криминалистика. 369_КРИМИНАЛИСТИКА. Астмосква

338 лотерей (лохотрон) и др.). Словесная форма убеждения при этом соче- тается с манипулированием различными материальными средствами
(подложные документы, карты, наперстки и др.).
В настоящее время наиболее распространены следующие способы хищения чужого имущества путем мошенничества: 1) обманные опера- ции с деньгами (клонирование денег, раздел найденных денежных средств и др.); 2) обманные манипуляции с ценными бумагами (акции, облигации, чеки, векселя и т.п.) при их выпуске, купле, продаже; махина- ции с пластиковыми кредитными картами, поддельными банковскими платежными поручениями (авизо); 3) обманные действия при получении аванса (предоплаты) за якобы предоставляемые товары и услуги; 4) соз- дание всевозможных фиктивных инвестиционных фондов, товариществ застройщиков жилья, различных финансовых пирамид; 5) получение материальных ценностей на базах, складах, других объектах, а также пенсий, пособий (например, по безработице) и других периодических выплат по подложным документам и за лиц, уже умерших; 6) заведомо ложные обещания помочь в приобретении чего-либо труднодоступного
(земельного участка в престижном районе, права стать застройщиком).
Большинство способов мошенничества, особенно с деньгами и цен- ными бумагами, являются полноструктурными, т.е. включают в себя подготовку, совершение и сокрытие содеянного. Так, на стадии подго- товки мошенники собирают сведения об объекте преступного посяга- тельства, добывают бланки нужных документов, оттиски печатей и штампов; знакомятся с системой деятельности интересующих их орга- низаций, банков, фирм, с принятым в них документооборотом, иногда ищут пособников среди персонала, организуют рекламу (покупка жи- лья, работа за рубежом и др.), детально разрабатывают приемы мошен- нической акции.
Ее совершение складывается из самих обманных приемов передачи поддельных документов, получения по ним денег, имущества, ценных бумаг. Меры по сокрытию обычно состоят в быстром исчезновении мошенников с похищенным имуществом, его незамедлительной реали- зации, изготовлении новых подложных документов, оправдывающих движение похищенного, быстрой ликвидации фиктивных коммерческих фирм, фондов, банков.
На начало расследования мошенничеств складываются такие след- ственные ситуации. (1) Мошенническое завладение имуществом осуще- ствлено недавно с использованием поддельных документов (доверенно- стей, накладных, счет-фактур, паспортов), различных вещевых или денежных «кукол», фальшивых драгоценностей и др. В исходных мате- риалах имеются эти документы и предметы, а также сведения о внешних

339
данных преступников. (2) Обстоятельства аналогичны первой ситуации, но сведения о личности мошенника почти отсутствуют (махинации с банковскими авизо), с момента совершения преступления прошел до- вольно значительный срок. (3) Мошенник задержан на месте происше- ствия с поличным или сразу после содеянного, «по горячим следам».
В первичных материалах имеются использованные им документы, «кук- лы» и иные средства обмана.
Исходя из специфики ситуации, в начале расследования устанавли- вают особенности примененного способа мошенничества, личность виновного, место его нахождения, не совершил ли он других, остав- шихся нераскрытыми преступлений, его связи с работниками предпри- ятия, откуда совершено хищение, размер причиненного ущерба, где находится похищенное, не является ли мошенник членом преступной организации и др.
В первой и второй ситуациях обычно проводятся такие первона- чальные следственные действия: допрос материально ответственного лица, у которого мошенник получил имущество, выемка и осмотр до- кументов и предметов, использованных преступником, осмотр места происшествия, составление субъективного портрета мошенника, полу- чение учетной информации, проведение оперативно-розыскных меро- приятий. В третьей ситуации безотлагательно проводится личный обыск задержанного, его допрос, обыск по месту жительства, осмотр изъятых предметов и документов, допрос потерпевших и свидетелей.
План расследования мошенничества должен ориентировать следователя на взаимодействие с органами дознания, выяснение всех эпизодов, ро- зыск виновного, похищенного им имущества.
Допросы свидетелей и потерпевших. Ими являются лица, каким- либо образом контактировавшие с мошенником. При посягательстве на имущество предприятия допрашивается кладовщик или иное матери- ально ответственное лицо, а на личное имущество — потерпевший.
При их допросе выясняются все обстоятельства и детали содеянного, признаки внешности виновного, примененные им обманные действия и манипуляция.
Выемке обычно подлежат документы, отражающие получение мо- шенническим путем денег и имущества. Так, при расследовании мо- шенничества путем создания инвестиционных лжефирм, изымаются: учредительные документы, разрешение на занятие предприниматель- ской деятельностью, отчетные данные о финансово-хозяйственной дея- тельности, документы об уплате налогов, составе работников и др.
Следственный осмотр документов и предметов, использованных мошенниками, а также места происшествия (на практике довольно редко). При осмотре фальшивых документов, вещевых и денежных

340
«кукол» можно получить представление не только о способе подделки, изготовления мошеннических орудий, но и о возможных путях получе- ния бланков документов строгой отчетности, почерке и пишущем при- боре лица, заполнившего и подписавшего документ, типе принтера или пишущей машинки, на которой отпечатан текст, выявить на них следы пальцев мошенника. Изучается содержание изъятых документов, рек- ламные материалы фиктивных фондов и инвестиционных компаний.
Задержание мошенника необходимо произвести так, чтобы он не смог незаметно выбросить компрометирующие предметы и докумен- ты — вещественные доказательства или отказаться о них. При группо- вом мошенничестве необходимо задержать всех членов организованной преступной группы, провести личный обыск каждого, а затем — по месту жительства. Допросы задержанных следует проводить с тщатель- ной предварительной подготовкой, поскольку мошенники весьма изво- ротливы, отличаются достаточно высоким интеллектом, многие из них неоднократно судимы за аналогичные преступления.
Предъявление людей и вещей для опознания. Следует учитывать, что мошенники нередко предпринимают меры по изменению внешности
(используют парики, накладные усы, гримируются). Предъявляются и отдельные вещи, предметы (особенно по делам о мошенническом за- владении личным имуществом), которые могли принадлежать потер- певшему.
Назначение судебных экспертиз связано с необходимостью иссле- дования поддельных документов и предметов, использованных мошен- ником. Производятся почерковедческие, технико-криминалистические, физико-химические, товароведческие исследования фальшивых ценно- стей и другие судебные экспертизы.
Контрольные вопросы
1. Назовите и раскройте основные элементы криминалистической характеристики хищений чужого имущества.
2. Какие обстоятельства подлежат установлению при расследовании хищений, совершенных путем присвоения и растраты?
3. Каковы, в зависимости от исходной следственной ситуации, пер- воначальные следственные действия при расследовании присвоения и растраты чужого имущества?
4. Назовите и охарактеризуйте наиболее распространенные способы мошенничества.
5. Какие обстоятельства подлежат доказыванию по делам о мошен- ничестве?

341 6. Какие виды судебных экспертиз назначаются по делам о хищени- ях чужого имущества, совершенных путем присвоения, растраты или мошенничества?
Т
ЕМА
26.
М
ЕТОДИКА РАССЛЕДОВАНИЯ ПРЕСТУПЛЕНИЙ
В СФЕРЕ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ
План лекции
¾ 1. Расследование случаев неправомерного доступа к компь-
ютерной информации.
¾ 2. Расследование создания, использования и распростране-
ния вредоносных программ для ЭВМ.
¾ 3. Расследование нарушения правил эксплуатации ЭВМ, их
системы или сети.
Литература
1. Ищенко Е.П., Топорков А.А. Криминалистика: Учебник / Под ред.
Е.П. Ищенко. — М.: Юридическая фирма «КОНТРАКТ»; ИНФРА-М,
2007. С. 711-737.
2. Криминалистика: Учебник / Отв. ред. Н.П. Яблоков. — 3-е изд., перераб. и доп. — М.: Юристъ, 2005. С. 679-693.
3. Ищенко Е.П. Криминалистика: Краткий курс. — 2-е изд., испр. и доп. — М.: Юридическая фирма «КОНТРАКТ»; ИНФРА-М, 2006.
С 288-303.
¾ 1. Информация и информационные правоотношения стали до- вольно частым предметом преступного посягательства. Их общий объ- ект — общественные отношения по обеспечению информационной безопасности, а непосредственные объекты преступного посягательст- ва — базы и банки данных, файлы конкретных компьютерных систем и сетей, а также технологии и программные средства, включая те, кото- рые обеспечивают защиту компьютерной информации от неправомер- ного доступа.
Под информацией понимают сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представле- ния. Документированная информация — это зафиксированные на мате- риальном носителе сведения с реквизитами, позволяющими их иденти- фицировать. Компьютерная информация является документированной, но хранящейся в ЭВМ или управляющей ею в соответствии с програм- мой и (или) предписаниями пользователя. К машинным носителям этой информации относятся блоки памяти ЭВМ, ее периферийные и сетевые устройства, средства связи, сети электросвязи.

342
Статья 272 УК РФ устанавливает ответственность за неправомерный доступ к компьютерной информации, если он привел к таким негативным последствиям, как уничтожение, блокирование, модификация, копирова- ние информации либо нарушение работы ЭВМ, их системы или сети.
Уничтожение информации — это такое ее изменение, когда она пе- рестает отвечать своему прямому назначению. Под блокированием понимается временная или постоянная невозможность доступа к ин- формации со стороны законного пользователя, а под модификацией — ее видоизменение, влекущее появление новых, нежелательных свойств.
Копирование — это воспроизведение аналога оригинала; нарушение работы ЭВМ, их системы или сети — замедление, зацикливание, пре- кращение действия программы, нарушение порядка выполнения ко- манд, отказ в выдаче информации, отключение элементов системы, другие нештатные ситуации. Системой считается взаимосвязанная со- вокупность ЭВМ с единым организационно-техническим обеспечением, а сетью — объединение действующих компьютерных систем на опре- деленной территории.
При расследовании неправомерного доступа к компьютерной ин- формации вначале устанавливается сам факт такого доступа, место несанкционированного проникновения в компьютерную систему или сеть и время совершения преступления; затем — способ неправомерно- го доступа и степень надежности средств защиты компьютерной ин- формации, лица, совершившие такой доступ, их виновность, а также мотивы и вредные последствия содеянного.
Факт неправомерного доступа к информации первыми, как правило, обнаруживают пользователи компьютерной системы или сети. Такие фак- ты иногда устанавливаются в ходе оперативно-розыскной деятельности органов внутренних дел, ФСБ, ФСКН. Их можно выявить и в ходе реви- зий, судебных экспертиз, следственных действий по уголовным делам.
Признаками несанкционированного доступа или подготовки к нему могут служить: а) появление в компьютере искаженных данных; б) длительное необновление кодов, паролей и других защитных средств компьютерной системы; в) частые сбои в работе ЭВМ; г) участившиеся жалобы пользователей этой системы или сети.
Признаки неправомерного доступа выражаются также в следующих отступлениях от установленного порядка обработки документов: 1) на- рушения правил оформления документов и изготовления машинограмм;
2) наличие лишних документов, подготовленных для обработки на ЭВМ;
3) несоответствие информации, содержащейся в первичных документах, данным машинограмм; 4) преднамеренные утрата или уничтожение пер- вичных документов и машинных носителей информации, искажение данных их регистрации. Указанные признаки, однако, могут быть

343
следствием не только злоупотреблений, но и других причин, например, случайных ошибок и сбоев компьютерной техники.
Место несанкционированного доступа в компьютерную систему или сеть установить трудно, ибо таких мест может быть несколько.
На практике чаще обнаруживается место неправомерного доступа к компьютерной информации с целью хищения денежных средств; но и для этого приходится выявлять все места работы компьютеров, имею- щих единую телекоммуникационную связь. Гораздо проще это место устанавливается в случае несанкционированного доступа к единичному компьютеру. Много труднее определить место непосредственного при- менения технических средств удаленного несанкционированного дос- тупа, которые не входят в данную компьютерную систему или сеть.
К этой работе, а также к установлению места хранения информации на машинных носителях, добытой преступником в результате неправомер- ного доступа к компьютерной системе или сети, необходимо привле- кать соответствующих специалистов.
Время несанкционированного доступа выясняется с помощью про- грамм общесистемного назначения, которые в работающем компьютере обычно фиксируют текущее время. Это позволяет вывести на экран дисплея сведения о точном времени выполнения той или иной опера- ции. Если такая программа работает, то при несанкционированном вхо- де в систему или сеть время конкретной операции на компьютере фик- сируются автоматически. Тогда интересующий момент можно опреде- лить в ходе следственного осмотра компьютера или его распечаток.
Время несанкционированного доступа устанавливается и путем допроса свидетелей из числа сотрудников данной компьютерной системы, выяс- няется, когда конкретно каждый из них работал на ЭВМ.
Способы преступной деятельности в среде компьютерной инфор- мации могут быть разделены на две большие группы. Первая группа не предусматривает использование компьютерных устройств в качестве
инструмента для проникновения в информационные системы или воз- действия на них. Это могут быть: а) хищение машинных носителей информации; б) использование визуальных, оптических и акустических средств наблюдения за ЭВМ; в) считывание и расшифровка электро- магнитных излучений компьютера и обеспечивающих систем; г) фото- графирование информации в процессе ее обработки; д) изготовление бумажных дубликатов входных и выходных документов, копирование распечаток; е) использование вышеупомянутых средств наблюдения за лицами, имеющими отношение к необходимой злоумышленнику ин- формации, подслушивание их разговоров и др.
Для таких действий, как правило, характерна достаточно локальная следовая картина: место совершения преступных действий и дислокация

344 объекта преступного посягательства расположены вблизи друг от друга или совпадают, потому срабатывают традиционные приемы по их ис- следованию.
Вторая группа преступных действий осуществляется с использовани-
ем компьютерных и коммуникационных устройств в качестве инстру-
мента для проникновения в информационные системы или воздействия на них. Так, несанкционированный доступ реализуется с помощью под- бора пароля, использования чужого имени, отыскания и использования пробелов в программе, а также других мер преодоления защиты компью- терной информации. Конкретный способ несанкционированного доступа можно установить путем допроса свидетелей из числа лиц, обслуживаю- щих компьютерную систему, и ее разработчиков. У них необходимо вы- яснить, как преступник мог проникнуть в защищенную систему, получить сведения о средствах защиты системы или сети ЭВМ (см. схему 11).
Способ несанкционированного доступа в компьютерную систему можно установить посредством компьютерно-технической экспертизы.
Для этого эксперту предоставляют всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации.
В ряде случаев целесообразен следственный эксперимент, напри- мер, для проверки возможности: преодоления средств защиты компью- терной системы одним из предполагаемых способов; появления на эк- ране дисплея закрытой информации или ее распечатки вследствие оши- бочных действий оператора, технического сбоя.
Выясняя надежность средств зашиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети меры защиты от несанкционированного доступа, в том числе к опре- деленным файлам. Это выясняется в ходе допросов разработчиков и поль- зователей системы, а также при изучении проектной документации и инст- рукций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, о порядке до- пуска пользователей к конкретным данным, разграничении их полномо- чий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты документированной информации, имеющей ограниченный доступ.
Законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а также лицензирование всех видов дея- тельности в области проектирования и производства названных средств.
Поэтому в ходе расследования необходимо выяснить, есть ли лицензия на производство средств защиты информации от несанкционированного доступа, задействованных в данной компьютерной системе, и соответ- ствуют ли их параметры выданному сертификату.

345
Схема 11