Красноярская лаборатория судебной экспертизы Федеральное бюджетное учреждение
Красноярская лаборатория судебной экспертизы
Министерства юстиции Российской Федерации
На главную страницу

Судебная компьютерно-техническая экспертиза

в рамках специальности 21.1 «Исследование информационных компьютерных средств»


21.1 «Исследование информационных компьютерных средств»

Судебная компьютерно-техничекая экспертиза (СКТЭ) это самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимых в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним её исследованием.

Родовой предмет: факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.

Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией.

Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе, а именно:
  • определение способа форматирования носителя информации и способа записи данных на него;
  • выявление специфических характеристик физического размещения информации на исследуемом накопителе данных;
  • выявление специфических характеристик логического размещения информации на исследуемом накопителе данных;
  • выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики;
  • определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация;
  • определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны;
  • установление способа организации доступа к имеющимся на носителе данным, а также его характеристик;
  • выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов;
  • выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа;
  • установление содержания защищенной информации, хранящейся на носителе;
  • установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях;
  • выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее;
  • установление предназначения данных и его пользовательских свойств;
  • выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач;
  • выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу;
  • поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы), имеющихся на представленных для исследования накопителях информации;
  • установление совпадений данных в компьютере и в представленных на экспертизу документах;
  • установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий.

Проведение информационно-компьютерной экспертизы необходимо в следующих случаях:
  • на накопителе данных содержится информация, способная нанести урон жизни или правам человека;
  • компьютер (компьютерная система, накопитель данных) принадлежит человеку, совершившему преступление, для раскрытия которого необходима информация из данного компьютера (компьютерной системы, накопителя данных);
  • информационное содержимое компьютера представляет собой предмет спора сторон – например, данные, защищенные авторским правом, патентными свидетельствами и пр.;
  • если человек покончил жизнь самоубийством и предполагается, что в его компьютере (или ином вместилище данных) содержится информация о причинах подобного поступка;
  • проводится расследование преступлений, совершенных посредством применения компьютерных систем;
  • если необходимо отследить хронологию манипуляций, совершавшихся с данными на персональном компьютере (в компьютерной системе);
  • если требуется извлечь информацию и установить её содержимое.

Типовые вопросы, которые ставятся перед экспертом:
  • Какова степень совпадения действий пользователя и специальных правил эксплуатации данного персонального компьютера (компьютерной системы)?
  • Содержит ли данный носитель информации какие-либо данные?
  • В каком формате содержатся данные на носителе?
  • Файлы какого типа содержатся на представленном для анализа носителе данных?
  • Имеются ли на данном накопителе данных какие-либо средства защиты от копирования или несанкционированного доступа?
  • Присутствуют ли на анализируемых носителях зашифрованные, скрытые, защищенные паролем или удаленные данные?
  • Какова хронология действий пользователя относительно определенного процесса?
  • Какие программные продукты, предназначенные для решения определенной задачи, присутствуют в представленном персональном компьютере (компьютерной системе)?
  • Имеется ли связь между определенными операциями с данными (удаление, изменение, ввод данных) и произошедшим событием, например, сбои в работе компьютерной системы, отключение электричества и пр.?
  • Каким образом механизм выполнения данной задачи отображен в зафиксированных на носителе данных?
  • Каково было первоначальное состояние данных?
  • Какие данные, содержащиеся в представленных для проведения экспертизы документах, находятся в компьютерной системе?
  • Каковы потребительские свойства данных, обнаруженных в представленных накопителях информации?
  • Каково их функциональное предназначение?
  • Присутствуют ли признаки имевших место попыток преодоления защитной системы компьютера?
  • Каково содержание закодированных (защищенных паролем) файлов?
  • Каким образом организован механизм доступа к содержащимся на носителе данным?
  • Каков перечень имеющихся в исследуемом компьютере (компьютерной системе) файлов?

Типовые вопросы, ставящиеся перед экспертами при исследовании мобильных телефонов сотовой сети информационно-компьютерной экспертизы
  • Какая пользовательская информация имеется на представленных мобильных телефонах?
  • Какое программное обеспечение установлено в представленных на исследование мобильных телефонах?
  • Какие сообщения, созданные в программах обмена мгновенными сообщениями, имеются в памяти представленных на исследование мобильных телефонов?
  • Какие сведения о соединениях между абонентами (звонки, sms-сообщения) имеются в памяти представленных на исследование мобильных телефонов и СИМ-карт?
  • Какие почтовые сообщения имеются в памяти представленных на исследование мобильных телефонов?
  • Какие сведения о посещении Интернет-ресурсов имеются в памяти представленных на исследование мобильных телефонов?
  • Какая иная пользовательская информация (геолокации, пользовательские графические файлы и видеозаписи) имеются в памяти представленных на исследование мобильных телефонов?
  • Какие данные о пользователях (имена, учетные записи) представленных на исследования мобильных телефонов имеются в их памяти?
  • Имеются ли в памяти устройств пользовательская информация или файлы, созданные или измененные после ________ года?
  • Имеется ли среди программного обеспечения, программное обеспечение с признаками вредоносности? Если да, то какие функциональные особенности имеются у выявленного программного обеспечения?
  • Имеются ли в телефоне «___» дефекты, заявленные истцом? Если да, то какова причина их возникновения?
  • Имеются ли в указанном телефоне другие дефекты, помимо заявленных истцом, и какова причина их возникновения?
  • Установленные дефекты являются малозначительными, значительными или критическими?
  • Устранимы ли выявленные дефекты?
  • В каком техническом состоянии находится телефон, и пригоден ли он для дальнейшей эксплуатации?

Помимо уголовного судопроизводства, возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в том числе в арбитражных судах).


Более подробно . . .
660049 г. Красноярск, ул. Сурикова, 20а
тел./факс: (391) 2-730-851
эл. почта: lab-expert@mail.ru