Судебная экспертиза в гражданском, арбитражном, административном и уголовном процессе - Елена Росинская
Шрифт:
Интервал:
Закладка:
3. Судебная информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией. Целью этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Судебная информационно-компьютерная экспертиза (данных) производится для разрешения следующих вопросов.
1. Как отформатирован носитель информации и в каком виде на него записаны данные?
2. Каковы характеристики физического размещения данных на носителе информации?
3. Каковы характеристики логического размещения данных на носителе информации?
4. Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
5. Какого вида (явный, скрытый, удаленный, архив) информация имеется на носителе?
6. К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
7. Каким образом организован доступ (свободный, ограниченный и проч.) к данным на носителе информации и каковы его характеристики?
8. Какие свойства, характеристики имеют выявленные средства защиты данных и какие пути ее преодоления возможны?
9. Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
10. Каково содержание защищенных данных?
11. Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
12. Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и проч.)?
13. Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
14. Какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
15. Какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
16. Какие данные о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и проч.) имеются на носителях информации?
17. Какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
18. Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
19. Каким способом и при каких обстоятельствах произведены действия или операции (блокирование, модификация, копирование, удаление) определенных данных на носителе информации?
20. Какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
21. Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей и т.п.)?
22. Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбоями в программном и аппаратном обеспечении)?
23. Какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?
Объектами судебной информационно-компьютерной экспертизы (данных) являются файлы, подготовленные с использованием указанных выше и других программных средств - с расширениями текстовых форматов (.txt,.doc...), графических форматов (.bmp,.jpg,.tif,.cdr...), форматов баз данных (.dbf,.mdb...), электронных таблиц (.xls,.cal...) и др.
Примером судебной информационно-компьютерной экспертизы является экспертиза по выявлению фактов и обстоятельств образования недостачи в одной крупной торговой компьютерной фирме. На разрешение экспертизы был поставлен вопрос: "Какая информация по реализации товарно-материальных ценностей за период с марта по август 200_ г. имеется на представленных компьютерах?"
В ходе предварительно проведенного допроса сетевого администратора данной фирмы было установлено, что информация по реализации товарно-материальных ценностей представлена следующими реквизитами: номер товарного чека, наименование товара, цена в долларах и рублях, количество, сумма по чеку, менеджер, дата, и хранится в сводных таблицах помесячно. При производстве экспертизы эксперт СКТЭ исследовал все файлы, имеющиеся на жестких дисках представленных компьютеров, на предмет наличия в них вышеперечисленной информации за указанный период. Все найденные файлы оказались электронными таблицами, подготовленными средствами Microsoft Excel, что соответствовало показаниям сетевого администратора. Для дальнейшего анализа реализации товарно-материальных ценностей полученная информация была распечатана и передана эксперту судебно-бухгалтерской экспертизы, участвующему в данной комплексной экспертизе.
4. Судебная компьютерно-сетевая экспертиза, в отличие от предыдущих, основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернет-технологиями <1>.
--------------------------------
<1> См.: Осипенко А.Л. Борьба с преступностью в глобальных компьютерных сетях: международный опыт. М.: Норма, 2004.
Судебная экспертиза этого рода производится для решения следующих задач:
а) определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства - отношение к серверу, рабочей станции, активного сетевого оборудования и т.д.);
б) выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
в) определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
г) определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
д) установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
е) определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов) использования внешних ("чужих") программ и т.п.;
ж) определение свойств и состояния вычислительной сети по ее отображению в информации носителей данных (например, RAID-массивы; жесткие диски, флоппи-диски, CD-ROM, ZIP-накопители и т.п.);
з) определение структуры механизма и обстоятельства события в сети по его результатам (например, сценария несанкционированного доступа, механизма распространения в сети вредоносных функций и т.д.);
и) установление причинной связи между использованием конкретных аппаратно-программных средств вычислительной сети и результатами их применения.
Как видно, задачи судебной компьютерно-сетевой экспертизы охватывают практически все основные задачи основных родов СКТЭ, т.е. решение аппаратных, программных и информационных аспектов при установлении фактов и обстоятельств дела.
Наиболее часто встречаемыми в практике вопросами являются следующие.
1. Имеются ли признаки работы данного компьютерного средства в сети Интернет?
2. Какие аппаратные средства использовались для подключения к Интернету?
3. Имеются ли заготовленные соединения с узлом сети Интернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
