Как описать флешку в протоколе
Непосредственными объектами здесь могут быть: отдельные компьютеры, не являющиеся составной частью локальных сетей; рабочие станции (компьютеры), входящие в Интернет, центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и проч.
При их осмотре в протоколе отражаются; положение переключателей на блоках и устройствах компьютерной техники; состояние индикаторов; содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло; состояние кабельных соединений (их целостность, наличие или отсутствие следов подключения нештатной аппаратуры); наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования; механические повреждения; наличие внутри компьютерной техники нештатной аппаратуры и различных устройств; следы нарушения аппаратной системы зашиты информации, другие признаки воздействия на осматриваемую технику.Помимо этих общих положений, необходимо отметить особенности осмотра работающего и неработающего компьютера. При осмотре работающего ПК с участием специалиста следует установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея, детально описать его и произвести фотографирование или видеозапись; по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания ее работы; определить и восстановить наименование вызывавшейся последний раз программы; установить наличие в компьютере накопителей информации, их тип (вид) и количество; скопировать информацию (программы, файлы данных), имеющуюся в компьютере (особенно это важно для информации, которая после выключения компьютера уничтожается).
Если компьютер подключен к локальной сети, то необходимо: установить количество подключенных к серверу рабочих станций или ПК, вид сети связи, количество серверов в ней; по возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера).
Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.При осмотре неработающего ПК требуется: определить местонахождение компьютера и его периферийных устройств (принтера, дис- плен, клавиатуры и проч.) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них; установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, виды проводов и кабелей, их цвет и количество; выяснить, подключен ли данный ПК к сети, а также какой именно, каковы способ и средства его подключения.
В современных средствах компьютерной техники объем хранимой информации огромен и разнообразен. Поэтому выбор интересующих сведений становится весьма трудоемким. Однако современные программные средства предоставляют широкий спектр возможностей опытному пользователю — как преступнику, так и следователю, дознавателю. 1
Многие текстовые и финансовые программы сохраняют список документов последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (папках) со стандартными названиями: «Мои документы», «Архив», «Петров» (пользователь). Файлы документов имеют в названии характерное уточнение (расширение), т. е. часть имени, которая стоит после точки в названии файла, — письмо.txt, сведения.doc, платеж.xls, архив14.гір, входящие.arj, счета.гаг и т. п. Значительный интерес могут составить базы данных или данные из программы-«еже- дневника», которые являются компьютерным аналогом записной книжки с адресами.
Все компьютерные файлы хранят дату последнего изменения, а после некоторых программ — и дату первоначальной записи файла под этим именем. Некоторые программы при сохранении файла присовокупляют К полезной информации дополнительные сведения і (служебные данные, которые удается при необходимости выявить с| помощью специальных программ просмотра).
Иногда внутрь файла попадает «соседняя» информация из документа, который обрабатывался в ПК параллельно. Автоматический поиск среди огромного объема информации на диске помогают вести программы поиска документов по имени файла или по дате, по размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и ее прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим
шифровальным защитам документов и сжатым архивам известны программы подбора «забытых» паролей.
Не искушенный в технических тонкостях рядовой пользователь, как правило, не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае такие хранилища обрывков временных файлов при производстве следственного осмотра целесообразно проверять. Популярный программный пакет Microsoft Office после установки на компьютере ведет негласный файл-протокол, куда заносит дату и время всех включений ПК. Программы связи и работы с сетью запоминают адреса многих интернет-контактов пользователя, документы электронной почты с адресами отправителя.
Если пользователь не применяет алгоритм специальных команд, то современные операционные системы удаляют файлы не «начисто», а сначала в «корзину», просмотрев которую можно восстановить информацию. И даже в случае удаления файла, минуя корзину, есть возможность восстановления, поскольку его место на диске не очищается, а только помечается как неиспользованное.
Остающиеся на месте осмотра средства компьютерной техники нужно опечатать путем наклеивания листа бумаги с подписями следователя и понятых на разъемы электропитания, на крепеж и корпус. Нельзя пробивать отверстия в магнитных носителях, ставить на них печати. Пояснительные надписи на этикетки наносятся фломастером или жестким карандашом (но не авторучкой).
Если есть необходимость изъять средства компьютерной техники, следует выйти из программы, исполняемой компьютером для операционной системы Windows, правильно завершить работу самой системы, а затем отключить электропитание всех средств компьютерной техники, подлежащих изъятию. Желательно описать в протоколе рабочие кабельные соединения между отдельными блоками аппаратуры. Аппаратные части средств разъединяются с соблюдением необходимых мер предосторожности, одновременно пломбируются их технические входы и выходы. При описании изымаемых магнитных носителей машинной информации в протоколе отражаются заводской номер, тип, название, а при их отсутствии подробно описываются тип, размер. Фиксацию указанных сведений в протоколе следственного осмотра желательно дополнить видеозаписью либо фотосъемкой.
В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с компьютерной техникой. Все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руководством; нельзя производить разъединения или соединения кабельных линий, прежде чем будет выяснено их назначение, чтобы не нанести ущерба компьютерной системе; вскрытие и демонтаж компьютерного оборудования можно производить только с участием специалистов; применение магнитных искателей, ультрафиолетовых осветителей, инфракрасных преобразователей и других подобных приборов для осмотра компьютерной техники должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ПК.
Осмотр носителей компьютерной информации производится в целях установления содержания самой информации и обнаружения внешних следов, в том числе пальцев рук. Последние могут быть выявлены на упаковках и местах хранения информации. Осмотру подлежат: жесткие магнитные диски (винчестеры), оптические диски, флеш-карты, виртуальные диски, бумажные носители информации (листинги, журналы и иные документы, составляемые с помощью ПК).
В протоколе осмотра указываются:
1) место обнаружения каждого носителя информации (стол, шкаф, сейф), температура воздуха, при которой он хранился;
2) характер его упаковки (конверты, специальные футляры, коробки и проч.), надписи на упаковке, наклейки на носителях информации с соответствующими пометками, цвет материала упаковки и наклейки, наличие штрихового кода и прочие особенности;
3) тип и размер носителя; изготовитель, плотность записи и номер (если они обозначены), состояние средств записи;
4) характерные признаки на носителях (царапины, иные повреждения, гравировки и проч.);
5) тип ПК, для которого предназначен обнаруженный носитель
(его марка, фирма-изготовитель).
Обращаться с компьютерными носителями информации следует! осторожно: не подвергать электромагнитному воздействию, не хра-* нить их без специальной упаковки, не допускать резких перепадов температуры при хранении и транспортировке.
Осмотр письменных документов касается журналов учета работы на компьютере (если они ведутся), листингов, технической, технологической, кредитно-финансовой, бухгалтерской и прочей документации.
Особое внимание нужно обратить на подчистки, исправления; дополнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы; листки, бланки; письменные распоряжения на исполнение определенных работ по изменению программ для ПК, вводу дополнительной информации, не предусмотренной технологическим процессом; соответствие ведущихся в системе форм регистрации информации правилам, установленным технической и технологической документацией.
Вопрос об изъятии документов надлежит согласовать со специалистом, а в протоколе рекомендуется указать наименование, количество экземпляров, число страниц, место обнаружения.
В случае изъятия отдельных устройств компьютерной техники и машинных носителей информации, обнаруженных в процессе осмотра помещения, они упаковываются в специальную тару, в которой данную технику поставляет предприятие-изготовитель (если она сохранилась).
Сменные носители компьютерной информации (флеш-карты, лазерные диски и др.) должны быть упакованы каждый в свой конверт (бумажный, пластмассовый или полиэтиленовый), а при отсутствии упаковочного конверта могут быть просто завернуты в плотную бумагу. Для ослабления электромагнитного воздействия магнитный носитель информации поверх конверта целесообразно обернуть в бытовую алюминиевую фольгу.
Технические устройства при отсутствии заводской тары упаковываются в деревянные ящики, для внутренних перегородок используются прокладки из упругого материала (гофрированного картона, пенопласта, толстого слоя бумаги). Коробки, ящики, контейнеры, футляры опечатываются и нумеруются.
Пояснительные надписи под этими номерами делаются на отдельных листах, которые вкладываются в коробки.Особенности осмотра участка местности. При осмотре участка местности вначале определяются его границы, что отражается в протоколе осмотра. В нем фиксируются также географические и административно-территориальные координаты объекта осмотра.
Используются следующие методы осмотра:
сплошной, когда отсутствуют даже ориентировочные сведения о местонахождении следов и предметов;
от периферии к центру или от центра к периферии (спираль Архимеда), когда участок имеет округлую форму;
линейный, когда осматриваемая площадь имеет удлиненную форму;
движение по синусоиде:
путевой, когда известен путь следования преступника;
узловой, когда осматриваются важные узлы развития конкретной криминальной ситуации;
плановый, или секторный, когда вся осматриваемая площадь разбивается по квадратам или секторам.
При привлечении к осмотру большого числа участников они могут быть поставлены в цепь на расстоянии до 5 м один от другого, что позволяет проводить осмотр более качественно. Между участниками и руководящим осмотром следователем обязательно устанавливается телефонная связь, которая обеспечивает следователю контроль над ходом процесса и в случае обнаружения подлежащего осмотру предмета возможность своевременно изъять образцы (пробы) запаха, грунта, воды, других материалов.
Если на месте происшествия обнаруживаются оставленные преступником личные вещи и предметы, то после их осмотра пинцетом или руками в резиновых перчатках каждую вещь (предмет) помещают в чистый полиэтиленовый пакет, который герметически закупорива- j ется. Для лучшей герметичности вещи и предметы укладываются в ' двойные полиэтиленовые пакеты (или другую тару с надежной герметичностью).
Если осматривается местность по пути следования преступника и этот путь прорабатывается с помощью служебной розыскной собаки, то целесообразно вести осмотр участка шириной до 30 м по обе стороны маршрута движения собаки. Это связано с отклонением воздушного следа под действием ветра от действительного маршрута человека и обеспечивает обнаружение предметов, от которых он мог избавиться.
Особенности осмотра следов рук. Объекты, на которых могут находиться следы пальцев рук, при осмотре берутся за края или внутренние стороны таким образом, чтобы не уничтожить находящиеся следы и не оставить дополнительно свои.
Следы рук могут быть окрашенными, бесцветными, слабовидимыми и невидимыми. Криминалистами разработан ряд методов выявле-. ния бесцветных и невидимых следов на бумаге, картоне, дереве, тка-J нях и других шероховатых поверхностях, а также усиления слабови-Я димых следов. Методы подразделяются на визуальные, физические,! химические и комбинированные.
Визуальные методы обнаружения следов пальцев рук (например, исследование бумаги на просвет, в косопадающих лучах, при незначительном увлажнении, в частности дыханием или паром) позволяют сохранить следы в первоначальном состоянии, поэтому применяются в первую очередь.
Поверхностные слабовидимые потожировые следы рук остаются на стеклянных, никелированых, полированых, лакированых и других объектах, имеющих гладкую и глянцевую поверхность. Эти следы легко обнаруживаются путем осмотра предметов в косопадаюшем свете, а стеклянные предметы и другие прозрачные объекты могут осматриваться на просвет.
Физические способы. Если следы в ходе визуального осмотра не обнаружены, применяются физические способы их выявления. В основе их использования лежат адгезионные свойства потожирового вещества (липкость).
Наиболее распространенным способом является обработка поверхности объекта, на котором предполагается наличие следов рук, порошкообразными веществами. Порошок прилипает к потожировому веществу следа и тем самым визуализирует его. Арсенал дактилоскопических порошков состоит из простых и магнитных порошков с различной цветовой гаммой.
При подборе порошка учитываются следующие требования:
а) порошок должен быть контрастным по отношению к следовоспринимающей поверхности;
б) размер зерен (дисперсность) должен соответствовать характеру и свойствам обрабатываемой поверхности (чем ровнее поверхность, тем меньше удельный вес зерен порошка);
в) порошок должен быть сухим;
г) прежде чем использовать какой-либо порошок, целесообразно провести рабочий эксперимент, чтобы убедиться в надежности порошка и применимости его в конкретных условиях;
д) порошки не наносятся на мокрую, грязную или липкую поверхность (она должна быть высушена и по возможности очищена от загрязнения).
Для нанесения простых порошков используются беличьи и колонковые кисти, а для магнитных — специальные магнитные кисти. Также применяются следующие наиболее простые способы нанесения порошков на поверхность:
1) посыпание и перекатывание порошка по поверхности предмета, который можно взять в руки;
2) нанесение порошка с помощью воздушного распылителя;
3) непосредственное нанесение сажи путем сжигания нафталина, камфары, канифоли, пенопласта и других веществ.
Для обнаружения следов рук, находящихся на многоцветных поверхностях, используется аргоновый лазер. Под влиянием его излучения некоторые вещества, входящие в состав потожирового вещества, начинают люминесцировать и тем самым визуализируют следы рук.
Химические способы основаны на реакции, происходящей между потожировыми выделениями и специальными химическими реактивами, которые при взаимодействии образуют окрашенные или люми- неспирующие соединения.
К наиболее распространенным химическим средствам относится раствор нингидрина в ацетоне. Вступая в химическую реакцию с аминокислотами, входящими в состав потожирового вещества, он образует соединения сиренево-фиолетового цвета, благодаря чему следы становятся видимыми.
К комбинированным методам выявления следов рук относятся такие, в которых визуализация происходит за счет как физических, так и химических процессов. Данными способами выявляются следы рук с помощью, например, азотнокислого серебра и паров йода.
Первоначальное исследование пальцевых узоров начинается сразу после выявления следов. В ходе этого исследования решаются такие задачи: (
из числа обнаруженных следов отбираются только те, которые имеют отношение к преступному событию;
определяется, какой рукой, пальцами или частью ладони оставлен след;
выявляются индивидуальные, броские признаки, которые можно использовать в оперативно-розыскных целях;
обращается внимание на то, какие следы могли остаться на руках преступника в связи с содеянным (например, попадание на них постороннего вещества, краски, крови).
Фиксация и изъятие следов рук. В понятие «фиксация следов рук» включаются, во-первых, технико-криминалистические способы сохранения обнаруженных следов; во-вторых, их описание (зарисовка) в процессуальных документах, в которых закрепляется факт их обнаружения.
Технико-криминалистические способы фиксации позволяют закрепить внешний вид обнаруженных следов рук или получить их копии. Из технических способов фиксации обнаруженных следов рук . самым эффективным является фотографирование. I
Фотоснимки позволяют зафиксировать как следы и их взаимное расположение, так и положение предметов — носителей следов во взаимосвязи с окружающей обстановкой места происшествия.
Фотосъемку следов рекомендуется производить в масштабе 1:1. Фотографирование производится со штатива.
К другим техническим средствам фиксации относятся: перенос поверхностных следов папиллярных узоров рук после их обработки порошками на специальную дактилоскопическую пленку или ее заменитель — липкую пленку, фотобумагу;
изготовление с объемных следов силиконовых слепков, полученных с помошью различных паст (например, пасты «К»).
Однако лучшим способом сохранения первоначального состояния следов является их изъятие вместе с предметом (или частью предмета), на котором они были обнаружены. Для предохранения следов папиллярных узоров рук от повреждения во время транспортировки указанные предметы после описания в протоколе осмотра упаковываются так, чтобы их поверхность не соприкасалась с внутренними стенками упаковки.
Особенности наружного осмотра трупа. В большинстве случаев наружный осмотр трупа осуществляется на месте его обнаружения. Однако труп может быть и самостоятельным объектом осмотра в морге, при эксгумации или в ситуации, когда потерпевший с признаками жизни с места происшествия отправляется в больницу, но в пути следования или по прибытии туда умирает.
Осмотр машинного носителя и компьютерной информациипроводят по принципу «от общего к частному». Вначале описывают внешние индивидуальные признаки носителя: его цвет, размер, тип, вид, название, марка, заводской и индивидуальный номер, наличие наклейки и надписей на ней, наличие или отсутствие физических повреждений корпуса и следов на нем, положение элемента защиты от записи/стирания компьютерной информации. Затем переходят к осмотру компьютерной информации, содержащейся на МНИ. Перед началом ее осмотра необходимо указать в протоколе следственного действия: индивидуальные признаки используемого для осмотра средства электронно-вычислительной техники и основные реквизиты его программного обеспечения (тип, вид, марку, название, заводской или регистрационный номер, номер версии, юридический адрес и(или) автора программного продукта); юридические реквизиты программы, с помощью которой СВТ и его программное обеспечение в присутствии понятых было тестировано специалистом на предмет отсутствия вредоносных программно-аппаратных средств. После этого на указанный предмет проверяется и осматриваемая компьютерная информация.
Анализируя содержащуюся на осматриваемом носителе компьютерную информацию, надо установить сведения, имеющие отношение к расследуемому событию. Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра должен дополнительно фиксироваться на цветной фото- или видеопленке. При обнаружении следов преступления, необходимо сделать распечатку всей или части компьютерной информации и приложить ее к протоколу следственного действия с указанием в протоколе индивидуальных признаков использованного для этого печатающего устройства (тип, вид, марку, название, номер).
В протоколе осмотра, помимо вышеуказанного, необходимо отразить: наличие, индивидуальные признаки защиты носителя от несанкционированного использования (голография, штрих-код, эмбоссинг, флуоресцирование, перфорация, ламинирование личной подписи и(или) фотографии владельца, их размеры, цвет, вид и т.п.); признаки материальной подделки МНИ и его защиты; внутреннюю спецификацию носителя - серийный номер и(или) метку тома, либо код, размер разметки (для дисков - по объему записи информации, для лент - по продолжительности записи); размер области носителя свободной от записи и занятой под информацию; количество и номера сбойных зон, секторов, участков, кластеров, цилиндров; количество записанных программ, файлов, каталогов (структура их расположения на МНИ, название, имя и(или) расширение, размер (объем), в том числе тот, который занимают их названия, дата и время создания (или последнего изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т.д.); наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).
Осмотр компьютерного документа.
Данное следственное действие с участием специалиста. Документ на машинном носителе – это документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации ЭВМ. С криминалистической точки зрения выделяют два вида таких документов: 1.Электронный документ – документ, в котором информация представлена в электронно - цифровой форме (документы, все реквизиты которых находятся в сложных форматах – в виде компьютерной информации 2. Пластиковая карта – документ, выполненный на основе металла, бумаги или полимерного (синтетического) материала.
Целями осмотра являются: выявление и анализ внешних признаков и реквизитов документа, анализ его содержания, обнаружение возможных признаков его подделки (фальсификации).
два этапа: 1) Осмотр машинного носителя информации (подложки электронного документа);
Он начинается с определения его типа, вида, назначения и технических параметров, а заканчивается ознакомлением с содержанием сопроводительной документации.
В протоколе осмотра необходимо зафиксировать: 1. Тип, вид, марка, назначение, цвет, заводской или учетный номер носителя. 2. Наличие, индивидуальные признаки и техническое состояние 3. Техническое состояние 4. Наличие, количество, размеры, цвет, марка и техническое состояние разъемов для подключения к считывающему устройству. 5. Наличие внешней спецификации, ее цвет и размеры 6. Наличие и индивидуальные признаки защиты МНИ от подделки или несанкционированного копирования 7. Признаки материальной подделки МНИ и их защиты. 8. Индивидуальные признаки компьютерного устройства 9. Результат проверки тестирующей программой для ЭВМ данных, записанных на осматриваемом машинном носителе. 10. Результат поиска скрытых, закодированных или ранее стертых файлов (программ).
2.Осмотр формата и содержания электронного документа или отдельных электронных реквизитов Алгоритм: 1. Определяют формат записи компьютерной информации на машинном носителе, стандарт (вид) кодирования данных. 2. Фиксируют название и другие реквизиты программы для ЭВМ, 3. Устанавливают атрибуты файла: вид программы для ЭВМ; название, размер, дату и время создания, 4. Сравнивают установленные атрибуты с отраженными в сопроводительной документации к МНИ и других документах. 5. Получают видеограмму документа – изображение документа на экране (мониторе, дисплее) электронного терминала. 6. Определяют обязательные реквизиты документа 6 Сравнивают обнаруженные реквизиты с отраженными в сопроводительной документации к МНИ и других документах. 7. Изучают признаки оформления и содержание электронного документа: параметры страницы; стиль текста и его расположение на странице и т.д 8. Производят поиск следов интеллектуального подлога и материальной подделки документа и его носителя. 9. Распечатывают документ в на бумаге и прикладывают к протоколу следственного действия. 10. Полученные в ходе осмотра документы и предметы оформляются и изымаются соответствующим процессуальным порядком.
Текст научной работы на тему «Тактика осмотра и выемки носителей компьютерной информации»
ТАКТИКА ОСМОТРА И ВЫЕМКИ НОСИТЕЛЕЙ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
заместитель начальника кафедры криминалистики ФГКОУ ВПО ВСИ МВД России, кандидат юридических наук
В статье рассматриваются тактические особенности выемки и осмотра носителей компьютерной информации с учетом современного развития компьютерных технологий.
In the article are considered tactical particularities of withdrawal and check-up of the computer information carriers with provision of modern computer technology development.
Рубеж XX-XXI веков ознаменовался бурной эволюцией информационных технологий, повсеместным внедрением средств автоматизированной обработки информации. Однако научно-техническая революция не только обусловливает коренные прогрессивные изменения в общественно-экономических отношениях, но и приводит к появлению новых форм и видов преступных посягательств. Во всем мире отмечается рост «беловоротничковой» преступности - противоправных деяний в сфере высоких технологий, связанных с компьютерными операциями, безналичными деньгами, технологическими секретами, новыми видами мошеннических действий высокообразованных людей^. Остропроблемное в плане социальных последствий развитие процессов информатизации общества порождает новое направление в науках криминального цикла, связанное с компьютерной преступностью.
* Starichkov M. V. Tactics of the check-up and withdrawal of the computer information carriers.
Соответственно, появился новый криминалистический объект -компьютерная информация,
овеществленным представлением которой выступает ее носитель. В подписанном 1 июня 2001 г. в г. Минске Соглашении о
сотрудничестве государств -участников Содружества
Независимых Государств в борьбе с преступлениями в сфере
компьютерная информация была определена как «информация, находящаяся в памяти компьютера, на машинных или иных носителях в форме, доступной восприятию ЭВМ, или передающаяся по каналам связи». Введенное Федеральным законом от 7 декабря 2012 года № 420-ФЗ примечание 1 к статье 272 Уголовного кодекса РФ,
устанавливающее, что «под компьютерной информацией
информации») до сих пор не дано легальное толкование, хотя оно неоднократно встречается в различных нормативных актах, в
характера. В какой-то мере раскрыть его сущность
представляется возможным с помощью терминов: 1) «носитель информации», под которым понимается а) «физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов,
количественных характеристик физических величин»2 либо б) «гибкие магнитные диски, съемные накопители информации или картриджи, съемные пакеты дисков, иные магнитные, оптические или магнито-оптические диски, магнитные ленты и тому подобное, а также распечатки текстовой, графической и иной информации на бумажной или пластиковой основе»3, и
2) «документ на машинном носителе», т. е. «документ, созданный с использованием носителей и способов записи, обеспечивающих обработку его информации электронно-
С точки зрения следственной практики машинные носители представляют интерес в качестве источников криминалистически значимой информации, как по делам о высокотехнологичных
преступлениях, так и по делам иных категорий (экономических и общеуголовных). На таких носителях могут не только оставаться следы неправомерных манипуляций с компьютерной информацией, но и
содержаться относящиеся к расследуемому событию сведения -переписка, финансовые и иные документы, фото- и видеоматериалы и пр.
классифицировать по различным основаниям, например:
- по физическому способу фиксации информации: на ферромагнитном слое, на микросхемах (CMOS), оптические, на бумажной (пластиковой) основе и др.;
- по возможности перезаписи информации: с однократной записью (лазерные диски CD-ROM и DVDROM, перфоленты, перфокарты и т. п.) и перезаписываемые (магнитные диски, сменные карты памяти, флэш-накопители, диски CD-RW и DVD-RW и др.);
конструктивно входящие в нее (жесткие магнитные диски, микросхемы постоянного
запоминающего устройства (ПЗУ)) и сменные (гибкие магнитные диски, внешние жесткие диски, сменные карты памяти, ^В-флэш-накопители, лазерные диски и др.);
характеристикам (объему, скорости чтения/записи и др.).
направленные на миниатюризацию носителей информации,
сложности при их обнаружении. Например, сменные карты памяти размерами 15*11x1 мм (рис. 1) могут быть спрятаны практически в любом малом пространстве.
Рис. 1. Сменная карта памяти стандарта MicroSDHC.
электромагнитные поля могут повредить хранящуюся на машинных носителях информацию, для их обнаружения нельзя применять активные
рентгеновских и ультрафиолетовых лучей и иные излучающие установки. Сказанное не относится к носителям на бумажной и пластиковой основе, однако для их выявления указанные приборы, как правило, неэффективны.
В настоящее время сотрудникам правоохранительных органов чаще всего приходится иметь дело с персональными компьютерами, используемыми в деятельности различных
организаций и в быту. Поэтому типичные носители компьютерной информации - это жесткие магнитные диски (находящиеся в компьютерной системе и внешние), USB-флэш-накопители, сменные карты памяти, оптические диски (CD и DVD). Гибкие магнитные диски (дискеты), активно применяемые еще в начале 2000-х годов и до сих пор упоминаемые в литературе по компьютерным преступлениям, из-за своего малого информационного объема и низкой надежности сейчас практически не используются.
типичные места сокрытия машинных носителей достаточно сложно, однако их свойства предъявляют определенные
требования к их хранению. Практически все носители не переносят высокие (свыше 60°С) температуру и влажность. Носители с ферромагнитным слоем (жесткие и гибкие магнитные диски, магнитные ленты) могут
повредиться при отрицательных температурах. Еще большую опасность представляют резкие перепады температур. К
относятся агрессивные химические среды, пыль и сильная вибрация (особенно для жестких магнитных дисков), а также электромагнитное излучение, в том числе прямые солнечные лучи.
Следует помнить, что не только персональные компьютеры и ноутбуки, но и многие современные цифровые устройства - сотовые телефоны, фотоаппараты и видеокамеры, тр3-плееры,
фоторамки и др. - также могут выступать в качестве машинных носителей, а находящиеся в них сменные карты памяти нередко содержат информацию, созданную на других устройствах. Кроме того, внешние носители (обычно ^В-флэш-накопители) иногда
выполняются в виде брелоков, кулонов, авторучек и т. п., что затрудняет определение их функционального назначения.
компьютерной информации должно проводиться аккуратно, с соблюдением технических
требований, предъявляемых к их
эксплуатации. Часть из них уже была перечислена выше. Нельзя разбирать устройства без предварительной консультации специалиста о безопасности таких действий. Ни в коем случае нельзя прикасаться пальцами и какими-либо предметами, особенно токопроводящими, к разъемам носителей, замыкать контакты. Любое прикосновение к рабочей поверхности оптических дисков может ее загрязнить или поцарапать, что сделает диски нечитаемыми. Их следует брать за боковые края. Изымаются носители по отдельности. Если имеется большое количество однотипных носителей (например, лазерных дисков), допускается их совместное изъятие. При этом упаковка должна обеспечивать их фиксацию, исключающую повреждение при транспортировке и хранении. Хотя современные магнитные носители достаточно стойки к воздействию статического электричества и магнитных полей, все-таки желательно их упаковывать в металлические контейнеры или заворачивать в фольгу.
Подписывать упаковку нужно перед тем, как помещать в нее машинный носитель, так как возможно его повреждение при нанесении надписей. Особенно это относится к лазерным дискам.
Осмотр машинных носителей может быть двух видов - внешний и содержащейся на них информации. Внешний осмотр проводится, как правило, на месте при обнаружении и изъятии машинных носителей и
сводится к описанию их типа и модели, размера, цвета,
комплектности, индивидуальных особенностей - серийного номера, различных надписей, внешних повреждений и т. п. В данном случае можно обойтись без специалиста, однако следователю нужно быть особенно
внимательным при использовании специальной терминологии. Так, небольших размеров предметы с USB-разъемом часто называют USB-флэш-накопителями или
просто «флэшками». Это может быть действительно так (рис. 2), но подобный внешний вид может иметь и другое оборудование, например Bluetooth-устроИство (рис. 3), которое является телекоммуникационным оборудованием, но не машинным носителем. Соответствующие
надписи на корпусе от длительного использования иногда стираются, что еще больше затрудняет точное определение типа устройства. Отдельно следует упомянуть внешние ^В-картридеры (рис. 4). Сами по себе они не являются носителями компьютерной
информации, а лишь устройством для чтения сменных карт памяти, которые могут находиться внутри них. Некоторые модели внешних картридеров дополнительно
содержат встроенную память (обычно 1 -4 гигабайта), и тогда они тоже будут относиться к машинным носителям. Поэтому при описании таких объектов лучше употреблять общие названия, например «предмет», «USB-устройство».
Рис. 2. USB-флэш-накопитель.
Рис. 3. Bluetooth-устройство.
Рис. 4. Внешний ШВ-картридер стандарта MicroSDHC со сменной картой памяти (в
Разумеется, осмотр проводится в присутствии не менее двух понятых с фиксацией следственного действия в протоколе. Возможно производство фото-или видеосъемки с приложением к протоколу соответствующих фототаблиц или видеозаписи.
Осмотр содержащейся на машинном носителе информации, как правило, требует значительных временных затрат, поэтому обычно проводится в кабинете следователя или, если возникает потребность в специальной аппаратуре, в соответствующем месте (лаборатории). Он должен проводиться с особой осторожностью. Если неумелые действия при просмотре содержимого лазерного диска с вредоносными программами могут привести «только» к уничтожению информации в компьютере, на котором производится осмотр, то другие типы носителей (жесткие магнитные диски, USB-флэш-накопители, сменные карты памяти) сами подвержены изменениям, что влечет утрату криминалистически значимой информации. Поэтому осмотр следует проводить только в присутствии специалиста. В целях обеспечения сохранности доказательств он может создать копию информации, содержащейся на машинном носителе («образ»), и уже с ней проводить дальнейшую работу. Все действия специалиста необходимо подробно фиксировать в протоколе, при этом лучше проводить видеозапись. В необходимых случаях специалист делает копию изображения с экрана монитора («скриншот») и распечатывает ее для приобщения к протоколу.
Таким образом, грамотное производство выемки и осмотра машинных носителей информации требует от лиц, проводящих расследование, наличие определенных познаний в области компьютерных технологий.
1. Лунеев, В. В. Преступность XX века. Мировые, региональные и российские тенденции / В. В. Лунеев. - М.: НОРМА, 1997. - С. 471.
2. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных / утв. ФСТЭК РФ 15.02.2008.
3. Постановление Центризбиркома РФ от 23.07.2003 № 19/137-4 (ред. от 28.02.2007) «О Положении об обеспечении безопасности информации в Государственной автоматизированной системе Российской Федерации «Выборы»».
Делопроизводство и архивное дело. Термины и определения. ГОСТ Р 51141-98 / утв. Постановлением Госстандарта РФ от 27.02.1998 № 28
УПК РФ Статья 164.1. Особенности изъятия электронных носителей информации и копирования с них информации при производстве следственных действий
(введена Федеральным законом от 27.12.2018 N 533-ФЗ)
1. При производстве по уголовным делам, указанным в части четвертой.1 статьи 164 настоящего Кодекса, изъятие электронных носителей информации не допускается, за исключением случаев, когда:
1) вынесено постановление о назначении судебной экспертизы в отношении электронных носителей информации;
2) изъятие электронных носителей информации производится на основании судебного решения;
3) на электронных носителях информации содержится информация, полномочиями на хранение и использование которой владелец электронного носителя информации не обладает, либо которая может быть использована для совершения новых преступлений, либо копирование которой, по заявлению специалиста, может повлечь за собой ее утрату или изменение.
2. Электронные носители информации изымаются в ходе производства следственных действий с участием специалиста. По ходатайству законного владельца изымаемых электронных носителей информации или обладателя содержащейся на них информации специалистом, участвующим в следственном действии, в присутствии понятых с изымаемых электронных носителей информации осуществляется копирование информации. Копирование информации осуществляется на другие электронные носители информации, предоставленные законным владельцем изымаемых электронных носителей информации или обладателем содержащейся на них информации. Копирование информации не осуществляется при наличии обстоятельств, указанных в пункте 3 части первой настоящей статьи. Электронные носители информации, содержащие скопированную информацию, передаются законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации. Об осуществлении копирования информации и о передаче электронных носителей информации, содержащих скопированную информацию, законному владельцу изымаемых электронных носителей информации или обладателю содержащейся на них информации в протоколе следственного действия делается запись.
3. Следователь в ходе производства следственного действия вправе осуществить копирование информации, содержащейся на электронном носителе информации. В протоколе следственного действия должны быть указаны технические средства, примененные при осуществлении копирования информации, порядок их применения, электронные носители информации, к которым эти средства были применены, и полученные результаты. К протоколу прилагаются электронные носители информации, содержащие информацию, скопированную с других электронных носителей информации в ходе производства следственного действия.
Читайте также: