Судебная компьютерно-техническая экспертиза
в рамках специальности 21.1 «Исследование информационных компьютерных средств»
21.1 «Исследование информационных компьютерных средств»
Судебная компьютерно-техничекая экспертиза (СКТЭ) это самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимых в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним её исследованием.
Родовой предмет: факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.
Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией.
Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе, а именно:
- определение способа форматирования носителя информации и способа записи данных на него;
- выявление специфических характеристик физического размещения информации на исследуемом накопителе данных;
- выявление специфических характеристик логического размещения информации на исследуемом накопителе данных;
- выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики;
- определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация;
- определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны;
- установление способа организации доступа к имеющимся на носителе данным, а также его характеристик;
- выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов;
- выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа;
- установление содержания защищенной информации, хранящейся на носителе;
- установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях;
- выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее;
- установление предназначения данных и его пользовательских свойств;
- выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач;
- выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу;
- поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы), имеющихся на представленных для исследования накопителях информации;
- установление совпадений данных в компьютере и в представленных на экспертизу документах;
- установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий.
Проведение информационно-компьютерной экспертизы необходимо в следующих случаях:
- на накопителе данных содержится информация, способная нанести урон жизни или правам человека;
- компьютер (компьютерная система, накопитель данных) принадлежит человеку, совершившему преступление, для раскрытия которого необходима информация из данного компьютера (компьютерной системы, накопителя данных);
- информационное содержимое компьютера представляет собой предмет спора сторон – например, данные, защищенные авторским правом, патентными свидетельствами и пр.;
- если человек покончил жизнь самоубийством и предполагается, что в его компьютере (или ином вместилище данных) содержится информация о причинах подобного поступка;
- проводится расследование преступлений, совершенных посредством применения компьютерных систем;
- если необходимо отследить хронологию манипуляций, совершавшихся с данными на персональном компьютере (в компьютерной системе);
- если требуется извлечь информацию и установить её содержимое.
Типовые вопросы, которые ставятся перед экспертом:
- Какова степень совпадения действий пользователя и специальных правил эксплуатации данного персонального компьютера (компьютерной системы)?
- Содержит ли данный носитель информации какие-либо данные?
- В каком формате содержатся данные на носителе?
- Файлы какого типа содержатся на представленном для анализа носителе данных?
- Имеются ли на данном накопителе данных какие-либо средства защиты от копирования или несанкционированного доступа?
- Присутствуют ли на анализируемых носителях зашифрованные, скрытые, защищенные паролем или удаленные данные?
- Какова хронология действий пользователя относительно определенного процесса?
- Какие программные продукты, предназначенные для решения определенной задачи, присутствуют в представленном персональном компьютере (компьютерной системе)?
- Имеется ли связь между определенными операциями с данными (удаление, изменение, ввод данных) и произошедшим событием, например, сбои в работе компьютерной системы, отключение электричества и пр.?
- Каким образом механизм выполнения данной задачи отображен в зафиксированных на носителе данных?
- Каково было первоначальное состояние данных?
- Какие данные, содержащиеся в представленных для проведения экспертизы документах, находятся в компьютерной системе?
- Каковы потребительские свойства данных, обнаруженных в представленных накопителях информации?
- Каково их функциональное предназначение?
- Присутствуют ли признаки имевших место попыток преодоления защитной системы компьютера?
- Каково содержание закодированных (защищенных паролем) файлов?
- Каким образом организован механизм доступа к содержащимся на носителе данным?
- Каков перечень имеющихся в исследуемом компьютере (компьютерной системе) файлов?
Типовые вопросы, ставящиеся перед экспертами при исследовании мобильных телефонов сотовой сети информационно-компьютерной экспертизы
- Какая пользовательская информация имеется на представленных мобильных телефонах?
- Какое программное обеспечение установлено в представленных на исследование мобильных телефонах?
- Какие сообщения, созданные в программах обмена мгновенными сообщениями, имеются в памяти представленных на исследование мобильных телефонов?
- Какие сведения о соединениях между абонентами (звонки, sms-сообщения) имеются в памяти представленных на исследование мобильных телефонов и СИМ-карт?
- Какие почтовые сообщения имеются в памяти представленных на исследование мобильных телефонов?
- Какие сведения о посещении Интернет-ресурсов имеются в памяти представленных на исследование мобильных телефонов?
- Какая иная пользовательская информация (геолокации, пользовательские графические файлы и видеозаписи) имеются в памяти представленных на исследование мобильных телефонов?
- Какие данные о пользователях (имена, учетные записи) представленных на исследования мобильных телефонов имеются в их памяти?
- Имеются ли в памяти устройств пользовательская информация или файлы, созданные или измененные после ________ года?
- Имеется ли среди программного обеспечения, программное обеспечение с признаками вредоносности? Если да, то какие функциональные особенности имеются у выявленного программного обеспечения?
- Имеются ли в телефоне «___» дефекты, заявленные истцом? Если да, то какова причина их возникновения?
- Имеются ли в указанном телефоне другие дефекты, помимо заявленных истцом, и какова причина их возникновения?
- Установленные дефекты являются малозначительными, значительными или критическими?
- Устранимы ли выявленные дефекты?
- В каком техническом состоянии находится телефон, и пригоден ли он для дальнейшей эксплуатации?
Помимо уголовного судопроизводства, возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в том числе в арбитражных судах).