Тактика изъятия компьютерной информации
- Значение компьютерной информации для расследования преступлений
- Уголовно-процессуальные способы изъятия компьютерной информации
- Подготовительный этап изъятия СВТ и компьютерной информации
- Техническая подготовка к проведению следственных действий
- Тактические особенности обыска
- Тактические особенности выемки
- Тактические особенности осмотра
Значение компьютерной информации для расследования преступлений
Ни одна сфера деятельности человека не развивается в настоящее время так быстро, как информационные технологии, ставшие главной отличительной чертой эпохи. Особенностью развития средств вычислительной техники является не только стремительное их видоизменение, но и постоянное появление новых ее видов, основанных на сочетании новых и старых разработок (от электронно-вычислительных машин, занимающих площадь в 100 кв. м, до iPhone, iPad и других миниатюрных устройств хранения и обработки цифровой информации).
Использование единого способа записи данных на носители всех этих устройств позволяет объединить их в единый класс, названный средствами вычислительной техники (СВТ).
Результатом быстрого развития информационных технологий и появления телекоммуникационных средств связи стало полное изменение системы документооборота и переход к безбумажной системе обмена информацией. В связи с этим все большее значение стала приобретать компьютерная информация. Процессы информатизации проникли во все сферы жизни и, естественно, отразились на облике преступности.
Это касается не только преступлений в сфере компьютерной информации (предусмотренных главой 28 УК РФ: ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование и распространение вредоносных компьютерных программ», ст. 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»), но и других преступлений, совершение которых возможно с применением средств вычислительной техники. В криминалистике подобные преступления принято называть компьютерными (от англ. computer crime).
Следует учитывать, что практически нет такого преступления, вплоть до убийства и акта терроризма, следы которого не могут быть отображены в виртуальной реальности, т. е. на электронных носителях. Это означает, что следствие может столкнуться с необходимостью изъятия и исследования компьютерной информации при расследовании любого преступления.
При расследовании преступлений следует учитывать, что компьютерная информация и средства вычислительной техники могут выступать как:
- предмет преступного посягательства;
- орудие преступления, например при производстве фальшивых денежных знаков (фальшивомонетничество);
- одновременно предмет преступного посягательства и орудие преступления (по диспозиции главы 28 УК РФ);
- источник информации о преступном деянии.
Применительно к процессу доказывания компьютерная информация может быть определена как сведения о лицах, предметах, фактах, событиях, явлениях и процессах, зафиксированные на электронных носителях, как информация, которая создается, изменяется, хранится, обрабатывается, передается с использованием средств вычислительной техники, а также фактические данные, обработанные СВТ и полученные на выходе в форме, доступной восприятию технического устройства либо человека или передающиеся по телекоммуникационным каналам, на основе которых в определенном законом порядке устанавливаются обстоятельства, имеющие значение для правильного разрешения дела. Компьютерная информация в уголовном судопроизводстве рассматривается как вещественное доказательство (документ) (ст. 81 УПК РФ) или иной документ (ст. 84 УПК РФ). Средство вычислительной техники при определенных условиях может быть признано вещественным доказательством.
Документированная информация (документ) — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.
Компьютерная информация может рассматриваться как документ, если она представляет собой структурированную совокупность данных, имеющую юридические или информационные реквизиты. Однако не всякая компьютерная информация является документом.
Источниками компьютерной информации могут служить: машинная распечатка, различные виды накопителей (архивная или внешняя память), информация, содержащаяся в оперативной памяти ЭВМ.
Информация в ЭВМ вводится через устройства ввода информации (клавиатуру и различные виды внешних накопителей — микровинчестеры, карты памяти, флэш-память). Для этой же цели могут быть использованы и нестандартные средства ввода, такие как мышь, модем, дигитайзер, сканер и др. Устройства вывода информации дают возможность пользователю получить результаты работы компьютера в привычном для себя виде. Стандартные устройства вывода: монитор (дисплей), принтер, модем, плоттер (графопостроитель) и различные виды внешних накопителей, на которых информация находится в машинном коде.
Существуют специальные устройства для долговременного и надежного хранения данных: внешние диски объемом в несколько гигабайт, магнитооптические накопители и др.
Все больше организаций используют компьютерные и информационно-коммуникационные технологии как для осуществления производственной и коммерческой деятельности, так и для оформления различных документов. С этой целью используется различное программное обеспечение (ПО), т. е. набор программ, реализующих те или иные задачи пользователя. ПО может быть общего пользования (как например, офисные продукты, поставляемые фирмой Microsoft), так и специальные программные продукты, направленные на решение конкретных профессиональных задач. Так, в настоящее время все хозяйствующие субъекты имеют компьютеризированный бухгалтерский учет, в том числе и с применением программ по зарубежному законодательству.
В связи с этим не следует забывать о том, что специализированные программы также могут стать объектом преступного посягательства. Они могут выступать как предмет посягательства, являясь интеллектуальной собственностью с соответствующим авторским правом.
Уголовно-процессуальные способы изъятия компьютерной информации
В условиях расследования компьютерная информация может изыматься как у юридических, так и у физических лиц. Компьютерная информация, являющаяся, по мнению следствия, доказательством по уголовному делу, должна изыматься только процессуальными способами, предусмотренными законом, — в результате осмотра, обыска, выемки или других следственных действий. Выбор конкретного следственного действия зависит от решения следователя, которое, как правило, обусловлено конкретной ситуацией расследования на момент изъятия компьютерной информации.
Отличительной чертой преступлений в сфере информационных технологий является тот факт, что место осуществления неправомерных действий с компьютерной информацией не совпадает с местом неправомерного доступа к информации и местом наступления вредных последствий. Это означает, что действия, совершаемые в одном месте, могут повлечь доступ к информации в нескольких других удаленных местах, а вредные последствия могут наступить в третьем, в том числе удаленном на значительное расстояние от первых двух, месте. Часто такие преступления совершаются дистанционно по каналам электросвязи в одном месте, например в жилище преступника, а в других местах обнаруживаются его признаки, например в технологическом помещении провайдера услуг Интернета и (или) по месту нахождения потерпевшего правообладателя. Это замечание позволяет сориентировать следователя в поиске мест возможного нахождения СВТ и компьютерной информации, относящихся к совершению преступления и носящих его следы.
Определив, где и у кого находятся СВТ и иные носители криминалистически значимой компьютерной информации, следователь выбирает способ ее поиска и изъятия. В бесконфликтной ситуации, при которой гражданин или организация — потерпевшие от правонарушения сами обращаются в следственные органы с заявлением о совершенном преступлении и готовы оказать помощь в установлении истины, добровольно предоставляя всю необходимую информацию, целесообразно проводить выемку или осмотр. В подобных случаях правообладатель информации сам старается оказать содействие правоохранительным органам при расследовании, поэтому допустимо получить помощь от него.
В конфликтной ситуации (когда гражданин или сотрудники организации подозреваются в осуществлении неправомерных действий), особенно при расследовании преступлений в сфере экономики, целесообразно проводить обыск, поскольку может быть оказано явное или скрытое противодействие проведению следственных действий, вплоть до преграждения доступа и уничтожения или порчи средств вычислительной техники, компьютерной информации и электронных носителей.
Подготовительный этап изъятия СВТ и компьютерной информации
В соответствии с п. 9.1 ст. 182 и п. 3.1 ст. 183 УПК РФ при производстве обыска и выемки электронные носители информации изымаются только с участием специалиста. Такое положение закона обусловлено особой актуальностью компьютерных доказательств, поиск, изъятие, хранение и анализ которых представляет собой специфическую деятельность, требующую специальных знаний и навыков. В связи с этим рекомендуется привлечение специалистов уже на ранних этапах расследования при подготовке к производству следственных действий по изъятию компьютерной информации.
Деятельность следователя (следственной группы) при производстве таких следственных действий можно разделить на несколько этапов:
- Подготовка следственного действия.
- Проведение следственных действий на территории подозреваемого объекта, потерпевшего или иного объекта, где могут находиться СВТ или электронные носители информации со следами преступления.
- Изъятие СВТ и электронных носителей данных.
- Работа по предварительному исследованию изъятых СВТ.
- Назначение экспертных исследований СВТ и информации, находящейся в них.
Это всего лишь общая схема действий, которая может «дробиться» на более мелкие этапы в зависимости от обстоятельств совершенного преступления.
Перед началом проведения подготовительного этапа следователю необходимо получить консультацию специалиста, чтобы определить целесообразность и объем проведения предварительных оперативно-розыскных мероприятий.
Прежде чем проводить следственные действия с подозреваемым, необходимо выяснить, услугами какого интернет-провайдера пользуется гражданин или организация. Перед началом следственных действий выход в глобальную сеть необходимо отключить. Провайдеры обязаны содействовать следственным органам в соответствии с постановлением Правительства РФ от 27.08.2005 г. № 538 «Об утверждении правил взаимодействия операторов связи с уполномоченными государственными органами, осуществляющими ОРД» (в ред. постановлений Правительства РФ от 19.11.2007 г. № 790, от 13.10.2008 г. № 761).
На подготовительном этапе важную роль играет взаимодействие следователя с оперативными подразделениями, регламентированное указанием Генеральной прокуратуры, СК при прокуратуре РФ от 02.03.2009 г. № 57-49/3/206 «О порядке получения и приобщения к материалам уголовного дела результатов контроля и записи телефонных и иных переговоров, представляемых органами, осуществляющими оперативно-розыскную деятельность». Оперативным путем может быть получена важная информация об объекте, а именно:
- общее количество компьютеров и схема их распределения по помещениям организации;
- наличие локальной вычислительной сети внутри организации, ее топология (т. е. способ объединения компьютеров в сеть);
- наличие выхода в глобальную вычислительную сеть и провайдера (одного или нескольких), осуществляющего его;
- операционные системы, используемые предприятием;
- наличие штатного системного администратора;
- режим работы организации;
- способы ограничения доступа к информации.
Если следственное действие планируется провести в жилище конкретного лица, предварительная разведка также необходима, особенно в части установления, какими СВТ он обладает и какие ограничения доступа к информации использует.
Предварительное определение общего количество компьютеров и схемы их распределения по помещениям организации позволит следователю правильно спланировать количественный состав следственной группы и тактику проведения следственных действий. В это время происходит не только установление местонахождения СВТ, но и определение их функционального назначения, наличия на них особых аппаратных либо программных средств защиты информации и возможностей доступа к защищаемой информации
Определение наличия локальной вычислительной сети внутри предприятия, ее топологии позволит предотвратить возможность сокрытия криминалистически важных данных от следствия путем «пересылки» их внутри сети или отправки в удаленные базы данных. Знание топологии сети позволит также правильно составить план и порядок осмотра СВТ,
так как она определяет не только способ технического объединения компьютеров между собой, но и возможные «маршруты» передачи данных.
Определение наличия выхода в глобальную вычислительную сеть и провайдера (одного или нескольких), осуществляющего его, является одним из ключевых моментов этапа подготовки, поскольку первое, что необходимо сделать перед началом следственных действий, — исключить возможность организации выхода в глобальные сети. Известно, что цифровые данные — самые «хрупкие» доказательства, которые легко подвергаются модификации, уничтожению и укрывательству за минимально короткие промежутки времени. Удаленные базы данных, создаваемые «продвинутыми» злоумышленниками, существенно осложняют работу следователя, уподобляя ее поиску «иголки в стоге сена» на пространстве глобальной сети.
Определение операционной системы, используемой предприятием, необходимо для того, чтобы специалист, принимающий участие в следственных действиях, мог подготовить пакет необходимых программных, антивирусных и прочих средств для работы на месте изъятия информации. Это позволит специалисту подготовить необходимое (по информационному объему) количество носителей цифровых данных при необходимости их изъятия непосредственно на месте.
Определение наличия штатного системного администратора позволит специалисту подготовить следователя к тактике проведения его допроса. Именно системный администратор имеет наиболее полную информацию о функционировании сети и потокам данных в ней. Если такая должность на предприятии отсутствует, необходимо установить, выполняет ли такие обязанности приходящий специалист или кто-либо из сотрудников самой организации.
В результате проведения подготовительного этапа совместно со специалистом следователь составляет план и вырабатывает тактику проведения следственных действий с учетом следующих моментов:
— определение времени производства следственного действия (в зависимости от поставленных задач это может быть время до начала или после окончания работы офиса, когда все компьютеры выключены и в помещениях отсутствуют персонал и посетители либо, наоборот, в момент работы всех СВТ, что упростит доступ к информации; применительно к физическим лицам иногда целесообразно дождаться момента, когда будет осуществляться подключение к глобальной сети конкретным лицом и т. п.);
— определение состава участников следственного действия, включая узких специалистов в области высоких технологий, специалистов по профилю деятельности организации, специалиста-криминалиста, а также понятых, охраны и пр.;
— подбор состава оборудования, необходимого для производства конкретных следственных действий;
— определение особенностей тактики проведения следственных действий (последовательность осмотра помещений и СВТ в каждом помещении, целесообразность привлечения персонала, необходимость осмотра и порядок отключения СВТ, если на момент проведения следственного действия они будут находиться во включенном состоянии, и пр.).
Кроме этого заблаговременно должен быть решен вопрос о возможном копировании информации, об упаковке и транспортировке изъятых технических средств. Копирование информации с изымаемых электронных носителей осуществляется специалистом по ходатайству законного владельца в присутствии понятых на предоставленные владельцем электронные носители. Подготовленные к изъятию (упакованные и опечатанные) СВТ должны быть вывезены одномоментно, в противном случае их следует поместить в отдельное помещение, опечатать его и установить круглосуточный пост охраны.
Необходимые для подготовки к изъятию компьютерной информации и СВТ данные могут быть получены следователем путем производства следственных действий и иных мероприятий, в частности:
1) запросов и изучения схемы документооборота организации, утвержденной приказом руководителя на текущий год или интересующий следствие период времени;
2) выемки и изучения документов по локальной вычислительной сети организации;
3) анализа показаний свидетелей, потерпевших, подозреваемых, обвиняемых, допрошенных по вопросам, перечисленным выше.
Таковыми могут быть:
- заказчики локальной вычислительной сети;
- монтировщики и наладчики;
- администратор сети или сотрудник, исполняющий его обязанности;
- лица, осуществляющие техническое обслуживание;
- материально ответственные лица, которым подотчетны СВТ;
- работники бухгалтерии, ведущие учет материальных ценностей, в том числе СВТ, и других подразделений;
- другие лица, которые могут по роду своей деятельности и связям с работниками организации знать о структуре и работе локальной сети и (или) о находящейся в ней информации;
4) выемки и исследования актов проверок независимых контролирующих органов: налоговых, финансовых, экологических, санитарных, пожарных, а также аварийных, аудиторских проверок и других документов;
5) анализа данных органов дознания, полученных на основании поручений в порядке ст. 38 УПК РФ о проведении разведки в организации;
6) анализа других материалов дела;
7) анализа материалов других уголовных дел по указанной организации или ее клиентам;
8) анализа криминогенной ситуации в регионе;
9) анализа нормативно-правового регулирования правоотношений в той сфере, где протекает деятельность заподозренной организации;
10) по преступлениям экономической направленности в фирме истребуется схема документооборота организации, утвержденная приказом руководителя в соответствии с п. 8 Положения по бухгалтерскому учету «Учетная политика организации» (ПБУ 1/2008)
Техническая подготовка к проведению следственных действий
При расследовании преступлений должно быть исключено спонтанное проведение обысков и осмотров, поскольку в таком случае они не дадут ожидаемых результатов или последние будут сведены к минимуму. Поэтому после получения результатов оперативной разведки в заподозренной организации и установления обстановки в ней целесообразно технически подготовиться к изъятию СВТ и электронных носителей информации. Подготовка проводится при непосредственном участии специалиста и под его руководством. На основании анализа оперативных данных специалист определит, есть ли необходимость в дополнительных запросах. Основываясь на выводах специалиста, следователь избирает форму проведения следственных действий: осмотр, обыск или выемка.
Если следственные действия предстоят в организации, с помощью специалиста составляется план проведения избранной формы следственных действий. Работа в организациях наиболее сложная и объемная, так как зачастую это может быть не одно здание, а их комплекс, занимающий большую по площади территорию. Организация может иметь филиалы и не только в данном населенном пункте, что также необходимо предусмотреть.
При планировании следственного действия с подозреваемым лицом необходимо предусмотреть возможность наличия у него по месту жительства собственной локальной сети в пределах одной квартиры или распространение ее на некоторую территорию (в том числе с участниками преступной группы), наличие беспроводного выхода в глобальную сеть или сочетание его с более традиционными формами, наличие нескольких компьютеров и т. д.
Составление плана предстоящего следственного действия должно учитывать и тактически обоснованно использовать полученные данные об обстановке в организации. Именно на основе полученных «разведывательных данных» следователь вместе со специалистом определяют место, время проведения следственного действия, его участников, материально-техническое обеспечение и другие важные вопросы.
Определение места обыска, осмотра или выемки при наличии вычислительной сети представляет собой определенную сложность.
Локальная сеть может распространяться на:
- некоторое количество помещений одного здания в пределах одного предприятия;
- ограниченную компактную территорию одного предприятия;
- объединение филиалов одного предприятия, находящихся на значительном удалении друг от друга (даже в разных населенных пунктах или разных государствах);
- несколько организаций, находящихся как в одном здании, так и на некотором удалении друг от друга;
- наличие в одном здании множества разных организаций.
Для вынесения постановления о производстве обыска или выемки следователь должен располагать точными сведениями о том, где и как именно располагается сеть интересующей его организации. В противном случае доступ в организации, не указанные в постановлении, может быть ограничен или затруднен.
Знание особенностей места проведения следственного действия позволит правильно спланировать состав его участников, который отчасти будет зависеть от количества помещений, подвергаемых обыску или осмотру. Необходимо обратить внимание на тот факт, что проведение следственных действий на большой территории потребует значительного числа как следственных работников, производящих действия, так и понятых. Не исключена ситуация, при которой для проведения следственных действий необходимо будет задействовать несколько специалистов. Возможно, что при работе на месте потребуются специалисты разных «узких» специальностей, как-то:
- системный программист;
- специалист по прикладным программам по профилю предприятия;
- специалист-электронщик;
- специалист по средствам связи; и др.
Для этого необходимо знать о наличии средств защиты информации от несанкционированного доступа (аппаратных, программных, программно-аппаратных), а также способах размещения информации на носителях, способах ее обработки и форматах представления. Все подобные вопросы необходимо решить со специалистом, консультирующим следователя, заранее.
При проведении следственных действий обязательно надо использовать фото- и видеосъемку, о чем следует позаботиться также заблаговременно.
Важно тактически правильно спланировать время проведения следственного действия. При этом следует учесть два наиболее важных момента. Поздно вечером и рано утром компьютерные системы, вероятно, будут бездействовать или выполнять автономные функции, поэтому в такое время минимален риск потери данных. Однако в это время персонал организации будет отсутствовать или присутствовать в незначительном количестве, что создаст сложности при изъятии информации из рабочих станций и серверов, в частности осложнится получение дополнительной технической информации и документации, пояснений по работе устройств.
Осмотр, обыск и выемка должны начинаться синхронно во всех помещениях, где находятся компьютеры. В противном случае большие массивы важной информации могут быть потеряны в результате вмешательства заинтересованных лиц, а именно: информация может быть уничтожена или скрыта.
Планирование состава оперативно-следственной группы также зависит от обстановки в конкретной организации. По делам такого рода не рекомендуется поручать проведение осмотра или обыска органу дознания. Следователь должен сам руководить этими сложными следственными действиями, координируя на месте работу всей группы. В зависимости от обстоятельств дела, специфики заподозренной организации и целей следственного действия осуществляется выбор специалистов для включения в группу. Это могут быть:
- специалисты в области экономики, финансов, бухгалтерского учета, в том числе лица, владеющие навыками работы с определенными компьютерными бухгалтерскими, учетными и другими программами;
- технолог по профилю организации;
- другие специалисты.
По числу помещений определяется число лиц, которые будут непосредственно проводить обыск, осмотр, выемку, а также сотрудников, на которых будет возложена охрана помещений и изъятой техники и документов. Нельзя использовать в качестве понятых сотрудников фирмы, проживающих в той же квартире граждан, сотрудников правоохранительных органов, других заинтересованных лиц.
Во время проведения технической подготовки следует предусмотреть необходимое количество транспортных средств для вывоза СВТ и документации, подготовить упаковочные материалы (изымаемые СВТ должны быт упакованы и опечатаны на месте). Специалист должен принять меры к обеспечению следственных действий необходимыми программными средствами, достаточными по объему электронными носителями для копирования информации и средствами защиты (техническими или программными) информации от внесения изменений.
Специалист определяет способы изъятия компьютерной информации:
- копирование на собственные машинные носители;
- изъятие только машинных носителей;
- изъятие машинных носителей вместе с содержащими их средствами вычислительной техники;
- другие способы изъятия.
На основании этого планируется необходимое количество и объем электронных носителей информации. Напомним, что для копирования информации могут быть использованы миниатюрные внешние жесткие диски, электронные носители информации (желательно, чтобы они имели защиту записи) и магнитооптические диски с однократной записью CD-R или DVD-R.
Тактические особенности обыска
Основанием для обыска является наличие достаточных данных, позволяющих полагать, что в организации, учреждении либо у заподозренного лица могут находиться документы и предметы, в том числе орудия преступления, имеющие значение для дела. Таковыми могут выступать СВТ и электронные носители информации.
До начала обыска следователь выносит постановление о его производстве, в котором указывает место обыска, цели и основания его проведения. Большое значение имеет правильное указание в постановлении адреса и названия обыскиваемой организации, так как в одном здании и даже в одном помещении иногда арендуют площади сразу несколько фирм. При отсутствии в постановлении четкого указания места обыска могут возникать конфликтные ситуации в момент проникновения в помещение следственной группы.
Поскольку интересующие следствие предметы и документы могут находиться не только в помещении организации (учреждения), но и в жилище заподозренных лиц, обыск проводится и там. В соответствии с ч. 3 ст. 182 УПК РФ необходимо получить на это судебное решение в порядке, установленном ст. 165 УПК РФ. Лишь в исключительных случаях, не терпящих отлагательства, обыск в жилище может быть произведен на основании постановления следователя без получения судебного решения. В соответствии с приказом председателя СК РФ от 15.01.2011 г. № 2 к таким исключительным обстоятельствам относятся: необходимость реализовать меры по предотвращению, пресечению преступления, закреплению следов; появление оснований для производства следственного действия в ходе осмотра, обыска и выемки в другом месте; возможность подозреваемому скрыться при промедлении с производством следственного действия; обусловленность обстановкой только что совершенного преступления; реальная угроза уничтожения или сокрытия искомых объектов; достаточные основания полагать, что лицо, находящееся в помещении, скрывает при себе предметы или документы, могущие иметь значение для уголовного дела.
В указанном случае следователь в течение 24 часов с момента начала производства обыска уведомляет судью и прокурора о его проведении, приложив к уведомлению копии постановления и протокола следственного действия для проверки законности решения о его производстве. В течение суток с момента получения уведомления судья проверяет законность произведенного обыска и выносит постановление о его законности или незаконности.
Подготовка к обыску. При подготовке к обыску кроме изучения обстановки и помещения, в котором будет производиться обыск, следует обязательно выяснить вопросы, касающиеся оснащения фирмы СВТ и пользования информационно-телекоммуникационными технологиями (подробно эти вопросы рассмотрены в § 17.3, 17.4).
Самая большая проблема подготовительного этапа — найти разумный компромисс между неотложным проведением обыска с максимальным использованием фактора внезапности и тщательной его подготовкой. Решение может быть только одно: в зависимости от конкретной следственной ситуации, сложившейся к моменту производства обыска, следователь сам должен определить объем информации, необходимой ему для доступа в организацию в целом и во все ее подразделения, для свободной ориентации в помещениях, имеющих СВТ и др.
Получив сведения об обстановке в обыскиваемой организации, следователь должен правильно сформировать оперативно-следственную группу, которой будет поручен обыск. По закону обыск может быть произведен как лично следователем, так и органом дознания по поручению следователя. Тем не менее целесообразно, чтобы следователь проводил обыск лично или руководил обыском, если он производится в крупной организации со множеством помещений, с большим документооборотом, когда по тактическим соображениям нужно проводить обыск одновременно в нескольких помещениях, контролировать поведение многих лиц сразу, проводить личные обыски сотрудников и т. д.
В зависимости от обстоятельств расследуемого преступления в группу, кроме следователя и оперативных работников органа дознания, включаются специалисты в области экономики, бухгалтерского учета, финансов, технологии по профилю организации, информатики (программисты и инженеры-электронщики), другие специалисты, а также сотрудники МВД для охраны помещений.
Техническая подготовка к обыску состоит в обеспечении транспортом, упаковочными материалами, научно-техническими средствами, спецодеждой для работы в особых условиях (загрязнение, влажность, холод, наличие вредных для здоровья человека веществ и т. п.). Необходимо подготовить также средства и специальные материалы для изъятия, упаковки, хранения и транспортировки СВТ и других изымаемых объектов.
Специалист по работе с электронными носителями информации по своему усмотрению в зависимости от обстоятельств расследуемого преступления подбирает: электронные носители для копирования информации больших объемов, часть из которых должна исключать возможность перезаписи; переносной компьютер для обеспечения возможности оперативно ознакомиться с информацией, находящейся на внешних накопителях информации; набор сервисных программ для определения технических характеристик компьютера, исправности отдельных устройств и внешней памяти, а также антивирусные программы и др.
Перед началом обыска следует спланировать его проведение: время, продолжительность, действия каждого участника группы. Нужно предусмотреть способ проникновения в помещения организации, чтобы эффективно использовать фактор внезапности.
Производство обыска. Большинство организаций в настоящее время имеют свою систему безопасности, охрану, состоящую из людей, возможно, вооруженных, физически и психологически подготовленных к тому, чтобы препятствовать проникновению посторонних лиц. Хотя штурм не противоречит закону, насильственное проникновение нежелательно. По возможности нужно избегать конфликтных ситуаций. Для этого следует разъяснять содержание ст. 38 УПК РФ, ст. 26 Федерального закона от 02.12.1990 г. № 395-1 «О банках и банковской деятельности» (в ред. от 14.03.2013 г.), ст. 294 УК РФ, стремиться найти общий язык с руководителем или собственником хозяйствующего субъекта. Ссылка на то, что переговоры и убеждения зачеркивают фактор внезапности при обыске, несостоятельна.
В случае блокирования входа охраной у работников организации может появиться время для сокрытия документов и изменения обстановки. С целью устранения дополнительных поводов для конфликта следователь еще на стадии подготовки обыска должен выяснить:
- какие организации, кроме обыскиваемой, располагаются по данному адресу;
- какие взаимоотношения между ними существуют;
- какая из организаций осуществляет охрану здания на входе.
Эти сведения помогут правильно определить тактику обыска.
Нужно учитывать, что родственные, подчиненные либо имеющие общих собственников организации могут иметь общие хранилища документов, общие СВТ, а также могут скрывать важные источники информации по просьбе друг друга.
Перед началом обыска руководителю или собственнику организации, а в их отсутствие — представителю администрации предъявляется постановление о производстве обыска. Факт ознакомления должностного лица с постановлением о производстве обыска подтверждается его подписью на данном постановлении.
Посторонние лица (посетители, покупатели, случайные люди и т. п.), находящиеся в помещении и не имеющие отношения к проводимому обыску, должны быть удалены. Следует предусмотреть возможность того, что посетители могут вынести документы или предметы, значимые для расследования. Для предотвращения такой ситуации устанавливается личность присутствующих, а при возникновении подозрения — проводятся личные обыски.
При обыске в помещении иногда необходимо отключить телефоны. Сделать это можно заблаговременно через телефонную станцию либо непосредственно перед началом обыска (тогда сам следователь сможет при необходимости воспользоваться телефоном). Эта мера должна распространяться на все обыскиваемые помещения.
Целесообразно привозить с собой и подключать автоматический определитель номера (АОН), чтобы иметь возможность контролировать входящие звонки, быстро устанавливать абонента и контролировать информацию в период проведения следственных действий. При наличии таких телефонов в организации следует снять информацию о входящих звонках с памяти телефона. Это может облегчить поиск контрагентов заподозренных фирм.
Находящимся в обыскиваемом помещении следует предложить сдать следователю на время обыска мобильные телефоны и другие гаджеты, посредством которых может осуществляться связь с другими абонентами. Это позволит исключить утечку информации с места обыска, в том числе и путем соединений через глобальную сеть. Подобные действия осуществляются в отношении как заинтересованных лиц, так и всех присутствующих при обыске, поскольку средствами связи может легко и незаметно воспользоваться любой. При отказе выдать индивидуальные средства связи добровольно, рекомендуется произвести личный обыск.
По прибытии на место обыска руководитель следственной группы должен принять меры для обеспечения сохранности компьютерной информации. Для этого необходимо:
1) предотвратить внезапное или случайное отключение энергоснабжения помещений, в которых расположены компьютеры, для чего обеспечить охрану щита напряжения. Иногда в целях предотвращения возможных манипуляций с компьютерной информацией целесообразно отключить энергопитание еще до начала обыска;
2) запретить работу на включенных компьютерах сотрудникам обыскиваемого предприятия или другим лицам, находящимся в помещении;
3) удалить всех людей от компьютеров;
4) провести обыск всех лиц, находящихся в помещении во время проведения следственных действий на наличие съемных носителей памяти;
5) удалить от компьютеров и носителей информации все незнакомые предметы и устройства для предотвращения возможности уничтожения информации как на жестком диске, так и на носителях;
6) оградить работающие компьютеры от случайных нажатий клавиш (накрыть клавиатуру специальной пластиковой крышкой, если таковая имеется, или использовать для этой цели специально заготовленную коробку);
7) изъять все материалы и электронные носители информации, находящиеся на компьютерных столах и в ящиках столов, независимо от того, работает компьютер в данный момент или нет, и опечатать столы;
8) осмотреть компьютеры, которые на момент проведения следственных действий находились в выключенном состоянии, отключить компьютеры от сети и опечатать их для исключения возможности несанкционированного использования;
9) предупредить всех участников следственной группы о запрещении самостоятельно проводить какие-либо манипуляции с работающими компьютерами во избежание порчи находящейся в них информации;
10) удалить из помещения, в котором находятся средства вычислительной техники, все взрывчатые, легковоспламеняющиеся, едкие и токсические вещества и материалы, а также материалы, создающие электромагнитные поля, для предотвращения разрушения информации;
11) при невозможности принять указанные меры предосторожности или при попытке персонала помешать производству следственного действия удалить весь персонал из данного помещения, а затем провести все вышеописанные действия.
Для проведения обыска к каждой группе обыскивающих приглашается не менее двух понятых, которые присутствуют в каждом из обследуемых помещений. Это означает, что если обыск производится одновременно в нескольких помещениях несколькими следователями или оперативными работниками органа дознания по поручению следователя, то при каждом из них должны находиться не менее двух понятых.
Во избежание опорочивания результатов обыска не следует приглашать понятых из числа работников обыскиваемого предприятия, нецелесообразно также использовать в качестве понятых внештатных сотрудников МВД, поскольку это служит основанием для ходатайств стороны защиты и жалоб на необъективность отражения результатов обыска в протоколе.
Обзорная стадия обыска. На обзорной стадии обыска осуществляется обход или обзор объекта, всех помещений организации в целях выяснения объема предстоящей работы, определения тактики обыска.
Следователь должен выяснить, какая техника и в каком состоянии находится в подразделениях и отделах организации, где находится сервер, у кого имеются ключи от закрытых помещений. На этом этапе следует произвести внимательный осмотр помещений с целью выявления укрывательства СВТ и электронных носителей информации от сотрудников правоохранительных органов. Особое внимание при этом нужно обратить на:
- состояние охраны помещений (наличие сигнализации, охранных решеток на окнах, металлических дверей, специальных дверных запоров и т. д.);
- внешний вид осматриваемого помещения (наличие специальных столов для ПЭВМ, специальных шкафов или хранилищ для ПЭВМ и сопутствующих предметов);
- розетки электросети, наличие специальных удлинителей, устройств стабилизации напряжения в сети электропередачи.
Еще на предварительной стадии необходимо получить информацию из бухгалтерии или материального отдела о СВТ, находящихся на балансе данного предприятия. Однако не исключается возможность использования ранее списанных или неучтенных машин, а также личных ноутбуков и нетбуков, айпадов и планшетов, других устройств для работы с цифровой информацией, что также следует предусмотреть.
При поиске скрываемой вычислительной техники, в первую очередь, должны быть осмотрены все охраняемые помещения независимо от типа их охраны и функционального назначения. Для этого можно использовать планы обыскиваемого объекта, имеющиеся в различных службах (строительных, ремонтных, жилищных, пожарных и т. п.).
Детальная стадия обыска. Детальный обыск производится единолично следователем или следственной группой параллельно во всех помещениях или во встречном направлении. Тщательно обыскиваются все служебные кабинеты, офисы, при необходимости — производственные, складские помещения, комнаты отдыха, раздевалки, бытовки, кладовые и все другие имеющиеся помещения. Для лучшей ориентации, особенно в больших зданиях, как и на обзорной стадии обыска, можно воспользоваться планами и схемами расположения и планировки отдельных помещений здания и его коммуникаций (лифтов, вентиляции, водостоков, канализационных люков и т. д.).
Наиболее тщательно обыскиваются места, куда заинтересованные лица могли спрятать или выбросить интересующие следствие предметы или документы: корзины для бумаг в кабинетах, урны, пепельницы, укромные углы в местах общего пользования, мешки для мусора, помещения для инвентаря уборщиков, а также территорию под окнами здания.
В ходе детальной стадии обыска следует помнить о разнообразии внешнего вида СВТ, их периферийных и дополнительных устройств.
Поэтому нужно обращать внимание и на личные вещи сотрудников, так как существует вероятность сокрытия портативных компьютеров и носителей цифровой информации в столах, шкафах, личных сумках и портфелях.
При проведении личного обыска сотрудников организации важно осмотреть и при необходимости изъять электронные носители информации, а также предметы, назначение которых определить не удалось, — они могут оказаться устройствами дополнительной памяти, в том числе замаскированными под бытовые предметы (ручки, зажигалки, брелоки, кулоны и пр.).
Перед началом работы с компьютером нужно принять все меры для того, чтобы оградить специалиста по компьютерам от противодействий персонала обыскиваемого предприятия, которое может проявляться:
- в попытках отключить подачу электроэнергии;
- в попытках повредить компьютеры и (или) различные носители с целью уничтожения информации, находящейся на них (необходимо удалить различные предметы и устройства, не являющиеся компьютерными устройствами и расположенные в непосредственной близости от компьютеров и носителей информации);
- наличии на компьютере специальных защитных программ, которые, не получив в соответствующий момент специального кода, сами приступают к уничтожению информации;
- наличии пароля для доступа к компьютеру или к отдельным программам;
- наличии незнакомых следователю или специалисту программных или технических средств.
Далее с помощью специалиста следует осмотреть компьютер и определить, работает он автономно или в сети. Установив, что компьютер автономный, следователь дает поручение специалисту осмотреть перечень программ на винчестере. При осмотре должен присутствовать кто-либо из сотрудников организации, способный дать пояснения по имеющемуся программному обеспечению ПК. При необходимости может быть исследована информация, находящаяся на жестком диске или других носителях информации, для дальнейшего ее копирования или изъятия непосредственно самих носителей в зависимости от задач, решаемых в ходе обыска.
Предварительно или параллельно с обыском в процессе допроса сотрудников следует выяснить:
- с какими программами работает организация, подразделение;
- каково назначение программ;
- используются ли пароли, шифры, кодирование информации (если используются, то какие).
При наличии паролей желательна добровольная их выдача.
Если сотрудники отказываются сообщить пароли и коды используемых программ, то компьютер (или винчестер) опечатывается и изымается. Доступ к информации в таком случае осуществляется в ходе экспертного исследования.
Во время обыска необходимо соблюдать некоторые правила.
1. Если компьютер выключен, а следственная группа ограничена во времени, то целесообразно опечатать техническое устройство и изъять его для осмотра в условиях следственного кабинета или экспертной лаборатории. Это правило выполнимо, если законный владелец не настаивает на копировании информации на другой электронный носитель информации в соответствии с п. 9.1 ст. 182 УПК РФ.
2. Проводить осмотр информации в компьютере нужно только при наличии достаточного количества времени. При выполнении этой работы спешка недопустима.
3. Если при внешнем осмотре компьютера специалист обнаружил подключение неизвестных ему устройств, компьютер изымается вместе с этими устройствами для передачи в экспертную лаборатории.
4. Если специалист, осматривающий компьютер, нашел незнакомые или подозрительные программы, осмотр следует немедленно прекратить, компьютер вывести из рабочего состояния, опечатать, составить протокол и изъять ПК для исследования в условиях экспертной лаборатории.
5. Если при осмотре компьютера специалисту слишком настойчиво пытаются «оказать помощь» сотрудники организации, то следует поступить так, как описано в предыдущем пункте.
6. Необходимо помнить, что любое неквалифицированное действие может привести к порче или полной потере информации. Нередко лишенные возможности уничтожить информацию работники организации пытаются «вывести следователя из себя», чтобы он совершил ошибку, которую впоследствии использует сторона защиты либо которая нанесет вред информации.
Во избежание ситуаций, которые могут быть истолкованы как провокационные или незаконные, настоятельно рекомендуется на протяжении всего обыска использовать в качестве дополнительного средства фиксации видеосъемку, для чего должен быть приглашен специалист-криминалист.
Тактические особенности выемки
Объектами выемки могут быть определенные предметы и документы. К ним можно отнести компьютерные устройства и файлы, если достоверно известно, где и у кого они находятся. В соответствии со ст. 183 УПК РФ выемка производится на основании постановления следователя, в котором указывается местонахождение искомых предметов и документов, в связи с чем они подлежат изъятию, их наименование и индивидуальные признаки. По рассматриваемой категории дел выемка может производиться в учреждениях, организациях и жилых помещениях. В последнем случае следователь при согласии прокурора выносит постановление о возбуждении перед судом ходатайства о производстве выемки в жилом помещении в соответствии с ч. 3 ст. 182 УПК РФ и получает на это судебное решение в порядке, установленном ст. 165 УПК РФ.
Лишь в исключительных случаях, не терпящих отлагательства, выемка в жилище может быть произведена на основании постановления следователя без получения судебного решения. Тогда в течение 24 часов следователь уведомляет судью и прокурора о произведенной выемке и прилагает к уведомлению копии постановления и протокола выемки.
Судья проверяет законность произведенного действия, о чем выносит постановление. Если выемка признана незаконной, все изъятые в ее ходе доказательства признаются судом в порядке ст. 75 УПК РФ недопустимыми.
Выемка производится в присутствии понятых и представителя администрации или собственника фирмы либо уполномоченного ими лица. До начала этого следственного действия всем присутствующим разъясняются их права и обязанности, предлагается добровольно выдать предметы и документы, подлежащие изъятию.
Выемка отличается от обыска тем, что производится тогда, когда с большей или меньшей степенью вероятности известно, где и у кого находятся интересующие следствие предметы и документы и какие именно. По делам об экономических преступлениях это возможно, поскольку, прежде всего, следствие интересуют документы заподозренной фирмы, а документооборот известен заранее полностью или в общих чертах в связи с действием Федерального закона от 06.12.2011 г. «О бухгалтерском учете», единого для всех экономических субъектов, действующих на территории Российской Федерации, независимо от организационно-правовых форм и форм собственности.
Требования лица, производящего выемку, и производимые им действия носят принудительный характер независимо от того, передаются ли требуемые документы и предметы добровольно или отбираются принудительно. Подготовка к выемке аналогична подготовке к обыску.
Не является выемкой истребование следователем (дознавателем) документов в соответствии со ст. 38, 86 УПК РФ. Такой запрос не сопровождается изъятием документов в учреждениях и организациях, в том числе у экономических субъектов. В данном случае руководители учреждений, организаций, должностные лица и граждане обязаны представить в органы расследования документы, указанные в запросе.
Некоторое исключение составляют справки банков и иных кредитных организаций по операциям и счетам юридических лиц и граждан, осуществляющих предпринимательскую деятельность без образования юридического лица. В соответствии со ст. 26 Федерального закона «О банках и банковской деятельности в Российской Федерации» такие справки кредитные организации выдают органам предварительного следствия по находящимся в их производстве уголовным делам только с согласия прокурора.
В соответствии с п. 3.1 ст. 183 УПК РФ изъятие электронных носителей информации в ходе выемки осуществляется только с участием специалиста. По ходатайству законного владельца информация должна быть скопирована на предоставленный им электронный носитель информации, за исключением случаев, когда это может воспрепятствовать расследованию либо повлечь утрату или изменение информации.
Тактические особенности осмотра
По делам о преступлениях в целях обнаружения следов преступления чаще всего проводятся осмотры документов и предметов, а также помещений, в том числе и жилых. Значительно реже проводится осмотр местности и места происшествия. Осмотр помещений организации осуществляется в присутствии представителя администрации соответствующей организации. В случае невозможности обеспечить его участие в осмотре об этом делается запись в протоколе.
Осмотр помещений имеет много общего с обыском, поэтому рекомендации по проведению обыска и его подготовке можно полностью отнести и к осмотру. Цель обоих следственных действий — обнаружение и изъятие следов преступления, вещественных доказательств, документов и других объектов, имеющих значение для дела. Для достижения этой цели при обыске и осмотре применяются одинаковые приемы и средства.
1 Осмотр жилища производится только с согласия проживающих в нем лиц.
Если последние возражают против осмотра, следователь с согласия прокурора возбуждает ходатайство перед судом о производстве осмотра в соответствии со ст. 165 УПК РФ. В исключительных случаях, не терпящих отлагательства, осмотр жилого помещения может быть произведен без получения судебного решения на основании постановления следователя. В таком случае в течение 24 часов следователь должен сообщить судье и прокурору о произведенном осмотре специальным уведомлением с приложением копий постановления и протокола осмотра. Судья в течение суток выносит постановление о законности или незаконности проведенного осмотра.
Изъятые при незаконно произведенном осмотре доказательства признаются недопустимыми.
Отличие состоит в том, что целью осмотра, наряду с поиском и изъятием следов преступления, является фиксация обстановки места происшествия. В зависимости от конкретного преступления особое значение могут иметь факты наличия или отсутствия осуществления производственных операций, хранения сырья, материалов, готовой продукции того вида и в том количестве, какое следует из документов, а также самих документов, их реестров, в том числе составляемых и обрабатываемых с помощью специализированного программного обеспечения. Наиболее существенной является фиксация следов преступлений, совершаемых с использованием СВТ. Осмотр места происшествия в этом случае позволяет своевременно и в полном объеме зафиксировать обстоятельства, имеющие значение для расследования преступления.
При осмотре помещений необходимо обратить внимание на обстановку в организации, установить, имеются ли у хозяйствующего субъекта автономные компьютеры, локальные вычислительные сети или выход в глобальную сеть, где находятся СВТ (если обнаружены лишь следы их пребывания в данном помещении). Учитывая разнообразие конструктивного исполнения компьютеров, их размеров и малые размеры выносных накопителей информации, следует особенно внимательно осматривать личные вещи сотрудников и труднодоступные места, так как в них легко скрыть и то, и другое. Подробные рекомендации нами уже были даны выше.
Осмотр компьютера. Приступая к осмотру компьютера, следователь и специалист, непосредственно производящий все манипуляции с СВТ, должны придерживаться следующих рекомендаций:
- перед выключением питания нужно по возможности закрыть все используемые на компьютере программы. Некорректный выход из некоторых программ может повлечь за собой уничтожение информации или порчу самой программы;
- необходимо принять меры к установлению пароля доступа в защищенные программы;
- при активном вмешательстве сотрудников предприятия, пытающихся оказать противодействие следственной группе, нужно отключить питание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для изучения информации в условиях следственного кабинета или экспертной лаборатории;
- если необходимо проконсультироваться с персоналом организации, следует опросить или допросить разных лиц порознь. Такой метод позволит получить максимум объективной информации и избежать преднамеренного противодействия;
- если имеется выход в глобальные сети, то прежде необходимо установить контакты с провайдером услуг и отрезать выход предприятия в глобальную сеть на весь период осмотра;
- следует осмотреть не только СВТ, но и рабочее место оператора, обращая особое внимание на имеющиеся документы, рабочие записи, черновики, внешние накопители информации, так как часто именно в этих записях можно обнаружить коды, пароли и другую ценную для следствия информацию;
- следует составить список всех лиц, находившихся в помещении к моменту начала осмотра, и перечень сотрудников, работающих с СВТ и имеющих к ним доступ.
Если непосредственный доступ к компьютеру возможен и все нежелательные ситуации исключены, приступают к осмотру, причем следователь и специалист должны четко объяснять все совершаемые ими действия понятым.
Порядок осмотра компьютера зависит от его состояния. Действия следователя зависят от того, работает компьютер на момент осмотра или нет. Если компьютер не работает, а информация, находящаяся в нем, подлежит экспертному исследованию, то без включения при осмотре должны быть установлены:
- конфигурация компьютера с четким описанием всех устройств;
- номера моделей и серийные номера каждого из устройств;
- инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;
- прочая информация с фабричных ярлыков.
Такая информация, занесенная в протокол осмотра вычислительной техники, может оказаться важной для следствия.
Работающий компьютер в зависимости от ситуации может быть осмотрен двумя способами:
- без осмотра информации (если интересует вся имеющаяся информация, либо отсутствует время для осмотра информации на месте, либо складываются остро конфликтные отношения с руководством организации, т. е. осуществляется активное противодействие изъятию со стороны администрации);
- с осмотром информации.
В первой ситуации необходимо:
- зафиксировать информацию, находящуюся на экране монитора, и описать ее в протоколе (имя открытого файла, его объем, название документа, название прикладной программы, в которой выполняется работа);
- закрыть окно с сохранением информации;
- если открыто не одно окно, подобным образом зафиксировать и закрыть все рабочие окна;
- закрыть программное приложение;
- описать рабочий стол операционной системы;
- с помощью системных средств операционной системы определить и описать структуру технических средств и способы их конфигурирования в системе;
- выключить компьютер стандартным способом в данной операционной системе.
Во второй ситуации выполняется предыдущий алгоритм действий до выключения. Перед выключением компьютера осматривается информация, находящаяся на жестком диске.
Осмотр съемных носителей информации. Съемные носители информации предназначены для хранения данных вне компьютера. Наиболее популярными съемными носителями информации в настоящее время являются флеш-накопители, флеш-карты, съемные жесткие диски, оптические диски (CD, DVD, Blu-ray)
Обычно такие носители хранятся в рабочих столах и личных вещах сотрудников, несгораемых коробках или сейфах, шкафах.
Изучить следует все подобные носители, даже те, которые являются собственностью сотрудников организации. По возможности их осмотр производится в первую очередь. Носители, содержащие информацию, не имеющую значения для следствия, нужно пометить и вернуть владельцам. Если же у специалиста имеются хотя бы малейшие подозрения относительно информации, находящейся на носителе, то информация должна быть скопирована, а сам носитель опечатан и изъят для проведения тщательной экспертизы.
При осмотре съемных носителей информации исследуются их внешний вид, размеры, наличие ярлыков, наклеек и надписей на них, а также другие индивидуальные признаки. Эти данные отражаются в протоколе осмотра.
Осмотр информации, находящейся на съемном носителе, производится в зависимости от ситуации, описанной в предыдущем параграфе.
Ход и результаты осмотра рекомендуется фиксировать с помощью видеозаписи.
Изъятые в ходе осмотра СВТ и электронные носители информации упаковываются, опечатываются и транспортируются, как было указано выше.