2015-06-26
847
Водитель А., управляя автомобилем "ВАЗ-2115", на нерегулируемом перекрестке в результате несвоевременного торможения столкнулся с автомобилем "Ниссан Микра" водителя Ф., двигающегося справа. В результате осмотра места происшествия сотрудники ГИБДД установили, что видимость у водителя А., управлявшего автомобилем "ВАЗ-2115", была ограничена в условиях сумерек, когда было совершено ДТП, разросшимися кронами лип на перекрестке. Однако в материалах предварительной проверки было указано, что А., заметив автомобиль Ф., не начал своевременного торможения. Поэтому Ф. обратилась с исковым заявлением в суд о возмещении ущерба А. В суде А. утверждал, что начал торможение, как только увидел автомобиль Ф., и ходатайствовал о назначении судебной дорожно-транспортной экспертизы, на разрешение которой предлагал вынести вопрос: мог ли А. провести полное торможение автомобиля с места, где он заметил автомобиль Ф.?
Эксперт пришел к заключению, что полная остановка автомобиля была невозможна. Ущерб водителю Ф. был возмещен трестом по озеленению, который нарушил соответствующие нормы содержания зеленых насаждений.
Глава 30. СУДЕБНАЯ ВЗРЫВОТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА
Целями судебной взрывотехнической экспертизы являются установление факта взрыва, причин возникновения чрезвычайной ситуации, природы взрыва, его эпицентра и механизма, определение конструкции взрывного устройства, принципа его функционирования, поражающих свойств, массы использованного заряда взрывчатого вещества, а также квалификации, необходимой для изготовления самодельного взрывного устройства; установление нарушений правил взрывобезопасности, требований технических регламентов и проч.
Как правило, взрывотехнические экспертизы назначаются по уголовным делам. В силу многообразия и разноплановости объектов эти экспертизы часто выполняются комплексно с судебными трасологическими, металловедческими, пожарно-техническими, дорожно-транспортными экспертизами, судебными экспертизами веществ и материалов и некоторыми другими.
Вопросы, выносимые на разрешение взрывотехнической экспертизы, в зависимости от объектов можно подразделить на несколько групп.
I. Диагностика взрывных устройств и взрывчатых веществ.
1. Является ли представленное на исследование вещество взрывчатым? Если да, то какое это взрывчатое вещество (решается комплексно совместно с экспертизой веществ и материалов)? Каковы его область применения и целевое назначение, как оно изготовлено: промышленным способом или является самодельным?
2. Является ли данный предмет взрывным устройством? Изготовлено ли это устройство промышленным способом или оно самодельное? Если данное устройство самодельное, то аналогом какого взрывного устройства промышленного изготовления оно является?
3. Содержит ли данное взрывное устройство заряд взрывчатого вещества? Какого именно?
Производится комплексно с экспертизой веществ и материалов.
4. Является ли данный предмет боеприпасом? Каким именно?
5. Было ли взрывное устройство, представленное на исследование, подготовлено (пригодно) для производства взрыва до его расснаряжения? Какова причина несрабатывания взрывного устройства?
6. Каковы поражающее действие и радиус опасного поражения при взрыве данного взрывного устройства?
7. Мог ли произойти самопроизвольный взрыв взрывного устройства, при каких условиях?
8. Если на элементах конструкции взрывного устройства имеются маркировочные обозначения, то на каком предприятии, в какой период времени изготовлено данное устройство?
9. Если во взрывном устройстве использована электрическая схема, то каков ее принцип работы, каковы назначение и область ее применения и пригодна ли она для обеспечения срабатывания взрывного устройства?
Производится комплексно с электротехнической экспертизой.
10. Каковы профессиональные навыки во взрывном деле лица, изготовившего (применившего) взрывное устройство?
11. Имеются ли среди представленных объектов детали часовых механизмов, и если да, то каков их тип (марка), каким предприятием, в каком году они изготовлены?
12. В каком качестве использовался во взрывном устройстве часовой механизм, имеются ли в нем какие-либо конструктивные изменения, какое время замедления могло быть установлено?
II. Диагностика механизма взрыва по его следам.
1. Каковы природа взрыва и механизм его возбуждения? Где расположен очаг взрыва (эпицентр), какие признаки свидетельствуют об этом?
2. Имеются ли на представленных предметах остатки (микроколичества) взрывчатого вещества, если да, то какого именно и каковы его назначение и область применения?
3. Имелись ли во взрывчатом веществе посторонние включения (дробь, иголки, гвозди, соль и проч.)?
4. Каковы конструкция и способ изготовления (самодельный или промышленный) примененного взрывного устройства, его элементов? Являлось ли взорванное устройство боеприпасом, каким именно?
5. Каковы способ подрыва и механизм приведения в действие использованного взрывного устройства?
6. Каковы поражающие свойства взорванного взрывного устройства? Каковы масса и тротиловый эквивалент взорванного заряда?
7. Если взорвано самодельное взрывное устройство, то аналогом какого взрывного устройства промышленного изготовления оно являлось?
8. Не являются ли данные осколки (с места происшествия, из тела потерпевшего) частями корпуса взрывного устройства?
9. Имеются ли на фрагментах деталей взрывного устройства следы частей машин, механизмов и инструментов, на которых или с помощью которых изготавливались эти детали? В результате каких технологических операций образовались данные следы?
10. Пригодны ли следы, имеющиеся на деталях взрывного устройства, для идентификации инструмента (механизма, оборудования), их оставившего?
11. Какими навыками должно обладать лицо, изготовившее данную деталь взрывного устройства?
Вопросы 10, 11, 12 решаются в процессе комплексной взрывотехнической и трасологической экспертизы.
Вопросы идентификационного характера.
1. Аналогичны ли по своей конструкции, использованным материалам и другим признакам взорванное и представленное на экспертизу взрывные устройства?
2. Не составляли ли ранее представленные на исследование фрагменты взрывного устройства единого целого?
III. Диагностика взрывоопасных аварийных ситуаций, механизмов технологических взрывов, нарушений правил взрывобезопасности.
Эти вопросы разрешаются в комплексе с технологической экспертизой.
1. Каковы природа взрыва и механизм его возбуждения, является ли взрыв технологическим?
2. Не обусловлена ли аварийная ситуация данными обстоятельствами? Имелась ли причинно-следственная связь этой ситуации и возникновения взрыва?
3. Каковы были в данном случае причины и условия образования избыточного давления в оборудовании; взрывоопасной концентрации газо-, паро- и пылевоздушной смеси? Что явилось источником воспламенения взрывоопасной концентрации смеси в помещении, оборудовании?
4. Что произошло ранее: взрыв или пожар?
5. Находилось ли оборудование перед взрывом в исправном состоянии? Какие имелись неисправности, которые могли привести к взрыву? Не произошел ли взрыв от данной неисправности оборудования? В чем причина неисправности, возникла ли она внезапно или в течение определенного времени?
6. Отвечает ли оборудование требованиям технического проекта, соответствующих технических регламентов с точки зрения взрывобезопасности его эксплуатации?
7. Отвечали ли организация производственного процесса, характер производимых работ требованиям правил взрывобезопасности?
8. Имелась ли возможность предотвратить причины возникновения взрыва и какие меры взрывобезопасности было необходимо принять для этого?
9. Отвечает ли проект данного производственного здания (сооружения) требованиям взрывобезопасности, и если нет, какие требования не предусмотрены или предусмотрены недостаточно?
Объектами взрывотехнической экспертизы являются:
а) вещества и устройства (в демонтированном виде), которые предположительно могут относиться к взрывоопасным объектам;
б) предметы, части, фрагменты, которые предположительно могут относиться к остаткам взрывных устройств и их элементам;
в) элементы вещной обстановки - носители следов воздействия взрыва (осколочных повреждений, деформаций, закопчения и проч.) и предполагаемые носители остатков взрывчатых веществ и продуктов взрыва;
г) образцы почвы и веществ из мест наибольших разрушений (из воронок, со сколов и разломов), соскобы и смывы (ацетоном и водой), сделанные на закопченных и опаленных местах;
д) место взрыва;
е) поврежденные взрывом механизмы и оборудование, а также их узлы и детали;
ж) деформированные и поврежденные взрывом конструктивные элементы и части зданий (строительные конструкции, выполненные из металлов, камня, железобетона, древесины и пластмасс), предметы интерьера;
з) поврежденные транспортные средства и другие крупногабаритные предметы (в том числе громоздкое технологическое и иное оборудование, имеющееся на месте взрыва, изъятие которого не представляется возможным).
В качестве сравнительных образцов при назначении взрывотехнических экспертиз представляются образцы веществ, почвы, устройства, инструменты и механизмы, другие образцы для производства сравнительных исследований и модельных экспертных экспериментов.
При производстве взрывотехнической экспертизы, как и пожарно-технической, возникает необходимость анализировать техническую документацию объекта и его оборудования, обобщать сведения об обстоятельствах возникновения, обнаружения и развития аварийной ситуации вплоть до взрыва, проводить моделирование процессов, происходивших в ходе взрыва. К представляемым эксперту материалам относятся:
а) протоколы осмотров места взрыва, подробно иллюстрированные фототаблицами, чертежами, схемами;
б) сведения о событиях, предшествовавших взрыву и могущих находиться в причинно-следственной связи с его возникновением;
в) описания технологического оборудования, его состояния, ремонтов, их причин; пожаро- и взрывоопасных свойствах технологического процесса и аномалиях его протекания;
г) характеристика архитектурно-строительных и конструктивных особенностей здания или сооружения, явившегося местом происшествия или находившегося в зоне действия поражающих факторов взрывного воздействия;
д) нормативные материалы (правила и инструкции по технике безопасности, относящиеся к данному производству и работам, а также по эксплуатации данного оборудования).
Взрывотехнические экспертизы, связанные с взрывами взрывных устройств, производятся в экспертных подразделениях ФСБ и МВД России, а с технологическими взрывами - в РФЦСЭ Минюста России. По гражданским делам экспертизы такого рода выполняются частными экспертами и негосударственными экспертными учреждениями. Одна из подобных экспертиз была назначена арбитражным судом.
Бригада ОАО "Г." производила в городской черте взрывные работы. Однако от взрыва возникла трещина на боковой стене старого здания, расположенного поблизости, где находился офис другой фирмы. Для решения вопросов, связанных с возмещением ущерба, была назначена комплексная судебная взрывотехническая и строительно-техническая экспертиза, на разрешение которой были поставлены следующие вопросы.
1. Отвечала ли организация взрывных работ требованиям правил взрывобезопасности (разрешается взрывотехнической экспертизой)?
2. Каков механизм образования трещины боковой стены здания (разрешается комплексно)?
3. Какова стоимость выполнения ремонтно-строительных работ (разрешается строительно-технической экспертизой)?
Результаты произведенной экспертизы позволили арбитражному суду принять решение в пользу истца.
Глава 31. СУДЕБНАЯ СТРОИТЕЛЬНО-ТЕХНИЧЕСКАЯ ЭКСПЕРТИЗА
Судебная строительно-техническая экспертиза назначается как по уголовным, так и по гражданским делам. Нарушение правил безопасности при производстве строительных работ уголовно наказуемо (ст. 216 УК). При предварительном расследовании и в суде специальные знания необходимы и для установления объема и качества строительно-монтажных работ, стоимости материалов, обоснованности проектов, механизма аварий.
При производстве по гражданским делам назначение экспертиз этого рода обычно связано с решением споров по вопросам найма жилого помещения (например, претензии могут быть предъявлены в соответствии со ст. 681 "Ремонт сданного внаем жилого помещения" ГК), строительного подряда (ст. 740 - 757 ГК), а также разделом домовладений, правомерностью их строительства и некоторыми другими.
Круг вопросов, решаемых строительно-технической экспертизой, чрезвычайно широк. Эти вопросы носят, как правило, диагностический характер и могут быть систематизированы в соответствии с задачами строительно-технической экспертизы.
I. Обоснованность строительно-технической документации, соответствие предъявляемым требованиям условий осуществления строительства и надзора за его производством.
1. Обоснованна ли данная проектно-сметная документация, соответствует ли она действующим строительным нормам и правилам (СНиП)? Не завышены ли объемы или стоимость работ, в какой степени?
2. В соответствии ли с действующими СНиПами оформлена исполнительно-техническая документация? Соответствует ли она проектно-сметной документации? Если нет, то в чем выражается несоответствие?
3. Соответствует ли требованиям СНиПов проект производства строительно-монтажных и ремонтных работ? Если нет, то в чем заключается несоответствие?
4. Были ли к началу выполнения строительно-монтажных или ремонтных работ составлены (утверждены, получены) все необходимые технические документы (технические проекты, сметы, чертежи)? Если нет, какие документы должны были быть составлены в дополнение к имеющимся?
5. Соответствует ли заключение по результатам инженерно-топологического исследования строительной площадки требованиям, предъявляемым к такого рода документам? Отвечает ли данная строительная площадка предъявляемым требованиям? Если нет, то в чем выражается ее несоответствие этим требованиям? Какие упущения имелись при производстве изыскательских работ на участке, выделенном под строительство?
6. Осуществлялся ли технический и авторский надзор за строительством в соответствии с действующими положениями и СНиПами? Какие положения, нормы и правила нарушены?
7. Правильно ли применены действующие нормы на списание строительных материалов в технических отчетах?
II. Оценка объема и качества строительно-монтажных и ремонтных работ, затрат и сроков его производства.
1. Каков фактический объем выполненных строительно-монтажных и ремонтных работ?
2. Соответствует ли объем работ, указанный в отчетах и нарядах, актам фактически выполненных работ по контрольным обмерам? Если допущены завышения (занижения), то насколько? Какие факторы способствовали этому?
3. Соответствует ли действующим СНиПам качество примененных строительных материалов и изделий, качество отдельных частей зданий и сооружений? Соответствовали ли проектной и технической документации использованные материалы? Использовались ли при производстве строительно-монтажных и ремонтных работ строительные материалы и изделия, изготовленные с нарушением государственных стандартов и технических условий? Были ли работники обеспечены всеми необходимыми средствами для выполнения технического задания?
4. Является ли обоснованным финансирование строительства? Каковы размеры излишнего финансирования?
5. Сколько и каких материалов израсходовано на строительство (ремонт) данного объекта, соответствует ли фактический расход тому, что затребовано на производство? Была ли необходимость в истребовании дополнительных материалов? Переделывались ли какие-либо строительные работы? За счет каких материалов?
6. Не использованы ли при строительстве более дешевые материалы по сравнению с теми, которые предусмотрены технической документацией, и фактически списанными на производство?* Какие материалы, в каких количествах были заменены?
Вопросы, помеченные звездочкой (*), разрешаются в ходе комплексной строительно-технической и бухгалтерской экспертиз.
7. Использованы ли в нарядах установленные расценки и нормы рабочего времени?* Какие отступления от них допущены? Правильно и обоснованно ли начислены премии руководящим и инженерно-техническим работникам, служащим строительно-монтажных и проектных организаций за ввод в действие в срок и досрочно производственных мощностей и объектов; специалистам проектных организаций за авторский надзор при производстве строительных и ремонтных работ?*
8. Какова реальная экономия средств от внедрения данного рационализаторского предложения? Правильно ли исчислена выплаченная за него премия?*
9. Позволяли ли данные условия (обеспеченность строительными материалами, оборудованием, рабочей силой и проч.) начать строительство в данный срок, завершить его к данному сроку? Состоятельны ли названные причины о нарушении сроков строительства?
III. Оценка правильности приемки и отчетности о выполненных строительно-монтажных и ремонтных работах.
1. Допущены ли какие-либо отступления от действующих правил приемки строительно-монтажных и ремонтных работ? Если да, то в чем заключаются эти отступления?
2. Правильно ли использованы расценки в актах приемки работ?*
3. Правильно ли составлены документы государственной и материально-технической отчетности? Каковы обнаруженные отступления от правил и норм?
IV. Установление механизма аварии при выполнении строительно-монтажных и ремонтных работ, причинно-следственной связи аварии (происшествия) с несоблюдением СНиПов и правил техники безопасности в строительстве.
Вопросы раздела IV могут разрешаться комплексно в сочетании с другими инженерно-техническими экспертизами: пожарно-технической, взрывотехнической и технологической, а также экспертизой по технике безопасности в промышленном и сельскохозяйственном производстве.
1. Каков механизм разрушения здания, сооружения, конструкции?
2. Какие правила безопасности в строительстве были нарушены? Находились ли эти нарушения в причинно-следственной связи с аварией или несчастным случаем?
3. Соответствовал ли способ ведения работ (строительно-монтажных, ремонтно-строительных, земляных при разборке зданий и сооружений) указаниям проекта организации работ и СНиПам? В чем состояли отклонения, имелась ли причинно-следственная связь между ними и происшедшим событием?
4. Соответствовал ли данный проект требованиям безопасности в строительстве? Достаточны ли для обеспечения безопасности меры, указанные в данном документе на производство работ, например, в наряде-допуске?
5. Как связаны авария или нарушение требований безопасности с использованием данных строительных материалов, оборудования?
6. Соответствует ли квалификация потерпевшего характеру выполнявшихся им работ?
7. Соответствуют ли СНиПам и иным положениям и инструкциям использование и обеспечение работников средствами индивидуальной и коллективной защиты?
V. Вопросы, выносимые на разрешение строительно-технической экспертизы преимущественно по гражданским делам.
1. Каковы общая (или полезная) площадь и действительная стоимость домовладения согласно существующим в настоящее время расценкам? Какова стоимость 1 кв. м общей (полезной) площади домовладения?
2. Возможен ли технически раздел данного домовладения (в соответствии с санитарно-техническими нормами и нормами пожарной безопасности), учитывая долю каждого из домовладельцев (указать размер долей)? Если раздел невозможен, то по какой причине? Имеется ли техническая возможность выделения изолированной комнаты в квартире или квартиры в жилом доме?
3. Какие работы по переоборудованию домовладения необходимо провести и какие материальные затраты потребуются для этого по каждому из представленных вариантов раздела (возможно составление сметы на работы и материалы)?
4. Соответствует ли представленный проект жилого дома (надстройки, гаража и проч.) фактически выстроенному строению?
5. Возможна ли оценка конкретных строений (гаражей, дачных домов, надворных построек) и какова их стоимость?
6. Обоснованно ли определена сумма стоимости за выполнение работ по возведению строений, их частей, ремонтно-строительных работ?
7. Каков порядок пользования земельным участком в соответствии с идеальными долями?
8. Чем обусловлены повреждения здания, потолка, стен, пола квартиры? Каковы объем и стоимость ремонтно-строительных работ?
Основными объектами судебной строительно-технической экспертизы являются:
а) строительные объекты (здания, сооружения и их части);
б) участки территории, где расположены строительные объекты;
в) строительные материалы и строительное оборудование;
г) проектно-сметная документация на производство строительно-монтажных и ремонтно-строительных работ, проекты производства работ;
д) договоры на производство строительно-монтажных и ремонтно-строительных работ;
е) исполнительная техническая документация (журналы работ, авторского надзора и проч.), материалы надзора со стороны заказчика (застройщика);
ж) заключения инженерно-топологических исследований строительных участков;
з) акты и решения об отводе земельных участков под строительство, архитектурно-планировочные задания на разработку проектной документации, акты контрольных обмеров, приемки и обследования работ, строительных материалов и изделий;
и) наряды на оплату за выполненные строительно-монтажные и ремонтные работы, документы на выплату премий и надбавок;
к) материально-техническая отчетность о выполненных работах, списании стройматериалов;
л) акты обследования несчастных случаев и технических причин аварий при строительно-монтажных и ремонтных работах;
м) оценочные акты на домовладения, составленные бюро технической инвентаризации зданий (БТИ);
н) справки БТИ, содержащие данные о домовладении: размеры долей совладельцев, площадь подлежащего разделу строения и проч.;
о) документы, подтверждающие право собственности на домовладение (договор купли-продажи, дарения, решение суда и т.п.);
п) другие материалы, такие, как данные о профессиональной подготовке работников, акты приемочных испытаний, технических осмотров оборудования, сведения о сырье, обрабатываемом при производстве строительных работ, и иные документы.
Судебные строительно-технические экспертизы производятся в экспертных учреждениях Минюста России, негосударственных экспертных учреждениях и частными экспертами, в качестве которых могут привлекаться высококвалифицированные специалисты-строители. Однако необходимо, чтобы последние имели опыт производства судебных экспертиз.
Строительно-технические исследования весьма часто инициируются частными лицами и организациями для решения вопросов раздела V, когда обе стороны желают решить дело полюбовно, а не в судебном порядке, или чтобы иметь основания для судебного иска. Наиболее типичным является раздел домовладения при разводе супругов или по завещанию (между наследниками), установление объема и стоимости ремонтно-восстановительных работ при авариях водоснабжения, отопления и проч., строительно-техническое исследование по заказу страховой компании, которое может производиться для решения вопроса о возможности заключения договора страхования старинного здания и определения страховой суммы (оценка стоимости здания, определение его состояния, причин имеющихся повреждений и их влияния на сохранность здания).
Глава 32. СУДЕБНЫЕ КОМПЬЮТЕРНО-ТЕХНИЧЕСКИЕ ЭКСПЕРТИЗЫ
Судебные компьютерно-технические экспертизы (СКТЭ) производятся в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием. Специальные знания СКТЭ составляют электроника, электротехника, информационные системы и процессы, радиотехника и связь, вычислительная техника (в том числе программирование) и автоматизация. Общим предметом СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах гражданского или уголовного дела, дела об административном правонарушении. Необходимость в СКТЭ обусловливается широким внедрением компьютерных технологий практически во все сферы человеческой деятельности.
Информационные процессы - это процессы сбора, обработки, хранения, поиска и распространения информации (Федеральный закон "Об информации, информатизации и защите информации").
Родовая классификация СКТЭ организована на основе обеспечивающих компонент любого компьютерного средства (аппаратного, или технического, программного и информационного обеспечения). Соответственно этому в СКТЭ выделяются:
1) аппаратно-компьютерная экспертиза;
2) программно-компьютерная экспертиза;
3) информационно-компьютерная экспертиза (данных);
4) компьютерно-сетевая экспертиза.
Данная классификация может быть эффективно использована при назначении комплексных экспертиз и решения большого перечня задач.
1. Сущность судебной аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида СКТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы - материальных носителей информации о факте или событии гражданского либо уголовного дела.
Вопросы, разрешаемые судебной аппаратно-компьютерной экспертизой.
1. Относится ли представленное устройство к аппаратным компьютерным средствам?
2. К какому типу (марке, модели) относится аппаратное средство? Каковы его технические характеристики и параметры?
3. Каково функциональное предназначение аппаратного средства?
4. Каковы роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
5. Относится ли данное аппаратное средство к представленной компьютерной системе?
6. Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
7. Какое первоначальное состояние (конфигурацию, характеристики) имело аппаратное средство?
8. Каково фактическое состояние (исправно, неисправно) представленного аппаратного средства? Имеются ли в нем отклонения от типовых (нормальных) параметров, в том числе и физические дефекты?
9. Какие эксплуатационные режимы установлены на данном аппаратном средстве?
10. Является ли неисправность данного средства следствием нарушения определенных правил эксплуатации?
11. Каковы причины изменения функциональных (потребительских) свойств в начальной конфигурации представленного аппаратного средства?
12. Является ли представленное аппаратное средство носителем информации?
13. Каков вид (тип, модель, марка) представленного носителя информации?
14. Какое запоминающее устройство предназначено для работы с данным накопителем информации? Имеется ли в составе представленной компьютерной системы запоминающее устройство для работы с этим носителем информации?
15. Каковы параметры (форм-фактор, емкость, среднее время доступа к данным, скорость передачи данных и др.) носителя информации? Какой метод хранения данных реализован на представленном носителе?
16. Доступен ли для чтения представленный носитель информации?
17. Каковы причины отсутствия доступа к носителю информации?
Объектами судебной аппаратно-компьютерной экспертизы являются: а) персональные компьютеры (настольные, портативные); б) периферийные устройства; в) сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т.д.); г) интегрированные системы (органайзеры); пейджеры; д) мобильные телефоны и т.п.; е) встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и проч.); ж) любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и др.). В судебно-экспертном аспекте наиболее важны такие объекты, как запоминающие устройства и носители данных, включая все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, флэш-карты и т.д.
Примером аппаратно-компьютерной экспертизы является изучение возможностей применения нетипичных или нештатных (например, в случае удара или внезапного отказа) способов исследования носителей данных (чаще всего жестких дисков) с целью извлечения криминалистически значимой информации, хранящейся на них. Другой пример связан с установлением работоспособности системного блока компьютера.
Так, по одному из гражданских дел на экспертизу был представлен системный блок персонального компьютера. Вопросы эксперту были сформулированы следующим образом.
1. Находится ли системный блок в работоспособном состоянии, если нет, то какие имеются неисправности?
2. Является ли выявленная неисправность заводским браком либо следствием нарушения эксплуатации?
3. Имеется ли причинная связь между выходом из строя видеоконтроллера системного блока и установкой внутреннего модема?
4. Мог ли заряд статического электричества повредить комплектующие элементы системного блока при их самостоятельной установке либо замене?
В результате выявленного комплекса диагностических признаков в ходе экспертного исследования было доказано наличие в материнской плате системного блока компьютера заводского брака, приведшего к аппаратной неисправности всего компьютера.
2. Для осуществления экспертного исследования программного обеспечения предназначена судебная программно-компьютерная экспертиза. Ее предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью судебной программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного обеспечения компьютерной системы.
На разрешение судебных экспертиз этого рода ставятся следующие вопросы.
1. Какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
2. Какую классификацию имеют конкретные программные средства (системные или прикладные) представленного программного обеспечения? Обладают ли они признаками контрафактности?
3. Каковы наименование, тип, версия, вид представления (явный, скрытый, удаленный) программного средства?
4. Каковы реквизиты разработчика и владельца данного программного средства?
5. Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?
6. Какое общее функциональное предназначение имеет программное средство?
7. Имеются ли на носителях информации программные средства для реализации определенной функциональной задачи?
8. Какие требования предъявляет данное программное средство к аппаратным средствам компьютерной системы?
9. Какова совместимость конкретного программного средства с программным и аппаратным обеспечением компьютерной системы?
10. Используется ли данное программное средство для решения определенной функциональной задачи?
11. Каковы фактическое состояние программного средства, его работоспособность по реализации отдельных (конкретных) функций?
12. Каким образом организованы ввод и вывод данных в представленном программном средстве?
13. Имеются ли в программном средстве отклонения от нормальных параметров типовых программных продуктов (например, свойства инфицирования, недокументированных функций)?
14. Имеет ли программное средство защитные возможности (программные, аппаратно-программные) от несанкционированного доступа и копирования?
15. Каким образом организованы защитные возможности программного средства?
16. Каков общий алгоритм данного программного средства?
17. Какие программные инструментальные средства (языки программирования, компиляторы, стандартные библиотеки) использовались при разработке данного программного средства?
18. Имеются ли на носителях информации тексты (коды) с первоначальным состоянием программы?
19. Подвергался ли алгоритм программного средства модификации по сравнению с исходным состоянием? В чем это нашло отражение?
20. Какой вид имело программное средство до его последней модификации?
21. Использованы ли в алгоритме программы и ее тексте какие-либо специфические (нестандартные) приемы алгоритмизации и программирования?
22. С какой целью было произведено изменение каких-либо функций в программном средстве?
23. Направлены ли внесенные изменения в программное средство на преодоление его защиты?
24. Достигается ли решение определенных задач после внесения изменений в программное средство?
25. Каким способом были произведены изменения в программе (преднамеренно, воздействием вредоносной программы, ошибками программной среды, аппаратным сбоем и др.)?
26. Какова хронология внесения изменений в программном средстве?
27. Какова хронология использования программного средства (начиная с ее инсталляции)?
28. Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
29. Каковы последствия дальнейшей эксплуатации определенного программного средства?
Объектами программно-компьютерной экспертизы являются: а) системное программное обеспечение (операционные системы); б) вспомогательные программы - утилиты; в) средства разработки и отладки программ; г) служебная системная информация; д) прикладное программное обеспечение (приложения общего назначения - текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т.д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т.д.).
Показательным примером программно-компьютерной экспертизы является экспертное исследование программного обеспечения, позволившее успешно расследовать хищение денежных средств путем использования несовершенства компьютерной программы. Л., являясь клиентом одного из коммерческих банков, обратил внимание на частичную несовместимость программы автоматизации банковских операций "ПАБА" и программы обслуживания пластиковых карточек "Арканзас". Первая программа предусматривала для любой валюты два дополнительных знака, рассчитанных на центы, копейки и т.д. Вторая же программа при операциях с валютами, не имеющими деления на более мелкие единицы (такие, как итальянская лира, японская иена и проч.), считывала последний знак как единицу основной валюты. В результате при снятии через банкомат средств со счета в иностранной валюте, не имеющей деления на мелкие единицы, остаток на счету оставался большим в сто раз, чем было в действительности. Это позволяло снимать со счета суммы в указанной валюте, стократно превышающие вклад. Произведенное в процессе экспертного исследования изучение используемого программного обеспечения позволило выявить имеющуюся нестыковку и установить фактические обстоятельства выполнения ошибочных операций.
3. Судебная информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией. Целью этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Судебная информационно-компьютерная экспертиза (данных) производится для разрешения следующих вопросов.
1. Как отформатирован носитель информации и в каком виде на него записаны данные?
2. Каковы характеристики физического размещения данных на носителе информации?
3. Каковы характеристики логического размещения данных на носителе информации?
4. Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
5. Какого вида (явный, скрытый, удаленный, архив) информация имеется на носителе?
6. К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
7. Каким образом организован доступ (свободный, ограниченный и проч.) к данным на носителе информации и каковы его характеристики?
8. Какие свойства, характеристики имеют выявленные средства защиты данных и какие пути ее преодоления возможны?
9. Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
10. Каково содержание защищенных данных?
11. Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
12. Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и проч.)?
13. Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
14. Какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
15. Какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
16. Какие данные о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и проч.) имеются на носителях информации?
17. Какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
18. Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
19. Каким способом и при каких обстоятельствах произведены действия или операции (блокирование, модификация, копирование, удаление) определенных данных на носителе информации?
20. Какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
21. Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей и т.п.)?
22. Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбоями в программном и аппаратном обеспечении)?
23. Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?
Объектами судебной информационно-компьютерной экспертизы (данных) являются файлы, подготовленные с использованием указанных выше и других программных средств - с расширениями текстовых форматов (.txt,.doc...), графических форматов (.bmp,.jpg,.tif,.cdr...), форматов баз данных (.dbf,.mdb...), электронных таблиц (.xls,.cal...) и др.
Примером судебной информационно-компьютерной экспертизы является экспертиза по выявлению фактов и обстоятельств образования недостачи в одной крупной торговой компьютерной фирме. На разрешение экспертизы был поставлен вопрос: "Какая информация по реализации товарно-материальных ценностей за период с марта по август 200_ г. имеется на представленных компьютерах?"
В ходе предварительно проведенного допроса сетевого администратора данной фирмы было установлено, что информация по реализации товарно-материальных ценностей представлена следующими реквизитами: номер товарного чека, наименование товара, цена в долларах и рублях, количество, сумма по чеку, менеджер, дата, и хранится в сводных таблицах помесячно. При производстве экспертизы эксперт СКТЭ исследовал все файлы, имеющиеся на жестких дисках представленных компьютеров, на предмет наличия в них вышеперечисленной информации за указанный период. Все найденные файлы оказались электронными таблицами, подготовленными средствами Microsoft Excel, что соответствовало показаниям сетевого администратора. Для дальнейшего анализа реализации товарно-материальных ценностей полученная информация была распечатана и передана эксперту судебно-бухгалтерской экспертизы, участвующему в данной комплексной экспертизе.
4. Судебная компьютерно-сетевая экспертиза, в отличие от предыдущих, основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернет-технологиями.
Судебная экспертиза этого рода производится для решения следующих задач:
а) определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства - отношение к серверу, рабочей станции, активного сетевого оборудования и т.д.);
б) выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
в) определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
г) определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
д) установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
е) определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних ("чужих") программ и т.п.;
ж) определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.);
з) определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);
и) установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Как видно, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов СКТЭ, т.е. решение аппаратных, программных и информационных аспектов при установлении фактов и обстоятельств дела.
Наиболее часто встречаемыми в практике вопросами являются следующие.
1. Имеются ли признаки работы данного компьютерного средства в сети Интернет?
2. Какие аппаратные средства использовались для подключения к Интернету?
3. Имеются ли заготовленные соединения с узлом сети Интернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
4. Каково содержание установок программы удаленного доступа к сети и протоколов соединений?
5. Какие имеются адреса Интернета, по которым осуществлялся доступ с данного компьютерного средства?
6. Имеется ли какая-либо информация о проведении электронных платежей и использовании кодов кредитных карт?
7. Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
8. Имеются ли сообщения, полученные (отправленные) посредством использования программ персональной связи через Интернет, и каково их содержание?
Весьма показательным является пример проведения судебной компьютерно-сетевой экспертизы так называемых программных закладок, предоставляющих возможность несанкционированного доступа по сети к данным чужих компьютеров. Суть экспертного исследования программных закладок заключается в установлении признаков несанкционированных действий (т.е. возможности выполнения своих действий с информацией на ЭВМ без уведомления и согласия ее законного пользователя), а также выявление адресов, по которым производится несанкционированная пересылка тех или иных данных с ЭВМ.
Наиболее достоверным методом проведения подобной экспертизы является метод эксперимента в среде вычислительной сети. В случае решения задач экспертизы программных закладок относительно сети Интернет (при постановке вопросов относительно механизма действий программ "троянцев") требуется создание некой модели сети Интернет (точнее, ее сегмента). Эта модель обычно состоит из четырех компьютеров, имитирующих основных участников сетевого взаимодействия в Интернете. Первый компьютер имитирует компьютер какого-либо физического лица или организации, подключенный к сети Интернет через определенного провайдера. Вторым имитируемым компьютером является сервер интернет-провайдера. Именно с его помощью определяются интернет-адреса других компьютеров в сети, к которым обращается программная закладка. Третий компьютер имитирует работу сервера доменной системы имен (DNS). Четвертым компьютером имитируется компьютер-получатель, по адресу которого программная закладка передает те или иные данные.
"Троянец", или "троянский конь", - тайное введение в чужую программу команд, позволяющих, не изменяя работоспособности программы, осуществить не планировавшиеся ее владельцем функции.
Таким образом, только использование в ходе производства экспертизы указанного аппаратно-программного комплекса позволяет провести достоверное исследование программных закладок, которые отправляют по электронной почте (e-mail) регистрационные данные пользователей для доступа к сети Интернет, и получить соответствующие категорические выводы.
В связи со стремительным развитием современных телекоммуникаций и связи в судебной компьютерно-сетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных знаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии, имеющем отношение к гражданскому или уголовному делу.
Практика показывает, что рассмотренные выше основные виды СКТЭ при производстве большинства экспертных исследований применяются комплексно и чаще всего последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать не родовое наименование экспертизы, а назначать судебную компьютерно-техническую экспертизу.
Можно сформулировать вопросы комплексного исследования при судебной экспертизе целостной компьютерной системы (устройства).
1. Является ли представленное оборудование компьютерной системой?
2. Является ли представленное оборудование целостной компьютерной системой или же ее частью?
3. К какому типу (марке, модели) относится компьютерная система?
4. Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
5. Какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
6. Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретных задач?
7. Какое функциональное предназначение имеет компьютерная система?
8. Имеются ли в компьютерной системе наиболее выраженные функции (потребительские свойства)?
9. Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) задачи?
10. Находится ли компьютерная система в рабочем состоянии?
11. Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в том числе физические (механические) дефекты?
12. Какой перечень эксплуатационных режимов имеется в компьютерной системе?
13. Какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
14. Существуют ли в компьютерной системе недокументированные (сервисные) возможности, если да, то какие?
15. Какие носители информации имеются в данной компьютерной системе?
16. Реализована ли в компьютерной системе какая-либо система защиты информации?
17. Какая система защиты информации имеется в данной компьютерной системе? Каковы тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?
Кроме того, в ходе ряда пограничных исследований иногда возникает потребность привлекать специальные знания и из других научных областей. Так, например, обстоит дело с решением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с поврежденной структурой данных, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований - криптографией и защитой информации.
Ведущее место среди судебных экспертиз, назначаемых в комплексе с судебной компьютерно-технической экспертизой, занимает судебно-техническая экспертиза документов (СТЭД). Именно с необходимостью исследования поддельных документов, ценных бумаг и денежных знаков, оттисков печатей, кредитных и расчетных карт, изготовленных с применением современных информационных технологий, связано большинство комплексных экспертиз в рассматриваемой сфере. Объектами такой комплексной экспертизы являются как некоторые объекты СКТЭ, предназначенные для создания, хранения и передачи информации, так и некоторые объекты СТЭД - документы в бумажной форме. В качестве объектов может также выступать полиграфическое оборудование и оргтехника, интегрированные с компьютерными средствами.
В последние годы широкое распространение получают мультимедийные технологии, которые основаны на представлении данных в формате видеоизображения с применением анимации и звукового сопровождения. Звуковые и видеофайлы в форматах мультимедиа на носителях данных, в том числе на компакт-дисках с аудио- и видеопродукцией, могут фигурировать в деле в качестве объектов, несущих доказательственную информацию о фактах, событиях, людях. Для непосредственного исследования цифровых видеозаписей и звуковых записей должна быть назначена судебная видеофоноскопическая экспертиза. Только в ходе указанного исследования могут быть полностью разрешены вопросы относительно достоверности мультимедийной записи, а также установлено, выполнена ли она на конкретном устройстве. Пограничными здесь оказываются и вопросы, связанные с возможностью монтажа записи, непрерывности ее выполнения и т.п. В случае разрешения вопросов, касающихся исследования звуковой речевой информации, т.е. файлов со звуковыми форматами, требуется назначение комплексной СКТЭ и судебной фоноскопической экспертизы. Эти вопросы часто возникают в связи с широким распространением контрафактной продукции на компакт-дисках.
Следующая пограничная область специальных знаний явно просматривается в экономической и кредитно-финансовой сферах. При производстве судебно-экономических экспертиз информация о действительном состоянии исследуемых объектов зачастую имеется лишь в компьютере, а документированные сведения на бумажных носителях представлены в значительно измененном виде и могут не отражать действительного положения вещей. Использование двойной бухгалтерии становится типичным способом сокрытия таких преступлений, как присвоение или растрата, уклонение от уплаты налогов, мошенничество и другие, служит средством противодействия расследованию. В общем случае, следы хозяйственных операций, сопоставление фактически совершенных операций с данными, отраженными в бухгалтерском учете и отчетности, устанавливаются судебно-бухгалтерской экспертизой, которая часто производится по гражданским делам при разрешении споров между юридическими и физическими лицами.
Для автоматизации бухгалтерского учета используется разнообразное программное обеспечение. Весьма ценная доказательственная и ориентирующая информация может быть получена при исследовании компьютерных средств, обеспечивающих бухгалтерские проводки, а также данных, содержащихся в компьютерных системах хозяйственных субъектов разных форм собственности. В таких случаях целесообразно назначение комплексной СКТЭ и судебно-бухгалтерской экспертизы.
Для решения задач, касающихся финансовой деятельности предприятий, соблюдения законодательных актов, регулирующих их финансовые отношения с государственным бюджетом, выполнения договорных обязательств, распределения и выплаты дивидендов, операций с ценными бумагами, инвестициями, и назначаются судебные финансово-экономические экспертизы, которые также должны, как правило, выполняться комплексно с судебными компьютерно-техническими экспертизами.
Другой род класса экономических экспертиз - судебно-товароведческая экспертиза, также стыкуется в определенных случаях с СКТЭ. Если при рассмотрении гражданского или уголовного дела речь заходит о технологии производства (изготовления) компьютерной техники, то налицо необходимость назначения комплексной товароведческой и компьютерно-технической экспертизы. В сути этого исследования лежит интеграция специальных знаний в технологии производства товара и компьютерных технологий. Эксперты изучают в этом случае не только сами товары - компьютерные средства, но и их потребительские свойства, факторы, оказывающие влияние на потребительскую стоимость, основные и вспомогательные материалы, из которых изготовлено компьютерное средство, изучаются тара и упаковка.
Поскольку результаты судебной компьютерно-технической экспертизы напрямую зависят от сохранности информации, необходимо при изъятии объектов и подготовке их на экспертизу соблюдать ряд правил, указанных в соответствующих методических руководствах. При производстве следственных или иных действий, в процессе которых изымаются объекты для экспертизы, необходимо исключить намеренную порчу или уничтожение хранящейся в компьютерах информации. Для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при некорректном обращении с защищаемыми данными включают процесс их уничтожения, искажения, маскировки.
Включать и выключать компьютеры, производить с ними какие-то манипуляции может только специалист, участвующий в производстве данного следственного действия.
Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, до его включения следует проверить, находятся ли все компьютеры и периферийные устройства в отключенном состоянии. Если компьютер на момент начала осмотра (обыска) оказался включен, необходимо оценить информацию, изображенную на дисплее, и определить, какая программа исполняется на данный момент. В случае работы стандартного программного обеспечения нельзя приступать к каким-либо манипуляциям на входе без предварительного визуального осмотра технических средств. Экран монитора необходимо сфотографировать. Отключить все телефонные линии, подключенные к компьютеру (если таковые соединения имеются).
Необходимо подробно описать все соединения на задней стенке системного блока. Если это признано целесообразным, вскрывается кожух системного блока и визуально определяют конфигурацию ЭВМ, описывают месторасположение электронных плат. Следование данной рекомендации позволит обезопасить поиск информации от различного рода устройств повреждения или уничтожения, как аппаратных средств, так и информационной базы. Такими устройствами могут быть электронные ключи, радиозакладки-шумоподавители и др. В случае, если при осмотре аппаратных средств выявлены неизвестные участникам следственного действия устройства (платы расширения, нестандартные соединения и т.д.), компьютер необходимо сразу выключить. При этом следует не отключать тумблер блока питания, а вынимать вилку из розетки.
Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены, промаркировать все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных. Если для поиска информации задействуется программное обеспечение, не находящееся в компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль над их работой - нагляден.
При необходимости специалистом может быть выполнено копирование компьютерной информации на заранее приготовленные носители или стендовый компьютер. По существующей методике - это специализированные малогабаритные персональные компьютеры, оснащенные набором тестовых программных средств.
При обнаружении, фиксации и изъятии криминалистически значимой информации в вычислительной сети необходимо установить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используемой сетевой операционной системы и состав прикладного программного обеспечения, используемого в вычислительной сети. Следует также установить факт наличия резервных копий данных и места их хранения.
Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные, сети, установлению возможностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями (фирмами), частными лицами. В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона, по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.
Сразу же при установлении факта наличия в осматриваемом помещении локальной вычислительной сети следует точно установить местоположение серверов. Как правило, для сервера выделяется специальная комната (серверная), вход в которую ограничен. Однако помимо центральной серверной в других помещениях могут находиться местные локальные серверы. Внешне определить местоположение компьютеров, подключенных к вычислительной сети, иногда помогает электропроводка: достаточно проследить трассы кабелей или специальных коробов для защиты кабелей.
Иногда в процессе фиксации и изъятия может возникнуть необходимость описания содержимого жесткого диска. Однако, по нашему мнению, совпадающему с мнением большинства специалистов в сфере современных информационных технологий, эту процедуру необходимо проводить только в ходе экспертного исследования.
При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее эффективен следующий способ фиксации компьютерного средства:
1) выключить компьютер;
2) отключить его от сети;
3) отсоединить все разъемы;
4) на длинной полосе бумаги поставить подписи следователя, специалиста, понятых, представителей персонала или администрации и номер;
5) наложить эти полосы на разъемы для подключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями;
6) такой же бумажной полосой опечатать крышку корпуса таким образом, чтобы исключить возможность доступа к внутренним элементам системного блока без нарушения ее целостности.
Кроме указанного способа, на практике все чаще используется другой способ опечатывания системного блока. Последний помещается в полиэтиленовый (либо холщовый) пакет, и далее опечатывается уже сам пакет (доступа не будет ни к разъемам, ни к кнопкам, ни к корпусу).
Для опечатывания носителей информации необходимо упаковать их в жесткую негнущуюся коробку и опечатать ее. Далее следует сделать на отдельном листе бумаги подробное описание упакованных носителей (тип каждого из них, количество). Коробка с носителями и описание помещаются в полиэтиленовый пакет, который заклеивается. Кроме коробок, в крайнем случае для упаковки компьютерных средств могут быть использованы большие полотняные мешки или куски ткани. Если изымается жесткий диск (винчестер), то его необходимо упаковать в антистатический пакет, предотвратить его свободное перемещение в упаковке при транспортировке и опечатать.
Изъятие компьютерных средств должно производиться в один прием. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помещении. Недопустимо предоставление части изъятых средств в распоряжение организации (учреждения) по причинам производственной необходимости, так как в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации. Известны совершенно недопустимые случаи использования изъятых в качестве вещественных доказательств компьютерных средств следователями и сотрудниками оперативных аппаратов для составления процессуальных документов, отчетов, компьютерных игр. Такие действия должны решительно пресекаться, а виновные привлекаться к ответственности, даже если в следственном отделе, расследующем преступление, отказали все служебные компьютеры.
При перевозке компьютерных средств необходимо исключить их механические повреждения и взаимодействие с химически активными веществами. Следует экранировать от воздействий магнитных полей как компьютерные устройства, так и магнитные носители информации. Такое воздействие может привести к порче или уничтожению информации путем размагничивания. Поскольку компьютерные средства попадают на исследование в экспертные учреждения, особое внимание следует обратить на ограждение изъятых объектов от воздействия широко используемых в этих учреждениях магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и проч.).
При размещении изъятых объектов на хранение соблюдать установленные правила хранения и складирования электронных технических средств. Нельзя ставить системные блоки компьютеров в штабель выше трех штук, а также размещат
