Преступления в сфере компьютерной информации

СОДЕРЖАНИЕ

1.Планирование раскрытия преступлений в сфере компьютерной информации, состав группы расследования, действия на первоначальном этапе расследования

2.Порядок проведения следственных действий на объектах оснащенных средствами вычислительной техники

Литература

1.Планирование раскрытия преступлений в сфере компьютерной информации, состав группы расследования, действия на первоначальном этапе расследования

Информация и информационные правоотношения все чаще становятся новым предметом преступного посягательства. К преступлениям этой категории УК РФ относит: неправомерный доступ к компьютерной информации (ст. 272); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274).

Общий объект данных преступлений - общественные отношения по обеспечению информационной безопасности, а непосредственными объектами преступного посягательства являются: базы и банки данных, отдельные файлы конкретных компьютерных систем и сетей, а также компьютерные технологии и программные средства включая те, которые обеспечивают защиту компьютерной информации от неправомерного доступа.

Под информацией понимаются сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Документированная информация - это зафиксированные на материальном носителе сведения с реквизитами, которые позволяют их идентифицировать. Компьютерная информация считается документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с программой и (или) предписаниями пользователя.

К машинным носителям компьютерной информации относятся блоки памяти ЭВМ, ее периферийные системы, компьютерные средства связи, сетевые устройства и сети электросвязи.

Ответственность по ст. 272 УКРФ наступает в случае, если неправомерный доступ к компьютерной информации привел к таким опасным последствиям, как уничтожение, блокирование, модификация, копирование информации либо нарушение работы ЭВМ, их системы или сети.

Процесс раскрытия и расследования такого рода преступлений напрямую зависит от успешности взаимодействия следователя с другими участниками процесса - оперативными работниками, а самое главное экспертами и специалистами в данной области.

Первоначальный этап раскрытия преступлений в сфере компьютерной информации является трудным для следователя. Важно определить нужные следственные действия, проведение которых позволит получить новую доказательную базу по делу. Обычно это: осмотр места происшествия, допросы свидетелей и очевидцев (проводятся как можно быстрее, чтобы не уничтожилась доказательственная информация), а затем уже осуществляются более длительные действия (экспертизы).

При расследовании неправомерного доступа к компьютерной информации обстоятельства содеянного устанавливаются в такой очередности:

1)факт неправомерного доступа к информации в компьютерной системе или сети;

2)место несанкционированного проникновения в эту систему или сеть;

3)время совершения преступления;

4)способ несанкционированного доступа;

5)степень надежности средств защиты компьютерной информации;

6)лица, совершившие неправомерный доступ, их виновность и мотивы преступления;

7)вредные последствия содеянного.

Для рассматриваемых преступлений характерны такие ситуации начала расследования:

1.Собственник компьютерной системы обнаружил нарушение ее целостности и (или) конфиденциальности, установил виновное лицо и заявил о случившемся в правоохранительные органы.

2.Собственник самостоятельно выявил названные нарушения, однако не смог установить злоумышленника и заявил о случившемся.

3.Сведения о нарушении целостности и (или) конфиденциальности информации и виновном субъекте стали известны или непосредственно обнаружены компетентным органом, владелец компьютерной системы этот факт скрывает.

4.Правоохранительным органом обнаружены признаки противоправного вторжения в компьютерную систему, виновное лицо и владелец информации неизвестны.

Факт неправомерного доступа к информации обнаруживают, как правило, пользователи компьютерной системы или сети. Такие факты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСНП России. Их можно выявить и в ходе прокурорских проверок, ревизий, судебных экспертиз, следственных действий по расследуемым делам.

Необходимо выяснить также признаки неправомерного доступа, выражающиеся в отступлениях от установленного порядка обработки документов. Имеются в виду:

а)нарушения принятых правил оформления документов и изготовления машинограмм;

б)лишние документы, подготовленные для обработки на ЭВМ;

в)несоответствие информации, содержащейся в первичных документах, данным машинограмм;

г)преднамеренные утрата или уничтожение первичных документов и машинных носителей информации, внесение искажений в данные их регистрации. Следует, однако, помнить, что перечисленные признаки могут быть результатом не только злоупотреблений, но и других причин, например халатности персонала, случайных ошибок и сбоев компьютерной техники.

Место несанкционированного проникновения в компьютерную систему или сеть удается установить с определенными трудностями, поскольку таких мест может быть несколько. На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств, но для этого также приходится выявлять все места работы компьютеров, имеющих единую телекоммуникационную связь.

Гораздо проще это место устанавливается тогда, когда расследуется несанкционированный доступ к единичному компьютеру. Но и тут нужно учитывать, что информация на машинных носителях может храниться в других помещениях.

Во много раз труднее определить место непосредственного применения технических средств удаленного несанкционированного доступа, которые не входят в данную компьютерную систему или сеть. К его установлению необходимо привлекать соответствующих специалистов. Необходимо выяснить также место хранения информации на машинных носителях, добытой преступником в результате неправомерного доступа к компьютерной системе или сети.

Время несанкционированного доступа можно определить с помощью программ общесистемного назначения. В работающем компьютере они обычно фиксируют текущее время. Если данная программа функционирует, то при несанкционированном входе в систему или сеть время работы на компьютере любого пользователя и производства конкретной операции автоматически фиксируется в оперативной памяти. Тогда время несанкционированного доступа можно определить в ходе следственного осмотра компьютера, его распечаток или дискет, производимого с участием специалиста, чтобы информация, находящаяся в оперативной памяти ЭВМ или на дискете, не была случайно стерта. В качестве специалистов могут выступать, например, сотрудники информационных центров МВД, ГУВД, УВД субъектов Российской Федерации.

Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы. Выясняется, когда именно каждый из них работал на ЭВМ, если это не было зафиксировано в автоматическом режиме.

Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.

Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.

Часть 1 ст. 273 УК РФ предусматривает совершение одного из следующих действий:

а)создание программы или внесение в нее изменений, заведомо влекущих несанкционированное уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, их системы или сети;

б)использование или распространение подобных программ либо машинных носителей с ними. Изменением программы является преобразование алгоритма, описанного в ней на специальном языке, а распространением - расширение сферы ее применения.

Часть 2 этой статьи предусматривает более опасное преступление - любое из вышеуказанных действий, повлекшее тяжкие последствия. Причем возможны две формы вины: умысел по отношению к действиям и неосторожность относительно общественно опасных последствий. Этим преступлениям свойственна высокая латентность; особенно трудно выявлять создателей вредоносных программ.

Основные задачи расследования решаются в такой последовательности:

1)установление факта и способа создания, использования и

распространения вредоносной программы для ЭВМ;

2)установление лиц, виновных в названных деяниях, а также вреда, причиненного ими.

Установление факта и способа создания, использования и распространения вредоносной программы для ЭВМ. Такая программа обнаруживается, как правило, когда уже проявились вредные последствия ее действия. Однако она может быть выявлена и в процессе антивирусной проверки, производимой при начале работы на компьютере, особенно если предстоит использование чужих дискет или дисков.

Факты использования и распространения вредоносной программы нередко обнаруживаются с помощью антивирусных программ. В ходе расследования такие факты можно установить при осмотре следующих документов:

а)журналов учета рабочего времени, доступа к вычислительной технике, ее сбоев и ремонта, регистрации пользователей компьютерной системы или сети, проведения регламентных работ;

б)лицензионных соглашений и договоров на пользование программными продуктами и их разработку;

в)книг паролей, приказов и других документов, регламентирующих работу учреждения и использование компьютерной информации. Эти документы нередко ведутся в электронной форме, поэтому к ознакомлению с ними необходимо привлекать специалиста. При изучении журналов, книг, соглашений и другой документации следователь может выяснить законность использования того или иного программного обеспечения, систему организации работы учреждения и обработки в нем информации, доступа к ней и компьютерной технике, круг лиц, имевших на это право.

Проводя допросы свидетелей, необходимо выяснять, какая информация подвергалась вредоносному воздействию, ее назначение и содержание; как осуществляется доступ к ресурсам ЭВМ, их системе или сети, кодам, паролям и другим закрытым данным; как организованы противовирусная защита и учет пользователей компьютерной системы.

В ходе допросов свидетелей нужно иметь в виду, что практикуется множество способов использования и распространения вредоносных программ. Так, нередки случаи запуска программы с другого компьютера или с дискеты, купленной, одолженной, полученной в порядке обмена, либо с электронной "доски объявлений". Распространение вируса, вызывающего уничтожение и блокирование информации, сбои в работе ЭВМ или их системы, может происходить по компьютерной сети вследствие использования нелицензионной и несертифицированной программы (чаще игровой), купленной у случайного лица, а также скопированной у кого-либо.

Доказыванию фактов использования и распространения вредоносных программ способствует своевременное производство информационно-технологической экспертизы, посредством которой можно определить, какие изменения и когда внесены в исследуемые программы, а также последствия использования и распространения вредоносных программ. Экспертиза может также установить примененный преступником способ преодоления программной и аппаратной защиты (подбор ключей и паролей, отключение блокировки, использование специальных программных средств).

При установлении лиц, виновных в создании, использовании и распространении вредоносных программ для ЭВМ, необходимо учитывать, что такую программу может создать человек, обладающий специальными познаниями. Легче всего создать вирус опытному программисту, который, как правило, не участвует в их распространении. Зачастую вредоносные программы создают и используют субъекты, хорошо освоившие машинный язык, движимые чувством самоутверждения, мотивами корысти или мести, а иногда и потребностью в компьютерном вандализме. Некоторые делают это, стремясь "расколоть" систему защиты информации, официально считающуюся неуязвимой.

Поиск лица, причастного к использованию вредоносных программ для

ЭВМ, сопряжен со значительными затратами времени, сил и средств. Органу дознания нужно поручить выявление и проверку лиц, ранее привлекавшихся к ответственности за аналогичные преступления. В некоторых случаях злоумышленника можно идентифицировать по следам рук, оставленным на участках дисководов, клавишах, других частях компьютера.

При расследовании нарушения правил эксплуатации ЭВМ, их системы или сети необходимо прежде всего доказать факт нарушения эксплуатационных правил, повлекший уничтожение, блокирование или модификацию компьютерной информации с причинением существенного вреда. Кроме того, следует установить и доказать: место и время (период времени) нарушения правил эксплуатации ЭВМ, их системы или сети; характер компьютерной информации, подвергшейся вследствие этого уничтожению, блокированию или модификации; способ и механизм нарушения правил; характер и размер причиненного ущерба; факт нарушения правил определенным лицом и виновность последнего.

Доказывая факт преступного нарушения правил эксплуатации ЭВМ, необходимо тщательно изучить пакет документов об эксплуатации данной компьютерной системы или сети, обеспечении их информационной безопасности. Правила должны определять порядок получения, обработки, накопления, хранения, поиска, распространения и представления потребителю компьютерной информации, а также ее защиты от неправомерных посягательств. Правила могут быть общими и особенными - установленными собственником или владельцем информационных ресурсов, систем, технологий и средств их обеспечения.

Для конкретизации правила, нарушение которого привело к вредным последствиям, необходимо допросить всех лиц, работавших на ЭВМ и обслуживавших компьютерное оборудование в интересующий следствие период времени. К участию в допросе целесообразно привлечь специалиста.

Подлежат выяснению следующие вопросы:

1)круг обязанностей допрашиваемого при работе с ЭВМ либо ее

оборудованием, какими правилами они установлены;

2)какая конкретно работа на ЭВМ и в каком порядке выполнялась, когда произошло уничтожение, блокирование, изменение компьютерной информации или наступили иные вредные последствия;

3)какие неполадки в компьютерной системе обнаружились при работе на ЭВМ, не было ли при этом каких-либо сбоев, чреватых причинением существенного вреда;

4)какие конкретно правила работы с компьютером были в данной ситуации нарушены;

5)каким образом должны фиксироваться факты уничтожения, блокирования или модификации компьютерной информации в случае нарушения определенных правил эксплуатации ЭВМ;

6)связаны ли уничтожение, блокирование, модификация информации с нарушением правил эксплуатации ЭВМ и каких именно либо они явились следствием непредвиденных обстоятельств.

Факт нарушения правил эксплуатации ЭВМ может быть установлен по материалам служебного расследования. Обычно оно проводится отделом информационной безопасности предприятия, на котором произошел уголовно наказуемый инцидент. В этих материалах можно найти предварительные ответы на многие из вышеприведенных вопросов. По этим материалам могут быть установлены также место и время преступного нарушения правил, другие обстоятельства, подлежащие доказыванию.

Конкретное место нарушения правил эксплуатации ЭВМ можно определить при осмотре автоматизированных рабочих мест пользователей компьютерной системы или сети всех подключенных к ним ЭВМ.

При расследовании данной категории дел очень важно установить, где расположена станция, эксплуатация которой велась с грубыми отступлениями от требований информационной безопасности. В первую очередь следует определить места, где по схеме развертывания сети дислоцированы рабочие станции, имеющие собственные дисководы, так как именно там имеется возможность для преступных нарушений правил эксплуатации компьютерной сети. Это, например, возможность скопировать данные с файлового сервера на свою дискету либо использовать дискеты с различными программами, в том числе зараженными компьютерными вирусами. Такие действия, ставящие под реальную угрозу целостность информации, содержащейся в центральных файловых серверах, на бездисковых рабочих станциях должны быть исключены.

Осмотр должен проводиться с участием специалиста, помогающего выяснить дислокацию компьютера, работа на котором привела к вредным последствиям из-за преступного нарушения правил его эксплуатации.

Необходимо различать место нарушения правил и место наступления вредных последствий. Они не всегда совпадают, особенно когда нарушаются правила эксплуатации компьютерных сетей, в которых персональные ЭВМ подчас расположены на весьма значительных расстояниях друг от друга.

Рекомендуется производить следственный осмотр учетных данных, в которых могут быть отражены сведения о расположении конкретной рабочей станции, использующей файловый сервер. Кроме того, необходимо допросить в качестве свидетелей администратора сети и специалистов, обслуживающих файловый сервер, в котором произошло уничтожение, блокирование или модификация компьютерной информации.

Подлежат выяснению следующие вопросы:

1)на какой рабочей станции могли быть нарушены правила эксплуатации компьютерной сети, где она расположена;

2)могли быть нарушены правила на конкретной рабочей станции и какие именно.

Если правила нарушены непосредственно на файловом сервере, то места нарушения и наступления вредных последствий совпадают.

Место нарушения правил может установить и информационно-техническая экспертиза, если перед ней поставлен вопрос: на какой конкретно рабочей станции локальной вычислительной сети были нарушены правила ее эксплуатации, что повлекло наступление вредных последствий?

При определении времени нарушения правил эксплуатации ЭВМ необходимо установить и зафиксировать еще и время наступления вредных последствий. Нарушение правил и наступление таких последствий могут произойти одновременно. Так, при отключении электропитания вследствие нарушения установленных правил обеспечения информационной безопасности может быть мгновенно уничтожена введенная в ЭВМ информация, которую не успели записать на дискету. Это неизбежно происходит в случае отсутствия источников автономного электропитания, автоматически вводимых в действие при отключении основного.

Возможен и большой временной интервал между моментом нарушения правил и моментом наступления вредных последствий. Например, в определенный промежуток времени злоумышленник в нарушение установленных правил изменяет программу или базу данных, а вредные последствия наступают значительно позже.

Время нарушения правил обычно конкретизируется по учетным данным, которые фиксируются в процессе эксплуатации ЭВМ. К ним относятся данные о результатах применения средств автоматического контроля компьютерной системы, регистрирующих ее пользователей и моменты подключения к ней абонентов, содержание журналов учета сбойных ситуаций, передачи смен операторами ЭВМ, распечатки выходной информации, где, как правило, фиксируется время ее обработки.

Указанные данные могут быть получены благодаря осмотру места происшествия, выемке и осмотру необходимых документов. Осмотр места происшествия и документов проводится с обязательным участием специалиста.

Время нарушения правил можно установить также путем допросов свидетелей из числа лиц, участвующих в эксплуатации ЭВМ. Допрашиваемым необходимо задать следующие вопросы:

1) каким образом в данной компьютерной системе фиксируются факты и время отклонения от установленных правил эксплуатации ЭВМ;

2)когда могло быть нарушено определенное правило эксплуатации компьютера, повлекшее вредные последствия.

При необходимости может быть назначена судебная информационно-техническая экспертиза, перед которой для установления времени преступного нарушения правил нужно сформулировать следующие вопросы:

1)как технически осуществляется автоматическая фиксация времени обращения пользователей к данной компьютерной системе или сети и всех изменений, происходящих в информационных массивах;

2)можно ли по представленным машинным носителям информации установить время нарушения определенных правил эксплуатации ЭВМ, если да, то когда нарушение произошло.

Время наступления вредных последствий устанавливается по материалам служебного расследования и результатам осмотра места происшествия, а также путем допроса свидетелей и производства судебных экспертиз.

Способ нарушения правил эксплуатации ЭВМ может быть как активным, так и пассивным. Первый выражается в самовольном выполнении непредусмотренных операций при компьютерной обработке информации, а второй - в невыполнении предписанных действий.

Механизм нарушения таких правил связан с технологией обработки информации на компьютере. Это, например, неправильное включение и выключение ЭВМ, использование посторонних дискет без предварительной проверки на компьютерный вирус или обязательного копирования информации на случай, если оригинал будет уничтожен.

Способ и механизм нарушения правил выясняются путем допросов свидетелей, подозреваемых и обвиняемых, проводимых с участием специалистов; следственного эксперимента; судебной информационно-технической экспертизы. При ее назначении может быть поставлен вопрос: "Каков механизм нарушения правил эксплуатации ЭВМ?"

При допросах выясняется последовательность тех или иных операций на компьютере, которые привели к нарушению правил. В ходе следственного эксперимента проверяется возможность наступления вредных последствий при нарушении определенных правил. Он проводится с использованием копий исследуемой информации и по возможности на той же ЭВМ, при работе на которой правила эксплуатации были нарушены.

При установлении лица, допустившего преступное нарушение правил эксплуатации ЭВМ, следует иметь в виду, что виновным согласно ч. 1 ст. 274 УК РФ может быть лицо, имеющее доступ к ЭВМ, их системе или сети. При этом необходимо помнить, что не всякое лицо, допущенное к ЭВМ, имеет доступ ко всей компьютерной информации. К ЭВМ, их системе или сети, как правило, имеют доступ определенные лица в силу выполняемой ими работы, связанной с применением средств компьютерной техники. Среди них и следует устанавливать нарушителей правил.

В отношении каждого из них устанавливается: фамилия, имя, отчество; занимаемая должность (относится к категории должностных лиц, ответственных за информационную безопасность и надежность работы компьютерного оборудования, либо к категории непосредственно отвечающих за обеспечение выполнения правил эксплуатации данной компьютерной системы или сети); образование, специальность, стаж работы по специальности и в данной должности, уровень профессиональной квалификации; конкретные обязанности по обеспечению информационной безопасности и нормативные акты, которыми они установлены (положение, приказ, распоряжение, контракт, договор, проектная документация на автоматизированную систему и пр.); участие в разработке, внедрении в опытную и промышленную эксплуатацию данной компьютерной системы или сети; наличие и объем доступа к базам и банкам данных; характеристика лица по месту работы; наличие личного компьютера и оборудования к нему.

Все это выясняется посредством допросов свидетелей, подозреваемого и обвиняемого, осмотра и изучения эксплуатационных документов на данную компьютерную систему, осмотра компьютера, оборудования к нему, машинных носителей информации и распечаток.

Виновность лица, совершившего преступное нарушение правил эксплуатации ЭВМ, устанавливается по результатам всех проведенных следственных действий. Соответствующие правила могут быть нарушены как умышленно, так и по неосторожности, в то время как относительно последствий вина может быть только неосторожной. При наличии умысла на причинение вредных последствий должна наступать ответственность за совокупность совершенных преступлений.

Обстоятельства, способствовавшие совершению данного преступления, выявляются путем анализа как общего состояния охраны информационной безопасности в определенной системе или сети, так и факторов, непосредственно обусловивших расследуемое событие. Многие обстоятельства, способствовавшие нарушению правил эксплуатации ЭВМ, устанавливаются по материалам служебного расследования, которые следователем должны быть тщательно изучены и при необходимости приобщены к расследуемому уголовному делу.

2.Порядок проведения следственных действий на объектах оснащенных средствами вычислительной техники.

При осмотре места происшествия могут быть обнаружены машинные носители информации, на которых ранее хранились важные, защищаемые законом данные. Последние вследствие нарушения правил эксплуатации ЭВМ оказались уничтоженными или существенно измененными либо заблокированными. На носителях может быть зафиксировано время наступления таких последствий, которое выясняется при следственном осмотре с помощью специалиста.

Значение осмотра средств компьютерной техники обусловлено тем, что следы преступных манипуляций остаются на винчестере, дискетах и других носителях компьютерной информации. Своевременное обнаружение компьютерных средств и их грамотное изъятие увеличивают доказательственный потенциал компьютерно-технической экспертизы, назначаемой для извлечения информации с магнитных носителей в целях обнаружения следов совершения и сокрытия преступления.

Обнаружение, осмотр и изъятие компьютерных средств обычно осуществляются при следственном осмотре, производство которого требует тщательной подготовки в связи со спецификой охранных мероприятий. Так, помещение с компьютерами, как правило, обеспечивается электронной охраной, поэтому любые неправильные действия следователя или иных участников осмотра могут привести к нежелательным последствиям. Например, информация на винчестере может быть автоматически уничтожена при вскрытии кожуха компьютера, открытии кабинета, в котором он стоит, либо при других обстоятельствах, предусмотренных службой охраны фирмы: дистанционно - по локальной сети, нажатием на тревожную кнопку, передачей сообщения на пейджер, соединенный с ЭВМ.

Поэтому при подготовке к осмотру необходимо выяснить:

1) с помощью каких технических средств заблокировано помещение, в котором установлен компьютер, каков пароль (код), а иногда и электронный ключ доступа к данному объекту. Нужно помнить, что электронная блокировка помещения нередко соединена с системой самоуничтожения важной компьютерной информации, действующей от автономного источника питания. Тогда при нарушении установленного порядка доступа в помещение срабатывает защита: компьютер стирает информацию на винчестере, даже если он отключен от электросети. Владельцы подобных систем обязательно имеют надежно спрятанную копию этой информации, которая находится на значительном расстоянии под особой охраной;

2)какие средства охраны и обеспечения безопасности компьютерной информации задействованы, установлена ли специальная система ее уничтожения, каковы средства и порядок доступа к информации, включен ли компьютер в локальную сеть, каковы ее схема, правила обеспечения безопасности ее использования.

Если компьютер подключен к Интернету, необходимо связаться с сетевым провайдером узла и организовать с его помощью сохранение и изъятие компьютерной информации, принадлежащей либо поступившей в адрес данной фирмы.

Вредные последствия часто обнаруживаются пользователями компьютерной системы или сети, а также администраторами базы данных. Поэтому при их допросах в качестве свидетелей следует уточнить, когда они впервые обнаружили отсутствие или существенное изменение информации, находившейся в определенной базе данных.

Время наступления вредных последствий можно установить и в результате производства информационно-технической экспертизы, на разрешение которой ставятся следующие вопросы: 1) как технически осуществляется автоматическая фиксация времени уничтожения или изменения базы данных либо блокирования отдельных файлов;

2)можно ли по стертым или измененным вследствие нарушения правил эксплуатации ЭВМ базам данных установить время наступления вредных последствий и если да, то когда они наступили.

Литература

1. Крылов В.В. Расследование преступлений в сфере информации. М., 1998.

2. Расследование преступлений повышенной общественной опасности: Пособие для следователей / Под ред. Н.А. Селиванова, А.И. Дворкина. М., 1998. С. 333 - 428.

3. Россинская Е.Р. Экспертиза в уголовном, гражданском, арбитражном процессе. М., 1996. С. 173 - 179.

4. Россинская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М., 2001.