Використання спеціальних знань при збиранні та направленні на дослідження носіїв інформації персонал

Юнацький О.В., Нейфельд П.К.
20.05.2005 | 14:06
Ефективність розкриття та розслідування кримінальних справ в теперішній час багато в чому залежить від використання в кримінальному процесі загально-наукових, технічних та інших спеціальних знань. Закон під терміном "спеціальні знання" розуміє будь-які професійні знання, які можуть надати допомогу у виявленні, огляді, фіксації та вилученні доказів. Особисто слідчий і судді можуть використовувати свої спеціальні знання в межах своїх повноважень під час виявлення, збирання, дослідження і оцінки доказів, але вони не мають права виконувати одночасово свої функції і функції експерта або ревізора. Саме ця обставина і стала однією із причин виникнення інституту спеціалістів в кримінальному судочинстві.

Форми використання спеціальних знань можуть бути різноманітними. Законом передбачена можливість залучення спеціаліста до провадження слідчих і судових дій (ст.128-1 і 271-1) Кримінально-процесуального кодексу [1] (далі за текстом - КПК)), де він використовує свої спеціальні знання і навички для надання допомоги слідчому або суду в виявленні, огляді, закріпленні та вилученні доказів; звертає їх увагу на обставини, пов'язані з виявленням і закріпленням доказів; дає пояснення з приводу спеціальних питаннь, які виникають під час проведення слідчих і судових дій. Відомості про факти, які встановлені спеціалістом шляхом безпосереднього спостереження, фіксуються в протоколі слідчої або судової дії.

Іншою процесуальною формою використання спеціальних знань є судова експертиза (ст.75, 310 КПК). Суть судової експертизи полягає в аналізі за завданням слідчого (суду) особою, яка володіє спеціальними знаннями - експертом, - представлених в його розпорядження матеріальних об'єктів експертизи (речових доказів), а також різноманітних документів (в тому числі протоколів слідчих дій), з метою встановлення фактичних даних, які мають значення для правильного вирішення справи. За результатами дослідження експерт складає висновок, який є одним з передбаченим законом джерелом доказів, а фактичні дані, що зазначені в ньому - доказами.

В практичній діяльності у боротьбі зі злочинністю дослідження може виконуватись не тільки при проведенні експертизи, а й у випадках, коли виникає необхідність вивчення об'єктів, які ще не мають статусу речових доказів, але можуть стати такими при виникнені відповідних процесуальних умов [2]. Мова йде про так звані попередні дослідження, які виконуються співробітниками експертно-криміналістичних служб до порушення кримінальної справи або експертами під час проведення слідчих дій.

Попередні дослідження на стадії порушення кримінальних справ сприяють виникненню й уточненню оперативних і слідчих версій, визначенню послідовності оперативно-розшукових заходів і слічих дій та інше.

При проведенні оперативно-розшукових і слідчих дій зараз все частіше виникають питання, пов'язані з використанням зі злочинною метою інформації, яка знаходиться в персональних комп'ютерах. Але ще не розроблені рекомендації щодо огляду, виявлення, фіксації, вилучення і проведення експертиз комп'ютерних банків даних. Враховуючи практичний досвід експертно-криміналістичного відділу Запорізького міського управління з проведення таких експертиз і участі в оперативно-слідчих діях, розроблені рекомендації слідчим, спеціалістам, співробітникам оперативних служб з використання інформації персональних комп'ютерів, які наведені в даній статті.

Необхідно звернути увагу на великий обсяг інформації, що за допомогою компьютерної техніки може зберігатися або використовуватися зі злочинною метою.

Це, передусім:
  • тексти самого різноманітного змісту (договори, листи, бланки документів, ділові записи та інші складені документи);
  • графічні файли, в яких зберігаються зображення грошових знаків та інших цінних паперів, бланків, документів (технічних паспортів автотранспорту, посвідчень водія і т.д.), іншу графічну інформацію;
  • електронні таблиці, в яких містяться балансові звіти підприємств, інформация про рух матеріальних цінностей та ін.);
  • бази даних, які можуть містити перелічену вище інформацію.
Інформація, що цікавить, може знаходитись у вигляді файлів [3] на носіях інформації персональних комп'ютерів, які представляють собою:
  • накопичувачі на гнучких магнітних дисках (далі за текстом - НГМД) 5,25 дюймів в конвертах та 3,5 дюймів в пластикових футлярах);
  • накопичувачі на жорстких магнітних дисках (далі за текстом - НЖМД) двох типів: змінні і незмінні, тобто такі, що встановлюються в системний блок і виносні, які підключаються до спеціального пристрою. Цей пристрій знаходиться поза системним блоком і зв'язаний з ним за допомогою спеціального кабелю і інтерфейсної плати, або ж цей самий пристрій може бути вмонтований в системний блок і виносні накопичувачі вставляються в нього як звичайні НГМД (дискети);
  • касети з магнітною плівкою, спеціально призначені для зберігання інформації персонального комп'ютера;
  • оптичні диски, які за зовнішнім виглядом дуже схожі на аудіо компакт-диски, і бувають трьох типів:
    • CD-ROM (постійний запам'ятовуючий пристрій на компакт-диску) - з нього можна зчитувати інформацію, але не можна її на нього записувати. Переважно на них міститься програмне забезпечення для персонального комп'ютера;
    • WORM - диски для запису і зчитування інформації (записується інформація тільки один раз, стерти її неможливо);
    • оптичні диски - дозволяють як записувати так і стирати інформацію.
Крім того інформація може знаходитись в оперативній пам'яті комп'ютера в момент його роботи. Для збереження цієї інформації необхідно записувати її на дискету (НГМД) або на жорсткий магнітний диск (дисковод, НЖМД).

Також є можливість встановити дату і час внесення останніх змін в будь-який файл, який нас зацікавив. Особисту увагу слід звернути на інформацію, яка міститься в знищених файлах і може бути відновлена і переглянута за допомогою деяких програм (наприклад, з пакету Norton Utilities).

При необхідності вилучити дискету, касету з магнітною плівкою або лазерний диск з інформацією, спочатку необхідно підготувати упаковку для них. Це може бути поліетиленовий пакет, паперовий конверт або коробка з немагнітного матеріалу. На упаковці або бірці, яка прикріплена до пакету, необхідно зробити відповідні написи і підписи. Після цього в середину поміщується носій інформації, який вилучається. Пакет закривається і опечатується. При цьому недопустимі ніякі механічні дії на упакований об'єкт.

У випадку вилучення дисководу необхідно:
  1. відключити від струму системний блок;
  2. зняти захисний кожух (кришку) з системного блоку;
  3. від'єднати дисковод;
  4. запакувати дисковод у відповідності з вищезазначеними правилами упаковки і додержанням наступних заходів безпеки:
    • не торкатися до магнитного шару на дискетах, касетах з магнітною плівкою;
    • не торкатися радіоелементів на платі дисководу;
    • оберігати від попадання на робочу поверхню різних мікрооб'єктів;
    • не підносити вилучений носій інформації до джерел електромагнітних випромінювань;
    • зберігати при температурі не нижче -10С, не вище +52C.
По можливості необхідно вилучати увесь персональний комп'ютер.

З усіх питань, що цікавлять слідчого та орган дізнання, вони повинні звертатись за допомогою до спеціаліста або експерта для проведення досліджень. Це, в першу чергу, зумовлено специфікою поводження і роботою з такого роду інформацією, не додержання правил якої може призвести до видозміни, пошкодження або втрати цієї інформації.

При направленні на дослідження носіїв информації персональних комп'ютерів, слідчого найчастіше можуть цікавити питання неідентифікаційного, діагностичного характеру. Але у зв'язку з великим обсягом інформації, що зберігається на об'єкті-носії, йому необхідно детально визначитись з даними, що потрібно знайти і відповідно більш конкретно сформулювати питання. Якщо виникають труднощі, необхідно звернутись за консультацією до спеціаліста або особисто до експерта, який проводить дослідження комп'ютерних банків даних.

Перелік неідентифікаційних питань, що рекомендується ставити при направленні на дослідження носіїв інформації персональних комп'ютерів:
  1. Чи в робочому стані носій інформації, направлений на дослідження?
  2. Чи є на поданому на дослідження носії інформації файли, що містять інформацію про будь-що? Якщо так, то подати інформацію в надрукованому вигляді на папері.
  3. Чи можливо подати інформацію в надрукованому вигляді на папері, що міститься в текстових файлах про будь-що, якщо документ датований раніше, ніж в нього були внесені зміни?
  4. Чи можливо подати інформацію в надрукованому вигляді на папері, яка міститься в файлах, про будь-що із зазначенням дати внесення останніх змін до файлу?
  5. Чи відповідає малюнок грошового знаку (техпаспорту, посвідчення і т.д.) в графічному файлі малюнку на поданому документі?
Актуальність проблеми дослідження інформації, яка знаходиться в персональних компьютерах дуже велика, тому і потребує подальшого вивчення і впровадження способів щодо огляду, виявлення, фіксації, вилучення а також методики проведення експертиз комп'ютерних банків даних.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
  1. Науково-практичний коментар КПК України. Бюлетень законодавства і юридичної практики України № 4,5, 1995.
  2. П.П.Ищенко. Специалист с следственных действиях. М., 1990.
  3. Разумов Э.А., Молибога Н.П. Осмотр места происшествия.-К., 1994.
  4. Фигурнов В.Э. IBM PC для пользователя.-М.: Инфра, 1997.
  5. Першиков В.И., Савинков В.М. Толковый словарь по информатике.-М.: Фин. И стат., 1991.

ISBN 966-95343-1-3

©Авторський колектив, 1998
© "Інформаційні технології та захист інформації", 1998
©Запорізький юридичний інститут, 1998