Оценка следователем результатов компьютерной экспертизы

1996
Какими критериями руководствоваться следователю при самостоятельной оценке заключения компьютерной экспертизы
   

Пропастин Сергей Владимирович, к. ю. н., старший преподаватель кафедры криминалистики Омской академии МВД России

В комплексе способов получения доказательств значимую роль играет назначение и производство судебной экспертизы. Особое место занимает компьютерная экспертиза, проводимая в отношении специфических объектов: информации, зафиксированной в электронной форме; программного обеспечения, средств компьютерной техники и сетевых технологий. Следователь в процессе доказывания по уголовному делу должен оценить заключение эксперта, полученное по результатам производства компьютерной экспертизы.
Однако, как свидетельствуют результаты проведенного нами изучения правоприменительной практики, следователи относятся настороженно к самой возможности правильной оценки результатов компьютерной экспертизы без приглашения специалиста.
Учитывая загруженность следователей и проблематичность приглашения специалистов в области оборота компьютерных технологий, может создаться ситуация, при которой позиция эксперта, изложенная в заключении, будет иметь аксиоматичное значение для следователя. Как итог — нарушение требований ст. 85 УПК РФ в части оценки заключения экспертизы. На наш взгляд, оценка заключения эксперта в нашем случае может быть выполнена следователем самостоятельно.

Основа оценки заключения эксперта

Подчеркнем, что по уголовным делам проводятся компьютерные экспертизы, носящие, как правило, комплексный характер, т. е. наряду со средствами компьютерной техники эксперт исследует программные и информационные объекты.
Оценивая заключение эксперта, следователь должен иметь представление о положениях нормативных актов, уполномочивающих его на производство указанной оценки и раскрывающих основу назначения и производства компьютерной экспертизы. В качестве таковых допустимо выделить:
1) УПК РФ (ст. ст. 5, 42, 47, 49, 57, 61, 62, 69, 70, 74, 75, 80, 85, 86, 88, 119, 144, 195–201, 204 и 207);
2) федеральный закон от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации»;
3) приказ МВД России от 29.06.2005 № 511 «Вопросы организации производства судебных экспертиз в экспертно-криминалистических подразделениях органов внутренних дел Российской Федерации»;
4) приказ Минюста России от 20.12.2002 № 347 «Об утверждении инструкции по организации производства судебных экспертиз в судебно-экспертных учреждениях системы Министерства юстиции Российской Федерации».
Следователь, оценивая заключение эксперта, должен учитывать, что экспертное исследование проходит три основных стадии: предварительную стадию, стадию детального исследования и стадию оценки результатов экспертизы. Соответственно этому в заключении эксперта также можно выделить вводную часть, исследовательскую часть и выводы эксперта.
Заключение эксперта подлежит оценке с точки зрения относимости, допустимости, достоверности, и, в совокупности со всеми собранными доказательствами, — достаточности для разрешения уголовного дела (ст. 88 УПК РФ). Далее мы последовательно рассмотрим эти вопросы за исключением требования достаточности, так как считаем это нецелесообразным в силу неконкретности наших рекомендаций — отсутствия связи с конкретным уголовным делом.

Оценка с точки зрения относимости

Относимость заключения эксперта — способность заключения эксперта устанавливать наличие или отсутствие искомых по делу обстоятельств; наличие связи с конкретным уголовным делом.
На относимость заключения эксперта к уголовному делу указывает ряд положений текста данного заключения:
1. Указание на постановление о назначении компьютерной экспертизы, вынесенное следователем, принявшим конкретное уголовное дело к производству, и номер этого дела (во вводной части заключения эксперта, до заголовка «Обстоятельства дела»).

ПРИМЕР. Я, старший эксперт 2 отдела ЭКЦП УМВД России по Омской области, капитан полиции Иванов Иван Иванович, … на основании постановления о назначении судебной компьютерной экспертизы, вынесенного 24 февраля 2013 года, следователем СО РПТО УМВД России по г. Омску, Богдановым С.А., по уголовному делу № 12345, произвел судебную компьютерную экспертизу.

2. Отражение обстоятельств конкретного уголовного дела (во вводной части заключения эксперта, после заголовка «Обстоятельства дела»).

ПРИМЕР. Уголовное дело № 12345 возбуждено 4 января 2013 года СО РПТО УМВД России по г. Омску по признакам преступления, … в отношении Сидорова С.С. В конце декабря 2012 года Сидоров С.С., работая в ООО «Интернет-провайдер» в должности техника, используя выданные ему для подключения к сети Интернет пароли и логины, находясь по адресу: г. Омск, ул. Рокоссовского, д. 16, корпус 3, кв. 70, осуществил неправомерный доступ к компьютерной информации, повлекший блокирование и модификацию компьютерной информации. 5 января 2013 года по адресу: г. Омск, ул. Рокоссовского, д. 16, корпус 3, кв. 70, в ходе обыска жилища был обнаружен и изъят системный блок персонального компьютера.

3. Взаимосвязь исследуемых объектов, а равно вопросов эксперту с конкретным уголовным делом (во вводной части заключения эксперта, после заголовков «На экспертизу представлено» и «Перед экспертом поставлены вопросы»).

ПРИМЕР. На экспертизу представлен системный блок персонального компьютера…

ПРИМЕР. Перед экспертом поставлены вопросы:
1) возможно ли установить MAС-адрес сетевых карт на представленном объекте? Если да, то каковы характеристики установленного МАС-адреса?
2) имеется ли на представленном объекте информация о соединениях с сетью Интернет? Если да, то под какими учетными данными осуществлялись соединения с сетью Интернет?

Оценка с точки зрения допустимости

Допустимость заключения эксперта — соответствие заключения эксперта требованиям норм уголовно-процессуального права.
Говоря о допустимости, следователь должен принимать во внимание тот факт, что заключение эксперта по результатам проведения компьютерной экспертизы оценивается сквозь призму схемы оценки заключения любой судебной экспертизы. В данном случае речь идет о необходимости соблюдения уголовно-процессуальных норм, обозначенных нами в рамках рассмотрения вопроса об основах оценки заключения эксперта. Здесь следует остановиться на необходимости соблюдения установленного порядка назначения и проведения экспертизы, в том числе процедуры постановки вопросов эксперту; возможности отвода эксперта; правильности получения объектов для экспертного исследования и правильности оформления заключения эксперта; наличия и характеристики упаковки и т. д.
Однако когда речь идет о компьютерной экспертизе, следует обратить внимание на отдельные специфические моменты.
1. Сведения об экспертном учреждении, а также фамилия, имя и отчество эксперта, его образование, специальность, стаж работы, ученая степень и (или) ученое звание, занимаемая должность.
Здесь следователь должен учитывать ряд особенностей:
а) как правило, компьютерная экспертиза проводится экспертно-криминалистическими подразделениями органов внутренних дел. Однако в силу ряда причин она может проводиться экспертными учреждениями Минюста России (например, вследствие загруженности экспертов ОВД; недостаточности имеющихся специальных программных средств и т. д.). Кроме того, в практике встречаются случаи поручения производства компьютерной экспертизы негосударственному экспертному учреждению или частному лицу, обладающему специальными знаниями.

ПРИМЕР. 25.11.2002 на территории г. Кемерово Д.А.С., работая системным администратором в ООО «КЦ Снежный барс» и имея прямой доступ к ресурсам сервера данной организации, находясь по месту проживания, действуя умышленно, с целью использования созданной им для ЭВМ программы «скрипт sbbl.vbs», заведомо приводящей к уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, путем дописывания набора команд, составляющих программу «скрипт sbbl.vbs», внес изменения в компьютерные программы, расположенные на сервере ООО «КЦ Снежный барс». По данному факту было возбуждено уголовное дело, в рамках которого следователь назначил судебную компьютерно-техническую экспертизу. В качестве эксперта было приглашено лицо, не работающее в каком-либо учреждении, но обладающее всеми необходимыми для этого характеристиками.

б) в отдельных заключениях эксперта при описании компетентности эксперта нами встречалось указание на то, что эксперт «имеет высшее образование и экспертную специальность по компьютерным экспертизам». Формально положения ст. 204 УПК РФ учтены, однако следователь должен иметь возможность наглядно представить компетентность эксперта. В этой связи, особенно когда речь идет о лицах, не являющихся государственными судебными экспертами, в заключении должны быть отражены сведения об учебном заведении, которое было окончено экспертом и точное наименование специальности, являющейся базовой для проведения компьютерной экспертизы.

ПРИМЕР. Иванов Иван Иванович, проживающий по адресу:…, имеющий высшее образование (Томский политехнический университет, факультет Автоматики и вычислительной техники, 1993 год окончания), стажировку по компьютерной специальности (г. Москва, холдинговая компания «Принт», удостоверение № 111) и опыт самостоятельной работы с компьютерной техникой 10 лет,…

Отсутствие конкретизации может явиться основанием для производства проверочных мероприятий следователем (например, допроса эксперта). Здесь же отметим, что верным ориентиром в установлении достаточной компетентности эксперта будет являться его образование и/или опыт работы по таким направлениям, как: электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника, программирование, автоматизация и т. п.
2. Характеристика объектов, представленных для производства компьютерной экспертизы:
— во вводной части заключения эксперта дается краткое описание объектов, поступивших на экспертизу, фиксируются их индивидуальные признаки (если позволяет упаковочный материал) и характеристика упаковки (в том числе ее состояние).

ПРИМЕР. На экспертизу представлен системный блок персонального компьютера PC GAMER со встроенной сетевой картой «LINK/ACT». Объект поступил упакованным в полиэтиленовый пакет синего цвета, опечатанный…

Особенность, присущая компьютерной экспертизе, состоит в количестве сведений, присутствующих на электронном носителе информации и отражаемых в начале заключения эксперта (в зависимости от вида носителя, его модели).
Например, на корпусе флеш-карты, как правило, имеются сведения о типе, модели и емкости носителя («SD Apacer 512 mb»). Кроме того, необходимо зафиксировать положение переключателя защиты от записи (запись разрешена, запись запрещена). Корпус жесткого диска может содержать сведения о типе (стационарный или переносной), модели диска. Здесь же отражается серийный номер диска (организация может выставить на нем учетный номер). Также указывается интерфейс (например, интерфейс USB), наличие интерфейсного кабеля и т. д.;
— в исследовательской части заключения эксперта дается детальное описание объектов, поступивших на экспертизу (корпуса носителя, самого носителя после вскрытия корпуса), их иллюстрации.
Описание системного блока делается подробно. В начале характеризуются панели корпуса (передняя: привод компакт-дисков, разъемы USB и др.; задняя: кнопка включения питания, разъемы для устройств и пр.; верхняя: наклейки с надписями и т. д.). Затем фиксируются основные комплектующие системного блока после удаления боковой панели (блок питания, системная плата и т. д.). При этом более подробно описывается электронный носитель, подлежащий исследованию.

ПРИМЕР. Системный блок собран в корпусе типа «TOWER» черного цвета, размерами (ШхДxВ) равными 18x37x37 см. На передней панели корпуса имеется: лицевая панель привода компакт-дисков с надписью «RW DVD+R DL… На верхней панели корпуса имеются наклейки с надписями... После удаления боковой крышки корпуса установлено, что основными комплектующими системного блока являются: блок питания, системная плата, плата видеоадаптера…

3. Характеристика средств, использованных в процессе проведения компьютерной экспертизы, а также демонстрация примененной методики.
Особенность, присущая компьютерной экспертизе, состоит в том, что эксперт применяет как стандартные для любой экспертизы средства фиксации объектов (например, цифровая фотокамера «Panasonic» и принтер «HP LaserJet 1320»), так и специальные средства (например, стендовая ПЭВМ, оснащенная устройствами для подключения соответствующих электронных носителей и необходимым системным и специализированным программным обеспечением).

ПРИМЕР. Для исследования системного блока, представленного на исследование, использовалась стендовая ПЭВМ следующей конфигурации: M/B-ASUS M2N32-SLI DELUX/nVidia MCP55PXE… , оснащенная устройством для подключения накопителей на жестких магнитных дисках, необходимым системным и специализированным программным обеспечением. Системная дата и время стендовой ПЭВМ соответствует реальному времени часового пояса GMT+06:00.

Когда речь заходит о методах производства компьютерной экспертизы, следует сделать оговорку. Суть ее в том, что эксперт, в ходе проведения указанной экспертизы задействует как общие методы (анализ, синтез и т. д.), так и специальные методы (метод анализа структуры, методы исследования аппаратных средств и т. д.). Методов, разработанных специально для проведения компьютерной экспертизы, на данный момент нет. Деятельность эксперта фактически сводится к адаптации имеющихся методов к каждому конкретному случаю.
Реализация методов компьютерной экспертизы осуществляется через применение конкретных методик. Опрос экспертов показал, что с формальной точки зрения (для соблюдения процессуального законодательства) в заключении эксперта в качестве методики эксперты указывают учебно-методическую литературу.

ПРИМЕР. Исследование проводилось в соответствии со следующими методическими материалами: 1) методические рекомендации, подготовленные коллективом авторов на базе ЭКЦ МВД России в 2001 году («Общие положения по назначению и производству компьютерно-технической экспертизы»); 2) учебное пособие под редакцией А. И. Усова, подготовленное на базе ЭКЦ МВД России в 2002 году («Методы и средства решения задач компьютерно-технической экспертизы»); 3) учебное пособие под редакцией Е. Р. Россинской, подготовленное в 2003 году («Судебно-экспертное исследование компьютерных средств и систем: основы методического обеспечения»); 4) учебно-методическое пособие, подготовленное коллективом авторов в 2007 году («Практические основы компьютерно-технической экспертизы»).

В ходе производства отдельных компьютерных экспертиз используется энциклопедическая литература, содействующая терминологическому единообразию и ясности изложения мыслей эксперта (например, справочное пособие О. В. Тушкановой под названием «Терминологический справочник судебной компьютерной экспертизы», изданное в ЭКЦ МВД России в 2005 году).

4. Наличие оговорки о применении процедуры обеспечения сохранности информации (при обнаружении электронного носителя внутри корпуса системного блока).
С целью обеспечения сохранности информации и гарантии от внесения изменений в их содержимое, электронные носители подключаются к стендовой ПЭВМ в режиме защиты от записи. Информация с исследуемого накопителя клонируется на жесткий диск стендовой ПЭВМ при помощи специальной программы. Затем производится восстановление удаленных данных при помощи специальных программ на жесткий диск стендовой ПЭВМ и отключение исследуемого электронного носителя. Дальнейшее исследование информации проводилось на жестком диске стендового компьютера.

ПРИМЕР. С целью обеспечения сохранности информации, располагающейся на исследуемом носителе, и гарантии невнесения изменений в его содержимое, носитель последовательно подключался к стендовой ПЭВМ в режиме защиты от записи. Вся информация с исследуемого носителя клонировалась на накопитель на жестком магнитном диске (НЖМД) стендовой ПЭВМ при помощи программы «ProDiscover v.4.62». Затем производилось восстановление удаленных данных при помощи программ «FinalData Enterprise v2.0.1.1028», «Recover My Files v.3.94», специализированного программного обеспечения, при этом сохранение восстановленных данных производилось на НЖМД стендовой ПЭВМ, после чего исследуемый носитель отключался. Операции клонирования и восстановления удаленных данных исключают внесение каких-либо изменений информации на исследуемом носителе. Дальнейшее исследование информации проводилось на НЖМД стендового компьютера.

Оценка с точки зрения достоверности

Достоверность заключения эксперта — установление действительных связей, отношений и зависимостей между сторонами, свойствами и качествами заключения эксперта.
Здесь необходимо учитывать две особенности.
1. Надежность примененной методики, как и обоснованность полученных результатов и полнота исследования, следователь самостоятельно не сможет оценить, что предопределяет его обращение к специалисту. Единственное, на что мы обращали внимание, говоря о допустимости, следователь самостоятельно может оценить применение общелогических методов (анализ, синтез и т. д.). Кроме того, следователь может отметить наличие или отсутствие в тексте заключения эксперта указания на факт применения отдельных специальных экспертных методов, а также оценить использованные методические материалы на предмет их соответствия компьютерной тематике.
Применительно к полноте проведенной экспертизы добавим, что следователь может оценить выполнение данного требования, анализируя последовательность и полноту этапов работы с отдельными объектами.
2. Особенностью проведения компьютерной экспертизы является отсутствие затруднения в деле установления достаточности представленного эксперту исследовательского материала (в сравнении, например, с биологической экспертизой тканей и выделений человека, животных). Следователь, если речь не идет о сложных компьютерных системах, анализируя вопросы, поставленные перед экспертом, может самостоятельно определить достаточность объектов. Например, при постановке вопросов эксперту об установлении факта применения конкретного модема для выхода в Интернет с конкретного компьютера, достаточными объектами будут конкретные модем и компьютер (сделанный нами вывод напрямую вытекает из анализа формулировки вопросов).

Скоро в журнале «Уголовный процесс»

    Узнать больше


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Академия юриста компании


      Самое выгодное предложение

      Смотрите полезные юридические видеолекции

      Смотреть видеолекции

      Cтать постоян­ным читателем журнала!

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией


      Рассылка




      © Актион кадры и право, Медиагруппа Актион, 2007–2017

      Журнал «Уголовный процесс» –
      практика успешной защиты и обвинения

      Использование материалов сайта возможно только с письменного разрешения редакции журнала «Уголовный процесс».

      
      • Мы в соцсетях

      Входите! Открыто!
      Все материалы сайта доступны зарегистрированным пользователям. Регистрация займет 1 минуту.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Только для зарегистрированных пользователей

      Всего минута на регистрацию и документы у вас в руках!

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×

      Подпишитесь на рассылку. Это бесплатно.

      В рассылках мы вовремя предупредим об акции, расскажем о новостях в уголовном праве и процессе и изменениях в законодательстве.