Тактика собирания и исследования доказательственной информации с компьютера, подключенного к компьютерной сети
Дата: 14.07.2005Источник: www.crime-research.ru
Автор: Наталья Ахтырская
В Центре исследования компьютерной преступности выполнена работа по теме "Тактика собирания и исследования доказательственной информации с компьютера, подключенного к компьютерной сети" (исследователь - Алексей Турута).
Компьютерные преступления (КП) характеризуются низкой раскрываемостью. Так из возбужденных уголовных дел по 30% выносятся обвинительное заключение и по 10-15% обвинительный приговор. Большинство дел переквалифицируются или прекращаются за недостаточностью улик. Приведенные данные указывают на высокую латентность и низкую эффективность используемых методик сбора доказательств на этапе досудебного следствия и исследования материалов дела в суде.
В специальной литературе при проведении осмотра , в ходе расследования КП, в основном, предлагаются следующая последовательность:
1. Произвести осмотр помещения, в котором находиться компьютер. Если компьютер включен – зафиксировать видимые признаки с монитора в присутствии понятых. Произвести осмотр компьютерной информации, которая содержится в компьютере, путем просмотра всех каталогов и файлов. После этого выключить компьютер. Зафиксировать взаимное расположение компьютера, периферии, соединительных устройств. В случае необходимости, изъять компьютер для проведения экспертного исследования в лабораторных условиях.
2. Произвести судебно-экспертное исследование компьютера в лабораторных условиях с целью выявления доказательственной информации.
Выполнение первой рекомендации позволяет зафиксировать только видимые признаки, а скрытые признаки (например, повышенные привилегии) зафиксировать не удается. Отметим, что следственный осмотр не предполагает манипуляции с компьютерной информацией. Действия следователя в присутствии понятых, связанные с манипуляцией компьютерной информацией (например, просмотром, копированием и перемещением содержимого жесткого диска, завершением работы процессов) выходит за рамки следственного осмотра. Исследование «содержимого» компьютера следователем не является процессуальной формой сбора доказательственной информации.
Результат работы:
1. Подготовлены предложения, с учетом пробелов национального законодательства и ошибок в законодательстве стран СНГ, по внесению изменений в уголовно-процессуальное законодательство, регламентирующие порядок сбора доказательственной информации.
3. Подготовлены методические рекомендации для следователей, работников оперативных подразделений, судебных экспертов по сбору доказательственной информации с компьютера, подключенного к компьютерной сети.
4. Разработана методика сбора доказательственной информации с компьютера, подключенного к компьютерной сети. Разработано ПО для автоматизации сбора доказательственной информации.