее см., например: Ст.5 Закона РФ от 21.07.93 г. № 000-1 (в ред. ФЗ от 06.10.97 г. ) «О государственной тайне»; Ст. 139 и 857 Гражданского кодекса РФ; Ст. 26 Федерального закона от 03.02.96 г. «О банках и банковской деятельности»; Ст. 161 УПК РФ; Ст. 61 Закона РФ от 22.07.93 г. № 000-1 (в ред. ФЗ от 20.12.99 № 000 ФЗ) «Основ законодательства РФ об охране здоровья граждан»; Ч.1 ст. 23 Конституции РФ; Ст. 6 п. 5 Федерального закона от 1.04.96 г. «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования».

6. Ч. 2 ст. 23 Конституции РФ.

7. Ст. 7 Закона РФ от 09.07.93 г. № 000-1 (в ред. ФЗ от 19.07.95 г. ) «Об авторском праве и смежных правах»; Ст. 3 Закона РФ от 23.09.92 г. № 000-1 «О правовой охране программ для электронных вычислительных машин и баз данных»; Ст. 3 Закона РФ от 23.09.92 г. № 000-1 «О правовой охране топологий интегральных микросхем».

8. Ст. 11 Федерального закона от 20.02.95 г. «Об информации, информатизации и защите информации».

9. Ч. 1 ст. 21 Указ. ФЗ.

10. Сигнал – условный знак для передачи какого-либо сообщения, распоряжения, команды и т. п. – См.: Словарь русского языка: В 4-х т. Т. 4 / АН СССР, Ин-т рус. яз.; Под ред. . – 3-е изд., стереотип.– М., 1985 – 1988. – С. 89.

11. Ст. 1 Закона Российской Федерации от 23.09.92 г. № 000-1 «О правовой охране программ для электронно - вычислительных машин и баз данных».

12. Cт. 1 Закона Российской Федерации от 23.09.92 г. № 000-1 «О правовой охране программ для электронно - вычислительных машин и баз данных».

13. Cт. 2 Закона Российской Федерации от 21.07.93 г. № 000-1 «О государственной тайне».

14. Ст. 1 Закона РФ от 23.09.92 г. № 000-1 «О правовой охране топологий интегральных микросхем».

15. Ст.2 Закона РФ от 21.07.93 г. № 000-1 (в ред. ФЗ от 06.10.97 г. ) «О государственной тайне».

16. Собрание актов Президента и Правительства. – 1993. – № 27. – Ст. 2521.

17. Комментарий к Уголовному кодексу Российской Федерации. Изд. 2-е, изм. и доп. / Под общ. ред. проф. и . – М., 1998. – С. 635.

18. Ч. 1 ст. 1 Закона РФ от 23.09.92 г. № 000-1 «О правовой охране программ для электронных вычислительных машин и баз данных».