Особенности технологического анализа электронной документированной информации в криминалистической деятельности

Современная преступность широко использует информационные технологии в качестве средства коммуникации и орудия преступной деятельности. В связи с этим электронным формам коммуникативной деятельности в уголовно-процессуальной и криминалистической науке уделяется пристальное внимание в кандидатских и докторских диссертациях уже на протяжении более десяти лет. Результатом этого стала тен

1

Яковлев А. Н. Теоретические и методические основы экспертного исследования документов на машинных магнитных носителях информации : дис. ... канд. юрид. наук. Саратов, 2000. 218 с.; Кукарникова Т. Э. Электронный документ в уголовном процессе и криминалистике : дис. ... канд. юрид. наук. Воронеж, 2003. 204 с.; Милашев В. А. Проблемы тактики поиска, фиксации и изъятия следов при неправомерном доступе к компьютерной информации в сетях ЭВМ : автореф. дис. ... канд. юрид. наук. М., 2004. 25 с.; Подволоцкий И. Н. Теоретические и практические основы использования специальных знаний при осмотре и предварительном исследовании документов : дис. ... канд. юрид. наук. М., 2004. 248 с.; Краснова Л. Б. Компьютерные объекты в уголовном процессе и криминалистике : дис. ... канд. юрид. наук. Воронеж, 2005. 202 с.; Рыбин А. В. Электронный документ как вещественное доказательство по делам о преступлениях в сфере компьютерной информации (процессуальные и криминалистические аспекты) : дис. ... канд. юрид. наук. Краснодар, 2005. 195 с.; Иванов Н. А. Теоретические и методические основы комплексной судебной компьютерно-технической экспертизы и судебно-технической экспертизы документов : дис. ... канд. юрид. наук. М., 2005. 188 с.; Колесов О. М. Письменные доказательства в уголовном процессе России : автореф. дис.....канд. юрид. наук.

Н. Новгород, 2006. 27 с.; Костин 11. В. Исследование машинных носителей информации, используемых при совершении преступлений в сфере экономики : автореф. дис. ... канд. юрид. наук. Н. Новгород, 2007. 31с.; Вехов В. Б. Криминалистическое учение о компьютерной информации и средствах ее обработки : дис. ... д-ра юрид. наук. Волгоград, 2008. 561 с.; Малютина О. А. Язык криминалистики в протоколах следственных действий : автореф. дис. ... канд. юрид. наук. Н. Новгород,

  • 2009. 25 с. ; Миленин 10. Н. Аудио- и видеодокументы как доказательства в уголовном процессе : автореф. дис. ... канд. юрид. наук. М., 2009. 27 с.; Агибалов В. Ю. Виртуальные следы в криминалистике и уголовном процессе : автореф. дис. ... канд. юрид. наук. Воронеж, 2010. 24 с.; Зигура Н. А. Компьютерная информация как вид доказательств в уголовном процессе России : дис. ... канд. юрид. наук. Челябинск,
  • 2010. 234 с. ; Шишкин В. С. Документы в доказывании при производстве по уголовному делу : автореф. дис. ... канд. юрид. наук. М., 2012. 28 с.; и др.

денция к формированию единых процессуальных подходов к собиранию, оценке и использованию в уголовном судопроизводстве доказательств в виде электронных носителей информации. Об этом свидетельствуют недавние дополнения в нормы Уголовно-процессуального закона Российской Федерации о вещественных доказательствах (ч. 4 ст. 81, п. 5 ч. 2 и ч. 21 ст. 82 УПК РФ) и порядке производства обыска (ч. 91 ст. 182 УПК РФ) и выемки (ч. З1 ст. 183 УПК РФ)[1]. В криминалистике разработки средств и методов поиска, фиксации, изъятия и исследования коммуникативных следов преступной деятельности в электронной форме ведутся, как правило, в рамках методик раскрытия, расследования и предупреждения преступлений, посягающих на компьютерную информацию либо совершаемых с использованием электронно-вычислительных машин и информационно-телекоммуникационных сетей.

Значительный объем криминалистических знаний о собирании и исследовании электронных коммуникативных форм, содержащих сведения о преступной деятельности, сосредоточен в рамках компьютерной экспертизы. Благодаря исследованиям В. А. Мещерякова (2001 г.), А. И. Усова (2002 г.), А. А. Васильева (2003 г.), Н. А. Иванова (2005 г.), А. И. Семикаленовой (2005 г.), Н. А. Хатунцева (2006 г.), Ю. В. Гаврилина (2010 г.) и других ученых, компьютерная экспертиза включена в

систему видов судебных экспертиз. Большую часть объектов компьютерной экспертизы составляют электронные (машинные) носители документированной информации; аппаратные, сетевые аппаратные, интегрированные аппаратные средства, используемые для создания, временного хранения, пересылки, удаления документированной информации; программные объекты, применяемые для создания, редактирования, форматирования, архивирования, пересылки электронной документированной информации; носители аналоговой информации, имеющие непосредственную связь с электронной документированной информацией (логины, пароли, распечатки содержания документа в виде машиночитаемого кода или атрибутов электронного документа (сообщения), алгоритмы кодировки информации и т. д.), и др. В связи с этим некоторыми учеными выделяется такая разновидность компьютерной экспертизы, как информационная экспертиза[2].

А. И. Усов в судебной компьютерно-технической экспертизе выделяет информационно-компьютерную экспертизу (данных). Ученый разъясняет, что «судебная информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного решения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами, для организации информационных процессов в компьютерной системе».

Ю. В. Гаврилиным предложено в компьютерной экспертизе выделять экспертизу машинных данных и программного обеспечения ЭВМ, проводимую в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучения программных методов защиты

информации, а также экспертизу программного обеспечения и данных, используемых в компьютерной сети, проводимую в целях изучения информации, которая обрабатывалась с помощью компьютерных сетей[3].

Полагаем, что накопленные сведения внутри частных методик раскрытия, расследования и предупреждения преступлений, посягающих на компьютерную информацию или связанных с нею, а также в судебной компьютерной экспертизе должны быть положены в основу разработки системы знаний о криминалистическом анализе документированной семантической информации в электронной форме.

Электронный документ и электронное сообщение сегодня являются основными формами коммуникативных связей в обществе посредством использования компьютерных технологий. Современное законодательство содержит толкование названных форм коммуникации: «электронное сообщение —информация, переданная или полученная пользователем информационно-телекоммуникационной сети; электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах».

Проведенный нами анализ действующего законодательства позволил прийти к выводу, что одним из важных критериев, разграничивающих юридический статус электронного сообщения и электронного документа, является наличие присоединенной к электронной информации электронной подписи. Поэтому электронная подпись должна рассматриваться как неотъемлемый элемент криминалистического анализа электронного документа. Ее наличие требует использования дополнительных криминалистических средств и методов анализа ее подлинности. Что же касается разработки основ криминалистического анализа электронных сообщений и электронных документов, то для этого необходимо техническое представление о них самих и той среде, в которой они создаются и обрабатываются.

С технической точки зрения электронный документ и электронное сообщение состоят из следующих элементов: 1) сообщения; 2) атрибутов файла.

Сообщение является социально значимым коммуникационным ядром электронной документированной информации, которое выражено в виде машиночитаемых данных языковыми знаками программирования и находится в пассивном состоянии на электронном носителе или активном — в электронно-волновой среде компьютера (памяти ОЗУ) или информационно-телекоммуникационных сетях. В. А. Мещеряков справедливо отметил, что в техническом смысле рассматриваемая документированная информация, вне зависимости от электронной формы, представляет собой компьютерную информацию в специальном (машинном) виде, предназначенном и пригодном для ее автоматизированной обработки, хранения и передачи, находящуюся на электронном носителе и имеющую собственника, установившего порядок ее создания (генерации), обработки, передачи и уничтожения[4].

Заметим, что сообщение играет определяющую роль в построении технико-криминалистических основ анализа электронной документированной информации, поскольку именно его доказательственное и криминалистическое значение в расследовании уголовных дел обусловило формирование системы средств и методов, направленных на поиск, фиксацию, изъятие и исследование рассматриваемой нами информации. Сообщение может являться источником информации о лицах, участвующих в преступной деятельности, и случайных ее участниках; способах и обстановке совершения преступления; орудиях преступления; причинах, побудивших к совершению преступления; масштабах причиненного вреда; месте нахождения разыскиваемых лиц, денежных средств, имущества, нажитого преступным путем, и т. д. Об анализе содержательной стороны (сообщения) документированной информации уже шла речь в нашей работе. Поэтому сейчас акцент будет сделан на технических элементах состава электронного документа и сообщения, а также на их связи со средой создания, последующей обработки и пересылки.

С технической точки зрения, коммуникационное ядро электронной документированной информации представляет собой структурированные машинные данные, находящиеся внутри файла, созданного при помощи электронно-вычислительного устройства и программного обеспечения. Структура таких данных, а также характеристики их носителя

определяются атрибутами файла. Атрибут (attribute) — это часть информации, устанавливающая свойство чего-либо и принимающая одно из множеств определенных значений, каждое из которых имеет конкретный смысл. Согласно ГОСТу Р 34.980.1-92 «Информационная технология. Взаимосвязь открытых систем. Передача, доступ и управление файлом. Часть 1. Общее описание» атрибутами файла (file attributes) являются имя или другие идентифицируемые свойства файла[5]. Кроме имени файла к атрибутам относятся его тип (формат), место размещения на электронном носителе информации, размер, дата и время создания, изменения и открытия файла, название, тема и автор файла, права и метод доступа к файлу. К атрибутам файла электронного документа следует относить и электронную подпись.

Атрибутами сообщения (заголовка), создаваемого при помощи почтового клиента, являются: Message-ID (уникальный идентификатор сообщения, генерируемый автоматически программным обеспечением узла-отправителя); Date (поле «Дата» содержит дату отправки сообщения. Значение поля устанавливается автоматически почтовым клиентом при отправке сообщения); From (поле «От» содержит адрес, который отправитель сообщения указывает в качестве исходящего адреса); Sender (поле «Отправитель» содержит адрес, с которого было реально отправлено сообщение. Это поле может отсутствовать в заголовке, если поле “From” содержит адрес реального отправителя); То (поле «Кому» содержит адрес основного получателя сообщения); Сс (поле «Копия» содержит адреса дополнительных получателей сообщения); Вес (поле «Скрытая копия» содержит адреса дополнительных получателей сообщения. Получатели, перечисленные в полях “То” и “Сс”, не будут знать, что абоненты из списка “Вес” получили копию сообщения); Reply-to (поле «Ответить» содержит адрес, по которому получатель должен направлять ответ); Subject (поле «Тема сообщения» содержит краткое описание (тему) сообщения).

Важным атрибутом, с точки зрения криминалистического анализа электронной документированной информации и получения при этом значимых для раскрытия и расследования преступления сведений, является формат файла. Формат сохраняемого компьютерного файла, как

правило, определяется техническим стандартом компьютерной программы, используемой для создания и отправки сообщения. Структурированные данные файла, определяемые его форматом, в ходе анализа позволяют выбрать программное обеспечение для работы с этими данными, а также определить тип содержащейся информации[6]. Однако не всегда формат файла позволяет достоверно определить тип содержащейся в нем информации. Так, графическим форматом файла (например, .bmp, .gif, .png, .psd, .pgf, .tiff, .tif, .jpg, .jpeg, .jpe и пр.) может быть представлена оцифрованная текстовая информация, полученная путем ее сканирования с аналогового документа. В свою очередь, текстовым форматом (.doc, .docx, .pdf) может быть представлена графическая информация.

В ходе криминалистического анализа формата файла и других его атрибутов следует учитывать возможность их изменения. В частности, программное обеспечение позволяет осуществлять конвертацию текстовых, графических, аудио-, видеоформатов файла; времени создания, изменения и открытия файла. Смена атрибутов может осуществляться как автором сообщения, так и пользователем файла. Как отмечает В. С. Матвеева, умышленное изменение временных атрибутов файла (даты и времени создания файла, последнего изменения файла, последнего доступа к файлу, а также даты и времени последнего изменения сведений в файловой записи) может осуществляться вручную или с использованием специальных программ. Такие специальные программы находятся в открытом доступе в сети Интернет, что позволяет пользователю электронно-вычислительного устройства выполнить необходимые действия по изменению временных атрибутов файлов.

Криминалистический анализ атрибутов файла является весьма сложной технической задачей. Исследование атрибутов требует глубоких знаний в области операционных и файловых систем электронно-вычислительных устройств, а также использования автоматизированных средств анализа. Примером такого средства является программный комплекс The Sleuth Kit® (TSK), представляющий собой библиотеки и наборы ин

струментов командной строки, которые позволяют исследовать образы дисков и файловые системы на платформах Windows и Unix.

Наряду с указанными атрибутами, объектом криминалистического анализа может являться электронная подпись. Данная подпись, представляя собой информацию в электронной форме, присоединенную к подписываемой информации, является средством отождествления лица, подписавшего электронный документ. Как было отмечено ранее, наличие у атрибута такого сообщения, как электронная подпись, свидетельствует, что в данном случае мы имеем дело с фактическими сведениями, способными оказывать влияние на конкретные общественные отношения, т. е. с документом. Наличие электронной подписи у электронного сообщения позволяет не только удостовериться в личности человека, подписавшего электронный документ, но и осуществить проверку подлинности в целом этого документа.

Электронная подпись выступает важным техническим средством аутентификации лица, подписавшего электронный документ и средством защиты электронного документа от подделки. После ее присоединения к информации в электронной форме возможность изменения сообщения или какого-либо атрибута его файла без изменения самой подписи по техническим условиям отсутствует. В связи с этим технико-криминалистический анализ электронного документа на предмет его подлинности должен прежде всего включать исследование прикрепленной к нему электронной подписи, в ходе которого должны анализироваться сама электронная подпись, а также средства ее создания, а именно шифровальные (криптографические) средства, используемые для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки.

Таким образом, криминалистический анализ атрибутов файла позволяет установить характер действий с файлами и последовательность их совершения. А поскольку сообщение и атрибуты файла выступают неразрывными элементами структуры электронной документированной информации, то выявление факта умышленного изменения атрибутов файла свидетельствует о недостоверности сообщения данной информации, а значит о невозможности использования ее в качестве доказательства по уголовному делу. Кроме того, установление в ходе анализа факта подделки электронной подписи в электронном документе влечет правовой вывод о поддельности электронного документа, т. е. непригодности его к выполнению функций, возложенных на него в области права.

Основная роль в создании, обработке и организации потоков электронной документированной информации отводится цифровым устройствам, возможности их подключения к сетевому окружению. На сегодняшний день из всех цифровых устройств (телефоны, фотоаппараты, диктофоны, видеокамеры, видеорегистраторы, Book Reader и пр.) наиболее эффективным средством создания и обработки электронной документированной информации является электронно-вычислительные машины (настольные компьютеры, ноутбуки, планшетные компьютеры, коммуникаторы). Однако заметим, что сама электронно-вычислительная машина не способна выполнять возложенную на нее функцию электронно-вычислительного и коммуникационного средства без специальной алгоритмизации ее работы, которая закладывается программным обеспечением цифрового устройства.

Функцию алгоритмизации работы любого электронно-вычислительного устройства выполняют BIOS и операционная система. Операционная система представляет собой комплекс взаимосвязанных программ, предназначенных для управления ресурсами устройства и организации взаимодействия с пользователем. Кроме программ операционной системы, современные компьютеры и иные ЭВМ обеспечены большим количеством разнообразных пользовательских программных средств, предназначенных для создания, обработки и пересылки документированной информации. Это текстовые, графические, табличные редакторы; программы для обработки аудио- и видеофайлов; почтовые клиенты; программы для архивирования документированной информации (архиваторы); автоматизированные системы управления документированной информацией (АСУДИ); поисковые системы и пр. Следует заметить, что большинство компьютерных программ, предназначенных для работы с документированной информацией, как правило, многофункциональны, т. е. не только выполняют основную функцию создания семантической информации и ее редактирования, но и поддерживают режим вставки графических (рисунков, схем, диаграмм, таблиц), фото-, аудио- и видеообъектов. Так, в программы часто интегрированы возможности отправки адресату готовых сообщений через сеть Интернет или факс. Примером многофункциональной программы является текстовый редактор Word от компании Microsoft.

1

Со списком операционных систем и их кратким описанием можно ознакомиться на интернет-ресурсе: Список операционных систем [Электронный ресурс] //: ВикипедиЯ : свободная энциклопедия. URL: https://ru.wikipedia.org/wiki (дата обращения: 10.09.2014).

Совокупность программного обеспечения для работы с документированной информацией по их функциональному назначению условно может быть разделена на две большие группы:

  • — основные, т. е. программы, предназначенные для создания и редактирования документированной информации (текстовые, табличные, графические, аудио- и видеоредакторы; почтовые клиенты);
  • — вспомогательные, т. е. программы, предназначенные для работы с файлами уже созданной документированной информации. Например, для поиска документов (сообщений); управления документальными потоками; архивирования информации (архиваторы); поиска, копирования, сортировки и редактирования графической информации; просмотра графической информации (графические просмотрщики), аудио- и видеофайлов (плееры).

Исследуя электронную документированную информацию, нельзя не затронуть материальную основу для хранения такой информации. Ю. М. Баркаловым и А. Н. Бабкиным определен следующий круг носителей электронной документированной информации:

  • — непосредственно в оперативном запоминающем устройстве (ОЗУ) компьютера при выполнении им вычислительных и информационных процессов;
  • — в ОЗУ ввода и вывода информации и средств связи (принтеры, факсы, модемы и пр.);
  • — на внешних носителях электронной информации (жестких дисках, оптических дисках, flesh-памяти и пр.);
  • — на других компьютерах информационной системы;
  • — на почтовых серверах сети ЭВМ[7].

По ГОСТ 2.051-2013 «электронный носитель представляет собой материальный носитель, используемый для записи, хранения и воспроизведения информации, обрабатываемой с помощью средств вычислительной техники». Материальный носитель документированной ин-

формации, в том числе и электронной, должен хранить информацию стабильно и без каких-либо изменений. Специалисты в области архивного дела заявляют о 10-15-летних сроках стабильного хранения электронной информации, записанной на оптический диск[8]. Этот период, безусловно, значительно уступает сроку хранения документа, выполненного на бумаге. В ряде случаев срок хранения информации напрямую зависит от энергоподачи к устройству памяти. Речь идет о так называемой памяти ОЗУ электронно-вычислительной машины, принтера, факса и прочих устройств. После прекращения подачи электрического напряжения к аппаратному устройству информация в памяти ОЗУ безвозвратно утрачивается, и ее невозможно воспроизвести заново. Поэтому отнесение памяти ОЗУ к электронному носителю информации крайне спорно. Однако источником документированной информации память ОЗУ вполне может быть.

Требованиям долговременного хранения электронной документированной информации могут отвечать не только оптические диски, но и иные машинные объекты, предназначенные для закрепления, хранения и многократного воспроизведения речевой, звуковой или изобразительной информации в электронной форме. В качестве долговременных и энергонезависимых электронных носителей документированной информации используются жесткие магнитные диски, оптические и магнитно-оптические диски (CD-, DVD-, Blue-Ray диски), накопители на основе flesh-памяти (USB flesh-накопитель, flesh-карта), магнитные носители памяти (ГМД, НЖМД, стример), твердотельные гибридные накопители информации (SSHD) и пр. Широкую популярность у пользователей Интернета приобретают облачные системы хранения данных. В этом случае электронный носитель информации (сервер), как правило, находится на значительном расстоянии от места возможного создания документированной информации и осуществления действий, направленных на ее обнаружение в ходе раскрытия и расследования преступлений. Такие системы сегодня используются как частными лицами (для организации интернет-магазинов, социальных сетей, сред для хранения данных), так и предприятиями малого и среднего бизнеса, крупными корпорациями, государственными учреждениями. Использование облачных

систем хранения данных ставит перед правоохранительными органами несколько проблем, вызванных поиском и изъятием криминалистически значимой информации в электронной форме. Первая из них связана с получением аккаунта (логина и пароля) для доступа в облачную систему хранения, вторая — с определением места хранения криминалистически значимой информации, третья — с легальным получением интересующих данных у сервис-провайдера, четвертая — с расшифровкой полученных данных. Последняя проблема обусловлена тем, что в целях обеспечения безопасности хранящейся на удаленном сервере (серверах) информации крупные хозяйственные и финансовые корпорации прибегают к шифрованию своих данных. Такой способ обеспечения безопасности информации не позволяет ознакомиться с хранящимися на сервере данными не только внешнему пользователю, но и самому владельцу сервера.

Следует заметить, что современное уголовно-процессуальное законодательство Российской Федерации рассматривает информацию в электронной форме как источник доказательства только на электронном носителе информации, изъятом в ходе процессуального действия в конкретном месте и (или) у конкретного лица. Об этом свидетельствует ряд статей Уголовно-процессуального кодекса Российской Федерации (далее— УПК РФ) — ч. 4 ст. 81, ч. 21 ст. 82, ч. 91 ст. 182, ч. З1 ст. 183[9]. В частности, Законом определен процессуальный порядок изъятия электронных носителей информации при производстве обыска и выемки, копирования с них информации, оформления факта передачи электронных носителей информации, содержащих скопированную информацию, законному владельцу изъятых электронных носителей информации или обладателю содержащейся на нем информации.

Иначе обстоит дело с признанием в качестве доказательства криминалистически значимой информации, находящейся в сети Интернет, т. е. безотносительно к ее физическому местонахождению и юридической принадлежности (например, хранящейся на удаленном сервере или в облаке). Действующее законодательство признает доказательством только ту электронную информацию, которая находится в пассивной форме, т. е. зафиксирована на каком-либо электронном носителе.

Специфика признания доказательством электронной документированной информации, передаваемой по информационно-телекоммуникационным сетям, заключается в поиске и анализе ее самой или следов ее пребывания в электронной среде в пассивной (статической) форме. Пребывание документированной информации в активной форме отражается в виде самой информации или метаданных о ней в тех электронных средах, где она побывала. Так, пассивными доказательствами такой активной коммуникационной формы, как электронное сообщение, передаваемое при помощи почтового клиента, является наличие:

  • — на компьютере конкретного лица настроек для доступа к почтовому ящику (включая пароль);
  • — на компьютере конкретного лица полученных сообщений электронной почты со служебными заголовками, свидетельствующими о прохождении сообщений через почтовый ящик;
  • — на сервере, где расположен ящик, логов об успешном соединении и аутентификации пользователя данного почтового ящика;
  • — у других абонентов сообщений от этого лица, написанных в ответ на сообщения, отправленные на этот почтовый ящик (в ответе часто цитируется исходное сообщение, а также среди служебных заголовков присутствует заголовок со ссылками на предыдущие сообщения)[10].

Практика борьбы с преступлениями, совершение которых тем или иным образом связано с использованием IP-технологий, свидетельствует о существовании серьезных проблем по установлению места нахождения носителя криминалистически значимой информации в электронной форме, а также его владельца. Отсутствие национальных и территориальных ограничений на хранение и использование информации в сети Интернет часто не позволяет привлечь к ответственности владельцев информации, разместивших ее на серверах иностранных компаний. Поэтому в связи с ростом популярности у физических и юридических лиц удаленного способа хранения пользовательских данных, а также существования юридических и технических сложностей изъятия этих данных с удаленного электронного носителя, предлагается в УПК РФ включить нормы, дающие правовые основания для использования в качестве самостоятельных источников доказательств документированной информации, находящейся на интернет-ресурс ах.

Изложенное выше свидетельствует, что технико-криминалистический анализ электронной документированной информации и ее состав-

ных элементов, а также связанных с ее созданием, обработкой и пересылкой аппаратно-программных комплексов и сетей возможен только в специальной среде — электронной. В. Б. Вехов отметил, что «осуществление процессов собирания, исследования и использования криминалистически значимой информации возможно только с помощью специальных орудий производства — компьютерных программ, баз данных, машинных и иных материальных носителей, электронно-цифровых устройств, компьютерных систем и сетей»[11].

Электронную среду существования документированной информации образуют электронно-вычислительные машины, базовые системы ввода/вывода (BIOS), операционные системы, программное обеспечение для создания и обработки пользовательской информации, периферийные устройства ввода и вывода информации (клавиатура, мышь, сканер, принтер), информационно-телекоммуникационные сети (проводные и беспроводные) для передачи информации на расстояние, электронные носители информации и серверы для хранения данных. Благодаря указанным аппаратно-программным комплексам и информационным сетям электронная документированная информация имеет значительные преимущества перед аналоговыми формами ее существования, заключающиеся в следующем:

  • — самая высокая скорость создания и пересылки семантических сведений и данных;
  • — неограниченные объемы хранения документированной информации;
  • — отсутствие географических и национальных границ перемещения документированной информации;
  • — неограниченное количество создателей, отправителей и получателей семантической информации;
  • — круглосуточный и круглогодичный режим оборота документированной информации;
  • — неосязаемость и относительная конфиденциальность участников оборота документированной информации;
  • — автоматизация методов поиска, сбора, хранения, обработки документированной информации.

В криминалистической литературе термин «электронная среда» не используется как объект познания. Например, В. А. Мещеряков, рассматривая понятие и виды следственного осмотра при расследовании преступлений в сфере использования информационно-коммуникационных

технологий, обратил внимание на особенности осмотра компьютерной информации в кибернетическом пространстве[12].

Соглашаясь во многом с В. А. Мещеряковым по поводу особенностей следственного осмотра компьютерной информации, мы сочли невозможным использовать термин «кибернетическое пространство» применительно к криминалистическому анализу электронной документированной информации, так как кибернетическое пространство в большинстве случаев ассоциируется с компьютерными сетями. В частности, Д. В. Грибанов под кибернетическим пространством понимает «совокупность общественных отношений, возникающих в процессе использования функционирующей электронной компьютерной сети, складывающихся по поводу информации, обрабатываемой с помощью ЭВМ, и услуг информационного характера, предоставляемых с помощью ЭВМ, и средств связи компьютерной сети». Криминалистический анализ электронной документированной информации далеко не всегда осуществляется в информационно-телекоммуникационной сети, часто она содержится на внешних электронных носителях либо в пределах электронно-вычислительного устройства. Поэтому считаем термин «электронная среда» более удачным с позиции технико-криминалистического анализа электронной документированной информации, поскольку он охватывает все его объекты.

Термин «электронная среда» закреплен в ГОСТе Р 52292-2004 «Информационная технология. Электронный обмен информацией. Термины и определения», где он трактуется как среда технических устройств (аппаратные средства), функционирующих на основе физических законов и используемых в информационной технологии при обработке, хранении и передаче данных. Кроме того, электронная среда рассматрива

ется в ГОСТе Р ИСО 15489-1-2007 «Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования», где ее роль определена как создание метаданных об управлении документами. В частности, в указанном нормативном документе говорится, что «в электронной среде очень важно обеспечить гарантию того, чтобы в системах, которые создают, осуществляют ввод и управление документами, осуществлялось создание и ввод метаданных об управлении документами. И наоборот, электронная среда предоставляет новые возможности для определения и создания метаданных, а также для обеспечения полного, своевременного ввода документов»[13].

Электронная среда с позиции организационно-управленческой деятельности представляется Д. Щеуловым и Э. Гайле-Саркане как система объектов (вычислительная техника, технические и программные средства), которые взаимодействуют на основе формальных правил (архитектура, стандарты, технические параметры устройств, языки программирования и пр.) обработки, хранения и передачи цифровой информации, базирующихся на объективных логических законах.

Таким образом, электронной средой существования документированной информации является система взаимосвязанных и взаимодействующих аппаратных устройств, их программного обеспечения, аппаратно-программных комплексов, электронных носителей информации и информационно-телекоммуникационных сетей, функционирующих на основе формально-логических правил под воздействием электромагнитных импульсов в целях создания, хранения, обработки и пересылки семантической информации в электронной форме.

В контексте нашего исследования электронная среда выступает объектом познания криминалистической науки и практики в случае, если находящаяся в ней документированная информация создана вследствие подготовки, совершения и сокрытия преступления либо стала предметом преступного посягательства. Учитывая специфику преступной дея

тельности, а также масштабы аппаратно-программных комплексов и сетей связи, границы криминалистического анализа документированной информации в электронной среде могут быть обозначены рамками:

  • 1) единичного электронного носителя информации;
  • 2) электронных носителей постоянной и временной памяти конкретного электронно-вычислительного устройства и его периферийных устройств;
  • 3) электронных носителей информации и аппаратно-программных комплексов, включенных в сетевое окружение (локальное или глобальное).

Специфика электронной документированной информации и среды ее существования, заключающаяся в разнообразии электронных форм ее выражения, одновременном размещении на различных электронных носителях и аппаратных устройствах, а также возможности удаленного доступа к ней, позволила нам определить следующие задачи ее техникокриминалистического анализа в уголовном судопроизводстве в целях формирования доказательственной базы:

  • — определение перечня программного обеспечения, содержащегося на электронном носителе информации и аппаратном устройстве (установленное программное обеспечение и дистрибутивы), с указанием названия и назначения программ, типовых расширений файлов, с классификацией по разделам (операционные системы, архиваторы, антивирусы, работа в Интернете, работа с текстовой информацией, с графической информацией, со звуком, с видео, работа со сканером и распознаванием текста, программы-переводчики, игры и т. д.);
  • — определение характеристик физического и (или) логического размещения документированной информации на электронном носителе информации или в ином месте электронной среды;
  • — обнаружение защищенной от несанкционированного доступа информации (зашифрованные диски, папки и файлы, электронные сжатые диски, защищенные паролем архивы и др.);
  • — обнаружение файлов документов (сообщений) на электронном носителе информации с заданными параметрами их темы, содержания или атрибутов;
  • — определение способа организации доступа к папке и (или) файлу (свободный, ограниченный и пр.) на электронном носителе информации;
  • — восстановление уничтоженных физическим или электронным способом файлов, содержащих криминалистически значимые сведения на электронных носителях информации;
  • — извлечение информации из закодированного и заархивированного файла (файлов) на электронном носителе информации;
  • — установление вида аппаратно-программной среды, в которой была создана документированная информация, и определение ее свойств;
  • — установление аутентичности содержания различных форм (кодов) документированной информации на разных электронных носителях;
  • — выявление действий (операций) с определенными документами (сообщениями) по блокированию, модификации, копированию, удалению на электронном носителе информации;
  • — определение хронологической последовательности действий (операций) с документами (сообщениями) при решении определенной задачи (например, подготовка изображений банкнот, ценных бумаг, оттиски печатей и др.);
  • — установление причинно-следственных связей между действиями (ввод, изменение, удаление и т. д.) с документами (сообщениям) и происходящими событиями (например, нарушение работы компьютерной системы, включая ошибки в программных и аппаратных средствах);
  • — установление источника получения документов (сообщений) и его характеристик;
  • — установление факта передачи интересующей документированной информации посредством выхода в сеть (каким образом и кому);
  • — установление факта внешнего проникновения в целях копирования документированной информации по информационно-телекоммуникационной сети, выяснение обстоятельств этого копирования (конкретного сетевого компьютера; времени, даты, продолжительности сеанса связи; кем и какие сведения были скопированы);
  • — определение коммуникационной среды, используемой для сеанса связи на конкретном компьютере;
  • — установление единого электронного документа (пакета документов) по обнаруженным его (их) частям;
  • — выяснение данных о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и пр.), имеющихся на электронном (машинном) носителе информации;
  • — определение уровня профессиональной подготовки в области компьютерной техники и аппаратно-программных средств лица, производившего действия над файлами документов (сообщений);
  • — аутентификация отправителя электронного документа (электронного сообщения) по информационно-телекоммуникационной сети, и др.

Таким образом, констатируем сложный и комплексный характер технико-криминалистического анализа электронной документированной информации, требующий широкого спектра знаний в области компьютерного программирования, устройства аппаратных комплексов, компьютерных программ, наладки и эксплуатации информационно-телекоммуникационных сетей связи.

В заключение сделаем следующие выводы.

Познание электронных форм документированной информации носит разрозненный и несистемный характер, криминалистические знания о них фрагментарно распределены по всем разделам криминалистической науки: технике, тактике и методике. В большей степени электронная документированная информация изучена в рамках компьютерной информационной экспертизы, а также при разработке групповых и видовых криминалистических методик расследования преступлений, совершаемых в компьютерной сфере или с использованием электронно-вычислительных машин и информационно-телекоммуникационных сетей. Поэтому предлагаем сформировать теоретические основы техникокриминалистического анализа электронной документированной информации, в которых найдут отражение электронные формы коммуникативной деятельности, структура данных форм, среда их существования, а также задачи их технико-криминалистического анализа в целях получения доказательственной и криминалистически значимой информации для установления истины по делу.

Основными электронными формами коммуникативной деятельности являются электронный документ и электронное сообщение. Составными их элементами служат сообщение и атрибуты файла. С техникокриминалистической точки зрения анализу подвергаются атрибуты файла, что позволяет установить характер и последовательность действий с файлом, сообщение которого представляет криминалистическую ценность. А поскольку сообщение и атрибуты файла — неразрывные элементы структуры электронной документированной информации, то выявление факта умышленного изменения атрибутов свидетельствует о недостоверности сообщения электронной документированной информации, а значит — о невозможности использования его в качестве доказательства по уголовному делу. Кроме того, выявление в ходе анализа факта подделки электронной подписи в электронном документе влечет за собой правовой вывод о поддельности электронного документа, т. е. его непригодности к выполнению тех общественных функций, которые определены нормативными актами.

Областью существования электронных форм документированной информации выступает электронная среда, под которой нами понимает ся система взаимосвязанных и взаимодействующих аппаратных устройств, их программного обеспечения, аппаратно-программных комплексов, электронных носителей информации и информационно-телекоммуникационных сетей на основе формально-логических правил под воздействием электромагнитных импульсов в целях создания, хранения, обработки и пересылки семантической информации в электронной форме.

Разрешение выделенных задач технико-криминалистического анализа электронной документированной информации возможно только на основе широкого спектра знаний, относящихся к областям компьютерного программирования, устройства аппаратных средств и работы программных комплексов, наладки и эксплуатации информационно-телекоммуникационных сетей связи.

  • [1] О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации : федеральный закон от 28 июля 2012 г. № 143-ФЗ // Рос. газета. 2012. 1 авг. 2 Ее название имеет некоторые отличия в зависимости от ведомства, где она производится. Так, в экспертно-криминалистических подразделениях Министерства внутренних дел Российской Федерации выполняется компьютерная экспертиза (Приложение № 2 к приказу МВД России от 29 июня 2005 г. № 511 «Перечень родов (видов) судебных экспертиз, производимых в экспертно-криминалистических подразделениях органов внутренних дел Российской Федерации»), а в экспертных учреждениях Министерства юстиции Российской Федерации — компьютерно-техническая экспертиза (приказ Минюста России от 27 декабря 2012 г. № 237 «Об утверждении Перечня родов (видов) судебных экспертиз, выполняемых в федеральных бюджетных судебно-экспертных учреждениях Минюста России, и Перечня экспертных специальностей, по которым представляется право самостоятельного производства судебных экспертиз в федеральных бюджетных судебно-экспертных учреждениях Минюста России»). 3 Усов А. И. Концептуальные основы судебной компьютерно-технической экспертизы : дис. ... д-ра юрид. наук. М., 2002. 402 с.; Васильев А. А. Судебная аппаратно-компьютерная экспертиза: правовые, организационные и методические аспекты : автореф. дис. ... канд. юрид. наук. М., 2003. 27 с. ; Иванов Н. А. Теоретические и методологические основы комплексной судебной компьютерно-технической экспертизы и судебно-технической экспертизы документов : автореф. дис. ...
  • [2] См., напр.: Мещеряков В. А. Основы методики расследования преступлений в сфере компьютерной информации : дис. ... д-ра юрид. наук. Воронеж, 2001. С. 307. 2 Усов А. И. Указ. соч. С. 91. 3 Там же. С. 92.
  • [3] Гаврилин Ю. В. Указ. соч. С. 46-47. 2 Об информации, информационных технологиях и о защите информации : федеральный закон от 27 июля 2006 г. № 149-ФЗ // Рос. газета. 2006. 29 июля. 3 Часть 4 ст. 11 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ст. 6 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи», ч. 5 ст. 9 Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» и др.
  • [4] Мещеряков В. А. Указ. соч. С. 57.
  • [5] Информационная технология. Взаимосвязь открытых систем. Передача, доступ и управление файлом. Часть 1. Общее описание [Электронный ресурс]: ГОСТ Р 34.980.1-92. URL: http://kodeks.eastview.com:8080/lawl ?doc&nd=l 200028693&nh=0&ssect=0 (дата обращения: 10.08.2014).
  • [6] Типы файлов. URL: http://www.filetypes.ru (дата обращения: 13.08.2014). 2 Матвеева В. С. Криминалистический подход к анализу временных атрибутов файлов в операционной системе семейства Microsoft Windows и файловой системе NTFS. URL: http://xakep.ru/60167/ (дата обращения: 26.09.2014). 3 Например, программы SetFileDate, Attribute Changer, TouchPro и др. 4 The Sleuth Kit® (TSK). URL: http://www.sleuthkit.org/sleuthkit/desc.php (дата обращения: 09.10.2014).
  • [7] Баркалов Ю. М., Бабкин А. Н. Экспертиза компьютерной информации в системах Windows NT [Электронный ресурс] // Вестник Воронежского института МВД России. 2010. №2. URL: http://cyberleninka.ru/article/n/ekspertiza-kompyuternoy-informatsii-v-sistemah-windows-nt (дата обращения: 02.09.2014). 2 Единая система конструкторской документации. Электронные документы. Общие положения : ГОСТ 2.051-2013 : утв. приказом Федерального агентства по техническому регулированию и метрологии от 22 ноября 2013 г. № 1628-ст// Федеральное агентство по техническому регулированию и метрологии : информационный портал по стандартизации. URL: http://standard.gost.ru/wps/portal/ (дата обращения: 21.03.2014).
  • [8] Тихонов В. И. Архивное хранение электронных документов: проблемы и рекомендации [Электронный ресурс] // Главное архивное управление города Москвы. URL: http://mosarchiv.mos.ru/trudy/publikatsii/672992/ (дата обращения: 30.08.2014). 2 Устройства памяти, напрямую зависящие от электрической энергии, получили название энергозависимые.
  • [9] О внесении изменений в Уголовно-процессуальный кодекс Российской Федерации : федеральный закон от 28 июля 2012 г. № 143-ФЗ. 2 О пассивной и активной формах электронной информации см.: Конявс-кий В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. URL: http://www.okbsapr.ru/docs/books/opf/01_opf.htm (дата обращения: 05.09.2014).
  • [10] Федотов Н. Н. Форензика — компьютерная криминалистика. М., 2007. С. 187.
  • [11] Вехов В. Б. Указ. соч. С. 83.
  • [12] Мещеряков В. А. Понятие и виды следственного осмотра при расследовании преступлений в сфере использования информационно-коммуникационных технологий // Библиотека криминалиста. 2014. № 5. С. 239. 2 Грибанов Д. В. Правовое регулирование кибернетического пространства как совокупности информационных отношений [Электронный ресурс] : дис. ... канд. юрид. наук. Екатеринбург, 2003. 227 с. // disserCat— электронная библиотека диссертаций. URL: http://www.dissercat.com/content/pravovoe-regulirovanie-kiber neticheskogo-prostranstva-kak-sovokupnosti-infbrmatsionnykh-otno#ixzz3JuGkWqCI (дата обращения: 23.12.2014). 3 Информационная технология. Электронный обмен информацией. Термины и определения [Электронный ресурс] : ГОСТ Р 52292-2004 : утв. приказом Федерального агентства по техническому регулированию и метрологии от 29 декабря 2004 г.
  • [13] Система стандартов по информации, библиотечному и издательскому делу. Управление документами. Общие требования [Электронный ресурс] : ГОСТ Р ИСО 15489-1-2007 // Там же (дата обращения: 15.10.2014). 2 Щеулов Д., Гайле-Саркане Э. Понимание термина «электронная среда» для нужд предпринимательства в Латвии. URL: http://www.freu-conference.engec.ru/ upload/files/164-170(l).pdf (дата обращения: 23.08.2014).
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >