Деятельность органов внутренних дел по борьбе с преступлениями, совершенными с использованием

106
Все приведенные выше особенности механизма совершения преступлений с использованием информационно-коммуникацион- ных технологий закономерно влекут и исключительное своеобразие следовой картины данных преступлений.
Следовая картина названных преступлений весьма специфич- на и требует разработки принципиально иных методов и средств по сравнению с традиционными. Следы совершения указанных пре- ступлений, в силу их специфики, редко остаются в виде изменений внешней среды. Соответственно, они не рассматриваются в рамках трасологии, поскольку в большинстве случаев носят информаци- онный характер, т. е. представляют собой те или иные изменения в охраняемой законом информации в результате ее уничтожения, модификации, копирования, блокирования
1
. В этой связи обна- ружение, фиксация и изъятие таких следов требуют использова- ния особых криминалистических технологий
2
, разработка и совер- шенствование которых на протяжении уже ряда лет представляет исключительно актуальное направление криминалистики.
Все это предопределяет появление самостоятельного раздела криминалистической техники – криминалистического исследова- ния электронных носителей информации, направленного на обе- спечение единообразного подхода к работе с данными объектами, к числу которых относятся любые устройства, конструктивно пред- назначенные для постоянного или временного хранения информа- ции в виде, пригодном для использования в электронных вычис- лительных машинах, а также для ее передачи по информационно- телекоммуникационным сетям или обработки в информационных системах.
К числу объектов криминалистического исследования элек- тронных носителей информации относятся и средства подвижной радиотелефонной (мобильной) связи с доступом в сеть Интернет
(смартфоны) и иные информационно-коммуникационные устрой- ства, включая планшетные компьютеры. В связи с наличием в абсо- лютном большинстве современных смартфонов модуля получения геопространственной информации, использующего сигналы систем
ГЛОНАСС и (или) GPS-навигации, перспективным направлением
1
Гаврилин Ю. В. Особенности следообразования при совершении мошенничеств в сфере компьютерной информации // Рос. следователь. 2013. № 23. С. 3.
2
См.: Гаврилин Ю. В., Лыткин Н. Н. Использование компьютерно-технических следов при установлении события преступления // Известия Тульского государствен- ного университета. Тула, 2006. Вып. 15. С. 44–50; Гаврилин Ю. В. Особенности следоо- бразования при совершении мошенничеств в сфере компьютерной информации // Рос. следователь. 2013. № 23. С. 2–5 и др.

107
развития вышеназванного раздела криминалистической техники является исследование данных средств навигации
1
Помимо перечисленного, к числу объектов криминалистическо- го исследования электронных носителей относятся: системы обра- ботки информации или отдельные функциональные устройства таких систем; системные блоки персональных компьютеров, ноут- буков, нетбуков и т. п; машинные носители (накопители на жестких и гибких магнитных дисках, флеш-накопители, карты памяти, опти- ческие диски и т. п.); уже упомянутые навигаторы, трекеры; мобиль- ные телефоны и SIM-карты к ним; радиоэлектронные устройства; платежные пластиковые карты и скимминговые устройства; платы игровых автоматов; видеорегистраторы и пр.
Электронные носители информации как источники доказатель- ственной информации и объекты криминалистических исследова- ний были рассмотрены в предыдущем параграфе. Как уже отмеча- лось, их ключевой характеристикой является то, что они предназна- чены для хранения определенных фактических данных в цифровой форме, иными словами, для хранения компьютерной информации.
Соответственно, именно электронные носители информации отра- жают результаты ее создания, уничтожения, копирования, блоки- рования, модификации или иного преобразования, т. е. следовую картину совершенного противоправного деяния. Как и любые иные объекты материального мира, электронные носители информации характеризуются конкретными морфологическими признаками: тип, вид, марка, модель, цвет, емкость, форм-фактор, серийный номер и пр.
Уточним, что при совершении преступлений с использованием информационно-коммуникационных технологий остаются и тради- ционные (трасологические) следы – предметы, вещества, отобра- жения. Это и следы пальцев рук на клавиатуре иных аппаратных компонентов информационной системы; микрочастицы (например, волокна одежды на мебели, волосы, перхоть, попавшие на клавиа- туру); следы обуви; следы орудий взлома и инструментов в поме- щениях, где происходил непосредственный физический контакт с компьютерной техникой, а также сами электронные носители как объекты материального мира и пр. За десятки лет развития крими-
1
См.: Гаврилин Ю. В. Использование возможностей средств навигации в установ- лении обстоятельств совершения преступлений // Актуальные проблемы борьбы с пре- ступностью: материалы межвузовской науч.-практ. конф. (Тула, 15 марта 2017 г.). Тула,
2017.

108
налистики накоплен колоссальный опыт работы с подобного рода следами
1
Однако в ходе расследования преступлений, совершенных с использованием информационно-коммуникационных технологий, наибольшей спецификой обладают, разумеется, электронные следы преступления. Они представляют собой результаты создания или преобразования компьютерной информации в форме уничтоже- ния, копирования, блокирования или модификации, а также соот- ветствующие им изменения физических характеристик ее носителя, причинно связанные с событием преступления.
Заметим, что в языке криминалистике нет единообразного под- хода к наименованию и классификации вышеназванных следов.
Они рассматривались в работах Ю. М. Батурина и А. М. Жодзиш- ского
2
, Н. С. Полевого
3
, В. В. Крылова
4
, В. Б. Вехова
5
, А. В. Соро- кина
6
, Б. В. Андреева, П. Н. Пака, В. П. Хорста
7
, А. Г. Волеводза
8
,
В. А. Мещерякова
9
, Ю. В. Гаврилина и Н. Н. Лыткина
10
и др. В раз- личных источниках данные следы именуются и как компьютерные, и как компьютерно-технические, и как цифровые, и как информаци- онные, и как бинарные, и пр.
Вместе с тем сущность данных следов состоит в том, что они, оставаясь на электронных носителях информации, отражают изме- нения в хранящейся в них информации по сравнению с исходным состоянием.
1
Грановскнй Г. Л. Основы трасологии. М., 1965; Сорокин В. С. Обнаружение и фик- сация следов на месте происшествия. М., 1966; Крылов И. Ф. Следы на месте преступле- ния. Л., 1961; Крылов И. Ф. Криминалистическое учение о следах. Л., 1976.
2
Батурин Ю. М., Жодзишский А. М. Компьютерная преступность и компьютерная безопасность. М., 1991.
3
Компьютерные технологии в юридической деятельности / под ред. Н. С. Полевого.
М., 1994.
4
Крылов В. В. Информационные компьютерные преступления. М., 1997;
Крылов В. В. Расследование преступлений в сфере информации. М., 1998.
5
Вехов Б. В. Компьютерные преступления. Способы совершения. Методики рас- следования. М., 1996.
6
Сорокин А. В. Компьютерные преступления: уголовно-правовая характеристика, методика и практика раскрытия и расследования. Курган, 1999.
7
Андреев Б. В., Пак П. Н., Хорст В. П. Расследование преступлений в сфере ком- пьютерной информации. М., 2001.
8
Волеводз А. Г. Противодействие компьютерным преступлениям: правовые осно- вы международного сотрудничества. М., 2002.
9
Мещеряков В. А. Преступления в сфере компьютерной информации: основы тео- рии и практики расследования. Воронеж, 2002.
10
Гаврилин Ю. В., Лыткин Н. Н. Использование компьютерно-технических следов в раскрытии и расследовании преступлений: монография. М., 2006.

109
На логическом уровне происходит модификация информации
(т. е. внесение изменений в информацию баз данных, программ, тек- стовых файлов, файлов-отчетов и протоколов работы, системного реестра, учетных записей пользователей сети Интернет и др.), унич- тожение информации (удаление из каталогов имен файлов, стира- ние или добавление отдельных записей), копирование информа- ции (т. е. ее дублирование на том же самом или ином электронном носителе), блокирование информации (т. е. лишение возможности доступа к ней) либо создание новой информации.
На физическом уровне происходит размагничивание или намаг- ничивание определенных секторов (кластеров) рабочих поверхно- стей носителей или изменение электрического заряда в изолирован- ной области полупроводниковой структуры.
Электронные следы преступления как специфическая форма преобразования компьютерной информации являются
1
:
1. Отражением события преступления в информационном поле.
2. Материальными по своей природе, но не отражающими про- странственную форму следообразующего объекта.
3. Результатом преобразования компьютерной информации.
4. Способными к дублированию, т. е. переносу (копированию) на другие носители информации без какого-либо изменения их характеристик.
Базовые принципы работы с электронными следами преступления:
1. Любые действия по обнаружению, фиксации и изъятию элек- тронных следов не должны приводить к изменениям информации на электронных носителях, признанных вещественными доказа- тельствами.
2. Работа с носителями информации, содержащими электрон- ные следы преступления, должна вестись только с участием про- фильного специалиста надлежащей квалификации.
3. Все действия по обнаружению, фиксации, изъятию, исследо- ванию электронных следов и последующему хранению электрон- ных носителей информации должны быть надлежаще процессуаль- но оформлены.
4. Четкое разделение ответственности субъектов уголовно- процессуальной деятельности, в распоряжении которых находятся электронные носители информации, содержащие электронные сле- ды преступления, за их сохранность в неизменном состоянии.
1
Гаврилин Ю. В., Лыткин Н. Н. Использование компьютерно-технических следов в раскрытии и расследовании преступлений: монография. М., 2006. С. 35.

110
Все электронные следы можно разделить на две большие груп- пы: локальные (находящиеся на индивидуально определенных электронных носителях, доступ к информации на которых осу- ществляется непосредственно на месте их нахождения) и сетевые
(доступ к которым осуществляется опосредованно, с использовани- ем сетевого оборудования).
Локальные следы подразделяются, в свою очередь, также на две группы: мета-данные и искомые данные. К мета-данным относятся признаки, идентифицирующие компьютерную информацию: имя, размер и формат файла, автор файла, дата и время создания, изме- нения, связи файла, его категория. К искомым данным относится информация, имеющая отношение к расследуемому событию (вхо- дящая в предмет доказывания), и иная информация (не относящая- ся к расследуемому событию).
Криминалистически значимую информацию о работе пользова- теля в сети Интернет в операционной системе MicrosoftWindows ХР содержат:
файлы реестра и системных событий, расположенные в катало- ге %Windir%\System32\Config\;
файл, содержащий перечень и настройки активных подключений;
Documents and Settings\All Users\Application;
data\Microsoft\Network\Connections\Pbk\rasphone.pbk;
файлы, содержащие протоколы работы модемов %Windir%\
Modem Log_%Modemname%.txt;
файлы Index.dat, содержащие сведения об интернет-ресурсах, посещаемых пользователем;
файлы, расположенные в каталогах: Documents and
Settings\%username%\Local Setings\Temporary Internet Files\
Content.IE5\;
файлы, расположенные в каталогах: Documents and
Settings\%username%\cookies\;
файлы, содержащие настройки и протоколы работы программ, предназначенных для работы пользователя в сети Интернет.
Локальными электронными следами являются также результа- ты работы антивирусных и тестовых программ, а также вредонос- ное программное обеспечение на компьютере или ином устройстве, например, смартфоне потерпевшего.
Сетевые следы представляют собой сведения о прохождении информации по каналам связи между отдельными компьютерами, объединенными в локальную сеть или подключенными к Интернету.
Данные сведения сохраняются в специальных файлах регистрации
(log-файлах), ведение которых осуществляется информационными

111
системами в автоматическом режиме. Какое бы событие или действие ни произошло в информационной системе, сведения о нем (кто ини- циировал его, когда и в какое время оно произошло; если при этом были затронуты файлы, то какие) регистрируются в log-файлах. Log- файлы фиксируют дату сеанса связи, информацию о времени связи
(времени начала, окончания и продолжительности сеанса связи), ста- тические или динамические IP-адреса, телефонные номера, скорость передачи сообщения, характеристики сеанса связи, включая тип использованных протоколов, сами протоколы, MAC-адрес использо- ванного сетевого оборудования, системное время и др.
IP-адрес (айпи-адрес, от англ. Internet Protocol Address) – уни- кальный сетевой адрес компьютера (сервера, сетевого оборудова- ния) в сети, построенный на основе протокола адресации IP в виде четырех десятичных чисел значением от 0 до 255, разделенных точ- ками, например, 192.168.0.1.
MAC-адрес (от англ. Media Access Control – управление досту- пом к среде, также Hardware Address) – это уникальный идентифи- катор, присваиваемый производителем каждой единице сетевого адаптера используемого оборудования (ноутбука, нетбука, план- шетного ПК, смартфона). Он имеет, примерно, следующий вид:
00-04-5F-B2-FC-9F или 00:04:5F:B2:FC:9F.
Следует иметь в виду, что МАС-адрес передается оператору связи только при непосредственном подключении к его оборудо- ванию. Если для подключения используется промежуточное обо- рудование (например, ADSL-модем, WiFi-маршрутизатор или
USB-модем), то МАС-адрес оператору связи не передается. Кроме того, значение МАС-адреса может принудительно изменяться на произвольное самим пользователем, что предусмотрено настройкой соответствующих параметров в операционной системе. Значение
MAC-адреса фиксируется не каждым оператором связи. Некоторые производители присваивают одинаковый MAC-адрес всей партии сетевых адаптеров.
Используя бесплатные и общедоступные интернет-сервисы
Whois, существует возможность установления сведений о собствен- нике доменного имени сайта в сети Интернет, а также об организа- ции, осуществившей регистрацию доменного имени и заключив- шей соответствующий договор с собственником доменного имени, дате регистрации, сроке действия права на это имя, иные данные, на основании которых нетрудно установить лицо, создавшее тот или иной сайт в сети Интернет.
Возможность установления названной информации зависит от того, является ли данный IP-адрес маршрутизируемым («белым»)

112
в сети Интернет (к такому IP-адресу можно обратиться из любого сегмента сети Интернет) или он относится к частным («серым»)
IP-адресам (к таким IP-адресам нельзя обратиться из какого-либо другого сегмента сети Интернет напрямую)
1
. Информацию о част- ных IP-адресах получить с использованием интернет-сервиса Whois нельзя. Технологии получения подобной информации имеют свои особенности исходя из диапазона IP-адресов и носят индивидуаль- ный характер.
При получении доступа в сеть Интерент посредством точек публичного подключения (в организациях общественного питания, транспорта, образования, гостиницах, общественных местах и пр.) электронный журнал (log-файл) сервера организации, предоставля- ющей услуги по доступу в сеть Интернет, будет содержать следую- щие данные: IP-адрес, предоставленный лицу в конкретный момент времени, данные о сетевых адресах, к которым был получен доступ с использованием данного IP-адреса, дату, место, время начала и окончания доступа, MAC-адрес сетевой карты устройства, с кото- рого был произведен выход в сеть, номер SIM-карты, через которую произошла авторизация пользователя при подключении к Интерне- ту, операционную систему и браузер его устройства.
В конечном счете сетевые следы позволяют установить лицо, совершившее преступление дистанционным способом. Технология решения данной тактической задачи будет рассмотрена в следую- щих параграфах, посвященных частным методикам расследования отдельных видов преступлений, совершенных с использованием информационно-коммуникационных технологий.
Следами, позволяющими установить лицо, совершившее непра- вомерный доступ к охраняемой законом компьютерной информа- ции (путем уничтожения, блокирования, копирования или модифи- кации), находящейся на интернет-сайте, являются:
– сведения об IP-адресах, с которых производится администри- рование интернет-сайта, доменного имени и / или IP-адреса, выяв- ление сторонних заходов;
– сведения о запросах, посылаемых при обращениях к интернет- сайту, и поиск среди них тех, что могли использоваться для поиска уязвимостей при обработке запросов на сервере и выдачи закрытой информации, а также при удаленном управлении сервером посред- ством «шеллов»;
1
IP-адреса относятся к частным, если они принадлежат следующим диапазо- нам: 10.0.0.1–10.255.255.254, 127.0.0.1–127.255.255.254, 169.254.0.1–169.254.255.254,
172.16.0.1–172.31.255.254, 192.168.0.1–192.168.255.254.

113
– сведения об ошибках, возникающих в интересующий проме- жуток времени;
– следы подбора пароля для аутентификации на сервере, на котором настроена работа интернет-сайта;
– программы для удаленного администрирования;
– программы / файлы, которые позволяют получать несанкци- онированный доступ к сведениям на сервер / копировать информа- цию на сервере;
– вредоносные программы;
– сведения о загрузке / выгрузке файлов на / с сервера.
Следами, позволяющими установить, откуда была предпринята
DoS/DDoS-атака, направленная на блокирование интернет-ресур- са, являются:
– период прекращения штатного функционирования сетевого ресурса;
– запросы, которые посылались сетевому ресурсу до прекраще- ния его штатного функционирования, а именно: их количество, про- межуток между отправками, содержание запроса;
– IP-адреса, с которых произведена отправка обнаруженных запросов;
– сведения об ошибках, возникающих на сетевом ресурсе, в интересующий период времени;
– сведения о прекращении штатного функционирования сете- вого ресурса.
Следами создания, использования и распространения вредо- носных программ для ЭВМ являются:
– переписка (в том числе в социальных сетях, на интернет- ресурсах, в программах для мгновенного обмена сообщениями, почтовых клиентах);
– история сетевых соединений;
– вредоносные программы, в том числе эксплойты;
– программы для повышения привилегий в системе;
– командные центры (серверы управления) обнаруженных про- грамм.
Большое количество ценной криминалистически значимой информации содержат социальные сети. Речь при этом идет не толь- ко о контенте, который выкладывают пользователи на свои страницы, анализ которого позволяет определить и круг общения пользователя, его образ жизни, увлечения, способы проведения досуга, род заня- тий, уровень доходов, географию перемещений, семейное положение и состав семьи, используемый автотранспорт, а также иные данные.
Каждый пользователь социальной сети имеет персональный иденти-

114
фикатор (указывается в адресной строке браузера, после доменного имени сайта социальной сети), для получения которого пользова- телю необходимо пройти процедуру регистрации. Соответственно, в организации, владеющей соответствующей социальной сетью, мож- но получить данные учетной записи пользователя: указанные им при регистрации анкетные данные, дату и время регистрации, IP-адрес доступа к сети Интернет при регистрации, адрес электронной почты, абонентский номер сотовой связи (для SMS-подтверждения), а также продолжительность использования учетной записи и иные сведения.
Заметим, что если указываемый при регистрации адрес электронной почты может быть вымышленным, то номер мобильного телефона, вероятнее всего, будет реальным (хотя, возможно, и зарегистрирован- ным на подставное лицо), поскольку для регистрации в социальной сети требуется SMS-подтверждение путем введения специального кода, направляемого на телефонный номер, указанный при регистра- ции. Таким образом, для установления лица, фактически использу- ющего SIM-карту, соответствующую номеру мобильного телефона, указанного при регистрации в социальной сети, следует запросить у оператора сотовой связи детализацию звонков, а также данные о способах пополнения финансового баланса SIM-карты. При этом если для пополнения баланса данной SIM-карты использовались электронные кошельки или банковские карты, то информацию о лицах, на которые они открыты, можно получить в соответствую- щей кредитно-финансовой организации на основании ст. 26 Закона
РФ от 2 декабря 1990 г. № 395-1 «О банках и банковской деятель- ности».
Полный перечень информации, подлежащей хранению орга- низатором распространения информации в сети Интернет, к числу которых относятся и социальные сети, предусмотрен п. 3 Правил хранения организаторами распространения информации в инфор- мационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков или иных электронных сообщений пользователей информационно-телеком- муникационной сети «Интернет» и информации об этих пользова- телях, предоставления ее уполномоченным государственным орга- нам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации
1 1
О Правилах хранения организаторами распространения информации в инфор- мационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста,

115
Кроме того, можно получить сведения о произведенных в соци- альной сети платежных операциях, а на основании судебного реше- ния – переписку пользователя. Правовую основу получения этой информации составляют приведенные выше Правила.
В организациях, осуществляющих администрирование соот- ветствующей социальной сетью, ведутся электронные журналы регистрации событий в информационной системе – log-файлы, в которых фиксируются следующие действия пользователя: какой
IP-адрес у компьютера, с которого пользователь осуществил доступ к странице социальной сети, когда и сколько времени он провел на сайте, что смотрел и скачивал, какой у него браузер.
Отправления электронной почты и соответствующие интер- нет-сервисы по предоставлению подобных услуг несут значитель- ный массив ценной криминалистически значимой информации.
Это не только информация, содержащаяся в тексте самого почто- вого отправления, но и информация о маршруте его следования в процессе отправки-получения (RFC-заголовок, служебный заго- ловок, свойства письма, для ознакомления с которыми необходимо открыть электронное письмо и в командной панели выбрать коман- ду отображения свойств письма). Данная информация содержит сведения об IP-адресе, с которого письмо было отправлено, и реаль- ный электронный почтовый ящик
1
. Как правило, IP-адрес отправи- теля содержится в строках «X-Originating-IP» или «Received: from» свойств электронного почтового отправления.
Криминалистически значимой информацией, которую возмож- но получить в организациях, являющихся собственниками интер- нет-сервисов электронной почты, являются: сведения, содержащие- ся в учетной записи (аналогично социальным сетям), сеансы досту- па к электронному почтовому ящику, произведенные изменения в учетной записи (смена пароля, изменение телефона, контрольного вопроса и пр.), переписка пользователя (по судебному решению).
Правовую основу получения указанной информации состав- ляют: п. 4 ч. 1 ст. 13 Федерального закона от 7 февраля 2011 г.
№ 3-ФЗ «О полиции»; п. 2 ч. 1 ст. 6 и ст. 7 Федерального закона изображений, звуков или иных электронных сообщений пользователей информаци- онно-телекоммуникационной сети «Интернет» и информации об этих пользователях, предоставления ее уполномоченным государственным органам, осуществляющим опе- ративно-разыскную деятельность или обеспечение безопасности Российской Федера- ции: постановление Правительства Рос. Федерации от 31 июля 2014 г. № 759 // Собр. законодательства Рос. Федерации. – 2014. – № 32, ст. 4526.
1
Зачастую при получении письма в поле «От кого» может быть указан произволь- ный, в том числе не принадлежащий отправителю электронный почтовый ящик.

116
от 12 августа 1995 г. № 144-ФЗ «Об оперативно-розыскной дея- тельности»; п. 7 ст. 185 УПК РФ.
Заметим, что данные сведения можно получить не только от российских организаций – собственников сервисов электрон- ной почты, но и от организаций, зарегистрированных вне юрисдик- ции Российской Федерации. С 1 июля 2018 г. вступил в силу пп. 2 п. 3 ст. 10.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информа- ции», согласно которому организатор распространения информа- ции в сети Интернет обязан хранить на территории Российской
Федерации:
– информацию о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображе- ний, звуков, видео- или иных электронных сообщений пользовате- лей сети Интернет и информацию об этих пользователях в течение одного года с момента окончания осуществления таких действий;
– текстовые сообщения пользователей сети Интернет, голосо- вую информацию, изображения, звуки, видео-, иные электронные сообщения пользователей сети Интернет до шести месяцев с момен- та окончания их приема, передачи, доставки и (или) обработки.
Постановлением Правительства Российской Федерации от 31 июля 2014 г. № 759 определен состав информации, под- лежащей хранению в соответствии названными требованиями, место и правила ее хранения, порядок ее предоставления уполно- моченным государственным органам.
В числе электронных следов, содержащихся в социальных сетях, приложениях электронной почты и сервисах мгновенных сообще- ний, являются сведения о контактах пользователя информационного ресурса с иными лицами (друзья и подписчики в социальных сетях, абонентские номера из телефонной книги и пр.). Их исследование позволяет наглядно продемонстрировать структуру связей внутри группы; выявить частоту соединений между владельцами мобиль- ных устройств и их контактами с построением диаграммы коммуни- кативной активности; осуществлять установление общих контактов нескольких лиц; определять наиболее используемые в тот или иной момент времени контакты; осуществлять сортировки контактов по определенным признакам; получать информацию о каждом отобра- жаемом контакте (предпочитаемый тип связи, первую и последнюю дату связи, общее время разговоров и количество принятых и отправ- ленных сообщений). Решение обозначенных задач осуществляется с использованием приведенных выше средств извлечения кримина- листически значимой информации из устройств мобильной связи.

117
В настоящее время широкое распространение получили системы
перевода электронных денежных средств. Электронные денежные средства – денежные средства, которые предварительно предостав- лены одним лицом (лицом, предоставившим денежные средства) другому лицу, учитывающему информацию о размере предостав- ленных денежных средств без открытия банковского счета (обязан- ному лицу), для исполнения денежных обязательств лица, предо- ставившего денежные средства, перед третьими лицами и в отно- шении которых лицо, предоставившее денежные средства, имеет право передавать распоряжения исключительно с использованием электронных средств платежа. При этом не являются электронными денежными средствами денежные средства, полученные организаци- ями, осуществляющими профессиональную деятельность на рынке ценных бумаг, клиринговую деятельность и (или) деятельность по управлению инвестиционными фондами, паевыми инвестиционны- ми фондами и негосударственными пенсионными фондами и учет информации о размере предоставленных денежных средств без открытия банковского счета в соответствии с законодательством, регулирующим деятельность указанных организаций (п. 18 ст. 3
Федерального закона от 27 июня 2011 г. № 161-ФЗ «О националь- ной платежной системе»). Наиболее распространенными сервисами перевода электронных денежных средств в настоящее время являют- ся: Яндекс.Деньги, QIWI-кошелек, WebMoney и др. Функциональ- ные возможности данных систем зависят от того, согласен ли клиент пройти процедуру идентификации в соответствии с требованиями
Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противо- действии легализации (отмыванию) доходов, полученных преступ- ным путем, и финансированию терроризма». Так, без осуществления процедур идентификации клиента предельно допустимый остаток на балансе не может превышать 15 000 руб., ограничения на плате- жи составляют 40 000 руб. в месяц, снятие наличных не может пре- вышать 5 000 руб. в день и 20 000 руб. в месяц. При осуществлении упрощенной идентификации предельно допустимый остаток на балансе повышается до 60 000 руб., ограничения на платежи и пере- воды составляют 200 000 руб. в месяц, снятие наличных не может превышать 5 000 руб. в день и 40 000 руб. в месяц. При осуществле- нии стандартной идентификации предельно допустимый остаток на балансе повышается до 600 000 руб., отсутствуют ограничения на платежи и переводы, ограничения на снятие наличных составляют до 100 000 руб. в день и до 200 000 руб. в месяц.
В зависимости от того, в каком объеме прошел клиент проце- дуру идентификации, зависит и объем информации, содержащей-

118
ся в его учетной записи в системе. Приложения 1 к Положениям
Банка России от 12 декабря 2014 г. № 444-П «Об идентификации некредитными финансовыми организациями клиентов, предста- вителей клиента, выгодоприобретателей, бенефициарных владель- цев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» и от 15 октября 2015 г. № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприо- бретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию)доходов, полученных преступным путем, и финансированию терроризма» содержат во многом схожий пере- чень сведений, получаемых при идентификации (упрощенной иден- тификации). К таким сведениям относятся: фамилия, имя и отче- ство (при наличии последнего); дата и место рождения; граждан- ство; реквизиты документа, удостоверяющего личность; адрес места жительства (регистрации) или места пребывания; идентификаци- онный номер налогоплательщика (при наличии); номера телефонов и факсов (при наличии); иная контактная информация (при нали- чии); место работы и должность клиента, адрес его работодателя; сведения о целях установления и предполагаемом характере дело- вых отношений с некредитной финансовой организацией, сведения о целях финансово-хозяйственной деятельности; сведения о финан- совом положении; сведения о деловой репутации; сведения об источ- никах происхождения денежных средств и (или) иного имущества клиента и др. Указанные сведения на основании п. 4 ч. 1 ст. 13 Феде- рального закона от 7 февраля 2011 г. № 3-ФЗ «О полиции» и п. 2 ч. 1 ст. 6 и ст. 7 Федерального закона от 12 августа 1995 г. № 144-ФЗ
«Об оперативно-розыскной деятельности» могут быть запрошены в организации, оказывающей услуги по осуществлению перевода электронных денежных средств. В ходе расследования по уголовно- му делу данные сведения можно получить во время выемки.
Кроме того, в организациях, оказывающих услуги по переводу электронных денежных средств по приведенным выше основани- ям, возможно получение информации о сеансах доступа к учетной записи (электронному кошельку) за определенный период времени.
Значительной ценностью обладают также данные систем видеоре- гистрации терминалов оплаты.
В соответствии со ст. 26 Закона РФ от 2 декабря 1990 г. № 395-1
«О банках и банковской деятельности» справки по счетам и вкладам физических лиц, а также справки по операциям и счетам юридиче- ских лиц и граждан, осуществляющих предпринимательскую дея- тельность без образования юридического лица, выдаются кредит-

119
ной организацией органам предварительного следствия по делам, находящимся в их производстве, при наличии согласия руководите- ля следственного органа.
Операторы связи, оказывающие услуги подвижной радиотеле- фонной (сотовой) связи, на основании ст. 64 Федерального зако- на от 7 июля 2003 г. № 126-ФЗ «О связи», Правил оказания услуг телефонной связи
1
, располагают следующей криминалистически значимой информацией:
– о лице, на которое зарегистрирована SIM-карта;
– о входящих и исходящих соединениях;
– о фактах приема, передачи, доставки и (или) обработки голо- совой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи – в тече- ние трех лет с момента окончания осуществления таких действий;
– о движении денежных средств по счету;
– об индивидуальном номере устройства (IMEI);
– о точном местонахождении устройства в момент соединения
(привязка к базовым станциям);
– о других SIM-картах, которые использовались в этом же устройстве;
– о текстовых сообщениях пользователей услугами связи, голо- совой информации, изображениях, звуках, видео-, иных сообще- ниях пользователей услугами связи – до шести месяцев с момента окончания их приема, передачи, доставки и (или) обработки
2
Абонентские устройства мобильной телефонной связи могут содержать следы преступления в виде информации: о IMEI – номе- ре (номерах) устройства; о набранных / полученных звонках; о полу- ченных / отправленных SMS-сообщениях; о переписке и звонках с использованием таких приложений, как Skype, WhatsApp, Viber,
Telegram и т. д.; о переписке по электронной почте; о посещенных интернет-ресурсах; о наличии программного обеспечения, следах его установки и работы.
Еще одним ценным источником криминалистически значимой информации, относящимся к числу электронных следов, являют-
1
О порядке оказания услуг телефонной связи: постановление Правительства Рос.
Федерации от 9 декабря 2014 г. № 1342 // Собр. законодательства Рос. Федерации. –
2014. – № 51, ст. 7431.
2
Об утверждении Правил хранения операторами связи текстовых сообщений пользователей услугами связи, голосовой информации, изображений, звуков, видео- и иных сообщений пользователей услугами связи: постановление Правительства Рос.
Федерации от 12 апреля 2018 г. № 445 // Собр. законодательства Рос. Федерации. –
2018. – № 17, ст. 2489.

120
ся данные геопространственной информации. Получившие широ- кое распространение навигационные приложения, присутствую- щие в стандартном наборе приложений большинства смартфонов
(например, GoogleMaps, Яндекс.Карты и т. п.), используют геодан- ные мобильных устройств (сведения о их местоположении в опре- деленный момент времени), чтобы показывать более точные резуль- таты поиска на карте, строить более удобные для пользователя маршруты и формировать персональные подсказки. Данные о пере- мещениях мобильного устройства (смартфона с функцией геолока- ции) постоянно отправляются на серверы компании – поставщика услуг геолокации и (или) сохраняются непосредственно во встро- енной памяти смартфона (в зависимости от настроек приложения геолокации).
В основе работы программ геолокации лежит использование сигналов ГЛОНАСС или GPS передатчиков, которыми оснащают- ся подавляющее большинство современных мобильных устройств
(смартфонов). При невозможности приема сигнала ГЛОНАСС или
GPS геолокационные приложения могут использовать информа- цию базовых станций мобильной связи для приблизительного опре- деления местоположения абонента.
К числу тактических задач расследования, решению которых может способствовать использование геопространственной инфор- мации, относятся: установление фигурантов и возможных свидете- лей преступления; розыск лиц; установление места и обстоятельств совершения преступления; установление средств совершения пре- ступления; установление алиби лица; розыск похищенного имуще- ства; установление факта и времени нахождения лица в определен- ном месте; проверка показаний о месте и времени определенного события; установление длительности нахождения лица в определен- ном месте; проверка факта совместного нахождения разных лиц
1
Решение указанных задач возможно посредством анализа данных контента картографических приложений с помощью в частности аппаратно-программного комплекса UFED (производство компа- нии Cellebrite, Израиль). Данная программа извлекает географиче- ские координаты из различных источников: мобильных устройств и их карт памяти, а также облачных сервисов, на которых хранятся данные программ геолокации. Геолокация представляет собой опре- деление реального географического местоположения электронного
1
Гаврилин Ю. В. Использование возможностей средств навигации в установлении обстоятельств совершения преступлений // Актуальные проблемы борьбы с преступно- стью: материалы межвузовской науч.-практ. конф. (Тула, 15 марта 2017 г.). Тула, 2017.

121
устройства, например, радиопередатчика, сотового телефона или компьютера, подключенного к Интернету.
Важно отметить, что, используя данное программное обеспе- чение, возможно успешное решение вышеназванных тактических задач только при условии использования владельцем мобильного устройства программ геолокации.
Повышению эффективности работы по выдвижению и про- верке следственных версий способствуют такие аналитические воз- можности комплекса UFED, как:
– совместное отображение маршрутов передвижения разных лиц в определенный промежуток времени на единой картографиче- ской основе;
– восстановление хронологии событий по имеющимся данным геолокации;
– установление точного времени и даты посещения лицом опре- деленного объекта (места);
– систематизация данных геолокации для их аналитической обработки за счет группировки массивов данных по месту, времени, типам месторасположения, расстоянию и другим критериям.