Информационно-компьютерная экспертиза

Информационно-компьютерная экспертиза – это один из видов судебных компьютерно-технических исследований. Объектом данной экспертизы являются цифровые данные – информация, хранящаяся в компьютерной системе. Информационно-компьютерная экспертиза справедливо считается ключевым исследованием в данной области, так как позволяет обобщить результаты следственных действий и дать ответы на основные вопросы, связанные с цифровыми данными. При проведении экспертизы специалист ставит перед собой задачи поиска, сбора, анализа и оценки обнаруженной информации. Эта информация может быть собрана и сохранена пользователем или сгенерирована специальным программным обеспечением, используемым в компьютерной системе.

Изучение информационного содержимого приводит к получению разнообразных результатов, так как анализируются различные данные. Анализ информации позволяет обнаружить следы работы программ и приложений, определить сделанные транзакции через информационные сети, а также отследить деятельность и намерения пользователя компьютера на основе сохраненных (или удаленных) файлов на персональном компьютере.

Для оценки содержания обнаруженной информации и ее классификации по группам могут потребоваться специалисты – лингвисты, культурологи, психологи и другие. Например, информация на исследуемом носителе может быть считана как порнографическая, провоцирующая межнациональные конфликты, содержащая оскорбления и т.д.

Однако работа с информацией требует глубоких знаний в области информационных технологий и способов хранения данных, так как содержимое информационных носителей должно быть извлечено и преобразовано в формат, понятный для специалистов. Опыт сотрудников, проводящих информационно-компьютерную экспертизу, и их профессиональная квалификация играют важную роль в получении полного и достоверного исследования и достижении целей, стоящих перед заказчиком анализа.

основные задачи при проведении информационно-компьютерной экспертизы

Информационно-компьютерная экспертиза предназначена для исследования широкого круга вопросов, базирующегося на разнообразии анализируемых данных. Кроме того, эксперт проводит разнообразные действия, связанные с сбором и обработкой информации, и не только с изучением извлеченных данных. Экспертиза включает в себя следующие задачи:

• Определение методов форматирования информационных носителей и способов записи данных на них.
• Выявление физического расположения информации на исследуемом носителе данных.
• Поиск логического расположения информации на исследуемом носителе данных.
• Определение основных атрибутов данных на носителе (в компьютерной системе) – размер файлов, общий объем, названия, типы, даты создания и изменения файлов и другие характеристики.
• Определение типа информации на носителе – архивная, удаленная, скрытая или открытая.
• Анализ обнаруженных файлов и программ, с помощью которых они созданы и могут быть просмотрены или обработаны.
• Проверка доступа к данным на носителе и его организации.
• Обнаружение механизмов защиты информации в системе, а также выявление уязвимостей.
• Определение меры защиты от несанкционированного доступа или копирования.
• Проверка содержания защищенной информации.
• Оценка состояния данных и их соответствия типичным стандартам для данного носителя.
• Поиск несоответствий и определение их типа – форматирование, целостность, вредоносные воздействия и другие.
• Определение назначения и свойств данных.
• Обнаружение информации на компьютере, связанной с определенными задачами пользователей.
• Поиск данных, относящихся к расследуемому делу, в компьютерной системе.
• Изучение информации о владельце (пользователе) компьютера на доступных для исследования носителях.
• Установление соответствия данных в компьютере и представленных документах.
• Анализ соблюдения пользователями правил пользования системой и последовательности действий.

Порядок проведения информационно-компьютерной экспертизы

Информационно-компьютерная экспертиза является довольно сложным видом исследования, так как сам процесс анализа информации предшествует тщательной и, зачастую, продолжительной работе по извлечению данных из имеющихся носителей. Такой вид экспертизы может быть проведен по указанию следствия, юридических органов, а также по инициативе частных лиц. Судебная информационно-компьютерная экспертиза осуществляется как в государственных экспертных учреждениях, так и в частных экспертных центрах.

Для возможности проведения информационно-компьютерной экспертизы необходимо заключить контракт с ООО "Экспертно-правовой центр" на оказание услуг по проведению исследования. Договор подписывается после предварительной консультации, на которой определяется вид требуемого исследования, объем работы, цели, сроки и стоимость экспертизы. Эти данные фиксируются в контракте, который подлежит подписанию перед началом работы эксперта.

После заключения контракта инициатор предоставляет необходимые материалы для исследования:

• Персональный компьютер или компьютерную систему.
• Носители информации.
• Связанные с делом документы.
• Получив все необходимое, эксперт приступает к проведению требуемых мероприятий. На этом этапе данные извлекаются и подвергаются внимательному анализу. Также изучается техническая сторона вопроса – особенности хранения информации, история изменений файлов, организация хранения данных и прочее.

По завершении работы эксперт составляет экспертное заключение. Это результат проделанной работы и основной вывод анализа. Экспертное заключение обладает доказательной силой и может быть использовано в судебном разбирательстве как аргумент. В нем содержится описание всех действий эксперта, изученные материалы (при необходимости – фотографии объектов), анализируемые документы, выводы эксперта и ответы на исходные вопросы исследования.

В каких случаях необходимо проведение информационно-компьютерной экспертизы?

Этот тип исследования необходим в различных ситуациях, связанных с спорными ситуациями, где информационное содержимое персонального компьютера (компьютерной системы или накопителя данных) является объектом спора или может содержать доказательства. Информационная компьютерная экспертиза выполняется в следующих случаях:

• Если на накопителе данных имеется информация, которая может нанести вред жизни или правам человека.
• Компьютер (или компьютерная система, накопитель данных) принадлежит лицу, совершившему преступление, и для раскрытия которого требуется информация с этого компьютера (компьютерной системы, накопителя данных).
• Информационное содержимое компьютера является предметом спора между сторонами – например, данные с защитой авторского права, патентами и т.д.
• При случаях самоубийства человека, где предполагается, что на его компьютере (или другом устройстве хранения данных) содержится информация о мотивах такого поступка.
• В случае расследования преступлений, осуществленных с использованием компьютерных систем.
• Если необходимо отследить последовательность действий, совершенных с данными на данном персональном компьютере (данной компьютерной системе).
• При необходимости извлечь информацию и определить ее содержание.

Нормативно-правовая база при проведении информационно-компьютерной экспертизы

Эксперт, проводящий исследование, несет личную ответственность за результаты, так как ставит свою подпись под экспертным заключением. Кроме того, специалист, занимающийся информационно-компьютерной экспертизой, может быть приглашен для дачи показаний в суде с целью объяснения своих выводов. Любой эксперт несет уголовную ответственность за дачу заведомо ложной информации в суде, а также за составление поддельного экспертного заключения. Эта ответственность определена в статье 307 Уголовного кодекса РФ.