- •Криминалистическая методика расследования преступлений
- •Глава 1. Общие положения криминалистической методики раскрытия и расследования преступлений
- •1.1. Понятие, система, источники, принципы криминалистической методики
- •1.2. Криминалистическая характеристика
- •1.3. Следственные ситуации. Криминалистические версии
- •Криминалистические версии
- •Построение общих следственных версий
- •1.4. Планирование расследования преступлений
- •План расследования
- •1.5. Первоначальный и последующие этапы собирания доказательственной и иной криминалистически значимой информации
- •1.6. Тактический прием, тактическая рекомендация, тактическая комбинация и тактическая операция
- •Вопросы для самоконтроля
- •Глава 2. Организационно-управленческие основы расследования преступлений
- •2.1. Понятие оперативно-розыскной деятельности и ее правовые основы
- •2.2. Основы тактики взаимодействия следственных, оперативных органов и криминалистических подразделений
- •2.3. Взаимодействие следователя и оперативно-розыскных органов с общественностью при расследовании преступлений
- •2.4. Основы криминалистической профилактики
- •Вопросы и задания для самоконтроля
- •Глава 3. Использование специальных знаний при расследовании преступлений
- •3.1. Понятие и формы использования специальных знаний сведущих лиц
- •3.2. Участие специалиста в осмотре места происшествия при расследовании преступлений в сфере компьютерной информации
- •3.3. Участие специалиста в осмотре места происшествия в помещении
- •3.4. Участие специалиста в осмотре дорожно-транспортного происшествия
- •3.5. Участие специалиста-криминалиста в производстве обыска и выемки
- •3.6. Вопросы, разрешаемые в рамках некоторых видов экспертизы
- •3.7. Тактика назначения и проведения судебной экспертизы
- •Вопросы и задания для самоконтроля
- •Глава 4 Методика расследования убийств
- •4.1. Криминалистическая характеристика убийств
- •4.2. Первоначальный этап расследования убийства при наличии трупа потерпевшего
- •4.3. Последующий этап расследования убийства при наличии трупа
- •4.4. Особенности расследования убийств при отсутствии трупа потерпевшего
- •Вопросы и задания для самоконтроля
- •Глава 5. Преступления против половой неприкосновенности и половой свободы личности
- •5.1. Криминалистическая характеристика изнасилований и иных насильственных действий сексуального характера
- •5.2. Выдвижение следственных версий и планирование начала расследования
- •5.3. Особенности тактики отдельных следственных действий
- •Вопросы и задания для самоконтроля
- •Глава 6. Методика расследования краж, грабежей и разбойных нападений
- •6.1. Криминалистическая характеристика краж, грабежей и разбоев
- •6.2. Первоначальные следственные действия и оперативно-розыскные мероприятия по получении сообщения о преступлении
- •6.3. Некоторые особенности тактики следственных действий
- •Вопросы и задания для самоконтроля
- •Глава 7. Методика расследования поджогов и нарушений правил пожарной безопасности
- •7.1. Криминалистическая характеристика поджогов и нарушений правил пожарной безопасности
- •7.2. Тактика осмотра места происшествия по делам о пожарах
- •7.3. Особенности тактики отдельных следственных действий
- •Вопросы и задания для самоконтроля
- •Глава 8. Методика расследования коррупционных преступлений
- •8.1. Криминалистическая характеристика коррупционных преступлений
- •8.2. Типичные ситуации и планирование начального этапа расследования
- •8.3. Тактика производства следственных действий и оперативно-розыскных мероприятий при расследовании преступлений, совершенных должностными лицами
- •8.4. Особенности расследования халатности
- •8.5. Особенности методики расследования служебного подлога
- •8.6. Возмещение нанесенного ущерба и возможной конфискации имущества
- •Вопросы и задания для самоконтроля
- •Глава 9. Методика расследования экологических преступлений
- •9.1. Криминалистическая характеристика экологических правонарушений
- •9.2. Типичные следственные ситуации и действия следователя на первоначальном этапе расследования
- •Вопросы и задания для самоконтроля
- •Глава 10. Особенности методики расследования преступлений по горячим следам
- •10.1. Организационные и криминалистические основы расследования преступлений по горячим следам
- •10.2. Особенности тактики неотложных следственных действий, проводимых по горячим следам
- •Вопросы и задания для самоконтроля
- •Глава 11. Методика расследования налоговых преступлений
- •11.1. Криминалистическая характеристика налоговых преступлений
- •11.2. Организация расследования налоговых преступлений
- •Вопросы и задания для самоконтроля
- •Глава 12. Методика расследования нарушений правил промышленной безопасности и правил охраны труда
- •12.1. Криминалистическая характеристика данного вида преступлений
- •12.2. Начальный этап расследования преступных нарушений правил промышленной безопасности и правил охраны труда
- •12.3. Тактика производства следственных действий на дальнейшем этапе расследования
- •Вопросы для самоконтроля
- •Глава 13. Методика расследования преступлений против безопасности движения и эксплуатации транспорта
- •13.1. Обстоятельства совершения транспортных преступлений
- •13.2. Обстоятельства, подлежащие установлению в зависимости от исходных следственных ситуаций
- •13.3. Первоначальный этап расследования
- •13.4. Последующий этап расследования
- •Вопросы и задания для самоконтроля
- •Глава 14. Особенности расследования незаконного получения сведений, составляющих коммерческую тайну
- •14.1. Криминалистическая характеристика разглашения коммерческой тайны
- •14.2. Выдвижение следственных версий и особенности тактики отдельных следственных действий*(20)
- •Вопросы и задания для самоконтроля
- •Глава 15. Методика расследования преступлений в сфере компьютерной информации
- •15.1. Расследование фактов неправомерного доступа к компьютерной информации
- •15.2. Расследование фактов создания, использования и распространения вредоносных компьютерных программ
- •15.3. Расследование нарушения правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей
- •Вопросы и задания для самоконтроля
- •Список литературы Основная литература
- •Дополнительная литература Ко всем главам
- •Общие теоретические и методологические основы криминалистики
- •Криминалистическая техника
- •Криминалистическая тактика
- •Криминалистическая методика расследования
3.2. Участие специалиста в осмотре места происшествия при расследовании преступлений в сфере компьютерной информации
Научно-технический прогресс позволил преступникам применять новые современные научно-технические методы и средства совершения преступлений, а компьютеризация деятельности общества привела к серьезным преступлениям в сфере компьютерной информации. Данные преступления характеризуются сложностью расследования из-за необходимости исследования значительного по объему и разнообразного по сложности своего механизма объектов, задействованных в компьютерных преступлениях.
Основными задачами осмотра места происшествия при расследовании преступлений в сфере компьютерной информации являются следующие:
- разобраться в обстановке места происшествия, установить событие преступления, выяснить, как развивались события, понять действия преступника;
- сформулировать вопросы, на которые должен положительно ответить осмотр места происшествия о преступлении, проводящийся в порядке ст. 177 УПК РФ;
- выявить и изъять следы совершенного преступления;
- получить информацию для выдвижения следственных версий;
- получить информацию о лице (лицах), причастном к совершенному преступлению;
- определить состояние средств защиты компьютерной информации и установить, имеет ли предполагаемый предмет преступного посягательства статус документа, установленный ст. 3, 10 Федерального закона от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"*(4) (далее - Закон о коммерческой тайне) и др.
На подготовительном этапе осмотра места происшествия необходимо правильно подобрать специалистов этого следственного действия.
В осмотре могут пригодиться знания программиста, инженера по средствам связи и системного аналитика, а также эксперта-криминалиста. Для осмотра М.В. Гаврилов и А.Н. Иванов*(5) предлагают иметь специальную аппаратуру, а именно:
- специализированный лабораторно-исследовательский переносной компьютер со специальным аппаратным и программным обеспечением для просмотра содержимого дискет, компакт-дисков и других носителей;
- соединительные кабели и аппаратные средства;
- портативный (или малогабаритный) принтер, подключаемый к ноутбуку;
- загрузочные носители (дискеты и компакт-диски);
- внешний винчестер с необходимым программным обеспечением, чтобы запускать с него осматриваемый компьютер, если запуск собственной операционной системы невозможен или нежелателен;
- обычные или цифровые фотокамера и видеокамера, фотовспышка, принтер;
- на исследовательском компьютере (компьютерах) должно быть установлено программное обеспечение общего и специального назначения:
- текстовый редактор для составления компьютерной версии протокола, табличный редактор для описи оборудования или даже заготовленная база данных для описания осматриваемых и изъятых устройств, носителей, других объектов, копируемой информации,
- диагностические программы для сбора информации об устройствах, входящих в состав компьютерной системы, их параметрах и техническом состоянии,
- программы сбора информации о файловой системе на машинных носителях (структуре папок и файлов, их свойствах, атрибутах),
- программы для выявления вредоносных программ в компьютерной системе и отдельных машинных носителях информации,
- программы получения информации о программах, находящихся в оперативной памяти ЭВМ на месте осмотра, обеспечивающие просмотр буфера памяти компьютера,
- программы определения настроек аппаратуры и программ,
- программы просмотра и вывода на печать содержимого файлов разных типов.
По прибытии на место происшествия следователь с помощью специалистов выполняет следующие мероприятия:
- блокирует доступ персонала ко всем компьютерам сети и серверу;
- выставляет охрану у средств компьютерной техники и электрических распределительных щитов и пультов;
- отсоединяет удаленный доступ к системе извне, чтобы никто не смог изменить или повредить информацию во время осмотра;
- устанавливает, не запущена ли на ЭВМ программа уничтожения информации, а если на ЭВМ программа запущена, отключает компьютер от питания*(6).
При осмотре места происшествия специалист-криминалист производит ориентирующую и обзорную видео- и фотосъемку. Фиксируется общий вид здания, все помещения, где расположены средства компьютерной техники, затем фиксируются по отдельности все (если их много) компьютеры и подключенные к ним устройства, а также вскрытые отдельные узлы, модемы, факс-модемы, сканеры, магнитные и оптические носители информации, стримеры, вся распечатка, выполненная на принтерах, техническая и финансовая документация.
Способ данного осмотра может быть от центра к периферии или от периферии к центру.
На статической стадии осмотра специалист-криминалист обязательно фотографирует экран монитора, специалист по средствам связи или системный аналитик определяет дату, текущее время и программу, используемую в данный момент.
Осмотр сети компьютеров на динамической стадии начинают с сервера - специального компьютера, с которого осуществляют общее управление работой сети и который содержит базовую и общую информацию, а в помещениях с несколькими компьютерами осмотр осуществляется последовательно от одного компьютера к другому. При этом специалисты могут выявить внутри них нештатную аппаратуру и следы противодействия аппаратной системе защиты, которая обязательно фотографируется и описывается.
Исследуются на динамической стадии и физические носители компьютерной информации, а специалист-криминалист устанавливает механические повреждения, выявляет на компьютерных объектах следы папиллярных узоров рук и осматривает документы, выполненные как на бумажных, так и на машинных носителях, а именно:
- документы, описывающие аппаратуру и программное обеспечение;
- документы, устанавливающие функциональные правила работы с ЭВМ;
- учетно-регистрационную и бухгалтерскую документацию.
Анализ этих документов позволяет выяснить законность использования программного обеспечения и особенности организации работы данного учреждения*(7).
На заключительном этапе осмотра с информации, находящейся на дисках компьютера, делаются копии. Копий должно быть не менее двух. А если для дальнейшего детального осмотра устройств и носителей информации требуется много времени, то все имеющие значение для уголовного дела документы (носители криминалистически важной информации) должны быть подробно описаны, изъяты, упакованы и опечатаны, а их дальнейший осмотр производится с помощью специалистов по месту проведения следствия.