< Предыдущая |
Оглавление |
Следующая > |
---|
8.3. Судебная информационно-компьютерная экспертиза (данных)
Судебная информационно-компьютерная экспертиза (данных) проводится для исследования данных, являющихся информационной составляющей компьютерной системы. Целью этого рода экспертиз является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Объектами информационно-компьютерной экспертизы являются все файлы компьютерной системы, не являющиеся исполняемыми модулями и подготовленные пользователем или самой системой с точки зрения их информативности.
Информационно-компьютерная экспертиза является наиболее распространенным родом компьютерно-технических экспертиз проводимых в экспертных учреждениях РФ. На сегодняшний день она является также и самой востребованной. При производстве информационно-компьютерной экспертизы имеется возможность проводить исследование не только реально присутствующих на носителе информации данных, но и "удаленных" - считающихся потерянными.
Ярким примером такой экспертизы является исследование системного блока компьютера, произведенное по гражданскому делу о защите чести и достоинства.
Г-н П., используя сеть Интернет и программное обеспечение, позволяющее получать доступ к чужому компьютеру и удаленно управлять им, похитил у г-на Р. адресную книгу с информацией об электронной почте адресатов. Далее по адресам лиц, содержащимся в адресной книге, были разосланы письма, порочащие честь и достоинство г-на Р. Ответчик категорически отрицал свою причастность к распространению подобной информации. В результате проведенной СИКЭ среди "удаленной" информации на его компьютере были обнаружены макеты этих писем и, как выяснилось впоследствии, поддельные фотографии истца компрометирующего характера.
На разрешение информационно-компьютерной экспертизы ставятся следующие вопросы:
- какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
- какого вида (явный, скрытый, удаленный, архив) имеется информация на носителе?
- к какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мультимедиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
- каким образом организован доступ (свободный, ограниченный и пр.) к данным на носителе информации, каковы его характеристики?
- какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
- каково содержание защищенных данных?
- каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
- какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и т.д.)?
- каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
- какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
- какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
- какие данные о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и т.д.) имеются на носителях информации?
- какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
- каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
- какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
- какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовка изображений денежных знаков, ценных бумаг, оттисков печатей т.п.);
- какая имеется причинная связь между действиями (вводом, модификацией, удалением и пр.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбои в программном и аппаратном обеспечении)?
- какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?
К сожалению, приходится отмечать, что распространенность и широкое применение СИКЭ помимо положительных имеет и отрицательные моменты. Одним из них является то обстоятельство, что в связи с большим кругом решаемых ею вопросов и огромным количеством информации, подлежащей переработке в процессе проведения исследования, она является одной из самых продолжительных по времени исполнения компьютерно-технических экспертиз. Помимо этого приходится отмечать, что кажущаяся простота в исполнении информационно-компьютерной экспертизы влечет за собой непродуманность, допускаемую заказчиком экспертизы, в постановке вопросов эксперту. К примеру, часто встречается ситуация, когда вопрос звучит следующим образом: "Какая информация, имеющая отношение к представленному в фабуле делу, имеется на магнитном (оптическом) носителе информации?". Такая постановка вопроса делает практически невозможным решение задачи экспертом, поскольку требует помимо специальных знаний, которыми он владеет, еще и оценку доказательственного значения всей совокупности исследуемой им информации.
< Предыдущая |
Оглавление |
Следующая > |
---|