добросовестно заблуждается; ложное заявление о преступлении.
Типовыми частными версиями являются: версии о личности преступника (ов); версии о местах внедрения в компьютерные системы; версии об обстоятельствах, при которых было совершено преступление; версии о размерах ущерба, причиненного преступлением.
Спецификой дел данной категории является то, что с самого начала расследования следователю приходится взаимодействовать со специалистами в области компьютерной техники. Понятно, что при современном и интенсивном развитии компьютерных и информационных технологий юрист – следователь не в состоянии отслеживать все технологические изменения в данной области. Специалисты крайне необходимы для участия в обысках, осмотрах и выемках. Поиск таких специалистов следует проводить в предприятиях и учреждениях, осуществляющих обслуживание и эксплуатацию компьютерной и коммуникационной техники, в учебных и научно-исследовательских организациях. В крайнем случае, могут быть привлечены сотрудники организации, компьютеры которой подверглись вторжению (при их непричастности к расследуемому событию), а также специалисты зональных информационно- вычислительных центров региональных УВД МВД России. Соответственно компьютерно-техническая экспертиза может оказать действенную помощь при выяснении следующих вопросов: какова конфигурация и состав ЭВМ и можно ли с помощью этой ЭВМ осуществить исследуемые действия; какие информационные ресурсы находятся в данной ЭВМ; не являются ли обнаруженные файлы копиями информации, находившейся на конкретной ЭВМ; не являются ли представленные файлы с программами зараженными вирусом и, если да, то каким именно; не являются ли представленные тексты на бумажном носителе записями исходного кода программы и каково назначение этой программы; подвергалась ли данная компьютерная информация изменению и если да, то какому именно и др.
В связи с тем, что при осмотре ЭВМ и носителей информации производится изъятие различных документов, в ходе расследования может возникнуть необходимость в назначении криминалистической экспертизы для исследования документов. Дактилоскопическая экспертиза позволит выявить на документах, частях ЭВМ и машинных носителях следы пальцев рук причастных к делу лиц.
Осмотр и обыск (выемка) особенно в начале расследования являются важнейшими инструментами установления обстоятельств расследуемого события. В ходе этих действий следует детально фиксировать не только факт изъятия того или иного объекта, но и фиксировать процесс обыска и результаты осмотра места происшествия для точного отражения местонахождения этого объекта во взаимосвязи с другими найденными на месте обыска объектами.
Для осмотров, обысков и выемок, сопряженных с изъятием ЭВМ, машинных носителей и информации, характерен ряд общих проблем, связанных со спецификой изымаемых технических средств. Так, необходимо предусмотреть меры нейтрализации средств и приемов, предпринимаемых преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в критически» случаях создающее сильное магнитное поле, стирающее магнитные записи. Преступник может включить в состав программного обеспечения своей машины программу, которая заставит компьютер требовать пароль периодически и, если в течение несколько секунд правильный пароль не будет введен, данные в компьютере автоматически уничтожатся. Изобретательные владельцы компьютеров устанавливают иногда скрытые команды, удаляющие или архивирующие с паролями важные данные, если некоторые процедуры запуска машины не сопровождаются специальными действиями, известными только им. Следует учитывать и возможность возрастания в ходе обыска напряжения статического электричества, которое может повредить данные и магнитные носители. Желательно иметь с собой и использовать устройство для определения и измерения магнитных полей (например, компас). Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры (выше комнатных), влажность, задымленность (в том числе табачный дым) и запыленность.
Не следует забывать при осмотрах и обысках о возможностях сбора традиционных доказательств, например, скрытых отпечатков пальцев на клавиатуре, выключателях и тумблерах, рукописных, в том число шифрованных записей и пр.
Осмотру подложат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссоздать картину действий злоумышленников и получить важные доказательства. Фактически оптимальным вариантом изъятия ЭВМ и машинных носителей информации является должная фиксация их и их конфигурации на месте обнаружения и упаковка таким образом, чтобы их можно было сразу правильно и точно так, как на месте обнаружения, соединить в лабораторных условиях или в месте производства следствия с участием специалистов.
Следственные действия могут производиться в целями осмотра и изъятия ЭВМ и ее устройств; поиска и изъятия информации и следов воздействия на нее в ЭВМ и ее устройствах; поиска и изъятия информации и следов воздействия на нее вне ЭВМ. В зависимости от этих целей могут использоваться различные приемы исследования.
Осмотр и изъятие ЭВМ и ее устройств. Признаками работающей ЭВМ могут быть подключение ее проводами к сети, шум работающих внутри ЭВМ вентиляторов, мигание или горение индикаторов на передних панелях системного блока, наличие на экране изображения. Если ЭВМ работает, ситуация для следователя, проводящего следственное действие без помощи специалиста, существенно осложняется, однако и в этом случае не следует отказываться от оперативного изъятия необходимых данных. В этом случае следует:
определить, какая программа выполняется. Для этого необходимо изучить изображение на экране дисплея и по возможности детально описать его; осуществить фотографирование или видеозапись изображения на экране дисплея; остановить исполнение программы; зафиксировать (отразить в протоколе) результаты своих действий и реакции на них ЭВМ; определить наличие у ЭВМ внешних устройств- накопителей информации на жестких магнитных дисках (винчестерах), внешних устройств удаленного доступа (например, модемов) к системе и их состояния (отразить в протоколе), после чего разъединить сетевые кабели так, чтобы никто не мог модифицировать или уничтожить информацию в ходе обыска (например, отключить телефонный шнур).
Если ЭВМ не работает, следует:
точно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т.п.), а также порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения, а затем с соблюдением всех возможных мер предосторожности разъединить устройства ЭВМ, предварительно обесточив их.
Упаковывать все изъятое следует раздельно (с указанием в протоколе и на конверте места обнаружения) и помещать их в оболочки, не несущие заряда статического электричества.
Особенной осторожности требует транспортировка винчестера (жесткого диска). Некоторые системы безопасной остановки («парковки») винчестера автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда ЭВМ.
Если в ходе осмотра и изъятия все же в крайнем случае понадобится запуск ЭВМ, это следует делать во избежание запуска программ пользователя с помощью собственной загрузочной дискеты.
Более сложной частью осмотра ЭВМ являются поиски содержащейся в ней информации и следов воздействия на нее, поскольку требуют специальных познаний. Существует фактически два вида поиска – поиск, где именно искомая информация находится в компьютере, и поиск, где еще разыскиваемая информация могла быть сохранена.
Как известно, в ЭВМ информация может находиться непосредственно в оперативном запоминающем устройстве (ОЗУ) при выполнении программы, в ОЗУ периферийных устройств и на внешнем запоминающем устройстве. Наиболее эффективным и простым способом фиксации данных из ОЗУ является распечатка на бумагу информации, появляющейся на экране дисплея. Если ЭВМ не работает, информация может
