Криминалистическое учение о компьютерной информации и средствах ее обработки

По тексту главы дается определение и краткая характеристика каждому из указанных элементов криминалистической классификационной системы.

Делается вывод о том, что программа для ЭВМ и других компьютерных устройств - компьютерная программа - может существовать в двух материальных формах: в виде обычного рукописного или машинописного документа на бумаге (пленке), который называется "исходный текст" ("исходник") и представляет собой алгоритм обработки данных и подачи управляющих команд, описанный с помощью языков программирования; в виде документированной компьютерной информации - электронного документа, который называется "объектный код" - исходный текст, преобразованный в электронно-цифровую форму с помощью инструментальных программ (систем программирования).

В криминалистических целях компьютерные программы предложено классифицировать по функциональному назначению на виды и подвиды: системная (BIOS, системный загрузчик, утилита, программа-оболочка, операционная система); прикладная; специального назначения (вредоносная, антивирусная, защиты от НСД, обеспечивающая борьбу с преступностью); инструментальная (транслятор, компилятор, декомпилятор, интерпретатор, исследовательская или тестовая); база данных; электронная страница; сайт.

Приводятся криминалистические понятия каждого из указанных видов и подвидов компьютерных программ.

В четвертой главе "Понятие и механизм образования электронно- цифровых следов" формулируется понятие, показываются особенности механизма образования, а также криминалистические классификации электронно-цифровых следов и типичных предметов - их носителей; исследуется информационная сущность фиксации доказательств, находящихся в электронно-цифровой форме.

Электронно-цифровой след - это любая криминалистически значимая компьютерная информация, т. е. сведения (сообщения, данные), находящиеся в электронно-цифровой форме, зафиксированные на материальном носителе либо передающиеся по каналам связи посредством электромагнитных сигналов. Эти следы являются материальными невидимыми следами.

В основе механизма их образования лежат электромагнитные взаимодействия двух и более материальных объектов - объективных форм существования (представления) компьютерной информации, которые были подробно исследованы в третьей главе диссертации.

Воздействие одной объективной формы существования компьютерной информации на другую (взаимодействие объектов следообразования) может быть обнаружено по наблюдаемому различию между тремя известными их состояниями: по признакам изменения их содержания, формата и других характеристик; изменению алгоритма работы программы; автоматически создаваемым компьютерной программой (негласно для пользователя) скрытым файлам, которые используются некоторыми программами и операционными системами для фиксации хода обработки компьютерной информации и ее восстановления на случай аварийного сбоя в работе компьютерного устройства или его программного обеспечения. Эти фиксируемые изменения и будут следами-отображениями, характеризующими результат взаимодействия.

Основными следообразующими и следовоспринимающими объектами выступают: электромагнитный сигнал; файл; компьютерная программа; база данных; электронное сообщение; электронный документ; электронная страница или сайт в компьютерной сети.

Следами-предметами (частями предметов) и одновременно типичными материальными носителями электронно-цифровых следов следует считать машинные носители информации, интегральные микросхемы, микроконтроллеры, пластиковые карты и иные комбинированные документы, ЭВМ и другие компьютерные устройства. Помимо того, что в указанных технических устройствах содержится компьютерная информация, связанная с событием преступления, их отдельные электронные модули при работе излучают в окружающее пространство дополнительную криминалистически значимую компьютерную информацию, которая может быть дистанционно обнаружена и зафиксирована посредством соответствующих радиоэлектронных или иных специальных программно-технических средств. В последующем эта информация с помощью компьютерных программ и электронно-цифровых устройств может быть расшифрована (раскодирована), представлена в человекочитаемом виде и использована в целях уголовного судопроизводства.

Принимая за основу методологический подход, предложенный Р.С. Белкиным, информационная сущность фиксации доказательств, находящихся в электронно-цифровой форме, будет заключаться в следующем.

1. Производится перекодировка доказательственной компьютерной информации, содержащейся на оригинальном материальном носителе, в форму, доступную для восприятия ее человеком, например, она отображается на экране (мониторе) компьютерного устройства или прослушивается как фонограмма.

2. Компьютерная информация изымается вместе с ее материальным носителем либо копируется на отличный от оригинала материальный носитель, когда его изъятие невозможно или нецелесообразно.

3. Обеспечивается сохранение доказательственной компьютерной информации для неоднократного ее использования в процессе доказывания, например, в процессе судебно-экспертного исследования, предъявления как доказательства в ходе допроса и т. д.

4. Благодаря сохранению зафиксированной "порции" компьютерной информации обеспечивается возможность ее накопления до необходимого объема, т. е. до момента доказанности всех обстоятельств, подлежащих установлению.

5. Обеспечивается возможность отбора информации о событии преступления: фиксируется не вся компьютерная информация, поступающая к сотруднику органа предварительного расследования или судье, а лишь относящаяся к предмету доказывания (относимая компьютерная информация), допускаемая законом (допустимая компьютерная информация) и существенная в рамках предмета доказывания.

6. Запечатлевается не только сама доказательственная компьютерная информация, но и информация о путях, способах ее получения как необходимое условие признания ее допустимости по делу.

Пятая глава "Основы криминалистического исследования документированной компьютерной информации" включает два параграфа.

В первом параграфе "Криминалистическое исследование электронных документов" с учетом последних научных достижений, а также изменений и дополнений, внесенных в отечественное и зарубежное законодательство, уточнены существующие и сформулированы новые понятия, которые, по мнению автора, позволят усовершенствовать категориальные (понятийные) аппараты криминалистики, уголовно-процессуальной науки, судебной экспертизы и оперативно-розыскной деятельности в части изучения электронного документа и его производных как доказательств.

Документ (документированная информация) - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, зафиксированные на одном материальном объекте с реквизитами, позволяющими идентифицировать данные сведения. Объект может быть однородным - состоять из одного материального носителя или неоднородным - из нескольких различных носителей.

Документ как доказательство - любые сведения независимо от формы их представления, зафиксированные на одном материальном объекте с реквизитами, позволяющими идентифицировать данные сведения, если они имеют значение для установления обстоятельств, подлежащих доказыванию по делу.

Письменный документ - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, зафиксированные с помощью знаков естественного и (или) искусственного языка на одном материальном объекте с реквизитами, позволяющими идентифицировать данные сведения.

Язык - совокупность символов (знаков), соглашений и правил, используемых для общения между людьми, управления автоматами, а также отображения и передачи сведений в пространстве и во времени, в том числе с использованием технических средств. Следует различать естественный язык-обычный язык общения людей между собой и искусственный - специальный язык общения людей или предназначенный для описания сведений в целях их отображения, обработки и передачи с использованием средств электронно-вычислительной техники и электросвязи, т. е. машинный язык.

Документ, созданный средствами электронно-вычислительной техники, - любой документ (или его копия), созданный с использованием средств электронно-вычислительной техники и цифровой электросвязи.

Документ на машинном носителе - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления, зафиксированные на машинном носителе или материальном объекте, состоящем из машинного и иных носителей, с реквизитами, позволяющими идентифицировать данные сведения.

Машинный документ - документ, созданный средствами электронно-вычислительной техники и электросвязи без непосредственного участия и воли человека (под управлением компьютерной программы). Материальный носитель ("подложка документа") подготавливается заранее человеком или генерируется программой для ЭВМ.

Электронный документ - документ в электронно-цифровой форме. Главная его особенность - отсутствие жесткой привязки к конкретному материальному носителю. Один и тот же электронный документ может существовать на разных носителях, поэтому к нему не применимы такие понятия, как оригинал и копия. Все идентичные по своему содержанию экземпляры электронного документа могут рассматриваться как оригиналы и отличаться друг от друга только датой и временем создания. В качестве копии электронного документа может рассматриваться только его копия на бумажном носителе - машинограмма.

Машинограмма документа - копия электронного документа, изготовленная на печатающем устройстве.

Видеограмма документа - копия электронного документа, зафиксированная и отображенная на экране (дисплее, мониторе) компьютерного устройства.

Проанализировав существующие системы криминалистических классификаций документов, автор пришел к выводу, что ни одна из них в полной мере не соответствует объективным особенностям существования компьютерной информации как основы любого электронного документа. В связи с чем предлагается с криминалистических позиций все электронные документы классифицировать: по назначению; юридической природе; юридической силе; уголовно-процессуальному положению; категории доступности; источнику происхождения; машинному носителю; форме представления; способу исполнения; стандарту кодирования (шифрования); способу фиксации; языку представления; формату записи или протоколу передачи.

Во втором параграфе "Криминалистическое исследование средств защиты компьютерной информации" рассматриваются проблемные вопросы, связанные с определением понятия, разработкой криминалистической классификации и изучением признаков подделки электронно-цифровых ключей (ЭЦК); определением понятия и юридической силы электронной цифровой подписии (ЭЦП), а также иных криминалистически значимых сведений о ней; изучением типичных способов подделки электронных документов и их признаков. На основе анализа действующего отечественного и зарубежного законодательства, материалов следственной, экспертной и судебной практики делаются некоторые выводы.

1. Электронно-цифровой ключ - это программируемое электронное техническое устройство, изготовленное на базе интегральной микросхемы, содержащей в своей энергонезависимой памяти уникальный код доступа к охраняемой законом компьютерной информации, которое является одним из основных элементов программно-технического средства защиты информации (СЗИ).

2. С криминалистических позиций необходимо различать виды ЭЦК и основанные на них программно-аппаратные СЗИ: "HASP" (Hardware Against Software Piracy - аппаратное средство для защиты программного обеспечения от пиратов); "HardLock" (аппаратный замок); "iButton" (от англ. "intellectual button" - интеллектуальная кнопка).

3. Типичными способами подделки программно-аппаратных СЗИ, функционирующих на основе ЭЦК, являются: создание и (или) использование программной копии (эмулятора) ЭЦК; модификация (переработка) защищенной программы; комбинированный способ (комплексное использование способов первой и второй группы).

4. Признаки подделки ЭЦК можно обнаружить следующим образом: установить наличие работающей защищенной программы; установить наличие или отсутствие ЭЦК, подключенного к ЭВМ; попытаться запустить защищенную программу без ЭЦК.

5. Для определения места, где находится эмулятор ЭЦК, необходимо: по всем реквизитам (названию, объему, дате и логическому расположению на носителе) сравнить исполняемые файлы "взломанной" программы с аналогичными файлами защищенной программы - образцом; пореквизитно сравнить драйвер ЭЦК "взломанной" программы с драйвером - образцом; по ключевым словам "emulator", "emu" и другим параметрам произвести поиск папки, в которой может находиться программа-эмулятор; путем сканирования реестра операционной системы ЭВМ произвести поиск адресов местонахождения программы-эмулятора.

6. С криминалистических позиций все ЭЦП целесообразно классифицировать: по методу исполнения (статичная - формируемая с помощью ПИН-кода; динамичная - создаваемая на основе частных признаков собственноручной подписи человека); "географии" использования (используемые в информационной системе общего пользования-глобальной системе, которая открыта для всех физических и юридических лиц и в услугах которой этим лицам не может быть отказано; используемые в корпоративной информационной системе - локальной системе, участниками которой является ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы).

Сделан вывод о необходимости разработки проблем исследования статичной и динамичной электронно-цифровых подписей с позиций криминалистики и судебной экспертизы.

7. Подделка электронного документа (ЭД) может быть осуществлена путем: подмены данных на стадии оформления (генерации) электронного документа; внесения изменений в электронный документ на стадии его использования; незаконного использования электронной цифровой подписи, электронно-цифровых аналогов его собственноручной подписи, а также средств идентификации пользователя в компьютерной системе или сети.

8. Для установления подделки ЭД необходимо принимать во внимание три группы признаков: порядок размещения ЭД в массиве документов; формат записи ЭД; признаки основного текста ЭД (проявляются в индивидуальных особенностях его оформления и содержания).

Шестая глава "Основы криминалистического исследования вредоносных программ для ЭВМ и других компьютерных устройств" посвящена изучению понятия, криминалистических признаков и классификации вредоносных компьютерных программ, а также проблем, связанных с механизмами следообразования при создании, использовании, распространении таких программ и машинных носителей с ними.

Представляется, что только на основе формируемой системы научных положений о вредоносных программах и следах их применения можно совершенствовать имеющиеся и разрабатывать новые программно-технические средства, приемы и методики их обнаружения, фиксации, предварительного исследования, изъятия и последующего использования в целях раскрытия, расследования и предупреждения преступлений.

Критически оценивая имеющиеся в современной научной литературе по уголовному праву и криминалистике определения понятия вредоносной программы, в том числе сформулированное диссертантом ранее, автор уточняет его содержание: вредоносная программа - это компьютерная программа, специально созданная или модифицированная для не санкционированного собственником, владельцем или пользователем (обладателем) компьютерной информации, ЭВМ и другого компьютерного устройства, компьютерной системы или сети уничтожения, блокирования, модификации либо копирования компьютерной информации, нарушения работы ЭВМ и другого компьютерного устройства, системы ЭВМ или их сети.

Вредоносные программы являются одним из видов информационного оружия - информационно-программным. Фактически это автоматы - самодействующие в электронно-цифровой среде информационные устройства, производящие работу по заданной преступником программе без его непосредственного участия.

С учетом тенденций развития информационного оружия указанной категории, выявленных на основе изучения материалов уголовных дел и судебной практики, автор согласен с развернутой криминалистической классификацией вредоносных программ, предложенной группой специалистов в области судебной компьютерно-технической экспертизы в составе: А.Б. Нехорошева, М.Н. Шухнина, И.Ю. Юрина и А.Н. Яковлева.

Делается вывод о том, что механизм следообразования в случаях применения вредоносных программ обладает определенной спецификой и зависит от многих факторов. Важное значение имеют алгоритм работы, особенности программной реализации, а также вид транспортной и рабочей сред автоматов рассматриваемой категории. Таким образом, вредоносные программы и следы их применения, а также программно-технические средства, приемы, методики и рекомендации по их обнаружению, фиксации и предварительному исследованию в целях раскрытия, расследования и предупреждения преступлений должны изучаться в рамках специального подраздела криминалистического исследования компьютерной информации.

Второй раздел "Криминалистическое исследование компьютерных устройств, их систем и сетей" включает шесть глав.

Проведенный диссертантом анализ материалов следственной и судебной практики показал, что чаще всего в качестве вещественных доказательств выступают следующие категории электронно-цифровых устройств - типичных следов-предметов по уголовным делам: машинные носители информации; интегральные микросхемы и микроконтроллеры; пластиковые карты и иные комбинированные документы, имеющие электронные реквизиты; электронно-вычислительные машины (ЭВМ или компьютеры); системы ЭВМ.

Автор полагает, что каждая выделенная группа следов-предметов имеет свои, присущие только им криминалистические признаки и свойства (физическое строение, принцип функционирования, особенности запечатления (фиксации) информации и др.), которые находятся в причинно-следственной связи с механизмом следообразования. Констатируется, что соединенные между собой средствами электросвязи эти технические устройства образуют компьютерные сети с территориально распределенными электронными ресурсами. Механизм образования электронно-цифровых следов в них уникален. В связи с этим они должны изучаться раздельно - в рамках соответствующих направлений криминалистического исследования компьютерных устройств, их систем и сетей, являющегося подотраслью научных знаний, входящих в криминалистическое компьютероведение.

В первой главе "Криминалистическое исследование машинных носителей информации" уточняется содержание понятия машинного носителя информации и разрабатывается система их криминалистической классификации. Под машинным носителем информации автор предлагает понимать любое техническое устройство, физическое поле либо сигнал, предназначенные для фиксации, хранения, накопления, преобразования и (или) передачи компьютерной информации в пространстве и во времени.

С позиций криминалистики машинные носители классифицированы: по физической форме представления (ферромагнитная полимерная лента или полоса; ферромагнитная металлическая нить; гибкий полимерный магнитный диск; диски Бернулли; жесткий магнитный диск; внутренние и внешние кассетные устройства с жесткими магнитными дисками и головками; гибкая оптическая или магнитооптическая полимерная пленка; гибкие магнитооптические диски; жесткий оптический или магнитооптический диск; электромагнитное, электрическое, магнитное поле либо электромагнитный, электрический, магнитный, оптический сигнал; комбинированные машинные носители информации); времени хранения информации (оперативные и постоянные); условиям корректировки информации (перезаписываемые, однократно и многократно перезаписываемые)).

Во второй главе "Криминалистическое исследование интегральных микросхем и микроконтроллеров" исследуются история появления и развития, сферы применения, а также правовые определения названных электронно-цифровых устройств; анализируется отечественное законодательство, регулирующее общественные отношения в сфере их оборота и защиты.

Обосновывается положение о том, что с технико-криминалистических позиций интегральные микросхемы и микроконтроллеры представляют собой отдельную категорию компьютерных устройств. В общей системе криминалистической классификации им логичнее всего определить место между машинными носителями информации и электронно-вычислительными машинами (компьютерами).

Поддерживается правовое определение понятия интегральной микросхемы как микроэлектронного изделия окончательной или промежуточной формы, предназначенного для выполнения функций электронной схемы, элементы и связи которого неразрывно сформированы в объеме и (или) на поверхности материала, на основе которого изготовлено изделие. При этом зафиксированное на материальном носителе пространственно-геометрическое расположение совокупности элементов интегральной микросхемы и связей между ними называется топологией.

Микроконтроллер предлагается определить как самостоятельное микроэлектронное устройство, работающее под управлением собственного программного обеспечения и предназначенное для выполнения ограниченного круга задач, устанавливаемых ее разработчиком. Например, оно используется в производстве пластиковых карт и выполняет задачи по идентификации их держателей в различных компьютерных системах и сетях с помощью обмена информацией путем диалога между каким-либо внешним компьютерным устройством (сотовым радиотелефоном, банкоматом, ресивером, торговым терминалом, таксофоном, терминалом контрольно-пропускного пункта) и интегральной микросхемой карты.

С криминалистических позиций подробно исследуются так называемые "SIM-карты" и паспортно-визовые документы нового образца, содержащие в своем конструктивном исполнении интегральные микросхемы, микроконтроллеры и соответствующее программное обеспечение.

Третья глава "Криминалистическое исследование электронных реквизитов пластиковых карт и других документов" посвящена изучению электронных реквизитов пластиковых карт и иных комбинированных документов как следов-предметов, содержащих криминалистически значимую компьютерную информацию.

Разработаны понятие и классификация, выделены признаки комбинированных документов как объектов криминалистического исследования.

Комбинированный документ - это документ, выполненный на основе металла, бумаги или полимерного (синтетического) материала - пластика стандартной прямоугольной формы, хотя бы один из реквизитов которого представлен в электронно-цифровой форме, доступной для обработки ЭВМ и иным компьютерным устройством.

Общим классифицирующим основанием для выделения этих документов-следов в отдельную группу будет являться наличие у них совокупности признаков: машинописного документа - письменного документа, при создании которого знак письма наносят техническими средствами; документа на машинном носителе - документа, созданного с использованием носителей и способов записи, обеспечивающих обработку его информации ЭВМ и иным компьютерным устройством.

В зависимости от вида материального носителя, технологии записи и кодирования компьютерной информации комбинированные документы-следы классифицируются на группы: штрих-кодовые; индукционно-структурные (кодируемые с помощью магнитных меток); оптические (оптические кодовые и с оптической памятью); по механизму образования оптических следов - пит (с абляционной, везикулярной (пузырьковой), поверхностно-текстурированной записями, с точечным сплавлением); с магнитной полосой или проволокой (по стойкости к размагничиванию - с низкой и высокой степенями коэрцитивности, по ширине магнитной полосы - с узкой, широкой и нестандартной магнитными полосами).

Сформулировано понятие, разработана криминалистическая классификация и изучены особенности механизма образования оптических следов.

Оптический след - пит (от англ. "pit" - "ямка") - это термический след, который на специальном информационном (термоперезаписываемом) слое многослойного пластика оставляет луч лазера записывающего электронно-цифрового устройства при записи компьютерной информации на оптический машинный носитель (карту или компакт-диск), в том числе при их форматировании.

По механизму образования и общим признакам оптические следы классифицируются: на сквозную питу, объемную пузырьковую питу, объемную сварную питу, плоскую питу.

В связи с тем, что запись информации осуществляется по определенным правилам, на пластике образуется дорожка следов, имеющих различные оптические признаки: оптический контраст между следом и следовоспринимающим слоем; коэффициент отражения света от следа (мода). В зависимости от стандарта записи информации с криминалистических позиций следует различать линейную и спиралевидную дорожки оптических следов.

В этих следах отображаются общие, а иногда и частные признаки конкретного компьютерного устройства - следообразующего объекта, с помощью которого была осуществлена оптическая запись информации на конкретный машинный оптический носитель.

В главе подробно исследуются способы подделки магнитных полос комбинированных документов и компьютерной информации, которая на них содержится.

Дано определение понятия, исследованы приемы визуализации, разработана криминалистическая классификация и изучены особенности механизма образования магнитных следов.

Магнитный след - это любое изменение структуры расположения (рисунка) магнитных частиц - доменов на гибком магнитном диске, магнитной ленте или полосе, происшедшее в результате естественного или искусственного воздействия на них магнитного либо электромагнитного поля.

Магнитные следы можно визуализировать с помощью специальных криминалистических порошков и аэрозолей. В диссертации рассмотрены методы их визуализации в целях установления общих и частных признаков следообразующего компьютерного устройства, с помощью которого была осуществлена запись информации на конкретный носитель либо которое чаще всего использовалось для чтения информации с него. При анализе рисунка может быть получена иная криминалистически значимая информация.

В зависимости от используемого стандарта записи информации визуально наблюдаются общие групповые признаки, по которым можно классифицировать магнитные следы: рисунок в виде штрих-кода (вертикальных магнитных штрихов), сплошных горизонтальных магнитных линий (дорожек) или сплошной линии в виде спирали (магнитная спираль).

В четвертой главе "Криминалистическое исследование ЭВМ" на основе анализа действующего законодательства Российской Федерации, научной литературы по уголовному праву, криминалистике и информатике, сложившейся международной судебно-экспертной практики уточняется ранее предложенное автором определение понятия электронной вычислительной машины, а также разработана их криминалистическая классификация как следов-предметов отдельного вида.

Диссертант полагает, что электронная вычислительная машина (ЭВМ)- это программируемое электронное техническое устройство, состоящее из одного или нескольких взаимосвязанных центральных процессоров и периферийных устройств, управление которыми осуществляется посредством программ, и предназначенное для автоматической обработки информации в процессе решения вычислительных и (или) информационных задач.

Обосновывается их криминалистическая классификация: по объему решаемых задач (большие, малые, мини- и микроЭВМ); возможности перемещения в пространстве (стационарные - неподвижные, настольные - с ограниченной степенью подвижности, мобильные - ЭВМ, перемещаемые в пространстве без каких-либо ограничений); средству перемещения (носимые человеком; снарядов оружия и транспорта, управляемых человеком; снарядов оружия и транспорта, не управляемых человеком); функциональному назначению (персональные, аппараты электросвязи, контрольно-кассовые, серверы, бортовые, управляющие технологическими процессами, циклами, операциями и отдельными механизмами).

Пятая глава "Криминалистическое исследование систем ЭВМ" посвящена проблемным вопросам криминалистического исследования компьютерных систем.

С позиций обновленного отечественного законодательства, базируясь на результатах анализа различных точек зрения ученых в области уголовного права и криминалистики, автор уточняет понятие системы ЭВМ: это совокупность управляющей ЭВМ, программного обеспечения и разнообразных технических устройств (периферийного оборудования, управляющих датчиков, исполнительных механизмов и др.), предназначенных для организации и (или) осуществления информационных процессов.

В шестой главе "Криминалистическое исследование компьютерных сетей" предпринята попытка разработки основ криминалистического исследования компьютерных сетей, в том числе сетей сотовой радиотелефонной и иных видов цифровой электросвязи, как специфических средств совершения преступлений.

В связи с изменившимся законодательством Российской Федерации в области связи, информации, информационных технологий и защиты информации автор солидарен с Д.А. Илюшиным, по мнению которого компьютерная сеть - это информационно-телекоммуникационная сеть, то есть технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной (компьютерной) техники.

Как криминалистическую категорию данную технологическую систему диссертант классифицирует по критерию установления возможных мест локализации электронно-цифровых следов и географического нахождения мест происшествия на локальную, местную, территориальную, региональную, национальную, глобальную.

Принимая во внимание методологические подходы к исследованию дорожек следов в трасологии и одорологии, автор считает целесообразным введение в криминалистический оборот термина "дорожка электронно-цифровых следов", под которой понимается система образования следов в компьютерной сети, состоящая из нескольких последовательно расположенных по времени и логически взаимосвязанных записей о прохождении компьютерной информации по линиям связи через коммутационное оборудование оператора (-ов) связи от компьютера преступника (передатчика) до компьютера потерпевшего (приемника).

Элементами дорожки электронно-цифровых следов будут: записи в файловой системе (реестре операционной системы и др.) компьютера преступника, свидетельствующие о подключении и использовании модема, либо записи, содержащиеся в модуле идентификации абонента и аппарата связи в компьютерной сети оператора; записи в памяти компьютера или аппарата связи преступника; записи в памяти коммутационного компьютерного устройства контроля, авторизации и аутентификации абонентов в сети оператора (-ов) связи; записи в автоматической системе учета данных для начисления платы за оказанные услуги связи; записи, автоматически регистрируемые в Журнале событий компьютерной сети, который находится на сервере оператора связи в ведении администратора сети; записи, автоматически образующиеся в памяти транзитных технологических устройств различных операторов при сопряжении с их сетями передачи данных по протоколу IP; записи в памяти серверов (FTP, SMTP, POP3 и др.) оператора связи, обслуживающего абонентский терминал потерпевшего, о входящих на него вызовах, соединениях и передачах компьютерной информации (электронных сообщений, электронных почтовых отправлений и др.), а также дистанционном управлении его информационными ресурсами; записи в файловой системе (реестре операционной системы и др.) компьютера потерпевшего о параметрах изменения подключения модема, настроек браузера, а также о нарушении режима работы или дезактивации средств защиты портов и компьютерной информации; записи в памяти компьютера или аппарата связи потерпевшего, содержащие сведения о полученной компьютерной информации, вредоносных программах, несанкционированном изменении системного и прикладного программного обеспечения, а также компьютерной информации потерпевшего либо сбоях в работе ЭВМ, его программного обеспечения и периферийного оборудования.

Третий раздел "Криминалистическое использование компьютерной информации и средств ее обработки" состоит из пяти глав.

В первой главе "Основные направления использования компьютерной информации и средств ее обработки в борьбе с преступностью" исследуется отечественный и зарубежный опыт применения компьютерных технологий в целях уголовного судопроизводства; анализируются имеющиеся научные труды различных авторов по данной проблематике.

Делается вывод о том, что в свете изменившегося законодательства Российской Федерации, появления новых высокотехнологичных способов совершения преступлений, все более возрастающего числа использования в судопроизводстве доказательств, находящихся в электронно-цифровой форме, необходимо создание системы научных положений для разработки на их основе специальных программно-технических средств, а также приемов и методик использования имеющихся общедоступных компьютерных информации и устройств в целях раскрытия, расследования и предупреждения преступлений. По мнению автора, эта система научных положений должна формироваться как соответствующая подотрасль криминалистического компьютероведения.

В завершении главы обозначены перспективные направления ее развития.

Во второй главе "Универсальные (общедоступные) и специальные компьютерные программы и устройства как технико-криминалистические средства" анализируется практика применения общедоступных компьютерных программ сотрудниками отечественных и зарубежных правоохранительных органов. Рассматриваются проблемные вопросы обеспечения деятельности по раскрытию, расследованию и предупреждению преступлений компьютерными программами специального назначения, а также средствами их обработки. Делается вывод о необходимости разработки соответствующих криминалистических методик и рекомендаций по применению этих технических средств для конкретных ситуаций, возникающих в следственной, экспертной и судебной практике.

Диссертант предлагает выделять разновидности компьютеризованных наборов научно-технических и технико-криминалистических средств для работы в "полевых" условиях.

А. Универсальный компьютеризованный комплекс. Представляет собой набор стандартных (общедоступных) компьютерных устройств и программ. Он предназначен для организации работы сотрудников органов предварительного расследования на месте происшествия в ходе производства различных следственных действий, в том числе по собиранию доказательств. В него должны входить: мобильный компьютер типа "ноутбук", мини-принтер, цифровая фото- или видеокамера, носимая гарнитура для аудиозаписи (технология "Bluetоoth"), сотовый радиотелефон, носители компьютерной информации, а также соответствующее программное обеспечение, например, полный пакет программного обеспечения MS Office.

Б. Специализированный компьютеризованный комплекс. Формируется в зависимости от вида профессиональной деятельности, выполняемой сотрудником правоохранительного органа в "полевых" условиях при раскрытии и расследовании преступлений, либо следов, которые необходимо выявить, зафиксировать, предварительно исследовать и изъять в ходе следственного действия. В связи с этим в состав комплекта включаются соответствующие компьютерные устройства и программы, имеющие специальные тактико-технические и технико-криминалистические свойства.

Научно обоснована необходимость разработки компьютеризованного комплекта для выявления, фиксации, предварительного исследования, оценки и изъятия электронно-цифровых следов. Предложена его штатная комплектация соответствующими программными и аппаратными средствами.

В. Смешанный компьютеризованный комплекс. Предназначен как для работы в "полевых" условиях, так и на рабочем месте сотрудника правоохранительного органа.

В третьей главе "Правовые основы и возможности использования информационных систем в борьбе с преступностью" с учетом изменившегося законодательства исследованы правовые основы применения автоматизированных информационных систем как технико-криминалистических средств. Разработана их криминалистическая классификация.

Для апробации выдвинутых теоретических положений, направленных на совершенствование практики раскрытия, расследования и предупреждения преступлений, разработаны и внедрены в практику деятельности органов предварительного следствия системы МВД России две автоматизированные информационные системы специального назначения - автоматизированные рабочие места следователя и руководителя следственного подразделения.

В четвертой главе "Применение компьютерных сетей в борьбе с преступностью" исследуются правовые основы, история создания, развитие и возможности применения компьютерных сетей (общего пользования и специального назначения) в целях раскрытия, расследования и предупреждения преступлений. Обобщен передовой опыт работы сотрудников отечественных и зарубежных органов предварительного расследования по данному направлению. Обозначены пути совершенствования имеющихся и разработки новых электронных ресурсов удаленного доступа общего и специального назначения как технико-криминалистических средств.

Разработан и внедрен в практику работы специализированного органа дознания и высшего учебного заведения системы МВД России научно-методический сайт для обеспечения борьбы с компьютерными преступлениями.

В пятой главе "Использование компьютерных технологий для обучения сотрудников правоохранительных органов" исследуются проблемные вопросы научного обоснования разработки и использования компьютерной информации и средств ее обработки для подготовки, переподготовки и повышения квалификации сотрудников правоохранительных органов. Автор считает необходимым развитие данного направления научных знаний в системе выделенной подотрасли криминалистического компьютероведения.

Анализ литературы, специального программного обеспечения, эксплуатируемого в вузах системы МВД России, а также личный опыт работы автора позволил выделить перспективные пути использования компьютерных технологий для указанных целей: системы дистанционных образовательных технологий; имитационно-обучающие компьютерные программы специального назначения; контролирующие и контрольно-обучающие компьютерные программы.

Для подтверждения выдвинутых теоретических положений диссертантом единолично и в соавторстве были разработаны и внедрены в практику работы органов предварительного расследования системы МВД России, а также в учебный процесс отечественных и зарубежных юридических вузов локальный и сетевой электронные ресурсы специального назначения: имитационно-обучающая программа; электронный интерактивный мультимедийный курс.

В заключении подводятся итоги проведенного исследования, формулируются обобщающие выводы, отражающие основные положения и результаты научно-квалификационной работы, излагаются дальнейшие направления развития криминалистического учения о компьютерной информации и средствах ее обработки.

СПИСОК НАУЧНЫХ РАБОТ АВТОРА, ОТРАЖАЮЩИХ ОСНОВНЫЕ ПОЛОЖЕНИЯ ДИССЕРТАЦИОННОГО ИССЛЕДОВАНИЯ

Статьи в ведущих рецензируемых научных журналах и изданиях, рекомендованных ВАК Министерства образования и науки Российской Федерации для опубликования основных результатов диссертаций на соискание ученой степени доктора юридических наук:

1. Вехов В.Б. Особенности организации и тактика осмотра места происшествия при расследовании преступлений в сфере компьютерной информации / В.Б. Вехов // Рос. следователь. - 2004. - № 7. - С. 2-5. - 0,6 п. л.

2. Вехов В.Б. Правовые и криминалистические аспекты понятия компьютерной информации / В.Б. Вехов // "Черные дыры" в Российском Законодательстве. - 2004. - № 3. - С. 234-245. - 1,5 п. л.

3. Вехов В.Б. Аспекты борьбы с преступлениями, совершенными с использованием сети Интернет / В.Б. Вехов // Интеллектуальная собственность. Авторское право и смежные права. - 2004. - № 11. - С. 46-52. - 0,47 п. л.

4. Вехов В.Б. Проблемы определения понятия компьютерной информации в свете унификации уголовных законодательств стран СНГ / В.Б. Вехов // Уголовное право. - 2004. - № 4. - С. 15-17. - 0,44 п. л.

5. Вехов В.Б. Документы на машинном носителе / В.Б. Вехов // Законность. - 2004. - № 2. - С. 18-20. - 0,36 п. л.

6. Вехов В.Б. Возможности СОРМ при расследовании тяжких и особо тяжких преступлений / В.Б. Вехов // Законность. - 2004. - № 12. - С. 16-18. - 0,27 п. л.

7. Вехов В.Б. Понятие и криминалистическая классификация электронных документов / В.Б. Вехов // "Черные дыры" в Российском Законодательстве. - 2004. - № 4. - С. 224-242. - 2,4 п. л.

8. Вехов В.Б. Актуальные вопросы использования компьютерной информации и средств ее обработки в борьбе с преступностью / В.Б. Вехов // Вестн. Саратов. гос. акад. права. - Саратов: ГОУ ВПО СГАП, 2005. - № 3 (44). - С. 94-100. - 0,8 п. л.

9. Вехов В.Б. Понятие и основные направления развития криминалистического исследования компьютерных устройств, их систем и сетей / В.Б. Вехов // "Черные дыры" в Российском Законодательстве. - 2008. - № 1 (начало). - С. 405-407; № 2 (окончание). - С. 252-254. - 0,9 п. л.

10. Вехов В.Б. К вопросу криминалистического исследования вредоносных программ для ЭВМ и других компьютерных устройств / В.Б. Вехов // "Черные дыры" в Российском Законодательстве. - 2008. - № 2. - С. 238-243. - 0,89 п. л.

Статьи в научных изданиях, рекомендованных ВАК Украины для опубликования основных результатов диссертаций на соискание ученой степени доктора и кандидата юридических наук:

11. Вехов В.Б. Предмет, система и задачи криминалистического компьютероведения / В.Б. Вехов // Вестн. Луган. акад. внутр. дел МВД им. 10-летия независимости Украины. Спец. вып.: Выявление, фиксация и использование доказательств в ходе досудебного следствия: в 2 ч. - Луганск: ЛАВД, 2005. - Ч. 1. - С. 7-14. - 0,36 п. л.

12. Вехов В.Б. Использование автоматизированных информационных систем в целях криминалистической регистрации / В.Б. Вехов // Вестн. Луган. гос. ун-та внутр. дел. Спец. вып. № 2: Проблемы оперативно-розыскной деятельности органов внутренних дел в борьбе с организованной преступностью: в 4 ч. - Луганск: ЛГУВД, 2007. - Ч. 3. - С. 20-26. - 0,3 п. л.

Международная монографическая работа, изданная при поддержке и финансировании Центра по изучению транснациональной организованной преступности и коррупции при Американском университете (Вашингтон, США):

13. Вехов В.Б. Расследование компьютерных преступлений в странах СНГ: монография / В.Б. Вехов, В.А. Голубев / под ред. проф. Б.П. Смагоринского. - Волгоград: ВА МВД России, 2004. - 304 с. - 19,76 п. л. / 11,64 п. л.

Публикации в иных зарубежных научных изданиях:

14. Вехов В.Б. О необходимости разработки криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки / В.Б. Вехов // Компьютерная преступность и кибертерроризм: сб. науч. ст. Вып. 2 / под ред. В.А. Голубева, Н.Н. Ахтырской. - Запорожье: Центр исследования компьютерной преступности, 2004. - С. 116-122. - 0,53 п. л.

15. Вехов В.Б. Электронные документы как доказательства по уголовным делам / В.Б. Вехов // Компьютерная преступность и кибертерроризм: сб. науч. ст. Вып. 2 / под ред. В.А. Голубева, Н.Н. Ахтырской. - Запорожье: Центр исследования компьютерной преступности, 2004. - С. 122-127. - 0,5 п. л.

16. Вехов В.Б. Предисловие к сборнику научных статей / В.Б. Вехов // Компьютерная преступность и кибертерроризм: сб. науч. ст. Вып. 3 / под ред. В.А. Голубева, Э.В. Рыжкова. - Запорожье: Центр исследования компьютерной преступности, 2005. - С. 6-7. - 0,13 п. л.

17. Вехов В.Б. Возможности использования автоматизированных информационных систем специального назначения в борьбе с компьютерными преступлениями / В.Б. Вехов // Компьютерная преступность и кибертерроризм: сб. науч. ст. Вып. 3 / под ред. В.А. Голубева, Э.В. Рыжкова. - Запорожье: Центр исследования компьютерной преступности, 2005. - С. 34-42. - 0,5 п. л.

18. Вехов В.Б. Актуальные вопросы расследования преступлений, совершенных с использованием пластиковых карт / В.Б. Вехов // Международное сотрудничество в борьбе с компьютерной преступностью: проблемы и пути их решения: материалы междунар. науч. - практ. конф. - Донецк: ДЮИ ЛГУВД, 2007. - С. 200-209. - 0,5 п. л.

Монографии и научно-практические пособия:

19. Вехов В.Б. Тактические особенности расследования преступлений в сфере компьютерной информации: науч. - практ. пособие / В.Б. Вехов, В.В. Попова, Д.А. Илюшин. - Самара: ООО "Офорт", 2003. - 188 с. - 11,8 п. л. / 3,9 п. л.

20. Вехов В.Б. Тактические особенности расследования преступлений в сфере компьютерной информации: науч. - практ. пособие. Изд. 2-е, доп. и испр. / В.Б. Вехов, В.В. Попова, Д.А. Илюшин. - М.: ЛексЭст, 2004. - 160 с. - 10 п. л. / 3,3 п. л.

21. Вехов В.Б. Использование компьютерных технологий в деятельности следователя / А.Ф. Родин, В.Б. Вехов / Под ред. проф. Б.П. Смагоринского. - Волгоград: ВА МВД России, 2003. - 156 с. - 10,3 п. л. / 3 п. л.

22. Вехов В.Б. Особенности расследования преступлений, совершенных с использованием пластиковых карт и их реквизитов: монография / В.Б. Вехов. - Волгоград: ВА МВД России, 2005. - 280 с. - 18,4 п. л.

23. Вехов В.Б. Основы криминалистического учения об исследовании и использовании компьютерной информации и средств ее обработки: монография / В.Б. Вехов. - Волгоград: ВА МВД России, 2008. - 404 с.; ил. - 25,3 п. л.

Учебники, учебные, учебно-методические и учебно-практические пособия:

24. Вехов В.Б. Компьютерные преступления: способы совершения и раскрытия: учеб. - практ. пособие / В.Б. Вехов / под ред. проф. Б.П. Смагоринского. - М.: Право и закон, 1996. - 182 с. - 10,9 п. л.

25. Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: учеб. - метод. пособие / В.Б. Вехов. - Волгоград: Перемена, 1998. - 72 с. - 4,5 п. л.

26. Вехов В.Б. Особенности расследования преступлений, совершаемых с использованием средств электронно-вычислительной техники: учеб. - метод. пособие. Изд. 2-е, доп. и испр. / В.Б. Вехов. - М.: ЦИиНМОКП МВД России, 2000. - 64 с. - 4 п. л.

27. Вехов В.Б. Методика расследования преступлений в сфере компьютерной информации / В.Б. Вехов, В.Ю. Рогозин / Криминалистика: учебник для среднего профессионального образования / редкол.: А.А. Закатов, Б.П. Смагоринский [и др.]. - Волгоград: ВА МВД России, 2000. - С. 433-449. - 1,06 п. л. / 0,53 п. л.

28. Вехов В.Б. Методика расследования преступлений в сфере компьютерной информации / В.Б. Вехов, В.Ю. Рогозин / Криминалистическая методика расследования отдельных видов преступлений: учеб. пособие: в 2 ч. Ч. 2. / под ред. А.П. Резвана, М.В. Субботиной. - М.: ИМЦ ГУК МВД России, 2002. - С. 84-108. - 1,48 п. л. / 0,74 п. л.

29. Вехов В.Б. Методика расследования преступлений в сфере компьютерной информации / В.Б. Вехов, В.Ю. Рогозин / Криминалистика: учебник. Изд. 2-е, доп. и перераб. / под ред. д-ра юрид. наук, проф. А.А. Закатова, д-ра юрид. наук, проф. Б.П. Смагоринского. - М.: ИМЦ ГУК МВД России, 2003. - С. 393-407. - 1,06 п. л. / 0,53 п. л.

30. Вехов В.Б. Расследование преступлений в сфере компьютерной информации: учеб. - метод. пособие / В.Б. Вехов, А.Ф. Родин. - Волгоград: ВА МВД России, 2004. - 164 с. - 10,25 п. л. / 5,1 п. л.

31. Вехов В.Б. Методика расследования изготовления или сбыта поддельных кредитных либо расчетных карт и иных платежных документов / В.Б. Вехов // Уголовно-правовая квалификация, тактика и методика выявления, раскрытия и расследования отдельных видов преступлений в сфере экономической деятельности: учеб. пособие. - Волгоград: ВА МВД России, 2005. - С. 132-142. - 0,6 п. л.

Примерные учебные программы:

32. Вехов В.Б. Примерная программа повышения квалификации следователей, специализирующихся на расследовании преступлений, совершенных в сфере компьютерной информации / В.Б. Вехов [и др.]. - М.: ЦИ и НМОКП МВД России, 2001. - 49 с. - 2,6 п. л. / 0,65 п. л.

33. Вехов В.Б. Расследование преступлений в сфере компьютерной информации // Расследование отдельных видов преступлений: Примерная программа курса специализации для образовательных учреждений высшего профессионального образования МВД России / В.Б. Вехов [и др.]. - М.: ИМЦ ГУК МВД России, 2002. - 30 с. - 1,24 п. л. / 0,16 п. л.

34. Вехов В.Б. Примерная программа повышения квалификации следователей, специализирующихся на расследовании преступлений, совершенных в сфере компьютерной информации / В.Б. Вехов [и др]. - М.: ЦОКР МВД России, 2006. - 47 с. - 2,1 п. л. / 0,7 п. л.

Концепция:

35. Вехов В.Б. Деятельность в области информатизации, связи и защиты информации // Концепция развития Волгоградской академии МВД России на период 2007-2012 годы / В.Б. Вехов [и др]. - Волгоград: ВА МВД России, 2007. - С. 17-19. - 1 п. л. / 0,14 п. л.

Электронные ресурсы:

36. Вехов В.Б. Расследование компьютерных преступлений [Электронный ресурс]: имитационно-обучающая программа для ЭВМ / Постановка задачи А.Ф. Родин; информ. обеспеч. В.Б. Вехов; программирование Л.Ф. Абросимова. - Электрон. дан. и прогр. - Волгоград: ВЮИ МВД России, [1995-1997]. - 1 электрон. опт. диск (CD-ROM): цв.; 12 см. - Загл. с экрана.

37. Вехов В.Б. Автоматизированная информационная система "РАКУРС" [Электронный ресурс]: Автоматизированное рабочее место руководителя следственного подразделения (АРМ Руководителя) / А.Ф. Родин, В.Б. Вехов. - Электрон. дан. и прогр. - Волгоград: ВА МВД России, [1998-2006]. - 1 электрон. опт. диск (CD-ROM): цв.; 12 см. - Загл. с экрана.