Судебная программно-компьютерная экспертиза по уголовным делам Диссертация

brief description:
Год:

2005

Автор научной работы:

Семикаленова, Анастасия Игоревна

Ученая cтепень:

кандидат юридических наук

Место защиты диссертации:

Москва

Код cпециальности ВАК:

12.00.09

Специальность:

Уголовный процесс; криминалистика и судебная экспертиза; оперативно-розыскная деятельность

Количество cтраниц:

228

Оглавление диссертациикандидат юридических наук Семикаленова, Анастасия Игоревна

Введение.
Глава 1: Теоретические ипроцессуальныеаспекты судебной программнокомпьютерной экспертизы.
§ 1.1. Способысовершенияи сокрытия преступлений, сопряженных с использованием программно-компьютерных средств.
§ 1.2. Предмет, объекты и задачисудебнойпрограммно-компьютерной экспертизы. $ 1.1. Процессуальные и тактические особенности производстваследственныхдействий, связанных с собираниемкриминалистическизначимой информации о программных продуктах.
Глава 2. Производство судебной программно-компьютернойэкспертизы, оценка и использование ее результатов.
§ 2.1. Особенности назначения судебной программно-компьютерной экспертизы.
§ 2.2. Основы методики производства судебной программнокомпьютерной экспертизы.
§ 2.3. Оценка и использование результатов экспертизы судебной про|раммно-компыотерных средств.
Заключен».

Введение диссертации (часть автореферата)На тему "Судебная программно-компьютерная экспертиза по уголовным делам"

Актуальность темы исследования
Массовая компьютеризация, начавшаяся в России в конке 80-х - первой половине 90-х годов, привела к развитию рынков компьютеров и программного обеспечения, повышению профессиональной подготовки пользователей, увеличению потребностей организаций в совершенствовании технологий обработки данных, значительно расширила сферу примененияЭВМБлагодаря ей стало возможным связать в огромную информационную систему практически весь мир, скорость и полнота движения информации по которой значительно превышает аналогичные параметры движения информации по телефонным и телеграфным сетям. Также стало возможным более точное осуществление сложнейших расчетов и выкладок за короткие промежутки времени, хранение больших упорядоченных массивов информации, передача видео- и аудиоинформации, документов практически в масштабе реального времени. Развитие программных и аппаратных средств привело к тому, что интерфейс человек - компьютер - человек стал чрезвычайно простым в освоении. С современным компьютером сегодня справится даже ребенок. Но этот факт никак не умаляет возможностей, которые можно реализовать при помощи компьютера, тем более, если он подключен к какой-либо глобальной, региональной или локальной сет*.
Как любой инструмент, компьютер можно использовать как для благих дел, так и вовред. Преступное сообщество просто не могло пропустить такой уникальный инструмент как компьютер и не пропустило. Результатом этого стало появление нового видапреступности, который в Уголовном кодексе Российской Федерации получил название «Преступленияв сфере компьютерной информации». Именно им посвящена 28 глава УК РФ. Надо отметить, что не только впреступлениях, означенных в этой гаме, используются средства вычислительной техники, но и в целом рядапреступлений, относящихся к другим главам уголовногокодекса(мошенничество, кража, хулиганство и т.д.). Количество таких преступлений возрастает пропорционально распространению компьютерных систем в самые разнообразные сферы жизнедеятельности общества. Только в 2000 г. было зарегистрировано 800 преступлений в сференеправомерногодоступа к компьютерной информации1.
Однако данная статистика далеко не полно отражает современные масштабы компьютерной преступности, прежде всего из-за ее высокой ла-тентности. Проведенный опрос более 100 роео&еких компаний, работающих в сферах высоких технологий, телекоммуникаций и бизнеса, показал, что 65% опрошенных сообщили о нарушениях компьютерной безопасности в течение 2001 г. Причем половина случаев связана с попытками несанкционированного доступа в систему извне и изнутри компании, 26% опрошенных столкнулись с отказом в работе важнейших корпоративных систем. Опрос 459 директоров фирм по ннформшдювтыи технологиям и руководителей компаний в 17 странах в 2002 г. показал, что 40% организаций вообще нерасследуютслучаи несанкционированного доступа в информационные сети (ИС), и такое же число организаций в состоянии обнаружить только атаку на ИС2.
Сбордоказательствпо «компьютерным» преступлениям, а также их квалификация, не возможна без исследования прсигрвммного обеспечения. Результатом таких исследований должно стать обследование программного комплекса на предмет возможностисовершенияс его помощью или в отношении егопреступныхдеяний или обнаружения на нем следов преступления. Подобные исследования в уголовно-процессуальном законодательстве получили название экспертных исследований.
Аидоев Б.В.,ПакП.Н. и ф. Расследование преступлений гофере компьютерной информации. - М., 2001.
2 Мур М. Исследования в обняли информациошюй-безопасное^ Научно-практическая конференция «Безопасность тетсоммумиюцпшшх и информационных технологий для взаимодействияграждан, "бизнеса и органов государственной власти». - М., 2002.
С развитием научной деятельности и возникновением новых научшх направлений, теорий и открытий вкриминалистическойпрактике возникает сначала необходимость» а затем и появляется как вид, род или класс новыхэкспертиз, исследующих те новые, но уже вошедшие в общественную жизнь достижения научно-технического прогресса. Именно это и произошло с компьютерным программным обеспечением. Его стремительное развитие обусловило возникновение нового вод» женсршз - программно-компьютерных, которые вошли в класс инженерно-технических экспертиз на основе того, что своим рождением сама вычислительная техникаобязанаименно инженерно-технической мысли. В основе ее деятельности лежат законы и открытия, сделанные именно в этой области научных познаний. Однако, несмотря на научную подкрепленность со стороны технических наук развитие компьютерно-технических экспертиз в нашей стране затрудняю. Это связано с наличием проблем какпроцессуального, так и организационного порядка, решение которых потребовало скорейшего начала исследований по вопросам разработки и применениякриминалистическихметодов и средств для производства экспертных исследований компьютерного программного обеспечения.
Основной чертой современного состояния экспертного исследования компьютерных средств является не только отсутствие нормативно-методического обеспечения самойэкспертизы, но и непроработанность процессуальных аспектов с ней связанных. Существующие же в настоящее время материалы обладают общим характером и, в основном, направлены на рассмотрение работы оперативно-розыскных иследственныхорганов, связанной с получением информации, представленной в виде электронных документов, графических изображений, видео- и аудиоинформации. Однако уже на сегодняшний день практика раскрыла ирасследованияпреступлений, сопряженных с использованием компьютерных средств, настоятельно требует разработки системных методических рекомендации, позволяющих повысить эффективность сбора, исследования и использования доказательств. В связи с этим существенно возрастает роль применения специальных инженерных познаний врасследованииэтого вида преступлений. Одной из важных ссорой этой деятельности является исследование программных продуктов, направленное на выявление фактов и обстоятельств, связанных спротивоправнымиспользованием и разработкой программных компьютерных средств, что и определяет актуальность поставленных вопросов. Именно на их разрешение будет направлено диссертационное исследование. Научную новизну сосшиют основные положения по выбору, созданию и применению методически подходов к использованию специальных познаний в области исследования программно-компьютерных средств.
Целью исследования является решение актуальной научно-прикладной задачи по разработке теоретических и методических основ экспертного исследования программного обеспечения компьютерных систем. Она заключается в обосновании предмета и объектов нового родасудебнойкомпьютерно-технической экспертизы (СПКЭ), формулировании методических рекомендаций по ее назначению, производству, оценке и использованию ее результатов. Достижению цели исследования способствовала постановка и решение еще двух задач, а именно: анализ споссбов совершения исокрытияпреступлений, сопряженных с созданием и использованием программного обеспечения, и выработка рекомендаций по проведению следственных действий, связанных ссобираниемкриминалистически значимой информации о программных продуктах.
Предмет исследования представляют закономерности формирования системы научно-технических и правовых знаний, синтез которых составляют научную и практическую основу судебной программно-компьютерной экспертизы (СПКЭ).
Объектом исследования является экспертная деятельность по исследованию программных средств, создаваемых и используемых присовершениикомпьютерных преступлений.
Методологической и теоретической основой исследования послужили основные положения материалистической диалектики как общенаучного метода познания, законы,подзаконныеи нормативные акта, определяющие работу следственных, экспертных исудебныхучреждений. При решении поставленных задач нами использовался широкий круг методов научного исследования: системно-структурный метод, методы наблюдения, сравнительного анализа, обобщениеследственнойи судебной практики.
Исследования, проведенные на стыке ряда научных дисциплин, потребовали использования литературы в области философии, логики, уголовно-правовых наук, кибернетики, математики, информатики и других наук, что предопределило комплексный характер данного исследования.
Теоретическую основу работы составили труды ученых в областикриминалистикии судебной экспертизы. Методологические основыСКТЭ, как самостоятельного рода класса инженерно-технических экспертиз, были впервые исследованы Е.Р. Российской (1996), а в последствии (1997-2002) в работах Е.Р. Российской и А.И. Усова эта теория получила свое дальнейшее развитие. Ряд положений, связанных с классификацией СКТЭ, были высказаны Т.Н.Абдурагимовой(2001), Т.В. Аверьяновой (1999-2001), А.В. Гор-тннским (2000), ВЛ. Мещеряковым (2000-2002), А.И. Яковлевым (2000), А.А. Васильевым (2002) и другими научными и практическими работникамиЭКУ. А.И. Усовым (2002) было произведено полное исследование концептуальных основ судебной компьютерно-технической экспертизы, одной из составляющих которой и являетсясудебнаяпрограммно-компьютерная экспертиза.
Эмпирическая база исследования. В течение 1999-2002 гг. нами было изучено свыше 150 заключений экспертов, в которых проводилось исследование компьютерных средств. Произведен обзор и анализ отечественного и зарубежного опыта. В процессе исследования автор участвовал в работе по темамНИР«Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» (коллектив авторовЭКЦМВД России и ЮИМВДРФ) № 4.2 плана НИР 2000 г. и «Методы и средства решения задач КТЭ» №303.13 плана НИР 2001 - 2002 гг. ЭКЦ МВД России. Их разработка велась в соответствии сПостановлениемПравительства РФ №1701-р от 22.10.1999 г. Результаты исследований обсуждались в ГУ ЭКЦ МВД России и в ЮИ МВД России и получили одобрение. Диссертантам использован также собственный огшт экспертной деятельности по исследованию компьютерных средств, в том числе и в ГУ ЭКЦ МВД России. В дисоертационном исследовании использовались документы юридической направленности из практикиправоохранительныхи судебных органов, в частности уголовные дела, экспертные заключения иприговорысуда. В работе над диссертацией также использованы законы и подзаконные акты, регламентирующие роботу экспертных, саедсгтвеюшх подразделений МВД России, судебных и экспертных учреждений МинистерстваюстицииРоссии.
Научная новизна диссертационного исследования состоит в уточнении существующих и создании новых теоретических и практических аспектов использования специальных знаний в области компьютерных средств при расследовании и раскрытии преступлений. Форма их применения - судебная программно-компьютернаяэкспертиза. В роботе исследуются и обосновываются правовые,процессуальные, организационные и методические аспекты судебно-экспертной деятельности по исследованию программно-компьютерных средств.
На защиту выносятся следующие положения: 1. Преступления, сопряженные с созданием и использованием программно-компьютерных средств, не ограничиваются толькопреступлениям!, предусмотренными 28 главой УК РФ, и на сегодняшний день вюпочшот большое количество иных преступлений (терроризм,хулиганство, кражи, нарушение авторских прав и т.д.)
2. Способы совершения и сокрытия преступлений, сопряженных с использованием и производством программных продуктов, определяющие выбор средств и методов для производства судебной программно-компьютерной экспертизы, в большинстве своем осуществляется в виде проведения атак на информационно-компьютерные системы. Лишь небольшая их часть представляет собойнеправомерноеиспользование программных средств, полученявдс легальным способом (нарушение авторских и смежных прав, изготовление и сбытподдельныхкредитных карт, ценных бумаг, денежных знаков и т.д.).
3. Судебная программно-компьютерная экспертиза средств является новым родом судебных экспертиз, относящихся к классу компьютерно-технических. В состав этого рода входят четыре вида судебных экспертиз: экспертиза системного программного обеспечения; экспертиза сервисов Web-серверов; программно-компьютерная экспертиза системной безопасности; программно-компьютерная экспертиза баз и банков данных.
4. В число объектов СПКЭ входят исполняемые модули и пакеты программ, алгоритмы, исходные тексты программ представленные как на электронных, так и на бумажных носителях.
5. Производствоследственныедействия по собиранию криминалистически значимой информации о программных продуктах, сопряжено с сбяэатель-ным участием в них специалистов в области информационных технологий и необходимостью использования специальной техники.
6. Проведенный в работе анализ следственной и экспертной практики показал, что объективное определение механизма и динамикипреступного-события в сфере современных информационных технологий, возможно лишь при всестороннем использовании специальных знаний СПКЭ в совокупности с иными областями судебно-экспертной деятельности. Такими как:судебнымиэкономическими, судебиюш тшеиержьтехническинш, товароведческими (автироведческими)экспертизами. В связи с этим установлено, что наиболее оптимальным решением проблемы выбора эксперта и экспертного учреждения для назначения судебной программно-компьютерной экспертизы является сбравденне в государственные судебно-экспертные учреждения.
7. Предложения по оптимизации процесса оценки результатов судебной программно-компьютерной экспертизыследователеми судом. Она должна осуществляться по общим правилам оценки доказательств. Совершенствованию этого процесса м преодолению трудностей, возникающих у субъектадоказывания, будут способствовать:
- установление компетентности эксперта, выполнившегосудебнуюпрограммно-компьютерную экспертизу, с помощью системы квалификационных категорий, которая может быть реализована через систему аттестаций сотрудников экспертных подразделений с присвоением квалификационной категории (первой, второй, высшей) по аналогии с системой, действующей в здравоохранении;
- контроль надпроцессуальной«чистотой» объектов судебной программно-компьютерной экспертизы, их корректнымизъятиеми хранением;
- использование экспертом СПКЭ только паспортизированных экспертных методик и апробированных программно-технических средств.
8. Предложения по совершенствованию подготовки специалистов в области СПКЭ. Наиболее эффективным способом подготовки экспертов судебной программно-компьютерной экспертизы является создание в технических вузах отделений или факультетов, где будет осуществляться подготовка судебных экспертов в рамках высшего профессионального образования по специальности «Судебная экспертиза» со специализацией «судебная компьютерно-техническая экспертиза», в рамках которой и будет проводиться более узкая специализация по изучению судебной протрамшю-компьютерной экспертизы.
Апробация и внедрение в практику и учебный процесс результатов диссертационного исследования проводились на научно-практических конференциях и семинарах в Академии управления МВД России («X Международная конференция по информатизации правоохранительных систем» (г. Москва, 2000г.); в Московском институте МВД Роесии «Состояние, проблемы применения и совершенствования законодательства о борьбе с организованнойпреступностьюи коррупцией» (2000 г.); ив 4-ой конференции Консорциума ПрМ вМГУим. Ломоносова (2001 г.) в рабочей группе «Влияние информационных технологий на национальную безопасность»; ГУ ЭКЦ МВД России (2001 г.) «Криминалистика. XXI век», «Мировое сообщество в борьбе с терроризмом» (2001 г.).
Основные положения диссертации опубликованы в 9 научныхстатьях, в отчетах по няучно-исхледовательской работе «Разработка методического обеспечения производства криминалистических экспертиз и исследований программно-технических средств при расследовании преступлений в сфере компьютерной информации» // Тема НИР № 4.2. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ. 2000., Отчет о научно-исследовательской работе «Выбор классификационных признаков и обоснование системы структурных методов и средств производства КТЭ» // Промежуточный отчет. Тема НИР №3.13. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ.2001, Отчет о научно исследовательской работе «Методы и средства решения задач компьютерно-технической экспертизы // Заключительный отчет, Тема НИР №3.7. Коллектив авторов. ЭКЦ МВД России и ЮИ МВД РФ, 2002. и в методических рекомендациях, внедренных в учебные процессыМГТУмим. Н.Э.Баумана в курсе компьютерно-техническая экспертиза» иМПОА, спец-семинар ««Судебная экспертиза в уголовном и гражданскомсудопроизводстве» по ценам об административныхправонарушениях».
Структура диссертационного исследования предопределена смыслом и логикой исследования. Работа состоит из введения, двух глав, заключения, списка литературы и приложения.

bibliography:
Заключение диссертациипо теме "Уголовный процесс; криминалистика и судебная экспертиза; оперативно-розыскная деятельность", Семикаленова, Анастасия Игоревна

Выводы экспертаСПКЭмогут иметь различную логическую форму. Существует много таких форм. Поскольку от этого во многом зависитдоказательственноезначение заключения, рассмотрим основные из них.
По содержанию выводы эксперта можно разделить на идентификационные и диагностические. Для идентификационных исследований характерны три вида выводов - об индивидуальной принадлежности, о родовой (групповой) принадлежности и о том, что объекты имеют единый источник происхождения. Второй дается тогда, когда индивидуальное тождество оказалось по каким-либо причинам недостижимым. Последняя группа выводов формулируется в тех случаях, когда невозможно корректно ответить на вопросы о полном отождествлении программных продуктов, чаще всего они даюггся при исследовании объектов поступивших наэкспертизув различном исполнении (например, программный модуль и текст программы).
В ходе диагностического исследования может быть сформулировано несколько типов видов. Так, при проведении классификации, т.е. установлении принадлежности объекта к какому-то классу объектов СПКЭ, формулируется классификационный вывод. В отличие от идентификационных исследований, здесь задача установления индивидуального тождества не ставится, объект исследуется в единственном числе, без какого-либо сравнения с дру
147 Судебно-компьютерное исследование компьютерных средств н систем: Основы методического обеспечения: Учебное пособие / А.И. Усов // Нод ред. проф. Е.Р. Российской. - М.: Издательство «Экзамен», издательство «Право и закон», 2003. гими, и отнесение его к какому-либо классу является конечной целью исследования. Он обычно имеет самостоятельное доказательственное значение148 (например, при отнесении объекта СПКЭ к конкретному виду программного обеспечения - прикладное, системное).
При проведении общего диагностического исследования компьютерных средств определяются свойства и состояние объекта, соответствие или несоответствие их какой-то норме149 (например, соответствие типа файла, описания его содержания и указанного в имени файла расширения).
При ситу алогических исследованиях объектов СПКЭ (когда анализу подвергается какое-то событие, информационный процесс) даются выводы о механизме события или его отдельных фрагментах, условиях и обстоятельствах (месте, времени, последовательности и т.п.)1S0. Например, при определении действий, выполнявшихся с программным обеспечением, с выявлением количества, времени, условий их модификации, при проведении нелегального доступа в компьютерные системы.
Кроме приведенного деления выводов по их содержанию существуют и другие формы выводов (по иным основаниям)151.
По определенности (степени их подтвержденное™) выводы делятся на: категорические - выводы, содержащие достоверные знания эксперта о факте, независимо от каких-либо условий его существования. Могут быть утвердительно положительными и утвердительно отрицательными. Даются тогда, когда результаты исследования полностью его подтверждают 152. На
148 См., например,Криминалистика. Учебник под ред. Р.С.Белкина. - М.: 1999
149 Там же.
150 Там же.
131ОрловЮ.К. Заключение эксперта и его оценка по уголовным делам.-М.:Юрнст,
1995.
152 Энциклопедиясудебнойэкспертизы/Под ред. Т.В.Аверьяновой, Е.Р. Российской. - М.: «Юристь»,1999. пример, выявленные программные средства (указывается перечень файлов) обладает признаками вредоносности; вероятные - выводы, содержащие обоснованное предположение (гипотезу) эксперта об установленном факте. Обычно они отражают неполную внутреннюю психологическую убежденность в достоверности аргументов, среднестатистическуюдоказанностьфакта, невозможность достижения полного знания. Они допускают возможность существования факта, но ж исключают абсолютно другого (противоположного вывода). По существующему законодательству вероятный вывод не может быть использован вобвинительномзаключении, решении суда и пр. Однако подобный вывод может являться обосновывающим новые знания, быть использован как ориентирующая информация при разработкеследственныхверсий и т.п. Кроме того, необходимо отметить, что при получении общего вероятного вывода поэкспертизенекоторые промежуточные выводы могут быть и категоричными153.
В выводах о возможности, в отличие от выводов о действительности, констатируется не факт объективной действительности, а лишь возможность какого-либо события, явления (например, наличие установок средств удаленного доступа к сети о возможности работы в сета Интернет). Возможность не следует смешивать с вероятностью. Если вероятность - это характеристика нашего знания, которая может повышаться по мере его углубления, то возможность - это объективное состояние вещей. Возможность устанавливается достоверно и, будучи установленной, не меняется от того, реализовалась она практически или нет. Поэтому недопустима встречающаяся в практике подмена вероятных выводов выводами о возможности. Это может привести к путанице и ошибкам. Например, вывод типа: «Использование данного программного продукта могло повлечь за собой несанкционированную модификацию информации», — можно понять и как то, что модификация информации, вероятно, произошла в результате работы именно этой программы, и как
153 Там же. то, что данная программ не имеет к этому никакого отношения. Она лишь можетсовершитьмодификацию, при определенном стечении обстоятельств,происшествиекоторых эксперту достоверно установить не удалось. Поэтому выводы о «возможности» должны формулироваться экспертом только в том случае, когда им решается вопрос не о имевшем место в действительности факте, а о фактической возможности какого-либо события, явления154 (например, о возможности осуществления несанкционированного доступа к информации с помощью представленного программного обеспечения).
По отношению к установленному факту: положительные (утвердительные) и отрицательные - отрицательный вывод констатирует отсутствие устанавливаемого факта, свойства (например, на представленном компьютере не обнаружено программное обеспечение с признакамиконтрафактности). Обычно отрицательной вывод являетсяоправдательнымдоказательством. От отрицательных выводов необходимо отличать отрицающие формулировки типа «не исключено», «не означает» и т.п. Употребление таких формулировок в выводах справедливопризнаетсянедопустимым. Так, вывод типа «не исключено, что данный документ был подготовлен на представленном компьютере», по существу равнозначен выводу о невозможности решения вопроса, поскольку последний тоже не исключает такой возможности. Поэтому отрицающие формулировки не несут никакой дополнительной информации, а лишь затрудняют понимание вывода. Вместе с тем они вполне допустимы не в -самом выводе, а в пояснениях (комментариях) к нему, которые нередко выносятся в синтезирующую часть заключения эксперта и могут иметь большое значение для правильного понимания и оценки вывода155 (например, эксперт, установив, что исследуемые файлы относятся к файлам баз данных, что они были созданы и управляются
154См., например,ОрловЮ.К. Заключение эксперта и его оценка по уголовнымделам. - М.: Юрист, 1995.
155ОрловЮ.К. Заключение эксперта и его оценка по уголовным делам. - М.:Юрист, 1995. одной СУБД, может указать, что это не означает их принадлежность к одной и той же базе данных, т.е. существование между ними функциональной взаимосвязи).
По характеру отношений между следствием и его основанием: условные - признание факта в зависимости от определенных обстоятельств, достоверности предыдущих знаний,доказательственностидругих фактов {если ., то .). Таким образом, истинность данного вывода ставится в зависимость от какого-либо условия156 (например, найденная вредоносная программа имеет дату создания 00.00.00, если настройки системной даты не подвергались модификации); безусловные - признание факта, не ограниченное ни какими условиями157 (например, на данном компьютере была обнаружена программа, несанкционированно копирующая содержащуюся в системе информацию на конкретный адрес электронной почты). Выводы данного типа могут также высказываться в категорической и вероятностной форме.
По выбору одной из двух (или нескольких) исключающих друг друга возможностей: альтернативные {многовариантные) — выводы, содержащие строго раздельное суждение, указывающее на возможность существования любого из перечисленных в нем взаимоисключающих фактов и необходимость выбораследователем(судом) какого-либо одного из них и признание его имевшим место в действительности. Т.е. альтернативный вывод формулируется, когда эксперту не удалось прийти к единственному варианту решения, и ито
56Энциклопедия судебнойэкспертизы/ Под ред. Т.В.Аверьяновой, Е.Р. Роосин-ской. - М.: «Юристы»,1999.
157 Энциклопедия судебной экспертизы / Под ред. Т.В.Аверьяновой, Е.Р. Российской. - М.: «Юристы»,1999. гом исследования явилось несколько вариантов 158 (вирусная программ могла попасть в компьютерную систему по сети Интернет или занесена пользователем при помощи внешнего магнитного носителя). Альтернативные выводы допустимы, когда названы все без исключения альтернативы: каждая из них должна исключать другую, и тогда от ложности одного можно логически перейти к истинности другого, от истинности первого к ложности второго); однозначный вывод дается, когда эксперт приходит к единственному варианту решения (исследуемые программы имеют единый источник происхождения).
Завершающий этап с составлением заключения эксперта. На данном этапе составляется текст заключения, приложения, оформляются иллюстрации, упаковываются объекты и другие поступившие на экспертизу материалы. Необходимо отметить, что уголовно-процессуальный закон регламентирует содержание заключения эксперта лишь в самых общих чертах. Однако на практике выработаны подробные реквизиты заключения эксперта, и определена его структура, что нашло закрепление в различных ведомственных положениях и инструкциях, регулирующих деятельность экспертных учреждений, а также отражено в бланках (образцах) заключения эксперта. ДляРФЦСЭпри Минюсте России таким документом является Приказ № 364 от 20 декабря «Об утверждении Методических рекомендаций по производствусудебныхэкспертиз в государственных судебно-экспертных учреждениях системы МинистерстваюстицииРоссийской Федерации». Упаковка объектов, поступивших на исследование, должна производится в соответствии с рекомендациями, предложенными в § 1.3 настоящей диссертации.
Итак, исходя из изложенного, можно сделать вывод, что представленные элементы экспертной методики по проведению экспертизы аппаратно-компьютерных средств, базируются на изложенных
158 См., например, Энциклопедия судебной экспертизы / Под ред. Т.В.Аверьяновой, Е.Р. Российской. - М.: «Юристь», 1999.ОрловЮ.К. Заключение эксперта и его оценка по уголовным делам. - М.: Юрист, 1995. выше принципах, и при правильном выборе эксперта способны обеспечить составление качественного экспертного заключения. Рассмотренные в этом параграфе аспекты предоставляют широкие возможности эксперту СПКЭ как по проведению самого экспертного исследования, интерпретации полученных результатов, так и по выработке содержания заключения экспертизы.
§ 23. Оценка и использование результатов экспертизы судебной программно-компьютерных средств.
Обязательным элементом процессасудебногодоказывания является оценка собранных поделудоказательств, которая производится следователем или судом по своему внутреннему убеждению, на основе всестороннего, полного и объективного рассмотрения всех обстоятельств дела » их совокупности (ст. 17УПКРФ). В соответствии с уголовно-процессуальнымзаконодательством результаты судебной программно-компьютерной экспертизы, представленные в виде заключения эксперта, являютсядоказательствами, а, следовательно, их оценка производится по общему правилу оценкидоказательств. Под оценкой доказательств понимается логический процесс определения ихдопустимости, относимости, наличия и характера связей между ними, определение значения и путей использования доказательств для обнаружения истины159. Особенности оценки такого специфичного вида доказательств как заключение эксперта подробно рассматривались в работах многих ученых:АрсеньеваВ.Д.160, Белкина Р.С.161, Корухова Ю.Г.162, Орлова
159БелкинР.С. Собирание, исследование и оценка доказательств. Сущность и методы. - М.,1966. - С.66-67
1М Арсеньев ВД Актуальные вопросы оценки заключения эксперта какдоказательствапо уголовному делу // Теоретические и методические вопросы судебной экспертизы: Сб. науч. трудовВНИИСЭ. - М., 1985.
161БелкинР.С. Указ. раб. с. 281-203
Ю.К.163, Российской Е.Р.164 и др. Поэтому, для рассмотрения данного вопроса относительно судебной программно-компьютерной экспертизы может быть применена общая схема оценки заключения, разработанная вкриминалистическойлитературе165: допустимость заключения: соблюдение порядка назначения и проведения судебной программно-компьютерной экспертизы; соблюдение процедуры постановки вопросов об исследовании программ эксперту насудебномразбирательстве; подлежит ли эксперт отводу; правильность оформления заключения судебной программно-компьютерной экспертизы;допустимостьобъектов экспертизы: соблюден липроцессуальныйпорядок получения программных объектов; соблюдены ли правила транспортировки и хранения информационных носителей, на которых записаны программные объекты; определение достоверности заключения:
162КоруховЮ.Г. Достоверность экспертного заключения и пути совершенствования ее оценки //Вопросы теории судебной экспертизы и совершенствование деятельности судебно-экспертных учреждений: Сб. науч. трудов ВНИИСЭ.- М., 1988. - с.6-8
163ОрловЮ.К. Заключение эксперта и его оценка по уголовным делам. М., 1995. с.
40-55
164 Российская ЕЛ1.Судебнаяэксперта» в уголовном, гражданском иарбитражномпроцессе. - М., 1996.
165 См., например,ЛифшицЕ.М., Михайлов В.А. Назначение и производство экспертизы. - В.: ВСШМВДРФ, 1977; Российская Е.Р. Судебнаяэкспертизав уголовном, гражданском, арбитражном процессе, М,: Право и закон, 1996.
- надежность примененной методики по исследованию программных продуктов;
- правомерность применения методики исследования программных продуктов в конкретном случае;
- достаточность представленного эксперту исследовательского материала;
- правильность представленных исходных данных о программном продукте; определение обоснованности полученных результатов:
- определение полноты проведенного экспертом исследования программного продукта;
- степень подтверждения вывода проведенным исследованием программного продукта; определениедоказательственногозначения заключения.
Отправным моментом всего процесса оценки является определение допустимости заключения судебной программно-компьютерной экспертизы, которая заключается в проверке соблюденияпроцессуальногопорядка подготовки, назначения и проведения экспертизы. Проверке подлежат:законностьназначения данной экспертизы и соблюдение необходимых требований кпостановлениюо ее назначении; соблюдениеохраняемыхзаконом прав обвиняемого и других участников процесса при производстве СПКЭ и назначении экспертизы; соблюдение процессуального порядкаразъясненияэксперту его прав иобязанностейи предупреждения об уголовной ответственности задачузаведомо ложного заключения; наличие всех необходимых по закону реквизитов заключения как процессуального акта.
Вопросы оценки заключения эксперта с точки зрения его допустимости подробно рассмотрены впроцессуальнойлитературе166, однако, как показывает изучение судебно-следственной практики, в отношении судебной программно-компьютерной экспертизы они вызывают затруднения. Основываясь на проведенных нами исследованиях167, мы пришли к выводу о том, что основную сложность вызывает вопрос проверки соответствия квалификации и опытности эксперта.Следовательи суд затрудняются объективно оценить компетентность эксперта, так как эти сведения, отражаемые в заключении, носят формальный характер. Представляется, что ни стаж работы, ни образовательная специальность, указываемая в заключении, не могут характеризовать в полном объеме экспертную компетентность и способность решить поставленные задачи. Мы, так же, как и ряд ученых, занимавшихся этой проблемен!168, считаем, что оценка компетентности эксперта судебной программно-компьютерной экспертизы должна идти по пути выяснения трех основных составляющих его подготовки: специального образования (в нашем случае - в области информационных технологий); судебно-экспертной подготовки; квалификационного уровня эксперта.
166ПетрухинИ.Л. Экспертиза как средстводоказыванияв советском уголовном процессе. - М., 1964. - с.245.БелкинР.С. Указ. раб., с.287-288.
167НИР-2000 № 4.2. «Разработка методического обеспечения производствакриминалистическихэкспертиз и исследований программно-технических средств прирасследованиипреступлений в сфере компьютерной информации» - М.:ЭКЦМВД, 2000
168 См., например,РоссийскаяЕ.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. - М.: Право и закон, 2001. с. 262.СемикаленоваА.И. К вопросу о подготовке экспертов в области компьютерно-техническихэкспертиз. // Информатизация правоохранительных систем. IX международная научная конференция. Сборник трудов. - М.: 2000, с. 438-432.ШведоваН.Н. Применение компьютерных технологий в технико-криминалистических исследованиях документов. Дисс. . кнд.Юрнд. Наук. - Волгоград: ЮИ МВД, 1999.
Совершенно очевидным является то, что эксперты должны обладать познаниями как в сфере информационных технологий, так и в сферекриминалистики, судебной экспертизы и общих основ права.
Опираясь на предложенный перечень познаний, необходимых для эксперта в области судебной программно-компьютерной экспертизы, мы можем поставить вопрос о подготовке экспертных кадров необходимой квалификации. На наш взгляд существует три способа решения этой проблемы.
Прием на работу специалистов в сфере современных информационных технологий с последующим повышением их квалификации в области криминалистики, судебной экспертизы, основ общего и процессуального права.
Довод о том, что специалисты в области судебной программно-компьютерной экспертизы должны очень хорошо разбираться в вопросах, связанных с программным обеспечением, не подлежит сомнению. Исходя из этого, подобный выбор подготовки персонала является достаточно обоснованным. Такие специалисты хорошо подготовлены в области наук, связанных с информационными технологиями. Они получили соответствующую практическую и теоретическую подготовку в области естественнонаучного и технического познания мира, обладают широкими навыками в обращении с компьютерной и иной техникой, имеющей в основе своей работы теорию образования и движения информационных процессов. Таким образом, данные специалисты подходят в полной мере для проведения СПКЭ. Тем не менее, необходимо учитывать ипроцессуальнуюсторону деятельности эксперта.
Из процессуального законодательства нам известно, что экспертное заключение являетсядоказательством. Однако, как мы уже говорили, оценка достоверности установленных экспертом выводов представляет собой сложный процесс. Так, следователем или судом всегда обсуждается вопрос о допустимости заключения эксперта как источника доказательств. И в этом процессе важную роль играет его приемлемость с точки зрения процессуальной формы и соблюдения экспертомпроцессуальныхположений. Они как раз и свидетельствуют о компетенции эксперта и являются далеко не последним доказательством этого. Именно поэтому такие специалисты могут и должны получить необходимую им юридическую подготовку в процессе работы, обучаясь на курсах повышения квалификации по следующей программе169: базовая юридическая подготовка в одном из юридических вузов или на курсах повышения квалификации (примерный тематический план подготовки экспертов государственных судебно-экспертных учреждений по специальности судебная программно-компьютерная экспертиза предложен в приложении 2); стажировка в одном из экспертных учреждений, проводящих СПКЭ; участие в научно-практических семинарах и тематических конференциях.
Однако, взглянув на этот способ решения кадровой проблемы с другой стороны, становится ясно, что, беря во внимание стремительный рост числапреступлений, так или иначе связанных с программными средствами, и соответственно растущие потребности в проведении СПКЭ, отвлечение экспертов от производственного процесса станет маловероятным и неэффективным. При этом затяжной процесс обучения в областиюриспруденцииприведет к серьезным экспертным ошибкам.
169 ПриказМинюстаРФ № 112 от 15.06.2004
Открытие в юридических вузах специальности «судебная экспертиза», а в ней специализацию «компьютерно-техническая экспертиза».
Изначально судебных экспертов - экспертовкриминалистовначали готовить в юридических вузах системы МВД. И сейчас в Саратовском юридическом институте проводятся семинары и стажировки. Однако необходимо напомнить, что, по нашему мнению, судебная программно-компьютерная экспертиза является родом экспертиз, относящихся к классу компьютерно-технических экспертиз. Вследствие этого обучение СПКЭ в рамках ее класса с углубленной специализацией на последних годах обучения является наиболее продуктивным способом подготовки экспертов данного направления.
Рассматриваемый способ является в какой-то мере противоположным предыдущему. При этом способе эксперты для проведения СПКЭ готовятся в юридических вузах и на протяжении всего обучения получают хорошую юридическую подготовку. Студенты, выбравшие своей специальностью СПКЭ, должны будут помимо курсов по праву, судебной экспертизе и криминалистики изучить общематематические и естественнонаучные предметы, а также специализированные курсы информационных технологий.
Несомненным плюсом данного способа подготовки специалистов является то, что они будут обладать более глубокими познаниями в области права. Минусом - то, что эти вузы, обладая хорошей юридической базой, имея сильные преподавательские составы и налаженный учебный процесс по юридическим и иным гуманитарным наукам, практически не обладают достаточной технической базой, необходимой для подготовки специалистов в области СПКЭ. Существующие в таких вузах кафедры информатики на оегодняшний день не готовы обучать тонкостям информационных технологий. Поскольку организация новых технических и естественнонаучных кафедр, а также наработка практико-теоретических основ в гуманитарных учебных заведениях очень долгий и трудоемкий процесс, естественным было бы предложить создать факультеты судебной компьютерно-технической экспертизы в технических вузах страны.
Открытие в технических вузах кафедры «судебнаи экспертиза» со специализацией «судебная компьютерно-техническая экспертиза».
Этот способ подготовки представляется наиболее подходящим. Так как большое количество государственных технических учебных заведений на сегодняшний момент имеют хорошую, устоявшуюся за много лет, теоретическую базу в технических областях науки, а также хорошо поставленный и отработанный учебный процесс именно по компьютерно-информационным направлениям. Подобные вузы страны также имеют неплохую техническую базу, способную обеспечить всем необходимым студентов, обучающихся по этим специальностям. Но, к сожалению, у них есть один немаловажный недостаток - юридические направления там практически не развиты, что и является несомненным минусом этого способа подготовки специалистов. Однако существует возможность его преодоления без больших потерь для учебного процесса. Так, юридическое образование можно развить на основе уже имеющихся гуманитарных кафедр, добавив к ним необходимые кафедры права, криминалистики и судебной экспертизы, или приглашать для преподавания этих дисциплин преподавателей из юридических вузов, успевших уже зарекомендовать себя с хорошей стороны. Чтение лекций, проведение семинаров и лабораторных работ по техническим и естественнонаучным предметам в этом случае могли бы вестись по уже отлаженным методикам. Принимая во внимание все выше сказанное и учитывая быстрый рост коммерческих гуманитарных учебных заведений, хотелось бы отметить, что данный подход является наиболее оптимальным решением проблемы. Именно в таких вузах и при таких условиях появилась бы возможность открыть специальность компьютернотехнической экспертизы, которая выпускала бы квалифицированные экспертные кадры, в том числе и по судебной программно-компьютерной экспертизе.
Подобные рассуждения о подготовке специалистов в области судебной экспертизы на базе технических вузов уже не один год рассматриваются в научных кругах170. Разрабатываются новые методики, учебные планы, в которых большое внимание придается именно техническим и естественным наукам, предполагается наиболее полное совместное использование всех возможностей технических и юридических вузов. Одним из ярких примеров такой работы без сомнения является открытие специальности «судебная экспертиза» в Ml "1'У им. Н.Э. Баумана. Подготовленный таким образом специалист будет удовлетворять критерию компетентности по первым двум признакам, а именно специального образования и судебно-экспертной подготовке. Пока этих специалистов готовят в рамках второго высшего образования. Однако планируется со следующего учебного, года начать подготовку в рамках первого образования. Этим специалистам будут выдавать дипломы государственного образца. Однако необходимо отметить, что этот способ подготовки специалистов не будет исключать аттестацию экспертов на получение права подписи.
Последний из указанных критериев оценки компетентности эксперта (квалификационный уровень эксперта) может быть реализован через систему аттестации сотрудников экспертных подразделений с присвоением квалификационной категории (первой, второй, высшей) по аналогии с системой, действующей в здравоохранении171. Деятельность ныне сущест
170 См., например,УсовА.И. Концептуальные основы судебной компьютерно-технической экспертизы. Дисс— докт-юрид. наук - М., 2002.
171 Приказ Министра здравоохранения ■ медицинской промышленности Российской Федерации № 33 от 16.02.1995 г. "Об утверждении положения об аттестации врачей, провизоров и других специальностей с высшим Образованием в системе министерства здравоохранения". вующих квалификационных комиссий нередко сводится к оформлению допусков к производству того или иного вида экспертиз специалистам, впервые принимаемыми на должность эксперта в данные подразделения. Представляется, что процедура аттестации должна быть тесно связана с непосредственным повышением экспертной квалификации в специализированных учебных заведениях, региональных базовых экспертных подразделениях. Таким образом, квалификационная категория эксперта действительно будет отражать уровень его компетенции, что облегчит оценку заключения по судебной программно-компьютерной экспертизе следствием
172 и судом
Следующим вопросом, которому следует уделить особое внимание, является допустимость объектов судебной программно-компьютерной экспертизы, исследующихся во время судебной программно-компьютерной экспертизы. Если изучаемые программные средства будут признаны недопустимыми, то автоматически теряет это свойство и само данное по ним заключение. В связи с этим всегда должна быть проверенапроцессуальнаясторона объектов экспертного исследования. Для этого, прежде всего, нужно установить, был лизаконнымспособ их получения. Анализ практикисобираниядоказательств по делам, связанным с созданием и использованием программных продуктов, показывает, что компьютерные средства могут бытьизъятыв ходе следственного действия (осмотра,обыска, выемки) либо представлены кем-нибудь из участников процесса или посторонними лицами. Техническая документация на программные продукты, как проектного, так и пользовательского содержания, может бытьистребованав учреждениях, предприятиях и удолжностныхлиц. В любом случае присовершенииозначенных действий должен быть соблюден процессуальный порядок получения следователем (судом) этих объектов. Особенно это относится к получению в ходе
172ШведоваН.Н. Применение компьютерных технологий в технико-криминалистических исследованиях документов. Дисс. . кнд.Юрид. Наук. - Волгоград: ЮИ МВД, 1999. следственных действий объектов, которые в дальнейшем могут стать вещественными доказательствами (главы 24 и 25 УПК РФ). Если при зтом были допущены существенные нарушения (например, изменена информация о последнем запуске программного продукта), ставящие под сомнение достоверность результатовследственногодействия (например, осмотра содержимого винчестера компьютера), то вещественные доказательства могут быть признаны недопустимы»»!. А это, в свою очередь, влечетнедопустимостьи заключения эксперта по исследованию объектов СПКЭ.
При изучении материалов уголовных дел173 было установлено, что в большинстве случаев защитой ставились под сомнение выводы экспертизы именно в связи с исследованием недоброкачественных впроцессуальномсмысле объектов. Объяснением этой ситуации является то, чтоследователидо настоящего времени часто переоценивают свои навыки по работе с компьютерной техникой и с программным обеспечением в частности, поэтомуизъятиенередко происходит с грубыми тактическими нарушениями.Изымаемыеобъекты подробно на месте не осматриваются, и в протоколах никак не отражаются их индивидуальные признаки. Так, на наш взгляд, приизъятиипрограммного продукта должно быть зафиксировано не только его название и месторасположение на носителе информации, но и его файловый состав со всеми атрибутами, описан способизъятияи новое место расположения.
На допустимость объекта СПКЭ влияет не только соблюдение правил его получения, но инадлежащееего хранение уже после изъятия, в частности это касается носителей информации, на которых хранится программа - объект (ст. 82 УПК РФ). Оно должно исключать возможность преднамеренных или случайных изменений (подмены) объекта, так как сомнение в подлинности объекта экспертного исследования также может повлечь недопустимость заключения эксперта СПКЭ174.
173 Отчет о НИР «Методы и средства решения задач КТЭ» (промежуточиый).-М.ГУ ЭКЦ МВД России, 2000.
174 См., например,ОрловЮ.К. Указ. работа, с.43-44
Необходимо отметить, что эксперт, выполняющийсудебнуюпрограммно-компьютерную экспертизу, должен обращать внимание как на безупречность изъятия объектов, которое может осуществляться в рамках осмотра, обыска или выемки, так и на правильность упаковки, транспортировки и хранения. Последнее вызывает наибольшую тревогу, поскольку именно при хранении чаще всего бывают «скомпрометированы» будущие объекты исследований. Многие следователи пытаются самостоятельно, без соблюдения процессуальных требований, осмотреть и исследовать работу программных средств. При изъятии программных продуктов вместе с аппаратной составляющей компьютерной системы некоторые следователи заблуждаются, предполагая, что использование компьютерных средства вслужебныхили личных целях, не затрагивая программного обеспечения, предназначенного на исследование, не приводит к изменению, а в некоторых случаях даже уничтожению объекта. Однако, даже при отсутствии следов подобной деятельности на исследуемой программе, обнаружение их в системе в целом ставит под сомнение неизменностьизъятогообъекта. Анализ практики показывает, что именно такая версия защиты (внесение изменений в компьютерную программу после ее изъятия у пользователя) преобладает вделах, по которым проводилась СПКЭ.
Иногда судебно-экспертные исследования программно-компьютерных средств проводятся при недостаточных материалах. Эксперты редко пользуются правом участия в следственных действиях, а такжеистребованиядополнительных материалов уголовного дела, которые следовательобязанпредоставить при необходимости для исследования (ст.57 УПК РФ). Они должны проверять правильность исходных данных, указываемых впостановленииследователя или определении суда о назначении экспертизы. Не редко возникает ситуация, при которой эксперту не хватает тех данных, которые указаны в постановлении, и необходимо ознакомиться со всеми материалами, представленными вделе. Так, например, при поступлении на исследование компьютерной системы, в постановлении было указано, что лица, проходящие по данному уголовному делу,обвиняютсяв разбойном нападении, а вопрос был поставлен о том, можно ли с помощью представленного аппаратно-программного комплекса печататьподдельныерецептурные бланки? Для проведения исследования эксперту понадобились дополнительные материалы, в частности образцы техподдельныхрецептурных бланков, печать которых предполагалась с использованием представленной системы173.
Заключение
Актуальность проблемырасследования«компьютерных» преступлений, совершаемых с использованием программно-компьютерных средств и имеющих высокуюлатентность, обусловила выбор нами темы диссертационного исследования, связанной с разработкой теоретических и методических осно