Следы преступлений в компьютерных сетях

Значительная доля преступлений в сфере компьютерной ин­формации совершается с использованием сетей ЭВМ (компью­терных сетей).

Сеть ЭВМ (компьютерная сеть) - это способ установления связи между удаленными ЭВМ; пользователи сети ЭВМ получа­ют техническую возможность доступа к информации, циркули­рующей в сети и других, связанных с нею ЭВМ, со своих рабочих мест, что позволяет одновременно и совместно решать общую задачу. Это не исключает ранжирования возможностей пользова­телей, установления барьеров на пути проникновения любого из них к закрытой для него компьютерной информации.

Федеральный закон от 16.02.95 № 15-ФЗ «О связи»¹ устанав­ливает, что «Средства связи вместе со средствами вычислительной техники составляют техническую базу обеспечения процесса сбора, обработки, накопления и распространения информации» (ч. 2 ст. 1). Для обмена информацией между ЭВМ создаются сети электриче­ской связи или электросвязи под которой понимаются всякая пере­дача или прием знаков, сигналов, письменного текста, изображений, звуков по проводной, радио-, оптической и другим электромагнит­ным системам (ст. 2). К сетям электросвязи законом отнесены:

- взаимоувязанная сеть связи Российской Федерации - ком­плекс технологически сопряженных сетей электросвязи на терри­тории Российской Федерации, обеспеченный общим централизо­ванным управлением;

- сеть связи общего пользования - составная часть взаимоувя­занной сети связи Российской федерации, открытая для пользо­вания всем физическим и юридическим лицам, в услугах которой этим лицам не может быть отказано;

- ведомственные сети связи - сети электросвязи министерств и иных федеральных органов исполнительной власти, создаваемые для удовлетворения производственных и специальных нужд, имеющие выход на сеть связи общего пользования;

_______________________________

¹ См.: Собрание законодательства Российской Федерации, 1995. - № 8. - Ст. 600. С изменениями, внесенными Федеральными законами от 06.01.99 № 8-ФЗ и от 17.07.99 № 176-ФЗ. - Собрание законодательства Российской Федерации: 1999, № 2, Ст. 235; 1999, № 29, Ст. 3697.

- внутрипроизводственные и технологические сети связи - се­ти электросвязи федеральных органов исполнительной власти, а также предприятий, учреждений и организаций, создаваемые для управления внутрипроизводственной деятельностью и техноло­гическими процессами, не имеющие выхода на сеть связи общего пользования;

- выделенные сети связи - сети электросвязи физических и юридических лиц, не имеющие выхода на сеть связи общего пользования.

Посредством этих сетей связи пользователь ЭВМ может иметь доступ к международным сетям связи, а также к сетям связи, соз­данным в отдельных зарубежных странах. ЭВМ, даже имеющая доступ к сети, не обязательно должна быть всегда включена в сеть связи, поскольку имеется техническая возможность времен­но отключаться от сети и блокировать поступление компьютер­ной информации извне. Наиболее известной международной компьютерной сетью является Internet.

Следует отметить, что обнаружение, закрепление и изъятие следов преступлений, совершенных в компьютерных сетях, как правило, не может осуществляться следователем самостоятельно. Эта деятельность должна проводиться с обязательным участием специалиста и с использованием специальных программно-технических средств. Однако, правильная организация работы при­влекаемых к участию в расследовании преступлений специалистов предполагает знание следователем основных особенностей следов компьютерных преступлений в сетях ЭВМ и работы с ними.

При расследовании преступлений, совершенных с использо­ванием компьютерных сетей могут использоваться их следы, представляющие собой сведения о прохождении информации¹ по

______________________________

¹ Терминологически «сведения о прохождении информации» в рас­сматриваемом контексте означают информацию, генерированную ЭВМ, записанную при помощи сетевого оборудования и касающуюся опреде­ленного сообщения или нескольких сообщений. Они включают в себя название источника сообщения, его назначение, маршрут, время, дату, продолжительность, характер деятельности при сообщении (не включая его содержания) и место назначение (получателя). В случае передачи сообщений в Internet почти всегда они будут включать в себя адрес про­вайдера в Internet, IP-адрес и другое. Если это сообщение электронной

проводной, радио-, оптической и другим электромагнитным сис­темам связи (электросвязи), которые носят обобщенное название сохраняемые поставщиками услуг (провайдерами, операторами электросвязи) «исторические данные» о состоявшихся сеансах связи или переданных сообщениях, либо «данные о потоках» или «данные о потоках информации» либо «сведения о сообщениях, передаваемых по сетям электрической связи (электросвязи)»¹.

Указание сведения о сообщениях, передаваемых по сетям электросвязи, аккумулируются в специальных файлах регистра­ции (т.н. log-файлах). В большинстве компьютерных систем ве­дение файлов регистрации - часть повседневной деятельности. Когда бы событие определенного рода ни произошло в системе, информация о нем (в том числе кто инициировал его, когда и в какое время оно произошло и если при этом были затронуты файлы, то какие) регистрируется в данных файлах. Т.е. по суще­ству в них протоколируется техническая информация, данные о техническом обмене. В силу этого их порой упоминают как «ре­гистрационный журнал»

Принципиально существует две основных категории «истори­ческих данных»: данные о пользователе и сведения о сообщении.

Данные о пользователе могут включать: имя, адрес, дату рож­дения, номер телефона, адрес поставщика услуг в Internet, адрес электронной почты, идентификационные признаки какого-либо

_________________________

почты, то они могут включать также данные заголовка. В сообщении, передаваемом в Internet, обычно указывается его тип (электронная поч­та, HTML, Telnet и т.д.). Сведения о прохождении информации не включают содержание сообщения. В специальной литературе и доку­ментах именуются как «исторические данные», «данные о потоках» ли­бо «данные о потоках информации». В англоязычной литературе опре­деляется термином «traffic data». В российском законодательстве - «сведения о сообщениях, передаваемых по сетям электрической связи (электросвязи)». Все они синонимы и именно таким образом употреб­ляются в настоящей работе.

¹ См.: Федеральный закон от 16.02.95, № 15-ФЗ «О связи» // Собрание законодательства Российской Федерации. - 1995. - № 8. - Ст. 600. С из­менениями и дополнениями, внесенными Федеральными законами от 06.01.99 № 8-ФЗ и 17.07.99 № 176-ФЗ. - Собрание законодательства Рос­сийской Федерации: - 1999. - № 2. - Ст. 235 и 1999. - № 29. - Ст. 3697.

номера или счета, используемых для осуществления платежных операций по расчетам за услуги провайдера, справочные данные, идентификационные данные юридического лица, перечень пре­доставляемых услуг или услуг, на которые подписался клиент, статический и динамический IP-адрес¹, дополнительный адрес электронной почты и т.д.

Сведения о сообщении могут включать: первоначальный но­мер телефона, используемый для связи с log-файлом регистрации, дату сеанса связи, информацию о времени связи (времени начала, окончания и продолжительность сеанса связи), статические или динамические IP-адресные журналы регистрации провайдера в Internet и соответствующие телефонные номера, скорость переда­чи сообщения, исходящие журналы сеанса связи, включая тип использованных протоколов и т.д.

Из приведенного перечня видно, что их значение для установ­ления истины при расследовании преступлений неодинаково.

Обычно сохранение незначительной доли «исторических дан­ных» осуществляется провайдерами для целей осуществления контроля за поступающими за их услуги платежами (биллинг). Однако ныне отсутствуют единые стандарты их накопления и со­хранения. Зачастую коммерческие службы, доступные в Internet, предусматривают анонимность как услугу. Поскольку многие системы позволяют изменять конфигурацию файлов регистрации (включать и исключать различные виды регистрируемых собы­тий, задавать только определенные виды регистрируемых собы­тий, определять устройства, на которых желательно их вести) — соответствующие провайдеры могут свободно удалять, в том числе, на международном уровне всю идентификационную ин­формацию из log - файлов, не допуская установление личности отправителя.

Это происходит по той причине, что назначение файлов реги­страции не заключается в предупреждении и пресечении пре­ступной деятельности - они просто записывают действия систе­мы. Например, запись в файл регистрации может осуществляться в случаях, когда: пользователь входит или пытается войти в сис­тему; открывает файл или пытается открыть один из файлов, для

_______________________________

¹ IP-адрес - 32-битный адрес каждого компьютера в сети Internet.

доступа к которым он не имеет соответствующих полномочий; пользователь обращается к программе, которая преодолевает средства защиты системы, либо экспортирует данные в устройст­во, находящееся за пределами конкретной сети и т.д. Форматы и объемы данных в регистрационных файлах зависят от возможно­стей операционной системы и сетевых соединений. Высокозащищенные системы могут включать в них большое количество дополнительной информации, которая регистрируется в соответ­ствие с установками системных администраторов.

Кроме log-файлов, носителями доказательственной информа­ции могут являться и иные «виртуальные следы», остающиеся в компьютерах, используемых для совершения преступных дейст­вий либо через которые проходит или поступает информация. Такими носителями, в зависимости от существа действий с ин­формацией, могут являться: таблицы размещения файлов (FAT, NTFS или другие), системные реестры операционных систем, от­дельные кластеры магнитного носителя информации, файлы и каталоги хранения сообщений электронной почты, файлы конфи­гурации программ удаленного доступа и иное.

В отличие от log-файлов, информация, содержащаяся в этих иных носителях, является достаточно разрозненной, представле­на зачастую не в систематизированном виде, что затрудняет дея­тельность по ее обнаружению, закреплению, изъятию, сохране­нию и исследованию.

В силу этого log-файлы (и, соответственно, сохраняемые ими сведения о сообщениях, передаваемых по сетям электросвязи) следует признать наиболее значимыми носителями следовой ин­формации о совершении преступлений в компьютерных сетях, а информация, которую содержат log-файлы (файлы регистрации), может оказаться весьма полезной при установлении обстоя­тельств совершенных компьютерных преступлений, нести в себе следы этих преступлений. Следовательно, для успешного соби­рания доказательств таких преступлений требуется, как мини­мум, своевременно обеспечить сохранение имеющихся сведений о сообщениях, передаваемых по сетям электрической связи («исторических данных»).

Речь идет о сведениях, которые независимо от органов дозна­ния или предварительного следствия созданы (генерированы)

ЭВМ в виде log-файлов и находятся, в силу этого, в распоряже­нии операторов связи (провайдеров).

С учетом отсутствия на сегодняшний день в действующем за­конодательстве норм, предписывающих хранение ими таких све­дений длительное время, их сохранение должно обеспечиваться и осуществляться процессуальным путем, по возможности - уже на стадии доследственной проверки по сигналу или заявлению о со­вершенном преступлении. Для этого при проведении доследст­венной проверки производится осмотр места происшествия. Его цель - с помощью специалиста установить, зафиксировать и изъ­ять следы совершенного преступления, которые в дальнейшем, в процессе расследования уголовного дела, могут быть признаны в качестве вещественных и иных доказательств, а также получить иную информацию, необходимую для возбуждения уголовного дела.

При проведении осмотра места происшествия, связанного с противоправным использованием компьютерных сетей, необхо­димо иметь в виду следующее.

Во-первых, учитывая особенности компьютерной информа­ции, необходимо обеспечить ее обязательное документирование в соответствий с установленным ГОСТом.

Во-вторых, осмотр места происшествия, проводимый до воз­буждения уголовного дела, является единственным процессуаль­ным действием, не требующим соблюдения предписаний ч. 4 ст. 32 Федерального закона от 16.02.1995 г. № 15- ФЗ «О связи» о том, что «... ознакомление с сообщениями электросвязи,... по­лучение сведений о них, а также иные ограничения тайны связи допускаются только на основании судебного решения»¹. Данное исключение обусловлено тем, что, в соответствии со ст. 176 УПК РФ, осмотр места происшествия проводится не для ознакомления и получения сведений либо ограничения тайны связи, а в целях обнаружения следов преступления, выяснения других обстоя-

______________________________

¹ См.: Собрание законодательства Российской Федерации. - 1995. -№ 8. - Ст. 600. С изменениями и дополнениями, внесенными Федераль­ными законами от 06.01.1999 г. № 8-ФЗ и 17.07.1999 г. № 176-ФЗ. - Со­брание законодательства Российской Федерации: - 1999. - № 2. - Ст. 235 и 1999.-№29.-Ст. 3697.

тельств, имеющих значение для уголовного дела. Однако следует признать, что данное терминологическое разграничение не в пол­ной мере является достаточным на практике. В этой связи необ­ходимо внесение соответствующих дополнений в нормы УПК РФ, регламентирующие порядок осмотра места происшествия при наличии в нем компьютера.

В-третьих, при осмотре места происшествия, связанного с со­вершением преступлений в компьютерных сетях, учитывая необ­ходимость обнаружения и закрепления специфических следов, приглашение специалиста является обязательным. В данном слу­чае представляется необходимым воспользоваться аналогией с уже устоявшейся уголовно-процессуальной нормой о том, что осмотр трупа на месте его обнаружения производится с участием судебно-медицинского эксперта, а при невозможности его участия - врача. Подобно данному правилу участие специалиста при осмотре средств компьютерной техники (аппаратных и программных) должно быть обязательным без каких-либо исключений.

После возбуждения уголовного дела, чтобы получить в свое распоряжение информацию о преступном использовании компь­ютерных сетей, следователь должен проследить цепочку комму­никаций (сеансов связи) от компьютера, в котором обнаружены следы преступления, до компьютера, на котором физически рабо­тало виновное лицо. При этом, большинство таких сеансов связи осуществляется по сети Internet, состоящей из множества локаль­ных и глобальных сетей, принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить себе в виде паутины, сложен­ной из небольших сетей разной величины, которые активно взаи­модействуют одна с другой, пересылая файлы, сообщения и т.п. В ходе сеанса связи информация проходит через значительное количество серверов, которые физически могут быть установле­ны у не меньшего количества провайдеров на значительном гео­графическом пространстве и удалении.

Теоретически, чтобы собрать достаточную совокупность дока­зательств виновности того или иного лица в преступлении, со­вершенном с использованием возможностей глобальных компь­ютерных сетей, необходимо у каждого поставщика услуг (про­вайдера) получить в документированном виде сведения о сооб-

щениях, передаваемых по сетям электросвязи (т.е. фрагменты тех самых log-файлов). Для этого, в зависимости от складывающейся следственной ситуации, может быть проведен осмотр, выемка ли­бо обыск. При выполнении этих процессуальных действий необ­ходимо обеспечить соблюдение указанных выше требований ч. 4 ст. 32 Федерального закона от 16.02.1995 г. № 15-ФЗ «О связи».

Фактор времени часто имеет решающее значение при рассле­довании преступлений. Применительно к обнаружению следов преступлений, совершенных в сфере компьютерной информации, своевременность установления и фиксации собранных доказа­тельств имеет особое значение.

Это обусловлено тем, что «исторические данные» не только не всегда генерируются ЭВМ в объемах, достаточных в последую­щем для расследования преступлений, но многие из них в тече­ние короткого времени уничтожаются. Для предотвращения их утраты, особенно в условиях, когда из иных источников стано­вится предварительно известно о готовящемся преступлении, особое значение приобретает отслеживание сообщений, пере­даваемых по сетям электросвязи, в реальном масштабе вре­мени (основываясь на предполагаемых данных) с их фиксацией и установлением лица, осуществляющего незаконную деятель­ность, непосредственно во время совершения преступления.

Особенности следов в форме компьютерной информации сви­детельствует, что именно отслеживание в реальном масштабе времени сообщений, передаваемых по сетям электросвязи, позво­ляет в наибольшей степени обеспечить полноту, всесторонность и объективность их обнаружения и закрепления, без чего невоз­можно установить предмет доказывания по уголовному делу.

Однако на сегодняшний день многие телекоммуникационные технологии объективно не способствуют отслеживанию за пере­мещением компьютерной информации. Любому лицу довольно просто провести свое сообщение через множество компьютеров в Internet, и лишь на последнем часто будет указан IP-адрес ком­пьютера, с которого связывались напрямую, а не IP-адрес первоначального источника. Кроме того, инфраструктура Internet обычно не имеет автоматического механизма идентификации ис­точника. В силу этого, в типичных случаях необходимо самим связываться с персоналом каждого оператора связи в транзитной

цепочке сообщений для того, чтобы определить источник преды­дущего сообщения. Если с этим персоналом оперативно связаться невозможно, то отслеживание вынужденно прекращается. Как и в случаях с получением в распоряжение правоохранительных орга­нов «исторических данных», различные государства на внутри­национальном уровне используют собственные механизмы для отслеживания и получения в реальном масштабе времени сведе­ний о сообщениях, передаваемых по сетям электросвязи.

Эта деятельность осуществляется, как правило, путем опера­тивно-розыскных мероприятий по «захвату и отслеживанию» со­общений электросвязи, под которыми понимается применение т.н. «ловушек», позволяющих установить источник криминаль­ной активности в сетях, а также непосредственно наблюдать и документировать преступные действия¹. В ходе такой деятельно­сти перехватываются и выборочно записываются потоки инфор­мации в компьютерной сети, которые обычно выбираются на ос­нове IP-адреса или, в случаях отслеживания сообщений элек­тронной почты, - по ключевым словам или имени пользователя в сообщениях.

Принципы такой деятельности и применяемые программно-технические средства в различных странах существенно отлича­ются друг от друга².

Вместе с тем их объединяет то, что они являются системами по обеспечению функций оперативно-розыскных мероприятий на сетях (службах) электросвязи (СОРМ) и служат для контроли­руемого компетентными органами перехвата информации техни-

_______________________________

¹ Существо такого «захвата и отслеживания» можно пояснить сле­дующей аналогией. При поступлении сообщения о подготавливаемом преступлении, например о вымогательстве взятки, для фиксации момен­та передачи взятки ее предмет - деньги - особым образом помечают («захват»). Момент передачи взяткополучателю и дальнейшее переме­щение предмета взятки фиксируется с использованием аудио- и видео­записи, а также в результате личного обыска или обыска помещения, в результате которых устанавливается конечное местонахождение пред­мета взятки, т.е. иными словами осуществляют его «отслеживание».

² См.: Гриняев С.Н. Интернет под колпаком. Контроль за виртуаль­ным пространством ужесточается / Независимое военное обозрение. -2001.-№17-С. 5.

ческими средствами, являясь мощным инструментом в противо­стоянии преступной эксплуатации компьютерных сетей. С технической стороны СОРМ включает в себя¹:

а) комплекс аппаратно-программных средств СОРМ, разме­щающийся на узле (узлах) сети документальной электросвязи (сокращенно АПС СОРМ СДЭС);

б) комплекс аппаратно-программных средств СОРМ, разме­щающийся на удаленном пункте управления (АПС СОРМ ПУ);

в) канал (каналы) передачи данных, обеспечивающий(е) связь между АПС СОРМ СДЭС и АПС СОРМ ПУ.

Таким образом, СОРМ состоит из специальных устройств, ус­танавливаемых у поставщика услуг (провайдера), удаленного пульта управления, размещаемого непосредственно в распоряже­нии органа, осуществляющего оперативно-розыскную деятель­ность, и выделенного канала связи.

При подключении к Internet СОРМ позволяет не только пере­хватывать сведения о сообщениях, передаваемых по сетям элек­тросвязи, но и совершенно свободно читать и перехватывать аб­солютно всю электронную почту и остальную интересующую информацию, сканируя ее по разным параметрам (имени получа­теля, ключевым словам и т.д.).

В Российской Федерации оперативно-розыскные мероприятия, связанные с прослушиванием телефонных разговоров и снятием информации с каналов связи, проводятся ФСБ или МВД России. Правовым основанием для внедрения СОРМ являются Федераль­ные законы от 03.04.1995 г. № 40-ФЗ «Об органах Федеральной службы безопасности»², от 16.02.1995 г. № 15-ФЗ «О связи» и от 12.08.1995 г. № 144-ФЗ «Об оперативно-розыскной деятельно-

_______________________________

¹ См.: Приказ Госкомсвязи от 27.03.99 № 47 «Об утверждении Об­щих технических требований к системе технических средств по обеспе­чению функций оперативно-розыскных мероприятий на сетях (службах) документальной электросвязи» // СвязьИнформ. - 1999. - № 7.

См.: Собрание законодательства Российской Федерации. - 1995. -№ 15. - Ст. 1269. С изменениями и дополнениями, внесенными Феде­ральными законами от 30.12.1999 г. № 226-ФЗ и 07.11.2000 г. № 135-ФЗ. - Собрание законодательства Российской Федерации: 1999, № 1, Ст. 9; 2000, № 46, Ст. 4537.

ста»¹, а также Указ Президента РФ от 01.09.1995 г. № 891 «Об упорядочении организации и проведения оперативно-розыскных мероприятий с использованием технических средств»².

В ч. 4 ст. 15 Федерального закона «Об органах Федеральной службы безопасности» предусмотрено, что «физические и юриди­ческие лица в Российской Федерации, предоставляющие услуги почтовой связи, электросвязи всех видов, в том числе телекодовой, конфиденциальной, спутниковой связи, обязаны по требованию органов федеральной службы безопасности включать в состав ап­паратных средств дополнительное оборудование и программные средства, а также создавать другие условия, необходимые для про­ведения оперативно-технических мероприятий органами ФСБ».

Согласно ст. 14 Федерального закона «О связи» все предпри­ятия связи, независимо от ведомственной принадлежности и форм собственности, должны оказывать содействие органам, осуществляющим оперативно-розыскную деятельность, в прове­дении оперативно-розыскных мероприятий на сетях связи.

Федеральным законом «Об оперативно-розыскной деятельно­сти» (ст. 7) проведение оперативно-розыскных мероприятий до­пускается лишь по одному из следующих оснований:

1. Наличие возбужденного уголовного дела.

2. Ставшие известными органам, осуществляющим оператив­но-розыскную деятельность, сведения о:

1) признаках подготавливаемого, совершаемого или совершен­ного противоправного деяния, а также о лицах, его подготавли­вающих, совершающих или совершивших, если нет достаточных данных для решения вопроса о возбуждении уголовного дела;

2) событиях или действиях, создающих угрозу государствен­ной, военной, экономической или экологической безопасности Российской Федерации;

_______________________________

¹ См.: Собрание законодательства Российской Федерации. - 1995. - № 33. - Ст. 3349. С изменениями и дополнениями, внесенными Феде­ральными законами от 18.07.1997 г. № 101-ФЗ, от 21.07.1998 г. № 117-ФЗ, от 05.01.1999 г. № 6-ФЗ, от 30.12.1999 г. № 225-ФЗ, от 20.03.2001 г. № 26-ФЗ.. - Собрание законодательства Российской Федерации: 1995, № 33, Ст. 3349; 1999, № 2, Ст. 233; 2001, № 13, Ст. 1140.

² См.: Собрание законодательства Российской Федерации. - 1999. -№24. - Ст. 2954.

3) лицах, скрывающихся от органов дознания, следствия и су­да или уклоняющихся от уголовного наказания;

4) лицах, без вести пропавших, и об обнаружении неопознан­ных трупов.

3. Поручения следователя, органа дознания, указания проку­рора или определения суда по уголовным делам, находящимся в их производстве.

4. Запросы других органов, осуществляющих оперативно-розыскную деятельность, по основаниям, указанным в настоящей статье.

5. Постановление о применении в отношении защищаемых лиц мер безопасности, осуществляемых уполномоченными на то государственными органами в порядке, предусмотренном зако­нодательством Российской Федерации.

6. Запросы международных правоохранительных организаций и правоохранительных органов иностранных государств в соот­ветствии с международными договорами Российской Федерации.

При этом (ст. 8) проведение оперативно-розыскных мероприя­тий, которые ограничивают конституционные права человека и гражданина на тайну переписки, телефонных переговоров, поч­товых, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, а также право на неприкосно­венность жилища, допускается на основании судебного решения и при наличии информации:

- о признаках подготавливаемого, совершаемого или совер­шенного противоправного деяния, по которому производство предварительного следствия обязательно;

- о лицах, подготавливающих, совершающих или совершив­ших противоправное деяние, по которому производство предва­рительного следствия обязательно;

- о событиях или действиях, создающих угрозу государствен­ной, военной экономической или экологической безопасности Российской Федераций.

С учетом отмеченных предписаний, отслеживание сообще­ний, передаваемых по сетям электросвязи в реальном масшта­бе времени постепенно выделяется в самостоятельное направ­ление деятельности органов, осуществляющих оперативно-

розыскную деятельность.

Согласно ч. 4 ст. 6 Федерального закона «Об оперативно-розыскной деятельности» оперативно-розыскные мероприятия, связанные с контролем почтовых отправлений, телеграфных и иных сообщений, прослушиванием телефонных переговоров с подключением к станционной аппаратуре предприятий, учрежде­ний и организаций независимо от форм собственности, физиче­ских и юридических лиц, предоставляющих услуги и средства связи, со снятием информации с технических каналов связи, про­водятся с использованием оперативно-технических сил и средств органов федеральной службы безопасности, органов внутренних дел и, в пределах своих полномочий, федеральных органов нало­говой полиции в порядке, определяемом межведомственными нормативными актами или соглашениями между органами, осу­ществляющими оперативно-розыскную деятельность.

В силу этого нормативное регулирование упомянутых в этом законе контроля почтовых отправлений, телеграфных и иных со­общений и снятие информации с технических каналов связи осу­ществляется системой подзаконных актов.

Основополагающим в их числе является Соглашение между Министерством связи Российской Федерации и Федеральной службой безопасности Российской Федерации по вопросу вне­дрения технических средств системы оперативно-розыскных ме­роприятий на сетях электросвязи России (утверждено ФСБ Рос­сии 20.0i.1997 г. и Минсвязи России 22.01.1997 г.)².

Кроме того, целый ряд предписаний по рассматриваемому во­просу содержится в документах, которые не определены упомя­нутыми нормами Федерального закона «Об оперативно-розыскной деятельности» в качестве нормативно-правовых для регулирования правоотношений в сфере ОРД:

- в Указе Президента Российской Федерации от 09.01.1996 г. № 21 «О мерах по упорядочению разработки, производства,

_______________________________

¹ См.: Макаренков Д.Е., Наумов И.А. Получение информации из компьютерных систем в оперативно-розыскной деятельности правоох­ранительных органов // Тез. докл. междунар. конф. «Информация пра­воохранительных систем», июнь 1999 г. - М., 1999.

² Текст соглашения официально опубликован не был.

реализации, приобретения в целях передачи, ввоза в Россий­скую Федерацию и вывоза за ее пределы, а также использова­ния специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30.12.2000 г.)¹;

- в постановлении Правительства Российской Федерации от 01.07.1996 г. № 770 «Об утверждении Положения о лицензиро­вании деятельности физических и юридических лиц, не упол­номоченных на осуществление оперативно-розыскной дея­тельности, связанной с разработкой, производством, реализа­цией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельно­сти»².

Отдельные вопросы в этой сфере регулируются организаци­онно-распорядительными документами Министерства связи Рос­сийской Федерации. К ним относятся:

- приказ от 24.06.1992 г. № 226 «Об использовании средств связи для обеспечения оперативно-розыскных мероприятий Ми­нистерства безопасности Российской Федерации»³;

- приказ от 30.12.1996 г. № 145 «О порядке проведения серти­фикационных испытаний технических средств СОРМ»;

- приказ Госкомсвязи России от 20.04.1999 г. № 70 «О техни­ческих требованиях к системе технических средств для обеспече­ния функций оперативно-розыскных мероприятий на сетях элек­тросвязи Российской Федерации»⁴;

- приказ Минсвязи России от 25.07.2000 г. № 130 «О поряд­ке внедрения системы технических средств по обеспечению

_______________________________

¹ См.: Собрание законодательства Российской Федерации: 1996, № 3, Ст. 153; 2000, № 1 (часть II), Ст. 71.

² См.: Собрание законодательства Российской Федерации. - 1996. -№28.-Ст. 3382.

³ См.: Текст приказа официально опубликован не был.

⁴ См.: СвязьИнформ. - М., 1999. - № 6. Согласно письму Минюста России от 31.05.1999 г. № 4186-ПК данный приказ не нуждается в госу­дарственной регистрации.

оперативно-розыскных мероприятий на сетях телефонной, подвижной и беспроводной связи и персонального радиовызо­ва общего пользования»¹, с изменениями, внесенными приказом Минсвязи России от 25.10.2000 г. № 185 «О внесении изменения в приказ Минсвязи России от 25.07.2000 г. № 130»².

Таким образом, учитывая требования действующего россий­ского законодательства и особенности прохождения информации в компьютерных сетях и остающихся при этом следов, в условиях временных ограничений, обусловленных краткостью периода хранения «исторических данных», решение задач по обнаруже­нию, закреплению и изъятию органами, осуществляющими опе­ративно-розыскную деятельность, дознания, предварительного следствия, прокуратуры следов преступлений в таких сетях мо­жет достигаться:

1) путем обеспечения сохранности и изъятия в документиро­ванном виде ранее генерированных ЭВМ сведений о сообщениях, передаваемых по сетям электросвязи («исторических данных»), в которых содержится информация о том или ином противозакон­ном деянии в компьютерной сети;

2) путем «захвата и отслеживания» сведений о сообщениях, передаваемых по сетям электросвязи, в реальном масштабе вре­мени.

С технической точки зрения различие между изъятием сохра­ненных «исторических данных» и «захватом и отслеживанием» сведений о сообщениях, передаваемых по сетям электросвязи (порой употребляется термин «перехват данных, передаваемых с помощью компьютерной системы»), весьма затруднительно. Во многих случаях компьютерная информация может находиться в стадии как хранения, так и передачи либо переходить из одной стадии в другую. В связи с этим в большинстве случаев их разли-

_______________________________

¹ См.: Бюллетень нормативных актов федеральных органов исполни­тельной власти. - 2000. - № 34. Зарегистрирован в Минюсте России 9.08.2000 г., регистрационный № 2339. '

² См.: Бюллетень нормативных актов федеральных органов исполни­тельной власти. - 2000. - № 49. Зарегистрирован в Минюсте России 21.11.2000 г., регистрационный № 2460.

чие предопределяется процессуальной стороной вопроса¹:

1) изъятие в документированном виде «исторических данных» осуществляется в рамках гласного официального процессуально­го действия, о производстве которого в установленном законом порядке информируются его участники, а

2) «захват и отслеживание» на стадии передачи данных пред­ставляет собой негласную операцию, целью которой является по­лучение компьютерной информации (сведений о сообщениях электросвязи или самих сообщений), отсутствовавших в момент ее начала. Заинтересованным сторонам в большинстве случаев, неизвестно о «захвате и отслеживании», а информироваться об этом они могут спустя определенное время либо вообще не ин­формироваться.

В Российской Федерации первый из названных способов мо­жет быть реализован до возбуждения уголовного дела в режиме осмотра места происшествия, после его возбуждения - осмотра, выемки или обыска компьютерной системы (компьютера), распо­ложенной в определенном месте. Второй - путем оперативно-розыскных мероприятий, предусмотренных п. 9 (контроль почто­вых отправлений, телеграфных и иных сообщений) и п. 11 (сня-

_______________________________

¹ Следует отметить, что с процессуальной точки зрения такое разде­ление применительно к компьютерной информации является достаточ­но условным. Ярким примером этого служит электронная почта, поскольку при ее использовании комбинируются как передача данных, так и их сохранение. В момент отправления сообщения с конкретного персонального компьютера оно передается провайдером отправителя поставщику услуг получателя. Адресат имеет доступ к сообщению и самостоятельно определяет продолжительность его сохранения в электронном почтовом ящике на сервере своего провайдера. В силу этого хранящиеся в электронном почтовом ящике сообщения находятся под контролем как адресата, так и оператора связи, а правоохранительные органы могут получить к ним доступ как в ходе выемки (обыска) компьютерной информации у ее получателя с предварительным принятием процессуального решения об этом в рамках УПК РФ, так и в ходе ОРМ, связанных с их «отслеживанием и захватом». Разграничение в подобных случаях, как представляется, должно осуществляться именно по органам и процессуальной форме принятия решения, а также по способам получения такой информации.

тие информации с технических каналов связи) ч. 2 ст. 6 Феде­рального закона «Об оперативно-розыскной деятельности», как до возбуждения уголовного дела, так и при наличии такового, с соблюдением условий, предусмотренных названным законом.

Антонов Владимир Петрович

Балашов Дмитрий Николаевич

Балашов Николай Михайлович

Беляков Александр Алексеевич

Волеводз Александр Григорьевич

Дербенев Виктор Дмитриевич

Дмитриев Евгений Геннадьевич

Исаенко Вячеслав Николаевич

Климов Рафаэль Николаевич

Козловцев Виктор Алексеевич

Коломацкий Виктор Георгиевич

Кузнецов Максим Сергеевич

Леонов Юрий Константинович

Маликов Сергей Владимирович

Морозов Владимир Николаевич

Никитин Олег Владимирович

Парфененков Анатолий Петрович

Пахомов Святослав Николаевич

Россинская Елена Рафаиловна

Чурилов Сергей Никифорович

Шипицын Андрей Владимирович

Яловой Олег Анатольевич

Дата добавления: 2014-12-29; Просмотров: 1216; Нарушение авторских прав?; Мы поможем в написании вашей работы!