Компьютерно-техническая экспертиза (СКТЭ)

Предметом судебной компьютерно-технической экспертизы (сокращенно - СКТЭ) являются факты и обстоятельства, устанавливаемые на основе исследований закономерностей разработки и эксплуатации компьютерных средств, обеспечивающих реализацию информационных процессов, которые зафиксированы в материалах уголовного, гражданского дела, дел об административном правонарушении.

Судебные компьютерно-технические экспертизы производятся в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на носителях данных с последующим всесторонним ее исследованием.

Родовая классификация СКТЭ организована на основе обеспечивающих компонент любого компьютерного средства (аппаратного, или технического, программного и информационного обеспечения). Соответственно этому в СКТЭ выделяются:

  • аппаратно-компьютерная экспертиза;
  • программно-компьютерная экспертиза;
  • информационно-компьютерная экспертиза (данных);
  • компьютерно-сетевая экспертиза.

Объектами судебной аппаратно-компьютерной экспертизы являются персональные компьютеры (настольные, портативные); периферийные устройства; сетевые аппаратные средства (серверы, рабочие станции, активное оборудование, сетевые кабели и т. д.); интегрированные системы (органайзеры); пейджеры; мобильные телефоны и т. п.; встроенные системы на основе микропроцессорных контроллеров (иммобилайзеры, транспондеры, круиз-контроллеры и |проч.); любые комплектующие всех указанных компонент (аппаратные блоки, платы расширения, микросхемы и др.).

В судебно-экспертном аспекте наиболее важны такие объекты, как запоминающие устройства и носители данных, включая все известные на момент проведения экспертизы электронные носители данных: микросхемы памяти, магнитные и лазерные диски, магнитооптические диски, магнитные ленты, флэш-карты и т. д.

Для осуществления экспертного исследования программного обеспечения предназначена судебная программно-компьютерная экспертиза. Ее предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по гражданскому или уголовному делу. Целью судебной программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего стояния представленного на исследование программного обеспечения компьютерной системы.

Объектами программно-компьютерной экспертизы являются:

  • системное программное обеспечение (операционные системы);
  • вспомогательные программы — утилиты;
  • средства разработки и отладки программ;
  • служебная системная информация;
  • прикладное программное обеспечение (приложения общего назначения: текстовые и графические редакторы, системы управления базами данных, электронные таблицы, редакторы презентаций и т. д.; приложения специального назначения для решения задач в определенной области науки, техники, экономики и т. д.).

Судебная информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Объектами судебной информационно-компьютерной экспертизы являются файлы, подготовленные с использованием указанных выше и других программных средств — с расширениями текстовых форматов (. txt, . doc...), графических форматов (. bmp, . jpg, . tif, . cdr...), форматов баз данных (. dbf, . mdb...), электронных таблиц (. xls, . cal.. .) и др.

Судебная компьютерно-сетевая экспертиза, в отличие от предыдущих, основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Она выделена в отдельный вид в связи с тем, что лишь использование специальных знаний в области сетевых технологий позволяет соединить воедино полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи. Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования, связанные с интернет-технологиями.

Судебная экспертиза этого рода производится для решения следующих задач:

  • определение свойств и характеристик аппаратного средства и программного обеспечения, установление места, роли и функционального предназначения исследуемого объекта в сети (например, для программного средства в отношении к сетевой операционной системе; для аппаратного средства - отношение к серверу, рабочей станции, активного сетевого оборудования и т. д.);
  • выявление свойств и характеристик вычислительной сети, установление ее архитектуры, конфигурации, выявление установленных сетевых компонент, организации доступа к данным;
  • определение соответствия выявленных характеристик типовым для конкретного класса средств сетевой технологии, определение принадлежности средства к серверной или клиентской части приложений;
  • определение фактического состояния и исправности сетевого средства, наличия физических дефектов, состояния системного журнала, компонент управлением доступа;
  • установление первоначального состояния вычислительной сети в целом и каждого сетевого средства в отдельности, возможного места покупки (приобретения), уточнение изменений, внесенных в первоначальную конфигурацию (например, добавление дополнительных сетевых устройств, устройств расширения на сервере либо рабочих станциях и проч.);
  • определение причин изменения свойств вычислительной сети (например, по организации уровней управления доступом), установление факта нарушения режимов эксплуатации сети, фактов (следов).

Вопросы разрешаемые СКТЭ:

  • Определение целостности и конфигурации компьютерной системы:
    • Каковы тип (марка, модель), конфигурация и общие технические характеристики представленной на исследование компьютерной системы (либо ее части)?
    • Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
    • Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретной задачи?
    • Какое функциональное назначение имеет компьютерная система?
    • Решаются ли с помощью представленной компьютерной системы определенные (указать какие) функциональные (потребительские) задачи?
    • Какова аппаратная конфигурация представленной компьютерной системы?
    • Каковы технические характеристики и параметры аппаратного средства представленного на исследование?
    • Является ли представленное аппаратное средство носителем информации?
    • Какой вид (тип, модель, марку) имеет представленный носитель информации?
    • Какие параметры (форм-фактор, емкость, среднее время доступа к данным, скорость передачи данных и др.) имеет носитель информации?
    • Какие данные содержит или содержал представленный носитель информации?
  • Определение качества, работоспособности и исправности вычислительных систем:
    • Каково функциональное состояние компьютера, представленного на исследование?
    • Находится ли компьютерная система в рабочем состоянии?
    • Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в т.ч. физические (механические) дефекты?
    • Имеются ли какие-либо неисправности в работе компьютерной системы?
    • Имеются ли признаки (указываются конкретные признаки) нарушения правил эксплуатации компьютерной системы?
    • Соответствует ли представленная на исследование вычислительная система требованиям нормативной документации?
    • Доступен ли для чтения представленный на исследование носитель информации?
    • Каковы причины отсутствия доступа к носителю информации?
    • Является ли исследуемый компьютер неработоспособным?
    • В чем причина неработоспособности компьютера?
    • Каков характер дефектов исследуемого компьютера?
    • Где и в каких условиях возможно устранение выявленных дефектов исследуемого компьютера?
    • Являются ли выявленные дефекты компьютера (и какие именно) неустранимыми или недостатками, которые не могут быть устранены без несоразмерных затрат времени или средств; не могут ли выявленные недостатки после их устранения проявиться вновь?
    • Пригоден ли к эксплуатации исследуемый компьютер при наличии выявленных недостатков?
    • Имеются ли в исследуемом компьютере дефекты, которые препятствуют его эксплуатации?
    • Являются ли причиной дефектов компьютера производственный брак, неправильная транспортировка при перевозке или ненадлежащая эксплуатация?
    • Пригодны ли к эксплуатации отдельные элементы (материнская плата, процессор, оперативная память, жесткий диск и пр.), представленной на исследование компьютерной системы?