Экспертиза обстоятельств создания и использования файлов и баз данных представляет собой особый вид компьютерно-технических исследований, направленный на установление условий, сопровождающих формирование файлов и баз данных, а также обстоятельства, в которых они были использованы. Проведение данного анализа требует особых знаний в области организации хранения данных в компьютерных системах. Память компьютеров устроена иерархическим образом, информационные пакеты особым образом организованы и, в большинстве случаев, располагаются в порядке, образующем ветвящееся дерево. Файлы помещаются в директории или, как их принято называть, папки. Папки в свою очередь скомпонованы в более крупные папки. И так далее. Это сделано для удобства пользователя – система вложенных папок позволяет упростить поиск нужного файла и доступ к нему.
На цифровом уровне файл содержит не только данные, которые поместил в него пользователь, но и целый ряд специфических атрибутов, благодаря которым система распознает данный пакет информации и размещает его в хранилище данных. Кроме пути доступа к файлу, его системная часть содержит данные о пользователе, сгенерировавшем файл, о размере, типе, времени создания файла и так далее. Можно получить информацию о последнем обращении к данному файлу, о дате последних внесенных изменений. Извлечение этих атрибутов, а также их анализ, упрощенно говоря, составляет суть экспертизы обстоятельств создания и использования файлов и баз данных. И, если часть этих данных может получить неквалифицированный пользователь, то для извлечения некоторых характеристик файлов или баз данных требуется владение особыми навыками в сфере компьютерной информации, а также применение специальных современных технологий и, соответственно, оборудования.
Базы данных представляют собой хранилища больших массивов данных, организованных определенным способом. Методика организации данных зависит от наполнения базы, то есть от типа содержащихся в ней данных, от сферы применения базы данных, специфики решаемых с ее помощью задач, от количества пользователей и так далее. Базы данных больших компаний или государственных организаций содержат огромные массивы привлекательной информации, поэтому такие хранилища зачастую становятся мишенями для криминальных лиц, которые получают несанкционированный доступ к данным с целью использования их в преступных целях. Для расследования подобных преступлений, а также для их профилактики применяют экспертизу обстоятельств создания и использования файлов и баз данных. Исследование баз данных может потребоваться при обнаружении ошибок в их функционировании, подозрении на использование данных не по назначению, нарушениях системы безопасности и прочих недочетах.
Экспертиза обстоятельств создания и использования файлов и баз данных проводится как по решению следственных органов или суда, так и по инициативе частных лиц – граждан или организаций.
Порядок проведения экспертизы обстоятельств создания и использования файлов и баз данных
Для выполнения данного вида исследования необходимо заключить договор на его проведение с экспертным центром или специалистом в сфере компьютерно-технических экспертиз. Перед заключением подобного договора целесообразно получить предварительную консультацию при личной встрече, по телефону или другим удобным образом, особенно, если необходимость в проведении экспертизы возникла впервые и особенности ее производства вызывают вопросы или сомнения. Консультация поможет прояснить цели проведения анализа, предмет исследования, сроки и стоимость его проведения, а также определить специфику предстоящих экспертных мероприятий. При заключении договора следует проверить, внесены ли в него цели и задачи исследования, его предмет, перечень вопросов, на которые будет отвечать специалист в процессе производства экспертизы, данные сторон, сроки проведения и стоимость исследования. Договор должен содержать исчерпывающую информацию относительно всех этих пунктов.
После подписания договора, инициатор исследования представляет все необходимые материалы:
- Документы, подтверждающие личность инициатора экспертизы (для физических лиц). Документы, подтверждающие существование организации и прочие правоустанавливающие документы (для юридических лиц).
- Компьютер или компьютерную систему, в которой содержатся файлы или базы данных.
- Распечатки содержимого файлов, распечатки результатов запросов к базе данных, копии подобных распечаток – если имеются и имеют значение для проведения исследования (это определяет специалист на этапе заключения договора или предварительной консультации).
- Любые документы, относящиеся к происшедшему.
- Отображение экрана компьютера (так называемый скриншот), содержащее некоторую часть файла, интерфейс базы данных или подтверждающее наличие файла в компьютере.
- Иные документы или компьютерные устройства, необходимые для проведения экспертизы – по запросу специалиста, ее производящего.
- Для файлов и баз данных, доступных в сетевых компьютерных системах, необходимо предоставить информацию о функционировании сети и доступ к самой сетевой архитектуре.
После проведения экспертных мероприятий специалист обобщает полученные данные, отвечает на поставленные вопросы и приступает к формированию экспертного заключения, которое является основные результатом проводимого исследования, имеет доказательную силу и может быть включено в доказательную базу при судебном рассмотрении дела.
Правовые основы осуществления экспертизы обстоятельств создания и использования файлов и баз данных
Если использование файла и баз данных является частью совершенного компьютерного преступления, то ответственность за подобные деяния регламентирует глава 28 Уголовного кодекса РФ, содержащая три статьи, описывающие разновидности компьютерных преступлений и соответствующие им меры пресечения.
Права и ответственность специалиста, производящего экспертизу обстоятельств создания и использования файлов и баз данных, определяются статьей 381 Трудового кодекса РФ. Статья 303 Уголовного кодекса РФ определяет меру наказания за формирование экспертом ложного заключения, что, по сути, является фальсификацией доказательств.
Вопросы, которые ставятся перед специалистом по производству экспертизы обстоятельств создания и использования файлов и баз данных
- Когда был создан исследуемый файл?
- Кто именно из пользователей, имевших доступ к компьютерной системе, является создателем исследуемого файла?
- Кто именно из пользователей, имевших доступ к компьютерной системе, является создателем записи в базе данных?
- Какого числа и во сколько (относительно времени компьютерной системы) были внесены изменения в файл (базу данных)?
- С какой периодичностью создавались записи в исследуемой базе данных?
- Какие пользователи имели полномочия на внесение изменений в исследуемую базу данных (исследуемый файл)?
- Возможен ли доступ по сети к исследуемому файлу (базе данных)?
- Какое количество пользователей получают сетевой доступ к исследуемому файлу (базе данных)?
- Сколько раз производились обращения к данному файлу?
- Каково среднее количество обращений в сутки к содержимому базы данных?
- Когда был удален исследуемый файл (для восстановленных файлов)?
- Какой пользователь удалил данный файл (записи базы данных)?
- Когда, в какое время и с какого компьютера был осуществлен несанкционированный доступ к файлам (базе данных)?
- Был ли несанкционированный доступ обусловлен пробелами в системе безопасности или организационными просчетами администраторов базы данных?
- Был ли исследуемый файл распространен посредством сетевых технологий?
- Кто являлся распространителем данного файла?
- Какое количество конечных пользователей получили исследуемый файл?
- Производилось ли копирование файла или его части (записей базы данных или все базы данных целиком)?
- Был ли исследуемый файл создан на представленном для анализа компьютере или скопирован в него с внешнего носителя?
- Был ли исследуемый файл разослан по локальной сети? С какого именно компьютера это было осуществлено?
Проведение экспертизы по уголовному делу
Согласно Постановлению Пленума Верховного Суда Российской Федерации от 21 декабря 2010 г. N 28 "О судебной экспертизе по уголовным делам" экспертиза по уголовному делу может быть проведена либо государственным экспертным учреждением, либо некоммерческой организацией, созданной в соответствии с Гражданским кодексом Российской Федерации и Федеральным законом "О некоммерческих организациях", осуществляющих судебно-экспертную деятельность в соответствии с принятыми ими уставами.
Коммерческие организации и лаборатории, индивидуальные предприниматели, образовательные учреждения не имеют права проводить экспертизу по уголовному делу, ровно как и некоммерческие организации, для которых экспертная деятельность не является уставной. Экспертиза, подготовленная указанными организациями в рамках уголовного процесса, может быть признана недопустимым доказательством, т.е. доказательством, полученным с нарушением требований процессуального закона.
Недопустимые доказательства не могут использоваться в процессе доказывания, в том числе, исследоваться или оглашаться в судебном заседании, и подлежат исключению из материалов уголовного дела.
Так как АНО "Судебный эксперт" является автономной некоммерческой организацией, а проведение судебных экспертиз является её основной уставной деятельностью (см. раздел "Документы организации"), то она имеет право проводить экспертизы в том числе и по уголовным делам.