Нешко Андрей Николаевич
Научно-методическое и организационное
обеспечение судебной экспертизы
компьютерных баз данных
Специальность: 12.00.09 - уголовный процесс, криминалистика
и судебная экспертиза, оперативно-розыскная деятельность
Автореферат
диссертации на соискание ученой степени
кандидата юридических наук
Саратов 2007
Диссертация выполнена на кафедре информатики и применения
компьютерных технологий в раскрытии преступлений
ФГОУ ВПО «Саратовский юридический институт МВД России»
Научный руководитель: доктор юридических наук, доцент
Шашкин Сергей Борисович
Официальные оппоненты: доктор юридических наук, профессор
Усов Александр Иванович;
кандидат юридических наук, доцент
Лаврухин Сергей Витальевич
Ведущая организация: ФГОУ ВПО «Волгоградская Академия Министерства Внутренних дел Российской Федерации»
Защита диссертации состоится «_____» _______________ 2007 года в ____ часов на заседании диссертационного совета К-203.013.01 в ФГОУ ВПО «Саратовский юридический институт МВД России» по адресу: 410034, г. Саратов, ул. Соколовая, 339, ауд. 1-201.
С диссертацией можно ознакомиться в общей библиотеке Саратовского юридического института МВД России.
Автореферат разослан «____» _______________ 2007 года.
Ученый секретарь диссертационного совета кандидат юридических наук, доцент Н.Н. Лапупина
Общая характеристика работы
Актуальность темы исследования.
В расследовании и раскрытии преступления значительную, а иногда и исключительную, роль играет вещественная доказательственная база следствия. В теории и практике расследования преступлений происходит постоянное развитие и совершенствование средств доказывания, что позволяет выявлять новые, ранее неизвестные информационные свойства тех или иных объектов, исследуемых при расследовании уголовных дел. Доказательство объективной связи предметов, вещей, документов, имеющих отношение к совершенному преступлению, с личностью подозреваемого наряду с доказательством преступного умысла позволяет установить преступника. Чем специфичнее по своей технической природе и, соответственно, способу применения при совершении преступления вещественное доказательство, тем сложнее процесс установления признаков его применения в процессе преступления. Для расследования преступлений, в которых вещественные доказательства совершения преступления имеют сложную техническую природу, требуются специальные знания в той области науки и техники, с которой связано материальное происхождение вещественного доказательства.
Расследование преступлений, сопряжённых с использованием компьютерной техники и информационных технологий, само по себе представляет значительные сложности, связанные не только с собиранием криминалистически значимой информации и изучением следовой картины криминального события, но и с последующим исследованием собранных объектов. Эти проблемы особенно ярко проявляются при исследовании информации, хранящейся в компьютерных базах данных, из-за их сложной внутренней организации, накладываемых на доступ к информации ограничений при использовании стандартного программного обеспечения, часто встречаемой технологии распределённого хранения данных и т.д. К сожалению, следователи, дознаватели и судьи пока психологически, технически и профессионально слабо подготовлены к целенаправленной и эффективной деятельности по раскрытию таких преступлений и осуществлению предварительного и судебного следствия. Помимо этого следует отметить отсутствие научных основ, раскрывающих место и роль компьютерных баз данных в процессе доказывания, особенностей механизма следообразования при взаимодействиях с ними, научно-обоснованных методик проведения осмотра, изъятия и экспертного исследования информации, хранящейся в них, а так же ограниченный круг сведущих лиц. Все эти проблемы, безусловно, ведут к исключению существенного объёма криминалистически значимой информации из процесса доказывания.
Таким образом, актуальность темы исследования обусловлена как недостаточной ее научной разработанностью, так и большой практической значимостью для раскрытия и расследования преступлений.
Объектами исследования являются следственная и экспертная практика использования технико-криминалистических и судебно-экспертных методов при расследовании преступлений, совершаемых с использованием компьютерных баз данных; компьютерные базы данных, системы управления базами данных и иная информация, содержащиеся на машинных носителях; программное обеспечение компьютеров.
Предметом исследования являются закономерности формирования, исследования и использования в раскрытии и расследовании преступлений следов, образующихся в процессе работы с компьютерными базами данных.
Целями и задачами исследования является решение актуальной прикладной научной задачи по разработке теоретических и методических основ экспертного исследования компьютерных баз данных и иной компьютерной информации, изменяющейся в процессе работы с базами данных, состоящей в:
1. изучении и обобщении следственной и экспертной практики, касающейся вопросов подготовки и проведения судебной экспертизы компьютерных баз данных;
2. уточнении понятийного аппарата, элементов криминалистической характеристики преступлений, совершаемых с использованием баз данных;
3. анализе криминалистических аспектов современных технологий хранения и обработки компьютерной информации в виде баз данных;
4. систематизации технико-криминалистических и судебно-экспертных методов и средств исследования следов работы с компьютерными базами данных;
5. разработке типовых методических рекомендаций проведения экспертного исследования следов работы с компьютерными базами данных.
Методология исследования предполагает диалектический подход к изучаемым явлениям и процессам. В работе диссертантом использовались такие общенаучные методы познания, как методы диалектической логики, системного анализа, исторического и логического анализа, абстракции и аналогии, обобщения и классификации. С целью выявления закономерностей предмета исследования использованы методы теории многоуровневых иерархических систем, методы математического моделирования и др. При формировании терминологического аппарата использовались положения теории информации и теории познания, законы формальной логики и лингвистики.
Под углом зрения избранной проблемы анализировалось и использовалось действующее законодательство Российской Федерации, Постановления пленума Верховного Суда Российской Федерации и иной нормативный материал, а также уголовно-процессуальная и криминалистическая литература.
Полученные выводы базируются на основополагающих концепциях теории информации, теории криминалистической идентификации и учении о диагностике, теории отображения, криминалистическом учении о следообразовании и общей теории судебной экспертизы, научно-практических публикациях по вопросам экспертного исследования средств компьютерной техники, разработанных Т.В. Аверьяновой, О.Я. Баевым, Ю.М. Батуриным, Р.С. Белкиным, В.Б. Веховым, А.И. Винбергом, А.В. Гортинским, Г.Л. Грановским, А.М. Жодзишским, А. М. Зининым, А.К. Караханьяном, А.В. Касаткиным, В.Я. Колдиным, Ю.Г. Коруховым, В.В. Крыловым, В.К. Лисиченко, И.М. Лузгиным, В. А. Мещеряковым, Н.С. Полевым, С.М. Потаповым, В.Ю. Рогозиным, Е.Р. Россинской, В.А. Снетковым, Н.В. Терзиевым, А. И. Усовым, А.И. Хвыли-Олинтером, С.И. Цветковым, В.Н. Черкасовым, А.А. Эйсманом, Н.П. Яблоковым, А. Н. Яковлевым и другими.
Эмпирическая база диссертации формировалась с 1996 года и характеризуется данными, полученными в процессе изучения практики использования технико-криминалистических и судебно-экспертных методов. Ее создание предусматривало:
· изучение материалов уголовных дел СУ ГУВД по Саратовской области;
· обобщение материалов наблюдательных производств и двадцати шести судебных экспертиз (более 200 объектов), проводившихся в отношении баз данных в экспертных подразделениях МВД России и МЮ России, прежде всего в ЭКЦ при ГУВД по Саратовской области;
· изучение результатов 20 предварительных исследований и материалов судебных экспертиз, проведенных лично автором по материалам уголовных дел, расследовавшихся в районных, городских и областных следственных подразделениях Саратовской области и Республики Калмыкии;
· интервьюирование 60 сотрудников экспертных подразделений МВД России и МЮ России, проходивших курсы переподготовки судебных экспертов по компьютерно-технической экспертизе для слушателей факультета переподготовки и повышения квалификации СЮИ МВД России.
Научная новизна исследования состоит в комплексном подходе к теоретической разработке вопросов, касающихся правовых, криминалистических, информационных и технических проблем, возникающих в ходе применения специальных знаний в процессе расследования преступлений, совершаемых с использованием компьютерных баз данных:
· рассматриваются новые объекты криминалистического и экспертного исследования - компьютерные базы данных и системы управления базами данных;
· уточняется содержание элементов криминалистической характеристики преступлений, совершаемых с использованием компьютерных баз данных и систем управления базами данных, позволяющая алгоритмизировать использование специальных знаний при расследовании противоправных действий рассматриваемой категории;
· изучаются механизмы следообразования, происходящего в ходе информационных взаимодействий с компьютерными базами данных, и разрабатывается классификация таких следов;
· систематизируются методы и средства экспертного исследования компьютерных баз данных.
Практическая значимость полученных результатов состоит в том, что сформулированные в ней выводы, рекомендации и предложения могут быть использованы: в судебно-следственной практике для своевременного и полного выявления и фиксации следов работы с компьютерными базами данных, надлежащей подготовке материалов при назначении соответствующих исследований и экспертиз; в работе экспертных подразделений МВД и МЮ России, а также при обучении судебных экспертов, следователей и повышении их квалификации. Содержащиеся в диссертации выводы и предложения могут быть применены при создании учебников, учебных и методических пособий. Имеющиеся в диссертационной работе положения, выводы, рекомендации могут быть использованы при проведении дальнейших научных исследований рассматриваемой и смежных проблем, а также взяты за основу разрабатываемых частных экспертных методик.
Основные положения диссертационного исследования, выносимые на защиту.
1. Определение понятия компьютерной базы данных, выделяющее из совокупности информационных объектов компьютерных технологий самостоятельную категорию и отражающее наиболее существенные для построения теории и методологии криминалистического исследования данных объектов свойства. Компьютерная база данных - это структурированная компьютерная информация, содержащая описание самой структуры и отражающая относящуюся к определённой предметной области совокупность сведений об объектах, процессах и взаимосвязях между ними.
2. Уточнение содержания некоторых элементов криминалистической характеристики преступлений, совершаемых с использованием компьютерных баз данных, позволяющее отметить, что компьютерные базы данных могут выступать в качестве: предмета преступного посягательства при совершении преступлений в сфере компьютерной информации и авторского права; средства совершения преступлений в сфере компьютерной информации; средства совершения иных преступлений с использованием компьютерной техники; косвенных следов, возникающих вследствие подготовки, совершения и сокрытия преступных действий. В связи с активным использованием сетевых и распределённых баз данных место совершения преступления нередко не совпадает с местом размещения файлов БД, но увеличивает количество возможных следов производимого деяния. Способы совершения преступления в отношении и с использованием компьютерных баз данных в сильной степени зависят от квалификации субъекта и уровня средств защиты данных. В основе их лежит модификация, копирование, удаление данных либо структуры базы данных с использованием прикладной программы обработки БД (характерно для субъектов низкой квалификации - операторы) или универсальных программ (характерно для субъектов высокой квалификации - администраторы, программисты). Наибольшую сложность вызывает задача установления времени совершения преступления, а также факта и содержания многократных модификаций конкретной записи БД.
3. Криминалистическая классификация следов, возникающих при работе с компьютерными базами данных. Взаимодействие компьютерных баз данных с другими информационными объектами оставляет следы в виде наличия и изменения состояния файлов базы данных, файлов программ обработки баз данных, служебных файлов управляющих программ. В файлах компьютерных баз данных следует различать следы в записях БД, в структуре полей БД, в связях БД. Особенности механизмов обработки компьютерных баз данных приводят к необходимости рекомендовать производить криминалистическое исследование не только самих баз данных, но и прикладных программ их обработки, особенно в случае исследования реляционных (организованных в виде связанных таблиц) баз данных неизвестной структуры.
4. Обоснование применения и пределов специальных знаний, востребуемых при исследовании следов работы с компьютерными базами данных. Многообразие и сложность объектов и механизмов следообразования, реализуемых при информационных взаимодействиях с компьютерными базами данных, вызывает необходимость обязательного применения специальных знаний на всех стадиях выявления и расследования соответствующих преступлений. Отмечается особенно высокая значимость консультационной деятельности специалиста и судебно-экспертной деятельности. В отдельных следственных действиях участие специалиста наиболее востребовано в ходе: осмотра средства компьютерной техники - для решения вопроса об относимости к преступлению, комплектности и необходимости изъятия; осмотра данных на машинных носителях информации - для выявления возможности просмотра данных и существующих ограничений, поиск криминалистически значимой информации, её фиксация; выемки компьютерной информации - для определение объёма данных и технологии выемки.
5. Классификация задач экспертного исследования компьютерных баз данных, представляющих собой особую форму организации компьютерной информации и, следовательно, являющихся объектом изучения судебной компьютерной (компьютерно-технической) экспертизы. При производстве судебной экспертизы компьютерных БД часто решаются задачи не только экспертизы компьютерных данных, но и видовые задачи аппаратной, программной и сетевой экспертиз. К идентификационным задачам следует отнести задачу установления общего источника происхождения компьютерных баз данных. В группу классификационных задач следует отнести задачи установления: модели базы данных, формата файлов компьютерной БД, класса программного обеспечения. В ходе производства экспертизы компьютерных баз данных преимущественно решаются диагностические экспертные задачи по установлению наличия баз данных и программ их обработки, структурных особенностей БД и соответствия данной структуры с какой-либо предметной областью, наличия в БД информации определённого содержания, факта модификации структуры и содержания БД, установление первоначального содержания, времени модификации БД.
6. Систематизированный перечень методов экспертного исследования следов работы с компьютерными базами данных с указанием взаимосвязи между экспертными задачами и соответствующими методами. В ходе экспертного исследования следов работы с компьютерными базами данных наиболее часто применяются следующие специальные методы: методы автоматизированного поиска данных - для облегчения поиска баз данных, их фрагментов и компонент, вспомогательных данных, отбора криминалистически значимых сведений в самих БД; методы доступа к данным - для получения доступа средств исследования и экспертов к файлам БД и содержащимся в них данным, а также, адекватного восприятия этих данных; методы фиксации данных, позволяющие фиксировать наличие и состояние БД, их свойств и содержащиеся в них данные; методы анализа данных, методы анализа алгоритма обработки данных - свойств, структуры, целостности БД, алгоритмов обработки БД.
Апробация и внедрение результатов исследования.
Апробация работы производилась доведением основных результатов на научно-практических конференциях и семинарах: «Информационная безопасность и компьютерные технологии в деятельности правоохранительных органов» (Саратов, СЮИ МВД России, 2003, 2004, 2006, 2007); «Информатизация и информационная безопасность правоохранительных органов» (Москва, Академия управления МВД России, 2006); «Теоретические и прикладные проблемы предварительного следствия и дознания» (Саратов, СЮИ МВД России, 2007); «Теория и практика криминалистических исследований» (Саратов, СЮИ МВД России, 2007). Основные теоретические положения диссертации опубликованы в 7 научных статьях, в том числе в журнале, входящем в перечень рекомендованный ВАК России.
Кроме того, методические разработки диссертанта прошли апробацию при личном производстве им 9 предварительных исследований и 11 компьютерно-технических экспертиз (заключения эксперта по уголовным делам № 78084 от 30.09.99, №002001 от 14.04.00, №90854 от 18.09.00, №15196 от 21.06.01, №74498 от 19.11.02, №79469 от 02.10.02, №79476 от 22.10.02, №82256 от 19.02.03 и др.) и участии в качестве специалиста при расследовании ряда уголовных дел в ГУВД по Саратовской области.
Результаты диссертационного исследования внедрены: в учебный процесс подготовки сотрудников экспертной и следственной специальностей Саратовского юридического института МВД России - использованы при разработке лекционных курсов «Компьютерные технологии в экспертной деятельности», «Основы исследования электронных документов», «Основы компьютерно-технической экспертизы», «Расследование преступлений в сфере компьютерной информации и высоких технологий», курсов переподготовки судебных экспертов по компьютерной экспертизе для слушателей ФПиПК СЮИ МВД России; в практику ЭКЦ при ГУВД по Саратовской области в форме методических рекомендаций.
Элементы методики экспертного исследования компьютерных баз данных использовались в ЭКЦ при ГУВД по Саратовской области и лаборатории по проблемам борьбы с преступлениями в сфере компьютерной информации Саратовского юридического института МВД России при производстве более 20 судебных компьютерно-технических экспертиз и исследований.
СТРУКТУРА работы И ЕЕ СОДЕРЖАНИЕ
Диссертация состоит из введения, трех глав, заключения, библиографического списка используемой литературы и приложений.
Во введении обосновывается выбор темы диссертационного исследования, его актуальность, формируется прикладная научная задача, раскрываются методологические основы и способ её решения. Приводится теоретическая база исследования, дается характеристика научной новизны и практической значимости раскрываемой темы диссертации. Указаны формы апробации и внедрения результатов исследования в практику деятельности судебно-экспертных учреждений. Сформулированы основные положения, выносимые на защиту.
Первая глава «Компьютерные базы данных как объект и инструмент противоправных действий» состоит из трёх параграфов и посвящена разработке теоретических положений диссертационного исследования.
В первом параграфе «Компьютерная информация: объект судебного познания и средство процессуального доказывания» автор уделяет внимание некоторым историческим аспектам развития правовой защиты и криминалистического исследования компьютерной информации. Детально рассмотрены различные трактовки понятий «ЭВМ», «компьютер», «компьютерная информация», «данные», «машинный носитель информации».
Анализ следственной практики демонстрирует наличие фактов назначения судебных компьютерных (компьютерно-технических) экспертиз по вопросам исследования данных в таких объектах как: электронные кассовые аппараты, SIM-карты сотовых телефонов, цифровые видеозаписи специализированных систем наблюдения и т.п. Все эти устройства используют цифровой способ обработки информации и их можно отнести к ЭВМ, но ни одно из них не является компьютером. Автором предлагается дифференцировать понятия «ЭВМ» и «компьютер» с позиций функционального универсализма. Универсализм компьютерных систем, основывается, в том числе, на унификации принципов их построения, используемых технических компонент и программного обеспечения. С точки зрения криминалистики, это приводит к возможности разработки соответствующих экспертных средств, методов и типовых методик.
Во втором параграфе «Компьютерные базы данных как особый источник криминалистически значимой информации» в криминалистическом аспекте подробно рассматриваются понятия «компьютерная база данных» и «системы управления базами данных» (СУБД), проводится анализ принципов построения компьютерных баз данных (БД), их видовое деление, взаимосвязь между компьютерными базами данных и СУБД. Автором анализируются и обобщаются законодательные и нормативные акты, определяющие правовой статус компьютерных баз данных.
Практически ни одно современное предприятие или организация не обходятся без электронных средств ведения учётов и подготовки отчётной документации. При этом если техническими средствами обычно выступают средства компьютерной техники, то наиболее эффективным способом организации хранения больших объёмов информации на них будет создание и ведение компьютерных баз данных. Таким образом, наряду с электронными документами текстовых форматов компьютерные базы данных являются наиболее востребованными объектами криминалистического исследования компьютерной информации, а в делах экономической направленности - основными.
Для конкретизации основного объекта рассмотрения диссертационного исследования и использования единой терминологии, автором предлагается следующая трактовка рассматриваемого термина: «компьютерная база данных» - это структурированная компьютерная информация, содержащая описание самой структуры и отражающая относящуюся к определённой предметной области совокупность сведений об объектах, процессах и взаимосвязях между ними.
В результате выявления наиболее существенных криминалистических аспектов теории и практики разработки и ведения компьютерных баз данных сделан ряд выводов:
1. Любая база данных является моделью какой-либо предметной области, и эта модель находит своё отражение в её структуре - совокупности описания хранимых свойств объектов и взаимосвязей между ними. Поэтому значимой может являться даже пустая база данных, а совокупность параметров её структуры может выступать и как частный признак, и как совокупность общих признаков. Важно отметить то, что в любом случае незнание структурных особенностей делает работу с базой данных практически невозможной.
2. Неоднородность типов данных, хранимых в компьютерных БД, определяет необходимость использования при анализе информации либо узкоспециализированных экспертных средств, либо последовательности нескольких методов, ориентированных на анализ всех возможных способов интерпретации исследуемых данных.
3. Существенной особенностью компьютерных баз данных является широкое применение формального языка описания хранимых сведений. Данные такого рода могут быть организованны в виде внутренних, либо внешних справочников и, с криминалистической точки зрения, могут, как облегчать задачу поиска доказательственной информации (известным местом расположения), так и усложнять анализ баз данных (при отсутствии этой компоненты).
4. Наиболее распространённой моделью компьютерных баз данных являются реляционные базы данных. Поэтому потеря указаний на связи таблиц реляционной БД может быть преодолена путём логических рассуждений, но, оставаясь всего лишь предположением, не может быть использовано в качестве доказательства. В этой модели описание связей между элементами базы может храниться вне её, например, в программе обработки этих данных. Это часто сказывается на необходимости предоставления на исследование не только всех компонент компьютерных БД, но и соответствующей прикладной программы обработки БД.
С точки зрения выявления криминалистически значимой информации подробно рассмотрены иные особенности, характерные для компьютерных баз данных различных типов и их компонент.
Рассматривая механизмы обработки данных в компьютерных БД, отмечено, что традиционный процесс доступа к БД, хранящейся на машинных носителях, и определяющий набор потенциальных объектов криминалистического и экспертного исследования следов воздействия на БД, может быть представлен в виде следующих звеньев:
пользователь ↔ прикладная программа ↔ СУБД ↔
↔ операционная система ↔ носитель информации
Правовые аспекты работы с базами данных в современном Российском законодательстве рассматриваются в трёх направлениях:
· регламентация использования баз данных;
· защита авторских прав на базы данных;
· защита информации, хранимой в базах данных.
Часто результаты исследования компьютерных БД рассматриваются как доказательства по делам, напрямую не связанным с преступлениями в сфере компьютерной информации, предусмотренным 28 главой УК РФ.
В третьем параграфе «Элементы криминалистической характеристики преступлений, сопряжённых с использованием компьютерных баз данных и СУБД» анализируются некоторые элементы криминалистической характеристики преступлений данной категории в зависимости от способа совершения преступления и вида используемой компьютерной базы данных.
Компьютерные базы данных являются особой формой организации данных на носителях компьютерной информации. Следовательно, преступления сопряжённые с использованием компьютерных баз данных и СУБД во многом будут описываться типовой криминалистической характеристикой преступлений, совершаемых в сфере компьютерной информации. Однако объективно существующая специфика представления и использования компьютерной информации в форме баз данных в свою очередь обуславливает наличие особенностей в составе и содержании некоторых элементов криминалистической характеристики соответствующего вида преступлений.
Следует различать преступные посягательства на компьютерные базы данных, как на непосредственный предмет преступлений, так и преступления, совершаемые с использованием компьютерных БД, в которых они выступают в качестве инструмента совершения «традиционных» преступлений, таких как подлог, хищение, лжепредпринимательство и т.п. Причём хранящиеся в компьютерных БД данные могут выступать как в качестве доказательственной, так и в качестве ориентирующей информации.
Компьютерные базы данных могут выступать в качестве самостоятельного объекта по информационным преступлениям, составы которых перечислены законодателем в главе 28 УК РФ.
Кроме этого, правовая защита БД напрямую регламентируется Законом РФ «О правовой охране программ для электронных вычислительных машин и баз данных» и Законом РФ «Об авторском праве и смежных правах». Причём, если статья 272 УК РФ устанавливает ответственность за неправомерный доступ к любой информации (к структуре БД, к содержанию БД), то законодательство по авторским правам рассматривает БД в качестве сборника, характеризуемого как составное произведение. Их оригинальность, позволяющая признать их объектами авторского права, состоит в отборе и взаимном расположении отдельных материалов.
Современные базы данных могут хранить данные различных типов: как пассивные, так и активные. Примерами таких активных данных могут являться триггеры, функции и процедуры. Эти данные представляют собой программный код. Такие объекты баз данных наряду с СУБД могут выступать в качестве средства совершения преступлений в сфере компьютерной информации, осуществляющего вредоносные действия или несанкционированный доступ. Но применение БД в таком качестве в практике расследования преступлений встречается довольно редко.
Гораздо шире распространено использование компьютерных БД как средства совершения иных, «неинформационных» преступлений. Так, с 1998 года в 90% уголовных дел, по которым сотрудникам межкафедральной лаборатории прикладных исследований по проблемам борьбы с преступлениями в сфере компьютерной информации СЮИ МВД РФ назначались исследования и экспертизы компьютерных БД, расследовались хищения материальных и финансовых ценностей, налоговые преступления, мошенничество и т.п. Базы данных здесь выступают в качестве инструмента, используемого при подготовке, совершении преступления и его сокрытии.
Работая на локальном компьютере или в компьютерной сети, человек постоянно взаимодействует с комплексом программного обеспечения, имеющим не только прикладной, но и служебный компоненты. И достаточно часто эти служебные программы независимо от воли пользователя ведут учёт производимых им настроек, журналирование выполняемых действий и т.п. Наиболее рациональной формой представления таких сведений также является база данных. Подобные вспомогательные базы данных очень редко являются непосредственным объектом или инструментом преступного деяния. Тем не менее, подобная информация может иметь как ориентирующий характер, так и выступать в качестве доказательства фактов и событий, имеющих значение для дела.
При работе с локальной базой данных и она, и СУБД располагаются, обрабатываются на локальном компьютере. Носителями информации при этом могут выступать любые машинные носители, обеспечивающие возможность перезаписи и имеющие объём памяти, соответствующий решаемой задаче. Локальные операционные системы часто не ориентированы на обеспечение серьёзных мер по защите информации, а защитные функции полностью возлагаются на СУБД, что в свою очередь облегчает как несанкционированный и неконтролируемый доступ к БД с целью совершения преступления, так и уменьшает трудности выемки, осмотра и экспертного исследования БД. В этом случае местом преступления будет являться участок местности или помещение, где было совершено преступление, а местом происшествия - участок местности или помещения, где производились действия с базой данных.
Большинство средних и крупных организаций и предприятий при работе с базами данных применяют сетевые технологии. В этом случае происходит рассредоточение следовой картины с разделением данных и программ их обработки. Предметом преступления при использовании всех видов сетевых БД следует считать соответствующую совокупность компьютеров сети. Поскольку территориально компьютерная сеть может охватывать несколько помещений одного здания либо группы зданий, в качестве места преступления должна быть признана совокупность помещений, в которых функционирует компьютерная сеть либо ее сегмент, содержащий все фрагменты БД и СУБД. Задача установления места происшествия в этом случае носит неочевидный характер и может быть решена только с участием специалиста в области компьютерных технологий.
Как и в отношении иной компьютерной информации, мотивы и цели совершения преступлений в отношении, либо с использованием компьютерных БД разнообразны. Прежде всего, это корыстные мотивы. По оценкам многих отечественных и зарубежных специалистов наибольшее распространение в мире получила неправомерная модификация информации как совокупности фактов, хранимых в БД. Данный вид преступлений особенно широкое распространение получил в автоматизированных банковских системах, так как записи в таких базах данных отражают определенные денежные суммы или другие сведения, которые имеют конкретное денежное или иное экономическое выражение. Но не меньшее число аналогичных по способу преступлений совершается путём модификации информации о движении материальных и финансовых средств внутри мелких и средних предприятия.
При расследовании и рассмотрении дел, связанных с использованием компьютерных БД необходимо помнить о том, что для осуществления противоправных действий в отношении информации, хранимой в БД, может быть применено как специализированное прикладное программное обеспечение, предназначенное для решения узконаправленной учётной задачи, так и стандартные СУБД общего назначения. В первом случае субъектом, осуществляющим противоправные действия в отношении информации хранящейся в БД, может выступать любой человек, имеющий доступ к соответствующему программному обеспечению. Наиболее часто таковым является оператор компьютера, должностное лицо либо иное лицо, имеющее доступ к терминалу ввода информации в базу данных. Способы сокрытия преступлений в таких случаях либо отсутствуют, либо таковыми могут выступать: вход в систему под чужим именем и паролем; возврат БД к первоначальному состоянию после осуществления непосредственного хищения товарно-денежных ценностей; нарушение работоспособности БД или СУБД.
В случае применения СУБД общего назначения характерных для прикладной программы следов о проделанных операциях не остаётся. Этот способ несанкционированных изменений в БД характеризуется высоким уровнем квалификации субъекта, как в общих областях информатики, так и в устройстве и принципах функционирования конкретной БД. Ими могут быть программисты и администраторы БД, имеющие доступ непосредственно к файлам базы данных. Как правило, в компьютерной системе в этом случае должен присутствовать необходимый инструмент противоправных действий - СУБД общего назначения, поддерживающая использующийся в БД формат записей, разработанные специально для производства автоматических корректировок программы и т.п.
Компьютерные базы данных могут содержать следы совершения либо подготовки к совершению преступления. Так, файлы паролей определят круг лиц, имеющих доступ к информационным ресурсам и программам их обработки; файлы регистрации подключений могут предоставить данные о времени запуска программы или подключении/отключении клиента; электронные записные книжки и органайзеры могут хранить информацию о контактах и планах лица, ведущего данные учёты и т.д.
Наибольшую сложность при выявлении и расследовании преступлений с использованием компьютерных баз данных у сотрудников правоохранительных органов вызывает задача установления времени совершения преступления, а также факта и содержания многократных модификаций конкретной записи БД. Эта проблема связана с наиболее часто применяемой при работе с БД технологией сохранения данных - прямой перезаписью модифицируемых данных на устройстве хранения без использования промежуточных файлов.
Таким образом, становится очевидным, что на полноту описания криминалистической характеристики преступлений рассматриваемой категории в значительной степени влияет наличие и уровень знаний в области компьютерных баз данных и в иных областях современных компьютерных технологий.
Вторая глава «Теоретические и прикладные аспекты криминалистического исследования компьютерных баз данных» состоит из двух параграфов.
В первом параграфе «Механизм следообразования при информационных взаимодействиях с компьютерными базами данных» производится аналитический обзор дискуссии по теоретическим вопросам следообразования в информационных системах, подробно рассматриваются следы, оставляемые информационными объектами в компьютерных системах при взаимодействии с базами данных.
Компьютерные базы данных представляют собой один из видов информационных объектов. Как и любой другой информационный объект, они не могут существовать без материального носителя информации.