НАЗНАЧЕНИЕ И ПРОИЗВОДСТВО КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ: ПРОЦЕССУАЛЬНЫЕ ОСНОВАНИЯ, СТАДИЙНОСТЬ И МЕТОДОЛОГИЧЕСКОЕ ЕДИНСТВО
НАЗНАЧЕНИЕ И ПРОИЗВОДСТВО КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ ЭКСПЕРТИЗЫ: ПРОЦЕССУАЛЬНЫЕ ОСНОВАНИЯ, СТАДИЙНОСТЬ И МЕТОДОЛОГИЧЕСКОЕ ЕДИНСТВО
Аннотация. В статье представлен комплексный научный анализ назначения и производства компьютерно-технической экспертизы (КТЭ) как единого, последовательного процессуального действия. Исследуется система оснований для назначения экспертизы в уголовном, гражданском, арбитражном и административном процессах. Детально анализируется структура и содержание постановления (определения) о назначении КТЭ, включая критически важные элементы: формулировку вопросов, описание объектов, выбор экспертного учреждения. Рассматривается стадийная модель производства экспертизы, начиная от организационно-подготовительных мероприятий в экспертной организации и заканчивая составлением заключения. Особое внимание уделяется специфическим методическим принципам, обеспечивающим сохранение целостности цифровых доказательств на всех этапах (использование блокираторов записи, создание криминалистических копий). На основе обобщения правоприменительной и экспертной практики формулируются рекомендации по устранению типичных процессуальных ошибок, ведущих к недопустимости доказательств.
Ключевые слова: назначение экспертизы, производство экспертизы, компьютерно-техническая экспертиза, постановление о назначении экспертизы, заключение эксперта, процессуальные действия, стадии экспертизы, верификация данных, криминалистическая копия, методическое обеспечение.
Назначение и производство компьютерно-технической экспертизы представляют собой две неразрывные фазы единого юридически значимого действия, опосредующего применение специальных познаний в правоприменении. Эти фазы разделены процессуально, организационно и временно, но объединены общей целью — получением научно обоснованного и объективного заключения, обладающего доказательственной силой. Назначение экспертизы — это властное волеизъявление субъекта доказывания (судьи, следователя, дознавателя), определяющее необходимость, цели и рамки применения специальных знаний. Производство экспертизы — это исполнительная, исследовательская деятельность эксперта, строго следующая заданным извне параметрам, но осуществляемая на основе внутренней, методологически самостоятельной логики научного познания.
Актуальность системного рассмотрения этих фаз в единстве обусловлена тем, что нарушения на этапе назначения (некорректные вопросы, неправильное описание объектов) делают бессмысленным или уязвимым даже безупречно проведённое с технической точки зрения исследование. И наоборот, отсутствие методологической культуры на этапе производства сводит на нет юридическую чистоту процессуального решения о назначении. Таким образом, эффективность КТЭ как инструмента доказывания достигается только при безупречном прохождении всего цикла — от выявления потребности в специальных познаниях до процессуального оформления выводов.
Целью данной статьи является детализированное рассмотрение процедурных, организационных и методических аспектов, образующих полный цикл существования компьютерно-технической экспертизы как судебного доказательства.
Основания и процессуальный порядок назначения компьютерно-технической экспертизы
Назначение экспертизы является ключевым процессуальным действием, инициирующим её производство. Оно регламентировано соответствующими кодексами: УПК РФ (ст. 195, 199), ГПК РФ (ст. 79, 80), АПК РФ (ст. 82, 83), КАС РФ (ст. 58).
1. Система оснований для назначения КТЭ.
Основанием для назначения экспертизы является потребность в специальных познаниях в науке, технике, искусстве или ремеследля установления обстоятельств, имеющих значение для дела. В контексте КТЭ специальные познания — это знания в области информатики, компьютерной техники, программирования, сетевых технологий, архитектуры программного обеспечения и систем хранения данных. Конкретными ситуациями, требующими назначения КТЭ, являются:
Необходимость изъятия, исследования и анализа информации, хранящейся на электронных носителях (жёстких дисках, флеш-накопителях, серверах, мобильных устройствах).
Установление фактов и способов несанкционированного доступа к компьютерной информации, её копирования, блокирования, модификации или уничтожения.
Исследование аппаратных и программных средств на предмет их технического состояния, соответствия требованиям, наличия дефектов или недекларированных возможностей.
Реконструкция событий, действий пользователей, процессов в информационной системе на основе анализа цифровых следов (логов, метаданных, временных штампов).
2. Субъекты, уполномоченные назначать экспертизу.
В уголовном процессе — следователь (с согласия руководителя следственного органа), дознаватель, суд.
В гражданском и арбитражном процессе — суд (судья).
В административном судопроизводстве — суд.
3. Процессуальный документ о назначении и его содержание.
Решение о назначении экспертизы оформляется постановлением(в уголовном процессе и у следователя) или определением суда. Этот документ является юридическим основанием для начала экспертной деятельности. Его неполнота или некорректность — распространённая причина проблем на последующих этапах. Обязательными элементами постановления (определения) являются:
Констатация необходимости специальных познаний. Краткое изложение обстоятельств, для установления которых требуется экспертиза.
Наименование экспертного учреждения или данные эксперта (ФИО). В постановлении может быть указано конкретное государственное или негосударственное судебно-экспертное учреждение (например, Центр инженерных экспертиз (https: //kompexp. ru/)). Если эксперт известен инициатору, указываются его ФИО. В ином случае руководитель экспертного учреждения самостоятельно назначает конкретного исполнителя из числа штатных экспертов.
Вопросы, поставленные перед экспертом. Это центральная часть документа. Вопросы должны быть:
Конкретными и однозначными, исключающими двусмысленность.
Научно разрешимыми, то есть такими, на которые можно дать ответ, применяя существующие методики КТЭ.
Входящими в компетенцию эксперта-компьютерщика, не содержащими правовой оценки (не «совершено ли преступление?», а «был ли осуществлён несанкционированный доступ к файлу «Х»?»).
Логически структурированными, от простых к сложным.
Перечень материалов, предоставляемых в распоряжение эксперта. Должно быть детальное, индивидуализированное описание объектов экспертизы: не «компьютер», а «системный блок марки А, модель В, серийный номер С, изъятый по такому-то протоколу»; не «флеш-накопитель», а «USB-флеш-накопитель Kingston DataTraveler 100 G3, объёмом 64 Гб, серийный номер…». Чем точнее описание, тем меньше рисков для цепочки сохранности доказательств (chain of custody).
После вынесения постановления (определения) и его копии вместе с объектами исследования направляются в экспертное учреждение.
Организационно-подготовительная стадия в экспертном учреждении
Получив процессуальный документ и объекты, экспертное учреждение переходит к внутренней организационной фазе.
Регистрация и проверка комплектности. Постановление регистрируется в журнале входящей документации. Сотрудник учреждения проверяет соответствие фактически поступивших объектов их описанию в постановлении, наличие необходимых материалов дела.
Назначение эксперта (комиссии экспертов). Руководитель учреждения издаёт внутренний приказ о назначении конкретного эксперта или комиссии. При выборе учитываются специализация эксперта, его квалификация, загруженность, а также сложность поставленных вопросов. В случае комплексной экспертизы, затрагивающей смежные области (например, КТЭ и лингвистический анализ извлечённых текстов), формируется комиссия.
Разъяснение эксперту его прав и обязанностей, предупреждение об уголовной ответственности по ст. 307 УК РФ (за дачу заведомо ложного заключения). Этот факт удостоверяется подписью эксперта.
Предварительное изучение материалов и планирование. Эксперт изучает постановление и приложенные материалы, оценивает достаточность объектов для ответа на вопросы. Он вправе ходатайствовать о предоставлении дополнительных сведений. На этой же стадии эксперт составляет предварительный план исследования, выбирает методики и необходимый инструментарий (программное и аппаратное обеспечение).
Стадия непосредственного производства экспертизы: методологические принципы и этапы
Это основная, исследовательская часть цикла. Её отличает строгое следование специальным методологическим принципам, без которых результаты теряют доказательственную ценность.
1. Ключевые методологические принципы:
Принцип неизменности (целостности) исходных данных (принцип 0-го модификатора). Любое исследование должно исключать возможность случайного или намеренного изменения оригинала. Все манипуляции проводятся не с оригинальными носителями, а с их точными криминалистическими копиями.
Принцип документированности и верифицируемости. Каждое действие эксперта должно быть зафиксировано таким образом, чтобы его мог повторить и проверить другой специалист.
Принцип применения научно обоснованных и валидированных методик. Используемые методы и программы должны иметь доказанную надёжность и точность.
2. Последовательность этапов производства: Этап 1. Осмотр и предварительное исследование объектов. Эксперт проводит внешний осмотр, фиксирует маркировки, серийные номера, видимые повреждения. Для электронных носителей это может включать проверку на физическую исправность.
Этап 2. Создание криминалистической копии (forensic image) — критически важная операция.
Используются аппаратные или программные write-blocker’ы, физически предотвращающие запись данных на исходный носитель.
С помощью специализированного ПО (FTK Imager, EnCase, Guymager) создаётся побитовая (bit-for-bit) копия всего содержимого носителя, включая служебные области, удалённые файлы и неразмеченное пространство.
Обязательно рассчитываются криптографические хеш-суммы (MD5, SHA-1, SHA-256) как для исходного носителя, так и для созданной копии. Совпадение хеш-сумм математически доказывает идентичность копии оригиналу. Эти значения заносятся в заключение.
Этап 3. Исследование криминалистической копии. Вся аналитическая работа ведётся только с копией. Методы выбираются в соответствии с вопросами:
Восстановление файловой структуры.
Поиск, извлечение и анализ файлов (включая удалённые).
Исследование журналов событий операционной системы и приложений.
Анализ метаданных файлов (даты создания, изменения, доступа, авторство).
Поиск информации по ключевым словам.
Исследование оперативной памяти (если был изъят дамп RAM).
Анализ сетевого трафика (при наличии дампов пакетов).
Статический и динамический анализ программного кода.
Этап 4. Синтез результатов и формулировка выводов. На основе проведённого анализа эксперт формулирует ответы на поставленные вопросы. Выводы должны быть:
Обоснованными (непосредственно вытекать из описанного исследования).
Конкретными и понятными для лица, не обладающего специальными знаниями.
Категоричными или вероятными (в случае недостаточности данных эксперт вправе дать вероятный вывод, указав степень вероятности).
Заключительная стадия: составление и оформление заключения эксперта
Результатом производства экспертизы является заключение эксперта — письменный документ, структура которого регламентирована законом.
Вводная часть. Содержит: основания для проведения экспертизы (реквизиты постановления), сведения об эксперте (ФИО, образование, специальность, стаж, учёная степень), предупреждение об ответственности, вопросы, поставленные на разрешение, перечень представленных материалов.
Исследовательская часть. Самая объёмная часть. В ней последовательно, подробно и доступно излагается ход исследования: какие объекты и как изучались, какие методики и инструменты применялись, какие промежуточные результаты были получены. Приводятся хеш-суммы, скриншоты, схемы. Эта часть должна быть настолько полной, чтобы другой эксперт мог понять логику работы и проверить её.
Выводы. Чёткие, нумерованные ответы на вопросы, сформулированные в постановлении. Каждый вывод должен соотноситься с конкретным вопросом.
Приложения. Могут включать фототаблицы, распечатки кода, схемы, электронные носители с извлечёнными данными (с обязательной отметкой об этом в заключении).
Заключение подписывается экспертом (всеми экспертами комиссии) и заверяется печатью экспертного учреждения. После этого оно направляется лицу или органу, назначившему экспертизу.
Типичные процессуальные и методические ошибки в назначении и производстве КТЭ
Ошибки на стадии назначения:
Некорректная, расплывчатая формулировка вопросов («что можно установить?»).
Неполное или неточное описание объектов экспертизы.
Направление на экспертизу вопросов правового характера.
Ошибки на стадии производства:
Работа с оригинальным носителем без использования write-blocker’а.
Отсутствие в заключении хеш-сумм созданных образов или несовпадение этих сумм.
Применение непроверенного, невалидированного программного обеспечения.
Недокументированность хода исследования, когда из заключения невозможно понять, как эксперт пришёл к выводам.
Выход эксперта за пределы поставленных вопросов.
Такие ошибки являются основанием для ходатайства о признании заключения недопустимым доказательством или о назначении повторной экспертизы.
Заключение
Назначение и производство компьютерно-технической экспертизы — это не два разрозненных административных акта, а единый, логически завершённый процессуальный цикл, в котором юридическая воля правоприменителя встречается с научной методологией эксперта-специалиста. Успешность этого цикла и, как следствие, доказательственная сила его результата определяются строгим соблюдением процедурных норм на этапе назначения и неукоснительным следованием методологическим канонам на этапе производства.
Понимание неразрывной связи этих фаз, их взаимных требований и ограничений необходимо всем участникам процесса: судьям и следователям — для грамотного формулирования задач экспертизы, экспертам — для осознания процессуальной значимости своей технической работы, адвокатам — для эффективной защиты прав своих доверителей путём процессуального контроля за соблюдением всех правил. Только при условии безупречного прохождения всего пути от процессуального решения до научного заключения компьютерно-техническая экспертиза может в полной мере реализовать свой потенциал как мощнейший инструмент установления истины в современном, пронизанном цифровыми технологиями правовом пространстве.
Для проведения судебной или досудебной компьютерно-технической экспертизы, соответствующей высшим стандартам процессуальной корректности и методологической точности, вы можете обратиться к специалистам негосударственного судебно-экспертного учреждения «Центр инженерных экспертиз». Подробная информация об услугах центра доступна на официальном сайте: https: //kompexp. ru/.
Чтобы вызвать независимого эксперта на дом (или в офис), просим заполнить нижеуказанную форму онлайн-заявки. После отправки заявки ожидайте нашего звонка для согласования дополнительных деталей.
