§3.3. Осмотр машинного документа в ходе расследования хищений, совершенным с использованием интернет - технологий
При осмотре документа, который находится на машинном носителе или машинограмме, которые создаются компьютерно-техническими средствами по обеспечению информацией, должен происходить с участием эксперта или группы экспертов.
Это зависит от той области, в которой используется изучаемый документ (расчетно-кассовая, банковская, кредитно-финансовая, охранная, сфера услуг и т. д.). Цель осмотра - установление и всесторонний анализ внешних критериев и реквизитов документов, изучение его содержания, поиск признаков его фальсификации (подделки).[38]В ходе подготовки к осуществлению этого следственного мероприятия следователю нужно изучить требования ГОСТ 6.10.4-84 от 1 июля 1987 года «Придание документам юридической силы...». Этот нормативный акт определяет требования к содержанию и составу реквизитов, которые придают юридическую силу документации, расположенной на машинных носителях и машинограммах, производимым посредством вычислительной техники; последовательность вносимых в эти документы изменений; транспортировку (передачу, пересылку и прочее) машинных документов и их записи; система приема, использующая каналы электросвязи, воссоздания машинного документа в виде машинограммы, создания дубликатов и копий машинных документов.
Применяемые в документообороте документы юридических лиц (предприятий, организаций, учреждений и т. п.) могут формироваться и для внешнего, и для внутреннего пользования. Но, согласно требований ГОСТ 6.38-72, все документы, которые подлежат рассмотрению, должны всегда обладать следующими атрибутами: название юридического лица, которое выдало (или создало) документ; № документа и его дата составления; название; адресат; содержание; печать и подпись на документах, которые нуждаются в особом удостоверении их оригинальности (либо код особы, утвердившей документ).
Согласно статьи 160 Гражданского кодекса РФ разрешается использование с целью убеждения в подлинности юридической документации факсимильного воспроизводства подписи при помощи средств
механического либо другого копирования, ЭЦП (электронно-цифровой подписи) или другого аналога личной подписи физического лица.
Порядок применения ЭЦП регламентирован ГОСТ Р 34.10.94 «ЭЦП (Электронная цифровая подпись)». Электронная подпись позволяет не только точно установить подлинность документа и его настоящего автора с помощью электронно-цифрового фиксирования основного текста, а также личностных характеристик, присущих подписи физического лица, которое утвердило документ, но определить факт целостности (неискаженности) информации, которая в нем содержится, а также выявить следы попыток подобных искажений. Состав электронной подписи зависит непосредственно от конкретного заверяемого текста. Он соответствует исключительно этому тексту, естественно, если он не подвергался корректировкам и другим изменениям. Хэш-функция, или проверочная сумма, фальсифицированного (измененного) электронного документа будет иметь отличия от проверочной функции, получаемой в результате специального преобразования электронной подписи. Схема действий криптографического преобразования числовых данных в компьютерно-технических устройствах, системе либо их сети посредством «Криптографическое преобразование...». Подписанный документ, который передается получателю, содержит в себе текст, электронную подпись и сертификат пользователя, в котором содержатся доподлинная информация пользователя, включая его уникальное имя, а также открытый ключ дешифрования, применяемый для того, чтобы получатель или некое третье лицо, которое зарегистрировало сертификат, смогли осуществить проверку подписи.
Документы, которые создаются с использованием компьютернотехнических методов обеспечения данными, также подчиняются требованиям ГОСТ 13.002-79 «Микрофильм с правами подлинника».
Работа с определенными видами документов, которые создаются компьютерно-техническими средствами обеспечения данными может управляться, кроме вышеозначенных, межотраслевыми, внутриотраслевыми, а также прочими нормативными актами (к примеру, приказом по предприятию, объединению, организации, учреждению, которые возлагают обязанности по проверке документов отдельно взятой категории на определенного работника или должностное лицо).
Протокол осмотра документации должен отражать данные, перечень которых приведен ниже:
1. Название (назначение) документа (к примеру, идентификационный код и название формы документации по классификатору ОКУД).
2. Указание используемого типа машинного носителя, а также его уникальные признаки с уточнением технического состояния.
3. Техническое состояние, конфигурация, тип и марка программного и аппаратного оборудования, иных технических средств, использовавшихся при осмотре.
4. Присутствие сопроводительного письма либо документа, который его заменяет (к примеру, договор на владение пластиковой карточкой либо регистрационный сертификат на использование ЭЦП).
5. Содержание документа должно быть записано в определенной форме (читаемой, закодированной, смешанной).
6. Атрибуты организации или лица, создавшего документ (юридический адрес и название).
7. Присутствие грифа ограничения доступности к документу, который размещен на машинном носителе либо машинограмме («секретно», «для служебного пользования», «совершенно секретно», «конфиденциально»).
8. На документе и/или машинном носителе должен быть регистрационный номер (метка тома, серийный номер тома, заводской номер).
9. Дата создания (изготовления) либо выдачи документации (с обязательным указанием времени, когда была сделана запись документа на МНИ, благодаря чему можно ее сличить с машинным протоколом).
10. Величина документа (линейная или объемная - по количеству знаков или объему знаков в целом в документе, измеряемому в байтах) и/либо число страниц.
11. Кому адресован (реквизиты адресата-получателя).
12. Чем именно заверен (ЭЦП; позывным (кодом) лица, которое ответственно за правильность производства, передачу или копирования документа по возможным телекоммуникационным каналам; личной подписью уполномоченной особы; индивидуальным кодом пользователя сети с дистанционной передачей информации - «электронной почты»; печатью; уникальным позывным кодом при использовании аппаратуры связи).
13. Уникальные признаки документа (наименование файла); схема расположения символов; формат текста в машинном виде (формат WORD, MS DOS и другие); присутствие маркеров страниц, выделенного текста; цвет и тип печати (электрографический, струйный, матричный, смешанный) конкретно указать для каждого элемента; присутствие защитных знаков и прочее).
14. Обнаруженные в ходе осмотра признаки материальной подделки и подлога документа, а также его носителя.
Реквизиция компьютерно-технических инструментов обеспечения данными, машинных носителей данных и компьютерной информации производится при обязательном участии соответствующих специалистов. Следователь при этом должен строго соблюдать уголовно-процессуальный требования, иначе конфискованные в ходе следственного действия материалы, компьютерно-технические средства обеспечения данными и документы в будущем не смогут выступить как доказательства по делу.
С целью успешного осуществления вышеперечисленных требований, нужно четко придерживаться таких рекомендаций:
- В ходе следственного действия понятым нужно постоянно обращать внимание на все манипуляции, которые производят специалисты, а также на их результаты.
- Непосредственная реквизиция компьютерно-технических инструментов обеспечения информацией, которые на момент осмотра находятся включенными, осуществляется лишь тогда, когда будут полностью выполнены и обязательно отражены в протоколе следующие действия:
- выяснено и правильно приостановлено осуществление вычислительной операции;
- данные, которые находятся в ОЗУ компьютерно-технических средств по обеспечению информацией, записаны на постоянный МНИ, или на подготовленный и специально тестированный для таких задач внешний МНИ;
- выявлены и корректно завершены все запущенные программы (зачастую некорректное выключение компьютеров, путем перезагрузки либо отключения электропитания, без предшествующего корректного выхода из запущенной программы ведет к утрате информации и нарушениям архитектуры вычислительной системы, а также к стиранию всех или некоторых информационных фрагментов на данном компьютере);
- отключено электропитание компьютерно-технических инструментов обеспечения информацией, а также у периферийных устройств, которые к нему подключены;
- все соединительные кабели и провода, которые имеют разъемные соединения, отсоединены от компьютеров, источника питания, а также от периферийных устройств. С обязательной отметкой в протоколе схемы их соединения (принципиальная схема), разъединения и особенностей каждого элемента.
- Реквизируемые компьютерно-технические средства обеспечения информацией вместе с их составляющими нужно опечатывать таким образом, чтобы исключить вероятность непроцессуального их
использования, физического повреждения и разукомплектовки. Для достижения этой цели нужно выполнить следующие действия:
- опечатать технические устройства и аппаратуру при помощи наложения бумажного листа на разъёмы питания и подсоединения периферийных устройств (портов), делая захлест на боковые стороны корпуса изымаемого оборудования и закрепляя их края густым клеем;
- если компьютерно-техническое средство обеспечения информацией не имеет питающего и портового (соединительного) разъемов, следует наложить бумажный лист либо бумажный колпак (конверт) на соединительную и/или штепсельную вилку, а затем закрепить его бечевой или клеем на корпусе кабеля в месте расположения вилки;
- полоску (лист) бумаги-пломбы нужно наложить также на все детали корпуса компьютерно-технического средства обеспечения информацией и его комплектующие, имеющие разъемы, путем скрепления их между собой, а затем закрепить клеем (на щель приемного устройства, прорезь дисковода, тыльной панели и корпусе, лицевой и боковой панелях, и т. д.);
- если есть картонные коробки, ящики, бумажные канцелярские или почтовые мешки и большие конверты изымаемые компьютерно-технические средства обеспечения информацией возможно упаковывать в них, не соблюдая требований, которые отмечены в вышеуказанных пунктах, однако в обязательном порядке опломбировать соединительные швы и составить опись вложения;
- пломбирующая бумага, пломбы или упаковка должны иметь подписи понятых, следователя и специалиста, который участвует при изъятии;
- технические устройства, документы, МНИ, электропитающие (или соединительные) кабели и провода с разъемными составляющими следует упаковать раздельно друг от друга, делать точные описания каждого из них в протоколе с индивидуальными признаками и для каждого экземпляра тары нужна опись вложения;
- если четкие внешние признаки отсутствуют, реквизируемый предмет нужно упаковать в отдельный ящик (конверт, коробку), и обязательно указать об этом в протоколе следственного действия.
4. Проводя изъятие магнитных носителей машинной информации необходимо иметь ввиду, что они должны транспортироваться и храниться только в экранированном контейнере либо алюминиевой оболочке (футляре), не допускающей разрушающего воздействия возможных магнитных и электромагнитных полей, а также направленных излучений. Поэтому магнитные носители данных сперва оборачивают обычной фольгой (технического или бытового назначения), а после того опечатывают обыкновенным способом, закладывая в конверт или коробку. Вместо контейнера можно пользоваться цельноалюминиевой коробкой с крышкой (к примеру, может подойти алюминиевая посуда с крышкой). В случаях, когда в ящик пакуется несколько носителей данных, нужно составить опись вложения и указать в ней индивидуальные признаки каждого носителя.
5. Нельзя приклеивать что-либо прямо к МНИ и документации, пускать сквозь них бечеву, бить стиплером, помечать или маркировать, прикалывать твердым предметом знаки, лепить сургучовые или пластилиновые печати и т. п.
6. В ходе изъятия устройств для печати (принтеров), в особенности матричного типа, необходимо каждую единицу паковать в отдельную коробку (мешок, конверт, ящик) совместно с расходными материалами (картриджами, бумагой, красящими лентами), фиксируя их в положении, котором они были в момент начала следственного действия.
7. Если невозможно произвести изъятие и приобщить к делу в виде вещественного доказательства экземпляра вычислительной техники (к примеру, если компьютер является важной частью компьютерной сети, либо дистанционной системы обработки информации), нужно при помощи специалиста исключить устройство из сети или, по крайней мере, создать условия только для приема данных, полностью исключая возможность их
отправки (передачи). Наилучшим вариантом изъятия компьютернотехнического средства обеспечения данными в такой ситуации будет включение в сеть телекоммуникаций дублирующего компьютернотехнического средства обеспечения данными с аналогичными изымаемому аппаратно- программными характеристиками. Только после этого необходимое устройство может быть отключенным от сети. Выполнение этой технически непростой операции может быть доверено только квалифицированному специалисту или группе специалистов, которые задействованы в процессе следственного действия.
8. В случае возникновения необходимости изъятия информации из ОЗУ компьютерно-технического средства обеспечения данными (именно из оперативной памяти или виртуального диска), необходимо прибегнуть к операции копирования необходимых данных на МНИ с применением шаблонной, специально заготовленной и протестированной компьютерной техники, технические характеристики и характерные черты которых должны обязательно отражаться в протоколе следственного действия. Мероприятия по изъятию должны быть зафиксированы с применением видеозаписи.1
В обязательном порядке нужно обращать пристальное внимание на тот факт, что вначале производства следственных действий, напрямую связанных с использованием компьютерно-технических инструментов обеспечения информацией, системами и средствами их защиты, нужно непременно добывать и проводить анализ с привлечением специалистов данных о специфике технологического функционирования вышеуказанных технических устройств, их уровня соподчиненности, а также применяемых средств телекоммуникации и связи, с целью недопущения их разрушения, нарушений нужного технологического ритма и функционирования,
допущения внушительного материального ущерба различным собственникам и пользователям, ликвидации доказательств.[39]
Осмотр средств вычислительной техники, места происшествия, машинного носителя данных и документа необходимо проводить, соблюдая определенную последовательность и уделяя пристальное внимание частям предметов, которые имеют следы и повреждения. При этому нужно обязательно использовать видео- и/или фотосъемку. Очень важно сделать снимок или видеозапись не только, отдельных объектов, мест происшествий, компьютерно-технического средства обеспечения данными и его соединений, но и абсолютно все мероприятия, проводимые специалистами, которые участвуют в осмотре.[40]
Таким образом, на основе анализа архивных уголовных дел, мы считаем что с протоколом осмотра должна прилагаться схема либо план места происшествия, видео- и/или фотопленка либо магнитный носитель данных (жесткий диск, дискета или лента), принципиальная схема коммутации компьютерно-технических средств обеспечения данными друг с другом, а также с электрическими каналами связи (включая спецификацию и расшифровку условных обозначений), распечатка информации.