В сфере информационной безопасности. К видам судебной экспертизы в области защиты компьютерной информации относятся:

К видам судебной экспертизы в области защиты компьютерной информации относятся:

1) аппаратно-компьютерная экспертиза;

2) программно-компьютерная экспертиза;

3) информационно-компьютерная экспертиза;

4) компьютерно-сетевая экспертиза.

Далее рассмотрим указанные виды экспертизы.

1. Аппаратно-компьютерная экспертиза — это деятельность по исследованию технических (аппаратных) средств компьютерной системы.

Предметом данной экспертизы являются факты и обстоятельства, устанавливаемые на основе исследования аппаратных средств компьютерной системы: материальных носителей информации о факте или событии уголовного, административного либо гражданского дела.

Аппаратные объекты включают: персональные компьютеры (настольные, портативные и т. д.), сетевые аппаратные средства (серверы, стационарные и переносные рабочие станции, активное оборудование, кабели и т. д.), интегрированные системы (органайзеры, пейджеры, мобильные телефоны и т. п.), периферийные устройства, встроенные системы на основе микропроцессорных контроллеров (транспондеры и т. п.), любые комплектующие всех указанных компонентов (интегральные схемы, платы расширения, микросхемы и т. п.). Указанные виды информационной техники могут применяться в различных сочетаниях. В криминалистическом аспекте наиболее важен вид запоминающих устройств и носителей данных, которые включают все известные на момент проведения судебной аппаратно-компьютерной экспертизы электронные носители данных: флэш-память, дискеты, микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, электронные карты и т. д.

При производстве судебной аппаратно-компьютерной экспертизы должны решаться следующие задачи:

- выявление вида (типа, марки), свойств аппаратного средства, а также его технических и функциональных характеристик;

- определение исправности аппаратного средства, отсутствия физических дефектов; работоспособности информационной техники при проверке аппаратных средств как в отдельности, так и в комплексе в составе компьютерной системы;

- установление причинной связи между использованием конкретных аппаратных средств информационным правонарушителем и вредоносными последствиями их применения;

- определение условий (обстановки) применения аппаратных средств;

- восстановление хронологической последовательности их использования, времени и места действия, функционирования.

Этот же вид экспертизы может устанавливать групповую принадлежность и отождествление конкретных аппаратных средств по выделенным признакам — общим и частным (например, серийные номера, форм-факторы, емкость и структура накопителя, среднее время доступа к данным, скорость передачи данных, способ и плотность магнитной записи и др.). Аппаратно-компьютерная экспертиза дает возможность обеспечить исследование электронных носителей (чаще всего жестких дисков, флэш-памяти, гибких дисков и т. д.)
с целью извлечения криминалистически значимой информации, хранящейся на них в случаях отказов из-за сбоя напряжения, физического удара или внезапного отказа системы.

Если на экспертизу представляют системный блок персонального компьютера, то вопросы к эксперту формулируют следующим образом:

1. Находится ли системный блок в работоспособном состоянии, если нет, то какие имеются неисправности.

2. Является ли выявленная неисправность заводским браком либо следствием нарушения эксплуатации.

3. Имеется ли причинная связь между выходом из строя видеоконтроллера системного блока и установкой внутреннего модема.

4. Мог ли заряд статического электричества повредить комплектующие элементы системного блока при их самостоятельной установке либо замене.

В результате выявленного комплекса диагностических признаков в ходе экспертного исследования может быть доказано наличие
в материнской плате системного блока компьютера заводского брака, приведшего к аппаратной неисправности всего компьютера.

2. Программно-компьютерная экспертиза — это исследование программного обеспечения компьютерной системы в целях установления истины по уголовному или гражданскому делу.

Ее предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы.

Программные объекты включают: системное программное обеспечение с подвидами: операционная система, вспомогательные программы-утилиты, средства разработки и отладки программ, служебная системная информация и т. д.; прикладное программное обеспечение с подвидами: приложения общего назначения (текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.) и приложения специального назначения (для решения задач в определенной области науки, техники, экономики и т. д.).

При проведении судебной программно-компьютерной экспертизы могут решаться следующие экспертные задачи:

- определение основных характеристик программного обеспечения;

- выявление и исследование функциональных характеристик, настроек программного обеспечения, времени инсталляции;

- определение качественного состояния программного продукта, составляющих его файлов, их параметров (атрибуты, объемы, даты создания), способов ввода (вывода) информации, отклонения от стандартизированных параметров (в частности, недокументированных функций);

- диагностирование алгоритма программного продукта, видов инструментальных средств, использованных при его разработке,
а также типов поддерживаемых аппаратно-программных платформ;

- установление первоначального состояния программы (при первичной инсталляции), выявление корреляционных отклонений и вероятностных изменений;

- определение целей и условий изменения свойств и качественного состояния программного обеспечения (запланированное изменение функций, конфигурирование на конкретную аппаратную среду и др.), установление способа осуществления изменений в программе (к примеру, воздействием вредоносной программы, ошибками программной среды, путем несанкционированного доступа и т. д.);

- определение свойств и состояния программы по ее отображению в подготовленных данных (по содержанию автозагрузочных, стандартных, служебных, системных файлов), соответствия обеспечивающих аппаратных средств;

- выявление схемы механизма действия по итогам работы программного обеспечения в статике и динамике;

- установление причинной связи между действиями пользователя компьютерной системой в отношении программного обеспечения и наступившими противоправными последствиями.

Кроме указанных задач при проведении программно-компью
терной экспертизы могут решаться идентификационные задачи, связанные с индивидуальным отождествлением оригинала программы (инсталляционной версии) и ее копии на носителях данных компьютерной системы, с установлением групповой принадлежности программного обеспечения по общим признакам, выявлением частных признаков программы, позволяющих впоследствии идентифицировать ее авторство, а также устанавливающих взаимосвязь
с информационным обеспечением исследуемой компьютерной системы. Также в рамках экспертного исследования программных средств могут устанавливаться признаки контрафактности представленных на экспертизу информационно-программных продуктов.

Судебная программно-компьютерная экспертиза позволяет успешно расследовать хищение банковских платежных средств при использовании информационными правонарушителями несовершенства компьютерных программ с ковариационной несовместимостью программ автоматизации банковских операций и программ обслуживания пластиковых карточек. Экспертное исследование подобного программного обеспечения позволяет выявить имеющееся несоответствие и установить фактические обстоятельства выполнения ошибочных операций.

3. Информационно-компьютерная экспертиза — это исследование электронной информации, созданной пользователем или порожденной операционными программами для организации информационных процессов в компьютерной системе.

Информационно-компьютерная экспертиза данных является ключевым видом судебной экспертизы, так как позволяет завершить целостное построение доказательной базы путем решения основной массы диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида экспертизы является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной программами для организации информационных процессов в компьютерной системе.

Информационные объекты включают текстовые и графические документы, изготовленные с использованием компьютерных средств, данные в форматах мультимедиа, информацию, имеющую прикладной характер в форматах базы данных и других приложений.

На нынешнем этапе развития экспертных исследований представляется, что типичными объектами экспертизы являются компьютерные средства, составляющие наибольшую долю в общем перечне объектов — вещественных доказательств по делам информационных преступлений. Это следующие средства:

1) аппаратные объекты:

- системный блок;

- жесткий диск;

- флэш-память;

- магнитные и оптические диски;

- сервер (на платформе Intel -процессоров либо совместимых
с ними);

- дисковые массивы;

- принтеры (при производстве комплексной экспертизы совместно с технической экспертизой документов);

2) программные объекты:

- системное программное обеспечение;

- прикладное программное обеспечение;

- информационные объекты (данные) — файлы, подготовленные
с использованием указанных выше и других программных средств и др.

К основным задачам судебной информационно-компьютерной экспертизы (данных) относятся:

- установление свойств и вида представления информации
в компьютерной системе при ее непосредственном исследовании;

- определение фактического состояния информации, выяснение наличия или отсутствия в ней отклонений от типового состояния объектов экспертизы (например, имеются ли вредоносные включения, нарушение целостности информации и пр.);

- установление первоначального состояния информации на носителе данных;

- определение условий изменения свойств исследуемой информации (например, выяснение условий внесения изменений в содержимое файла, запись на пластиковую карту, данные ПЗУ и т. п.);

- определение механизма и обстоятельств информационного преступления, установление отдельных этапов (стадий, фрагментов) события по имеющейся информации на носителе данных или ее копиям (например, подготовка нескольких копий делового письма и его рассылка программой в разные адреса);

- определение времени (периода), хронологической последовательности воздействия на информацию (например, установление стадий подготовки изображений денежных знаков, оттисков печатей и т. п.);

- выявление следов возможных участников события по признакам, характеризующим определенные профессиональные и пользовательские навыки, умения, привычки, установление условий, при которых была создана (модифицирована, удалена, скопирована) информация;

- установление причинной связи между имевшими место манипуляциями с компьютерной информацией и наступившими противоправными последствиями (например, связи между удалением информации и нарушением работоспособности компьютерной системы);

- диагностирование возможных последствий по совершенному действию и возможности его совершения.

4. Компьютерно-сетевая экспертиза — это экспертное исследование информации, порожденной сетевыми технологиями.

Данная экспертиза в отличие от предыдущих основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляет видовой предмет компьютерно-сетевой экспертизы. Выделение этого вида экспертизы обусловлено тем, что использование специальных знаний в области сетевых технологий позволяет объединить полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных знаний данной экспертизы может быть различным — от компьютеров пользователей, подключенных к Интернету, до ресурсов поставщика сетевых услуг (Интернет-провайдера) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, всемирная паутина и пр.).

Для компьютерно-сетевой экспертизы характерна следующая группа экспертных задач:

- определение свойств и характеристик аппаратного средства
и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе, для аппаратного средства в отношении сервера, рабочей станции, активного сетевого оборудования и т. д.);

- выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонентов, организации доступа к данным;

- определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;

- определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонентов управлением доступа;

- установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и пр.);

- определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом, установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних («чужих») программ и т. п.);

- выявление свойств и состояния вычислительной сети по ее отображению в информации носителей данных;

- определение структуры механизма и обстоятельств события
в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т. д.);

- установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети
и результатами их применения.

Как следует из вышеизложенного, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи других видов компьютерной экспертизы, т. е. решение аппаратных, программных и информационных аспектов установления фактов и обстоятельств по делу. Тем не менее следует подчеркнуть, что лишь использование специальных знаний в области сетевых технологий позволяет эффективно решить поставленные экспертные задачи.

Представляемый перечень объектов экспертизы — компьютерных средств — подлежит постоянному уточнению по мере развития теоретических, методических и практических основ экспертной деятельности в сфере современных информационных технологий. Рассмотренные выше основные виды экспертизы при производстве большинства экспертных исследований должны применяться комплексно и последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т. е. «произвести судебную компьютерно-техническую экспертизу».

Кроме того, в ходе ряда пограничных исследований иногда возникает потребность в специальных знаниях из других научных областей. Например, так обстоит дело с решением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с поврежденной структурой данных, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований — криптографией и защитой информации.

Рассмотренные выше задачи экспертиз могут быть детализированы для каждого этапа экспертного исследования (стадии экспертизы).

Экспертные задачи конкретизируются при проведении определенной экспертизы. Они не тождественны вопросам, сформулированным в постановлении (определении). Иногда несколько вопросов, поставленных перед экспертом, направлены, по существу, на решение одной экспертной задачи. И наоборот, один вопрос может требовать решения двух и более самостоятельных задач. Особо следует обратить внимание на то, что на современном методическом и организационном уровне экспертиз практически только небольшой ряд указанных задач может быть разрешен. Большинство же экспертных задач могут разрешаться пока только в частных случаях либо при условии развития экспертных методов и средств в перспективе. В каждой конкретной следственной ситуации рекомендуется предварительно согласовать круг вопросов, ставящихся на разрешение эксперта.

Кроме вышеуказанных видов судебных компьютерно-техни-
ческих экспертиз существует их процессуальное деление на комиссионные, комплексные, дополнительные и повторные.

В частности, комиссионная судебная экспертиза — это экспертиза, проводимая несколькими (не менее чем двумя) экспертами одной специальности в случаях особой сложности разрешаемых вопросов.

Согласно ст. 200 УПК комиссионный характер экспертизы определяется следователем либо руководителем экспертного учреждения, которому поручено производство судебной экспертизы.

Назначаются и производятся комиссией сложные компьютерно-технические, криминалистические, судебно-психиатрические, судебно-медицинские, судебно-наркологические, автотехнические, искус
ствоведческие, а также иные виды экспертизы.

Организация и производство комиссией судебной экспертизы возлагаются на руководителя одного или нескольких государственных судебно-экспертных учреждений.

Экспертная комиссия самостоятельно согласует цели, последовательность и объем предстоящих исследований исходя из необходимости решения поставленных перед ней вопросов.

Каждый эксперт независимо и самостоятельно проводит исследования, оценивает результаты, полученные им лично и другими экспертами, и формулирует выводы по поставленным вопросам
в пределах своих специальных знаний.

По поручению руководителя экспертного учреждения один из экспертов указанной комиссии может выполнять роль эксперта-организатора. При этом его функции не отличаются от функций остальных экспертов, входящих в состав комиссии.

В случаях производства комиссионной судебной экспертизы экспертами одной специальности каждый из них проводит необходимые исследования в полном объеме, после чего они совместно анализируют полученные результаты.

Если эксперты приходят к общему мнению, они составляют
и подписывают совместное заключение или сообщение о невозможности дачи заключения.

При возникновении разногласий между экспертами каждый из них или эксперт, который не согласен с другими, дает отдельное заключение.

В соответствии со ст. 201 УПК «судебная экспертиза, в производстве которой участвуют эксперты разных специальностей, является комплексной».

Особенностью комплексной судебной экспертизы является то, что при ее производстве необходимые исследования осуществляют эксперты разных специальностей (например, инженеры-програм-
мисты и криминалисты — в ходе компьютерно-технической экспертизы, психологи и психиатры — в ходе судебной психолого-психиатрической экспертизы, медики и криминалисты — в ходе медико-трассологической экспертизы и т. п.).

Комплексная судебная экспертиза назначается постановлением следователя, дознавателя в порядке, предусмотренном ст. 195, 199, 201 УПК (см. прил. 119 к ст. 476 УПК).

При производстве по уголовному делу комплексной комиссионной судебной экспертизы в государственном судебно-экспертном учреждении экспертами разных специальностей каждый из них проводит исследования в пределах своих специальных знаний. После завершения исследований составляется заключение экспертов, участвующих в производстве комплексной экспертизы. В заключении указывается, какие исследования и в каком объеме проводил каждый из них, какие факты он установил и к каким выводам пришел. Эксперт, участвующий в производстве комплексной экспертизы, подписывает только ту часть заключения, которая содержит описание проведенных им исследований, и несет за нее ответственность. Общий вывод делают эксперты, компетентные в оценке полученных результатов и формулировании данного вывода. Если основанием общего вывода являются факты, установленные одним или несколькими экспертами, это должно быть указано в заключении. В случае возникновения разногласий между экспертами результаты исследований оформляются таким образом: каждый из них (или эксперт, который не согласен с другими) дает отдельное заключение, в котором указывает, какие исследования он провел лично, какие факты установил и к какому выводу пришел.

Статья 207 УПК свидетельствует, что «при недостаточной ясности или полноте заключения эксперта, а также при возникновении новых вопросов в отношении ранее исследованных обстоятельств
уголовного дела может быть назначена дополнительная судебная экспертиза, производство которой поручается тому же или другому эксперту».

Дополнительная судебная экспертиза может быть назначена следователем (судом) в случаях:

1) недостаточной ясности заключения эксперта (экспертов);

2) недостаточной полноты выводов, изложенных в заключении эксперта (экспертов);

3) возникновения новых вопросов по ранее исследованным обстоятельствам уголовного дела.

Если недостаточная ясность заключения судебного эксперта может быть устранена путем допроса данного эксперта без дополнительных исследований, производить дополнительную экспертизу нет необходимости.

К постановлению о назначении дополнительной судебной экспертизы обязательно приобщаются заключение первичной экспертизы, все приложения к нему, а также ранее исследованные материалы или объекты, подлежащие использованию при разрешении вновь возникших вопросов.

Согласно ст. 207 УПК «в случаях возникновения сомнений
в обоснованности заключения эксперта или наличия противоречий в выводах эксперта или экспертов по одним и тем же вопросам может быть назначена повторная экспертиза, производство которой поручается другому эксперту».

Повторная судебная экспертиза назначается в случаях:

1) возникновения сомнений в обоснованности заключения эксперта;

2) наличия противоречий в выводах эксперта или экспертов.

Повторная судебная экспертиза назначается и производится по тем же вопросам, которые ранее ставились на разрешение эксперта (экспертов), если они требуют повторных исследований и перепроверки. Повторная судебная экспертиза проводится в случае, когда при назначении и производстве первичной экспертизы были допущены нарушения уголовно-процессуального закона, влекущие признание заключения эксперта недопустимым доказательством. В следственной и экспертной практике стало обыкновением, когда производство повторной судебной экспертизы поручается другому эксперту, как правило, более высокой квалификации, или двум либо нескольким экспертам. В постановлении о назначении повторной судебной экспертизы формулируются те же вопросы, которые были предметом первоначальной экспертизы, если их решение вызвало сомнение, излагаются обнаруженные противоречия в выводах эксперта или экспертов в отношении одних и тех же объектов исследования (например, несоответствие исходных данных и выводов эксперта и т. п.). Если сомнение в обоснованности вызывают лишь некоторые выводы эксперта, то на разрешение повторной экспертизы нет необходимости выносить все ранее поставленные вопросы. При наличии в деле противоположных заключений экспертов назначение повторной экспертизы не является обязательным. При решении этого вопроса следует учитывать иные собранные в деле доказательства по обстоятельствам, являющимся предметом экспертизы, практическую возможность провести повторную экспертизу, например при утрате или существенном изменении исследуемых объектов. К постановлению о назначении повторной судебной экспертизы приобщаются первичное заключение со всеми приложениями к нему, а также объекты и сравнительные образцы, подлежащие повторному исследованию. Если выводы повторной судебной экспертизы не совпадают с выводами ранее проведенной (первичной) экспертизы, эксперт должен в исследовательской части заключения объяснить причины имеющихся расхождений. При наличии в деле различных заключений по одному и тому же предмету исследования следователь обязан при принятии процессуальных решений мотивировать, почему одно из них он признает достоверным,
а другое — ошибочным. Имеющиеся расхождения между заключениями экспертов не дают следователю оснований априори утверждать, что только выводы повторной экспертизы являются правильными
и достоверными. Несогласие следователя с любым выводом эксперта должно быть мотивировано и подтверждено собранными доказательствами в их совокупности. Вероятные заключения любых, в том числе и повторных, экспертиз не имеют юридической силы и не могут быть положены в основу приговора.

Дополнительная и повторная судебные экспертизы являются важным средством обеспечения наиболее полного исследования обстоятельств, подлежащих доказыванию по уголовному делу. Они могут быть назначены по инициативе следователя, суда, дознавателя или органа дознания, по указанию прокурора, а также по ходатайствам подозреваемого, обвиняемого, его защитника, законного представителя, потерпевшего и его представителя, если они также не удовлетворены выводами первичной экспертизы. Решение следователя о производстве дополнительной или повторной экспертизы обязательно для руководителя экспертного учреждения. После получения постановления о ее назначении руководитель экспертного учреждения уведомляет следователя о том, какому конкретно эксперту (или нескольким экспертам) поручено ее производство.
В ходе производства дополнительной или повторной экспертизы вещественные доказательства и документы с разрешения органа или лица, назначивших экспертизу, могут быть повреждены или использованы только в той мере, в какой это необходимо для проведения исследований и дачи заключения. Такое решение должно быть отражено в постановлении или определении о назначении судебной экспертизы либо в соответствующем письме руководителю государственного судебно-экспертного учреждения, экспертного учреждения или эксперту. Повреждение вещественных доказательств и документов, произведенное с разрешения органа или лица, назначившего любую, в том числе повторную или дополнительную судебную экспертизу, не влечет за собой возмещения ущерба их собственнику государственным судебно-экспертным учреждением или экспертом (ст. 10 Закона о государственной судебно-экспертной деятельности в Российской Федерации). Следователь, дознаватель, а также подозреваемый, обвиняемый, потерпевший
и свидетель вправе присутствовать при производстве дополнительной или повторной экспертизы в соответствии с правилами, установленными в ст. 197 и 198 УПК.

Проведение вышеуказанных видов судебных компьютерно-технических экспертиз в комплексе и в процессуальном ракурсе (комиссией, комплексно, дополнительно и повторно) дает возможность с большой долей вероятности доказывать вину информационных правонарушителей с целью привлечения данных правонарушителей к ответственности.