Криміналістична ХАРАКТЕРИСТИКА ЗЛОЧИНІВ У СФЕРІ КОМП'ЮТЕРНОЇ ІНФОРМАЦІЇ
Кримінальне покарання за вчинення злочинів у сфері комп'ютерної інформації передбачено главою двадцять восьмого КК РФ. Злочинними є наступні види діянь:
• неправомірний доступ до охоронюваної законом комп'ютерної інформації (ст. 272 КК);
• створення, використання і поширення шкідливих програм для ЕОМ або машинних носіїв з такими програмами (ст. 273 КК);
• порушення правил експлуатації ЕОМ, системи ЕОМ чи їхньої мережі (ст. 274 КК).
Однак, у «чистому» - відокремлений вигляді ці діяння зустрічаються дуже рідко. Як правило, вони відбуваються в сукупності з іншими суспільно небезпечними діяннями і мають факультативний характер. Це обумовлено тим, що при використанні комп'ютерної інформації як засоби вчинення іншого злочину, вона сама стає предметом суспільно небезпечного діяння. Неможливо протиправно скористатися комп'ютерною інформацією не порушивши при цьому її правового захисту, тобто не здійснивши хоча б однієї з дій, перелічених у ст. 20 Закону "Про інформацію, інформатизації та захисту інформації" РФ, а саме: витоку, розкрадання, втрати, спотворення, підробки, знищення, модифікації, копіювання, блокування.
Найчастіше комп'ютерна інформація використовується для здійснення наступних злочинів, розташованих по ранжиру: порушення авторських і суміжних прав (ст. 146 КК); шахрайство (ст. 159 КК); підробка, виготовлення або збут підроблених документів, штампів, печаток і бланків (ст. 327 КК), виготовлення або збут підроблених кредитних або розрахункових карт і інших платіжних документів (ст. 187 КК), виготовлення або збут підроблених грошей чи цінних паперів (ст. 186 КК); ухилення від сплати податків з організацій (ст. 199 КК) ; порушення таємниці листування, телефонних переговорів, поштових, телеграфних або інших повідомлень (ст. 138 КК); незаконні одержання і розголошення відомостей, що становлять комерційну або банківську таємницю (ст. 183 КК). При розкритті та розслідуванні даних злочинних посягань необхідно використовувати методичні рекомендації, пов'язані з розслідування злочинів у сфері комп'ютерної інформації.
У чинному законодавстві Російської Федерації зазначений ряд термінів і визначень, що використовуються для опису основних елементів криміналістичної характеристики розглянутих злочинних діянь.
Комп'ютерна інформація - це відомості про осіб, предмети, факти, події, явища і процеси незалежно від форми їх подання, що знаходяться на машинному носії, в електронно-обчислювальної машини (ЕОМ), системі ЕОМ або їх мережі. Іншими словами, це відомості, що циркулюють в обчислювальному середовищі, зафіксовані на фізичному носії у формі, доступній сприйняттю ЕОМ, або передаються каналами електрозв'язку за допомогою електромагнітних сигналів з однієї ЕОМ до іншої, з ЕОМ на периферійний пристрій, або на керуючий датчик обладнання.
Комп'ютерна інформація завжди опосередкована через фізичний (машинний) носій, поза яким вона не може існувати. Машинний носій інформації - це будь-технічний пристрій або фізичне поле, призначене для фіксації, зберігання, накопичення, перетворення та передачі комп'ютерної інформації. Найбільш поширені такі види машинних носіїв інформації:
• внутрішній накопичувач на жорсткому магнітному або магніто - оптичному диску (НЖМД або НМОД - вінчестер);
• зовнішній накопичувач на жорсткому магнітному диску (ЗІП-драйвер);
• зовнішній пристрій накопичення інформації (стриммер);
• накопичувач на магнітній стрічці або спеціальної металевої нитки (у касетах або бобінах);
• гнучкий магнітний диск (ГМД - дискета);
• оптичний або магнитооптический диск (лазерний або компакт - диск);
• паперова (картонна), пластикова або металева карта;
• інтегральна мікросхема пам'яті (ІМСП) - мікроелектронний виріб остаточної або проміжної форми, призначений для виконання функцій електронної схеми пам'яті ЕОМ та інших комп'ютерних пристроїв, елементи і зв'язки якого нерозривно сформовані в об'ємі і (або) на поверхні матеріалу, на основі якого виготовлено виріб;
• лістинг - роздруківка комп'ютерної інформації на твердому фізичному носії (папері чи плівці);
• фізичне поле - матеріальний носій фізичних взаємодій штучного або природного походження;
• електромагнітний сигнал - засіб перенесення інформації в просторі і в часі за допомогою електромагнітних коливань (хвиль).
Основні криміналістичні особливості комп'ютерної інформації полягають в наступному:
1) вона досить просто і швидко перетворюється з однієї об'єктної форми в іншу, копіюється (розмножується) на різні види машинних носіїв і пересилається на будь-які відстані, обмежені тільки радіусом дії сучасних засобів електрозв'язку;
2) при вилученні комп'ютерної інформації, на відміну від вилучення матеріального предмета (речі), вона зберігається в першоджерелі, тому що доступ до неї можуть одночасно мати кілька осіб, наприклад, при роботі з інформацією, що міститься в одному файлі, доступ до якого одночасно мають декілька користувачів мережі ЕОМ.
Виділяється два основних види комп'ютерної інформації - загального користування (загальнодоступна) і охороняється законом (конфіденційна).
До конфіденційної належить та комп'ютерна інформація, яка задовольняє двом обов'язковим умовам:
• інформація повинна бути документованої (документом) - зафіксована на матеріальному носії інформація з реквізитами, що дозволяють її ідентифікувати;
• доступ до такої інформації повинен обмежуватися відповідно до законодавства Російської Федерації.
Останньому умові задовольняють відомості, віднесені до різних видів таємниць (державна, службова, комерційна, банківська, слідча, медична, адвокатська, особиста, сімейна та ін); передаються шляхом листування, телефонних переговорів, поштових, телеграфних або інших повідомлень; є об'єктом авторських і суміжних прав; мають статус персональних даних - відомості про факти, події і обставини приватного життя громадянина, що дозволяють ідентифікувати його особу.
Конфіденційна комп'ютерна інформація завжди буде чужою для особи, що не має до неї доступу на законних підставах, або отримав його у порушенні встановленого порядку, з порушенням правил її захисту.
Разом з цим, захисту підлягає будь-яка документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві й іншій особі.
Відповідно до Концепції правової інформатизації України, затвердженої Указом Президента РФ від 28.06.93 р. № 966, використання інформації супроводжується суворим дотриманням вимог її захисту, а порушення вимог захисту інформації розцінюється як несанкціонований доступ (НСД) до інформації.
Під доступом до комп'ютерної інформації розуміється будь-яка форма проникнення до неї з використанням засобів електронно - обчислювальної техніки, що дозволяє маніпулювати інформацією (знищувати її, блокувати, модифікувати і копіювати).
Для захисту комп'ютерної інформації від несанкціонованого доступу використовуються різноманітні засоби захисту. Під засобами захисту комп'ютерної інформації розуміються - технічні, криптографічні, програмні та інші засоби, призначені для захисту відомостей, що становлять інформацію, кошти, в яких вони реалізовані, а також засоби контролю ефективності захисту інформації.
Засоби захисту конфіденційної комп'ютерної інформації, що обробляється в державних інформаційних системах та системах Центрального Банку Росії, підлягають обов'язковій сертифікації. Діяльність юридичних і фізичних осіб, пов'язана з розробкою, виробництвом, реалізацією та експлуатацією засобів захисту інформації, а також наданням послуг у цій галузі, здійснюється виключно на підставі ліцензії.
Знищення комп'ютерної інформації - ліквідація комп'ютерної інформації будь-якими способами без можливості її відновлення
Блокування комп'ютерної інформації - фізичний вплив на комп'ютерну інформацію, її машинний носій і (або) програмно - технічні засоби її обробки та захисту, результатом якого стала тимчасова або постійна неможливість здійснювати будь-які операції над комп'ютерною інформацією.
Модифікація комп'ютерної інформації - це внесення до неї будь-яких несанкціонованих власником або власником змін.
Копіювання комп'ютерної інформації - це повторення і стійке запечатление комп'ютерної інформації будь-якими способами на відмінному від оригіналу машинному носії при одночасній збереження ознак, що ідентифікують її.
Електронна обчислювальна машина (ЕОМ) - програмований електронне технічний пристрій, що складається з одного або кількох взаємопов'язаних центральних процесорів і периферійних пристроїв, управління яких здійснюється за допомогою програм, і призначене для автоматичної обробки інформації в процесі вирішення обчислювальних та (або) інформаційних завдань.
Система ЕОМ - сукупність ЕОМ, програмного забезпечення і різних технічних пристроїв (периферійного обладнання, керуючих датчиків, виконавчих механізмів і ін), призначені для організації і / або здійснення інформаційних процесів.
Мережа ЕОМ - дві і більше ЕОМ, об'єднані між собою за допомогою засобів електрозв'язку (електричних провідників, модемів, комутуючих пристроїв тощо).
Порушення роботи ЕОМ, системи ЕОМ або їх мережі - це тимчасове або стійке створення перешкод для їх функціонування відповідно до призначення.
Типовими знаряддями підготовки, вчинення і приховування злочинів у сфері комп'ютерної інформації є:
1. Засоби електронно-обчислювальної техніки (ЗОТ):
- Різні види ЕОМ (персональна ЕОМ (ПЕОМ), сервер мережі ЕОМ та електрозв'язку (пейджингового, стільникового та ін), апарат стільникового електрозв'язку з функцією роботи в мережі Інтернет, банкомат, контрольно - касова машина з блоком фіскальної пам'яті, електронна записна книжка, електронний перекладач, графічна станція, електронний видавничий комплекс (типу "Різограф"), супер смарт-карта та ін);
- Периферійні пристрої (відеоконтрольний пристрій (дисплей, монітор), пристрій управління ЕОМ (клавіатура, маніпулятори ("миша", джойстик, "куля" - трек-бол, "світлове перо", "сенсорний екран", Isopoint Control), друкуючий пристрій (принтер - матричний, струйний, термографічний ("лазерний"), Графобудівник, плоттер), пристрій відеовведення інформації (сканер, цифрова фото-або відеокамера), пристрій графічного введення інформації (графічний електронний планшет, диджитайзером), пристрій роботи з пластиковими картками ( імпринтер, зчитувач (рідер) - оптичний, магнітний або електромагнітний, перкодер або програматор) та ін;
- Деякі апаратні засоби (з'єднувальні дроти, кабелі, шини, шлейфи, роз'єми, СОМ - порти, "шнурки", пристрої електроживлення, апаратні засоби захисту комп'ютерної інформації від несанкціонованого доступу тощо);
- Пристрої приймання та передачі комп'ютерної інформації (модем - внутрішній або зовнішній, інші засоби телекомунікації);
- Шкідлива програма для ЕОМ (комп'ютерний вірус, «троянський кінь» для негласного отримання та копіювання конфіденційної комп'ютерної інформації, крек-програма («зломщик» кодів захисту, генератор паролів доступу, дешифратор криптографічного захисту) та ін.)
2. Спеціальні технічні засоби (СТС), призначені (розроблені, пристосовані, запрограмовані) для негласного отримання (зміни, знищення, блокування) інформації, порушення роботи ЕОМ, системи ЕОМ чи їхньої мережі.
3. Різноманітні магнітні матеріали і технічні пристрої, що генерують спрямоване електромагнітне випромінювання.
4. Електромонтажний інструмент та матеріали.
5. Контрольно-вимірювальні прилади та пристрої.
6. Засоби систем електрозв'язку та їх компоненти.
Найбільш широко застосовуваним універсальним знаряддям скоєння злочину у сфері комп'ютерної інформації є ПЕОМ або ПК - персональний комп'ютер з відповідним програмним забезпеченням і периферійним обладнанням.
При вчиненні злочину у сфері комп'ютерної інформації з використанням нових телекомунікаційних технологій і засобів електрозв'язку місце вчинення суспільно небезпечного діяння, як правило, не збігається з місцем реального настання суспільно небезпечних наслідків. Таких місць може бути кілька. Вони можуть бути віддалені один від одного на значні відстані, перебувати в транспортних засобах, різних установах, на ділянках місцевості, у тому числі в різних країнах і на континентах. Останнє можливо через необмеженого радіусу дії, мобільності та доступності сучасних засобів електрозв'язку, невід'ємною частиною яких є комп'ютерна інформація. Тому, місцем вчинення злочину даної категорії найдоцільніше вважати те транспортний засіб, та ділянка місцевості або територію тієї установи, організації, держави, де були здійснені суспільно небезпечні діяння незалежно від місця настання злочинних наслідків.
На жаргонному мовою комп'ютерних злочинців називають "Хекер", "крекерами" і "фрикером". Дані особи, як правило, володіють спеціальними знаннями і практичними навичками в області комп'ютерних технологій і, як мінімум, є користувачами ЕОМ. Як правило, в разі вчинення злочину у сфері комп'ютерної інформації стосовно юридичної особи, злочинцем або спільником (посібником) є співробітник даної установи, організації. Це - оператори ЕОМ, периферійних пристроїв і засобів зв'язку; програмісти; інженери-системотехніки; інженери-електроніки; адміністратори баз даних; посадові та інші особи, які мають доступ до ЕОМ, системі ЕОМ або їх мережі.
Ведучи мову про особи злочинців, важливо підкреслити, що даному типу людей притаманні високий рівень інтелектуального розвитку, нестандартність мислення, професіоналізм, фанатичне ставлення до нових комп'ютерних технологій, винахідливість, багата фантазія і скритність. Злочинець з числа співробітників організації, як правило, є зразковим службовцям, які мають відповідну освіту. Зазначені особи, як правило, раніше не скоювали ніяких злочинів. Нерідко - це керівники різного рангу, що володіють розпорядчими функціями, але безпосередньо не відповідають за конкретні ділянки роботи з комп'ютерною інформацією та ЕОМ.
Частіше за все злочини у сфері комп'ютерної інформації здійснюються стійкими злочинними групами, для яких характерні мобільність, висока технічна оснащеність, чіткий розподіл ролей, яскраво виражена корислива мотивація, добре продумана система приховування слідів злочинних діянь. Найбільшу небезпеку і складність для виявлення і розкриття представляють злочинні групи, які мають у своєму складі висококваліфікованих фахівців, що володіють спеціальними знаннями в області негласного отримання та захисту комп'ютерної інформації. Велика частина злочинів, скоєних зазначеними суб'єктами, залишаються латентними.
Мотиви та цілі скоєння злочину у сфері комп'ютерної інформації різні. У рейтинговому порядку їх можна розташувати наступним чином: користь, помста, особисті неприязні стосунки з товаришами по службі і керівництвом за місцем роботи, прагнення приховати інший злочин, хуліганські спонукання і бешкетництво, дослідницькі цілі, демонстрація особистих інтелектуальних здібностей чи зверхності.
Практично неможливо привести вичерпний перелік способів вчинення злочину у сфері комп'ютерної інформації, так як їх зміст можуть складати найрізноманітніші дії, в залежності від винахідливості, злочинній кваліфікації та інтелектуальності злочинця. Однак, незважаючи на різноманіття способів скоєння злочину розглянутого виду їх можна згрупувати наступним чином:
1) використання або поширення шкідливих програм для ЕОМ або машинних носіїв з такими програмами;
2) перехоплення комп'ютерної інформації;
3) несанкціонований доступ до комп'ютерної інформації;
4) маніпуляції даними і керуючими командами;
5) порушення правил експлуатації засобів електронно - обчислювальної техніки, електрозв'язку, захисту комп'ютерної інформації, а також обробки, зберігання та передачі конфіденційної комп'ютерної інформації;
6) комплексні методи.
Найбільш часто використовуються наступні способи підготовки, вчинення і приховування злочину у сфері комп'ютерної інформації: розкрадання (вилучення) машинних носіїв інформації, в т.ч. шляхом їх підміни, копіювання конфіденційної комп'ютерної інформації; створення шкідливих програм для ЕОМ; поширення шкідливих програм; поширення машинних носіїв, які містять шкідливі програми для ЕОМ; внесення змін в існуючі програми; фальсифікація вхідних та / або вихідних електронних документів; виготовлення дублікатів документів і їх носіїв ; використання недоліків програм для ЕОМ; дезактивація або обхід захисту комп'ютерної інформації та СВТ від несанкціонованого доступу (шляхом підбору пароля, коду доступу тощо); перехоплення комп'ютерної інформації з каналу електрозв'язку; неправомірний доступ до СВТ і машинним носіям; блокування, модифікація, копіювання , знищення, пошкодження комп'ютерної інформації з використанням спеціально пристосованих, розроблених, запрограмованих технічних засобів негласного отримання інформації.
При виявленні та розслідуванні злочинів у сфері комп'ютерної інформації підлягають встановленню: факт вчинення злочину (чи не є подія наслідком непереборних факторів - погодних умов, природних катастроф, самовільних технічних аварій, поломок і неполадок); безпосередня причина порушення безпеки комп'ютерної інформації і знарядь її обробки; предмет злочинного посягання; категорія комп'ютерної інформації (загального користування або конфіденційна); місце і час вчинення злочину; спосіб вчинення злочину; чи вчинено злочин дистанційно ззовні приміщення (по каналах електрозв'язку та локальної мережі ЕОМ); режим роботи з комп'ютерною інформацією, знаряддями її обробки і засобами їх захисту; за допомогою яких конкретно СВТ скоєно злочин (тип, вид, модифікація, функціональне призначення, технічний стан та інші ознаки); конкретний термінал або ділянка мережі (абонентський (реєстраційний) номер, код, шифр, робоча частота), режим їх роботи та відповідальна особа; чи мала місце витік конфіденційної інформації (який саме, звідки, за яких обставин), розмір матеріального збитку, з чого він складається; з якими службовими діями, з операціями технологічного процесу пов'язане злочин, хто з посадових осіб чи працівників несе відповідальність і хто має безпосереднє відношення до них в силу технології виробництва, посадових інструкцій (обов'язків), або командно - адміністративного управління; особу підозрюваного і основні її характеристики (чи володіє спеціальними знаннями, в якій області і який їхній рівень), не вчинено злочин групою осіб , які роль і характер кожного учасника злочину; мотив злочину; хто є потерпілим (фізична або юридична особа); кому було відомо про наміри злочинців, хто брав участь у приховуванні злочину і його слідів; причини і умови, що сприяли вчиненню та приховування злочину, що посилило їх прояв - не обумовлено це порушеннями нормативних актів, положень, інструкцій, правил, організації роботи іншими особами, ким саме і з яких причин.
Організація розслідування на початковому етапі
Розкривати злочини у сфері комп'ютерної інформації, складно, тому що нерідко злочинці вдаються до різних хитрощів, маскують свої злочинні діяння численними об'єктивними і суб'єктивними причинами, які дійсно можуть мати місце (наприклад, збій у роботі ЕОМ і програмного забезпечення, засобів електрозв'язку, енергозабезпечуючих обладнання; замикання в електропроводці і т.п.).
Перелік невідкладних слідчих дій та оперативних заходів, черговість їх проведення будуть визначатися конкретною слідчою ситуацією, в якій починається розслідування. Слідча ситуація характеризується передусім обсягом і достовірністю вихідної криміналістично значимої інформації, наявної в розпорядженні слідчого і оперативного працівника.
Приводами і підставами для порушення кримінальних справ найчастіше служать: заяви громадян (конкретних потерпілих); повідомлення керівників підприємств, установ, організацій і посадових осіб (що базуються, як правило, на матеріалах контрольно - ревізійних перевірок та повідомленнях служб безпеки); відомості, отримані в результаті проведення оперативно-розшукових заходів; безпосереднє виявлення слідчим, прокурором або судом ознак злочину; статті, нотатки і листи, опубліковані в засобах масової інформації, а також у мережі «Інтернет».
Як правило, порушення кримінальної справи передує попередня перевірка матеріалів, що надійшли до правоохоронних органів. У зв'язку з цим, слідчий може завчасно ознайомитися із зібраними у справі матеріалами, спільно з оперативним співробітником вибрати в тактичному відношенні найбільш оптимальний момент для порушення справи, а також визначити характер і послідовність первинних слідчих дій, організаційних та інших заходів. Успіх розслідування злочину у сфері комп'ютерної інформації багато в чому забезпечують: швидкість і рішучість дій слідчого і оперативного співробітника в самі перші години провадження у справі; організоване взаємодія з різними підрозділами правоохоронних органів; наявність фахівця в галузі комп'ютерної обробки інформації (можливо, користувача ЕОМ).
У ході попередньої перевірки матеріалів при вирішенні питання про порушення кримінальної справи слідчий повинен перш за все отримати чітке і повне уявлення про предмет посягання, місце його знаходження та умовах охорони; про характер діяльності та структурі об'єкта, де можливо було скоєно злочин; про особливості технології виробництва; вивчити конкретні умови діяльності даного об'єкта, існуючий там порядок обліку та звітності, систему товаро-і документообігу, комунікативні та інші тактико-технічні характеристики використовуваної комп'ютерної техніки, організацію охорони. Необхідно також добре знати службові обов'язки осіб, які мають прямі або непрямі відносини до знарядь обробки та комп'ютерної інформації, які стали предметом злочинного посягання.
До типових ознак підготовки, вчинення і приховування злочину у сфері комп'ютерної інформації належать: поява в ЕОМ, системі ЕОМ або їх мережі фальшивих даних; несанкціоновані зміни структури файлової системи, програмного забезпечення та конфігурації ЕОМ, системи ЕОМ або їх мережі; незвичайні (нестандартні) прояви в роботі СВТ і їх програмного забезпечення; часті збої в роботі апаратури; скарги клієнтів на надання неякісного доступу до ЕОМ, системі ЕОМ, їх мережі або комп'ютерної інформації; понаднормова робота деяких співробітників на ЕОМ, у системі ЕОМ або їх мережі, порушення встановленого графіка їх експлуатації; нерегламентований доступ до ЕОМ, системі ЕОМ, їх мережі та до комп'ютерної інформації окремих суб'єктів; порушення правил роботи з комп'ютерною інформацією та несанкціоновані маніпуляції з нею; надмірний інтерес окремих суб'єктів (клієнтів, співробітників) до змісту чужих роздруківок (лістингів) та комп'ютерної інформації певної категорії; випадки перезапису окремих даних та комп'ютерної інформації без серйозних необхідних на те причин; застосування на робочому місці і винос з роботи особистих машинних носіїв інформації під різними приводами (записи ігор тощо); дослідження сміттєвих кошиків (контейнерів) з технологічними відходами комп'ютерної обробки інформації; випадки витоку конфіденційної інформації, або виявлення негласних пристроїв її отримання; порушення встановлених правил оформлення документів при роботі з ЕОМ, системою ЕОМ, їх мережею або комп'ютерною інформацією; створення копій певної категорії даних та комп'ютерної інформації, не передбачених технологічним процесом; невідповідність даних, що містяться в первинних (вихідних) документах, даним машинограм іншим пізнішим за часом створення документів; підозріло часте звернення одного і того ж користувача до даних та комп'ютерної інформації певної категорії.
Щоб детально розібратися в особливостях діяльності потерпілого (фізичної або юридичної особи), слідчому та оперативному співробітникові необхідно ознайомитися з відповідною довідковою літературою, вивчити відомчі нормативні акти. Виключно важливе значення мають консультації з фахівцями. Для цих цілей можуть бути залучені будь-які особи, які володіють необхідними знаннями та досвідом для дачі консультацій у справі. Як правило, це кваліфіковані співробітники різних організацій, що здійснюють свою діяльність у сфері інформації, інформатизації і захисту інформації. Найбільш кращі співробітники: Державної технічної комісії при Президентові Російської Федерації (Гостехкомиссии Росії) та її регіональних структурних підрозділів (спеццентрах); оперативно-технічних підрозділів правоохоронних органів; підрозділів «К» при УСТМ МВС Росії; фахівці міжрегіональних Центрів захисту інформації, що функціонують на базі цивільних вищих навчальних технічних закладів, наукові працівники дослідницьких інститутів і лабораторій, а також навчальних закладів.
Для злочинів у сфері комп'ютерної інформації типові три ситуації початкового етапу розслідування:
1. Відомості про причини виникнення суспільно небезпечних діянь, способі їх вчинення та особистості правопорушника відсутні.
2. Є відомості про причини виникнення злочину, спосіб його вчинення, але немає відомостей про особу злочинця.
3. Відомі причини виникнення злочину, способи його вчинення та приховування, особистість злочинця та інші обставини.
У перших двох слідчих ситуаціях зазвичай планують і здійснюють такі невідкладні слідчі дії, оперативно - розшукові, організаційні та інші заходи:
1) отримання пояснення (допит) заявника або осіб, на яких вказано в вихідної інформації як на можливих свідків (очевидців);
2) виклик і інструктаж необхідних фахівців для участі в огляді місця події;
3) огляд місця події (з оглядом, попереднім дослідженням і вилученням машинних носіїв та комп'ютерної інформації, СВТ, документів і т. п.);
4) проведення оперативно-розшукових заходів з метою встановлення причин скоєння злочину, виявлення осіб, винних у його скоєнні, визначення робочого місця злочинця, виявлення слідів і інших речовинних доказів;
5) вивчення довідкової літератури, відомчих нормативних актів, положень, інструкцій, правил експлуатації конкретного ЗОТ і порядку роботи з комп'ютерною інформацією, а також консультації з відповідними фахівцями;
6) наведення довідок в контролюючих, інспектуючих та ліцензуючих організаціях та їх структурних підрозділах (Гостехкомиссии, податкової інспекції, Комітеті з контролю за використанням радіочастот, Енергонагляді, Держпожнагляду, КРУ, торгової інспекції тощо);
7) витребування матеріалів контрольних перевірок, інвентаризацій і ревізій (дотримання правил обробки інформації, системи захисту конфіденційної інформації, обігу електронних документів та ін) за цікавить слідство період, у разі необхідності - організувати їх виробництво (в т.ч. повторно);
8) виїмку і наступний огляд відсутніх документів (у тому числі що знаходяться в електронній формі на машинних носіях інформації), що характеризують виробничу операцію, в ході якої за наявними даними вчинені злочинні дії, а також знарядь (СВТ, програм для ЕОМ, комп'ютерної інформації, предметів , матеріалів тощо), за допомогою яких вони, можливо, були виготовлені;
9) допити підозрюваних і / або свідків, відповідальних за дану ділянку роботи, конкретну виробничу операцію і захист конфіденційної інформації;
10) обшуки на робочих місцях та за місцем проживання підозрюваних;
11) призначення експертиз - програмно-технічної, радіотехнічної, технічної, бухгалтерської, полімерних матеріалів і виробів з них та інших.
Подальші дії плануються з урахуванням додаткової інформації, отриманої при виробництві вищевказаних дій.
При наявності третьої слідчої ситуації необхідно:
1) вивчити матеріали, що надійшли з позицій їх повноти, дотримання норм кримінально-процесуального законодавства та порядку їх передачі до органів попереднього слідства. При необхідності - вжити заходів для отримання відсутньої процесуальної інформації;
2) вирішити питання про можливість затримання злочинця на місці злочину і про необхідні у зв'язку з цим заходи;
3) особистий обшук затриманого;
4) огляд місця події за участю відповідних заздалегідь запрошених фахівців;
4) допит затриманого;
5) обшуки на робочому місці і за місцем проживання затриманого;
6) встановлення зв'язків затриманого та осіб, причетних до вчинення злочину;
7) допит свідків (очевидців);
8) допит підозрюваного;
9) виїмка та огляд наступних речових доказів та документів: справжніх документів, що засвідчують особу злочинця і наявність у нього відповідних спеціальних знань, що характеризують ті виробничі операції, в процесі яких допущені порушення і злочинні дії (у тому числі документів, що знаходяться в електронній формі на машинних носіях інформації); знарядь підготовки, вчинення і приховування злочину; предмета злочину;
10) допит осіб, названих у документах, переданих в слідчі органи, як допустили порушення, відповідальних за конкретну ділянку роботи за фактами встановлених порушень;
11) витребування, а при необхідності здійснення виїмки нормативних актів і документів, що характеризують порядок і організацію роботи в даному підрозділі з конфіденційною інформацією, з бланками суворої звітності, комп'ютерною інформацією, ЕОМ, системою ЕОМ, їхньою мережею і т. п.;
12) допит свідків, причетних до відповідних виробничих операцій або підозрюваних у зв'язках зі злочинцем;
13) аналіз отриманої інформації та вирішення питання про необхідність призначення судових експертиз, проведення ревізії, інвентаризації або контрольної перевірки (у тому числі повторної).
У черговість перерахованих слідчих дій, оперативних та організаційних заходів можуть бути внесені корективи в залежності від зміни ситуації.
Особливості тактики виробництва окремих слідчих дій
Всі слідчі дії по справах про злочини у сфері комп'ютерної інформації проводяться в суворій відповідності з правилами, регламентованими чинним кримінально-процесуальним законодавством, але з урахуванням таких основних особливостей: слідча дія має бути завчасно підготовлено і детально сплановано; в кожну слідчу дію повинні брати участь фахівці чітко представляють свої завдання, права та обов'язки; поняті повинні мати мінімально необхідними спеціальними знаннями в області обробки комп'ютерної інформації (на рівні побутових користувачів ПЕОМ), слідчий і фахівці - пізнаннями в частині повного збереження (незмінності) комп'ютерної інформації, що міститься на оглядаємої (вилучається) засобі електронно-обчислювальної техніки; для огляду, обшуку і виїмки комп'ютерної інформації та її носіїв заздалегідь повинні бути підготовлені необхідні СВТ і матеріали.
При огляді місця події до складу слідчо - оперативної групи в залежності від конкретної слідчої ситуації, крім слідчого, повинні входити: спеціаліст-криміналіст, що знає особливості роботи зі слідами за злочинами даної категорії; фахівець з СВТ; співробітник Гостехкомиссии Росії, Центру захисту інформації (при наявності на місці події конфіденційної комп'ютерної інформації, машинних носіїв з нею, спеціальних засобів захисту від НСД і (або) СТС негласного отримання (знищення, блокування) комп'ютерної інформації); спеціаліст з мережних технологій (у разі наявності периферійного обладнання віддаленого доступу або локальної комп'ютерної мережі ); фахівець із систем електрозв'язку (при використанні для дистанційної передачі даних каналів електрозв'язку); оперативні співробітники (відділу «К» або ВБЕЗ); дільничний оперуповноважений, обслуговуючий цю територію; інспектор відділу позавідомчої охорони (у випадку, коли місце події або СВТ, що знаходиться на ньому, одночасно є об'єктом, що охороняється); спеціаліст для проведення кольоровий фото-або відеозйомки слідчої дії.
При необхідності до складу СОГ можуть бути включені незацікавлені у справі фахівці, які знають специфіку роботи оглядається об'єкта (інженери-електрики, бухгалтери зі знанням СВТ, фахівці супутникових систем зв'язку, оператори комп'ютерних систем і мереж електрозв'язку, ін.)
Метою огляду місця події є встановлення конкретного СВТ та комп'ютерної інформації, яка виступає в якості предмета і (або) знаряддя вчинення злочину і які несуть у собі сліди злочинної діяльності. Тому при виробництві слідчої дії доцільніше всього використовувати тактичний прийом «від центру - до периферії», де як «центру» (відправної точки огляду місця події) буде виступати конкретне СВТ і (або) комп'ютерна інформація, що володіє вищезгаданими властивостями. Детальний опис даних предметів, їх з'єднань (фізичних і логічних) повинно супроводжуватися відеозйомкою, що фіксує послідовність дій слідчого і фахівців, а також отриманий при цьому результат.
Якщо при проведенні огляду місця події використовуються СВТ і спеціальні пошукові технічні пристрої (матеріали), про це робиться відповідна відмітка в протоколі слідчої дії із зазначенням їх індивідуальних ознак (тип, марка, назва, заводський номер і т.д.). Крім того, в обов'язковому порядку робиться відмітка про те, що дані СВТ перед початком слідчої дії в присутності понятих були тестовані спеціальним програмним засобом (вказують його тип, вид, назва, версію, автора та інші реквізити) на предмет відсутності в них шкідливих програмно - апаратних засобів і закладок.
Слідчому необхідно знати, що до зміни чи знищення комп'ютерної інформації (слідів злочинця і злочину) може привести не тільки робота за пультом управління СВТ (клавіатурою), але і одноразове короткочасне включення-виключення СВТ або розрив з'єднання між ними. Тому, якщо на момент проведення слідчої дії будь-які СВТ і інші електротехнічні прилади та обладнання були включені або виключені, то вони повинні залишатися в такому положенні до моменту закінчення огляду їх фахівцем. З цієї ж причини підлягають обов'язковій охороні всі пункти відключення електроживлення, які перебувають на місці події.
Особливо ретельно повинні бути описані в протоколі такі фактичні дані: технічні і конструктивні особливості місцевості, пов'язані з встановленням та експлуатацією СВТ, включаючи розташування та основні характеристики струмонесучих комунікацій; розташування СВТ відносно один одного і кінцевих пристроїв струмонесучих комунікацій; відсутність або наявність з'єднань між ними ( видимих і дистанційних); наявність або відсутність з'єднань СВТ з обладнанням, в тому числі що знаходиться поза територією огляду (на це можуть вказувати кабелі та проводи, що йдуть від оглядається СВТ за межі місця огляду або до апаратів електрозв'язку (в такому випадку межі огляду місця події значно розширюються), наявність, зовнішній стан, розташування і вид охорони СВТ та комп'ютерної інформації від НСД, їх основні технічні характеристики; розташування СВТ щодо вентиляційних та інших отворів в будівельних конструкціях, дверних і віконних прорізів, технічних засобів відеоспостереження, а також щодо інших робочих місць; наявність в одному приміщенні з СВТ інших електричних пристроїв і приладів (телефонних та інших апаратів електрозв'язку, пейджерів, систем електрочасофікації, оргтехніки - ксероксів, аудіо-, відеомагнітофонів, автовідповідачів, електричних пішушіх машинок, приладів електроосвітлення, гучномовців, телевізорів, радіоприймачів і т . д.).
Особливо ретельно повинні бути оглянуті та описані в протоколі типові речові докази: шкідливі програми для ЕОМ і машинні носії з ними; програми для ЕОМ, явно призводять до несанкціонованих користувачем дій (що впливають на кінцеві результати технологічного процесу), а також їх носії; виявлені СТС негласного отримання (знищення, блокування) комп'ютерної інформації та магнітних носіїв; специфічні сліди злочинця і злочину. Типовими слідами є: сліди знарядь злому, пошкодження, знищення та (або) модифікації охоронних і сигнальних пристроїв; свідчення реєструючої апаратури (відеотехніки, електронного журналу обліку операцій з комп'ютерною інформацією, доступу до неї і СВТ, інше); свідчення спеціальних моніторингових (тестових) програмно-апаратних засобів, у тому числі електронного цифрового підпису (скор. ЕЦП); сліди пальців рук на СВТ, охоронних і сигнальних пристроях, на їх клавіатурі , сполучних і електроживлячих проводах і роз'ємах, на розетках і штепсільних вилках, тумблерах, кнопках і рубильниках, які включають і вимикають СВТ та електрообладнання; залишки сполучних проводів і ізоляційних матеріалів; краплі припою, каніфолі або флюсу; сліди вдавлювання, проплавлення, проколу, надрізу ізоляції струмонесучих і сполучних (керуючих) проводів, приклеювання до них сторонніх предметів і пристроїв.
Огляду підлягають такі документи та їх носії, що є доказами підготовки, вчинення і приховування злочину:
а) обліково-довідкова документація по роботі з СВТ і комп'ютерною інформацією (технічний паспорт або документ, що його замінює; журнал оператора або протокол автоматичної фіксації технологічних операцій, доступу до СВТ та конфіденційної комп'ютерної інформації; журнали (картки) обліку машинних носіїв інформації, машинних документів, замовлень (завдань або запитів), видачі МНІ та машинних документів, масивів (ділянок, зон), програм, записаних на МНІ; журнали обліку знищення браку паперових МНІ та машинних документів; акти на стирання конфіденційної інформації та знищення машинних носіїв з нею);
б) документація, що відображає санкционированность доступу (посвідчення особи, електронні ключі доступу, паролі, персональні ідентифікаційні номери (ПІН-коди), ЕЦП та інші засоби (предмети або пристрої) ідентифікації і аутентифікації санкціонованого користувача);
в) обліково-реєстраційна та бухгалтерська документація (ліцензії та ліцензійні угоди; сертифікати відповідності СВТ, програм для ЕОМ, засобів захисту інформації (у тому числі і ЕЦП), протоколів обміну інформацією та форматів електронних документів встановленим вимогам; договору (угоди) на користування СВТ і доступ до комп'ютерної інформації з відповідним комплектом документів; розрахунково-касові та інші бухгалтерські документи, що відображають факт оплати користувачем наданої йому послуги, відпущеного товару або здійсненої ним кредитно-банківської операції);
г) обліково-контрольна документація (журнали (акти) пуско - налагоджувальних, ремонтних і регламентних робіт з технічного обслуговування СВТ, програм для ЕОМ та засобів захисту інформації; журнали аварій і збійних (позаштатних) ситуацій; акти збоїв і хибних спрацювань охоронних сигналізацій; акти контрольних перевірок дотримання режиму безпеки інформації, ревізій, службових та інших документальних перевірок; зведені звіти та контрольні показники по окремих ділянках роботи, операцій і тимчасових інтервалах);
д) документація, що регламентує дії обслуговуючого персоналу (посадові обов'язки; інструкції по роботі з СВТ, програмами для ЕОМ, засобами захисту від НСД, дій оператора в нештатної (аварійної) ситуації; чорнова робоча документація оператора СВТ).
Їх огляд дозволяє встановити спосіб вчинення злочину у сфері комп'ютерної інформації, використані для цього злочинцем матеріали та засоби, наявність у суб'єкта спеціальних навичок і знань; висунути версії про причинно-наслідкові зв'язки.
Огляд засоби електронно-обчислювальної техніки в більшості випадків є початковим слідчою дією і проводиться для виявлення слідів злочину; для вирішення питань про те, ким, з якою метою і за яких обставин було вчинено злочин; з'ясування обстановки події, що відбулася; відновлення механізму вчинення злочину. Проводити огляд слід за участю фахівця.
Перш за все потрібно усвідомити сенс і призначення СВТ; встановити, включено воно чи ні; перевірити його працездатність і наявність у його пам'яті комп'ютерної інформації; встановити наявність або відсутність сполучення з каналом електрозв'язку та іншими технічними пристроями. Після цього необхідно перейти до пошуку матеріальних слідів, що утримуються на його корпусі, окремих деталях і дротових з'єднаннях, в його постійної та оперативної пам'яті (у вигляді комп'ютерної інформації).
При огляді СВТ неприпустимо використання: магнітосодержащіх матеріалів та інструментів; технічних пристроїв, генеруючих і випромінюючих електромагнітні поля і наведення (магнітний порошок і пензлик, електромагніт, металодетектор, потужні освітлювальні прилади, УФ та ІЧ випромінювачі і т.п.); кислотно-лужних матеріалів і нагрівальних приладів у уникнення знищення (пошкодження) СВТ та комп'ютерної інформації, слідів злочинця і злочину. Вищевказаними матеріалами і обладнанням можна користуватися з особливою обережністю на відстані більше 1 метра від СВТ і їх сполучних проводів.
Огляд СВТ зазвичай призводить до необхідності їх вилучення для подальшого експертного дослідження і (або) залучення до справи в якості речового доказу.
У протоколі огляду СВТ фіксують: його тип (призначення), марку (назва), конфігурацію, колір та заводський номер (серійний, інвентарний чи обліковий номер виробу); тип (призначення), колір та інші індивідуальні ознаки з'єднувальних і електроживлячих проводів; стан на момент огляду (виключено або включено); технічний стан - зовнішній вигляд, цілісність корпусу, комплектність (наявність і працездатність необхідних блоків, вузлів, деталей, і правильність їх з'єднання між собою), наявність видаткових матеріалів, тип використовуваного машинного носія інформації; тип джерела електроживлення , його тактико-технічні характеристики і технічний стан (робоча напруга, частота струму, робоче навантаження, наявність запобіжника, стабілізатора, мережевого фільтра, кількість підключеного до нього електрообладнання, кількість живлять електровоз'ємом-розеток і т.д.); наявність заземлення («занулення ») СВТ і його технічний стан, наявність і технічна можливість підключення до СВТ периферійного обладнання і (або) самого СВТ до такого устаткування, або до каналу електрозв'язку; наявні пошкодження, непередбачені стандартом конструктивні зміни в архітектурі будови СВТ, його окремих деталей (частин, блоків), особливо ті, які могли виникнути в результаті злочину, а так само могли спровокувати виникнення події; сліди злочинної діяльності (сліди знарядь злому корпусу СВТ, проникнення всередину корпусу, пальців рук, несанкціонованого підключення до СВТ сторонніх технічних пристроїв тощо); розташування СВТ в просторі, щодо периферійного обладнання та інших електротехнічних пристроїв; точний порядок з'єднання СВТ з іншими технічними пристроями; категорію оброблюваної інформації (загального користування або конфіденційна); наявність або відсутність індивідуальних засобів захисту оглядається СВТ і обробляється на ньому інформації від несанкціонованого доступу та маніпулювання.
Якщо на момент огляду СВТ знаходиться в робочому стані необхідно детально описати: розміщення його робочих механізмів і зображення на його відеоконтрольний пристрої (екрані, моніторі, дисплеї); основні дії, вироблені фахівцем при огляді СВТ (порядок коректного призупинення роботи і закриття виконуваної операції або програми , виключення СВТ, відключення від джерела електроживлення, роз'єднання (або з'єднання) СВТ, від'єднання проводів, результати вимірювання технічних параметрів контрольно-вимірювальної або тестової апаратурою і т.п.).
Огляд машинного носія та комп'ютерної інформації проводять за принципом «від загального до конкретного». Спочатку описують зовнішні індивідуальні ознаки носія: його колір, розмір, тип, вид, назва, марка, заводський та індивідуальний номер, наявність наклейки і написів на ній, наявність або відсутність фізичних пошкоджень корпусу і слідів на ньому, положення елементи захисту від запису / стирання комп'ютерної інформації. Потім переходять до огляду комп'ютерної інформації, що міститься на МНІ. Перед початком її огляду необхідно вказати в протоколі слідчої дії: індивідуальні ознаки використовуваного для огляду засобу електронно-обчислювальної техніки і основні реквізити його програмного забезпечення (тип, вид, марка, назва, заводський або реєстраційний номер, номер версії, юридичну адресу та (або) автора програмного продукту); юридичні реквізити програми, за допомогою якої СВТ і його програмне забезпечення в присутності понятих було тестовано фахівцем на предмет відсутності шкідливих програмно-апаратних засобів. Після цього на вказаний предмет перевіряється і можна розглядати комп'ютерна інформація.
Аналізуючи міститься на оглядаємої носії комп'ютерну інформацію, треба встановити відомості, що мають відношення до розслідуваної події. Для оптимізації процесу огляду великого обсягу інформації можна застосовувати функції автоматизованого пошуку по конкретному слову (реквізиту), що входять до складу стандартного програмного забезпечення ЕОМ. Хід огляду повинен додатково фіксуватися на кольоровий фото-або відеоплівці. При виявленні слідів злочину, необхідно зробити роздруківку всієї або частини комп'ютерної інформації і прикласти її до протоколу слідчої дії із зазначенням у протоколі індивідуальних ознак використаного для цього друкуючого пристрою (тип, вид, марка, назва, номер).
У протоколі огляду, крім вищезгаданого, необхідно відобразити: наявність, індивідуальні ознаки захисту носія від несанкціонованого використання (голографія, штрих-код, ембоссінг, флуоресцірованіе, перфорація, ламінування особистого підпису і (або) фотографії власника, їх розміри, колір, вигляд і т . п.); ознаки матеріальної підробки МНІ та його захисту; внутрішню специфікацію носія - серійний номер і (або) мітку тому, або код, розмір розмітки (для дисків - за обсягом запису інформації, для стрічок - за тривалістю запису); розмір області носія вільної від запису і зайнятої під інформацію; кількість і номери збійних зон, секторів, ділянок, кластерів, циліндрів; кількість записаних програм, файлів, каталогів (структура їх розташування на МНІ, назва, ім'я та (або) розширення, розмір (обсяг) , у тому числі той, який займають їхні назви, дата і час створення (або останньої зміни), а також спеціальна мітка або прапор (системний, архівний, прихований, тільки для читання або запису і т.д.); наявність прихованих або раніше стертих файлів (програм) та їх реквізити (назва, розмір, дата і час створення або знищення).
Готуючись до проведення обшуку, слідчий повинен вирішити, що і де він буде шукати. Для цього необхідно ретельно вивчити обставини справи і зібрати ориентирующую інформацію про предмет обшуку, місце його проведення та особистості обшукуваного. У справах про злочини у сфері комп'ютерної інформації предметом обшуку можуть бути не тільки різноманітні СВТ, машинні носії і міститься на них комп'ютерна інформація, а й документи, засоби електрозв'язку, розроблені та пристосовані спеціальні технічні пристрої, побутові електротехнічні пристрої та обладнання, матеріали та інструменти.
У ході обшуку слід звертати увагу на літературу, методичні матеріали та рекламні проспекти з комп'ютерної техніки, обробці, захисту, передачі і негласного отримання комп'ютерної інформації, а також на аудіо-, відеокасети, роздруківки машинної інформації та документи про відповідну освіту. Особливу увагу потрібно приділяти предметам, що містить коди, паролі доступу, ідентифікаційні номери, назви, електронні адреси користувачів конкретних комп'ютерних систем і мереж, алгоритми входу і роботи в системах та мережах. Необхідно також переіллюстріровать записні (телефонні) книжки, довідники і каталоги, у тому числі електронні, що знаходяться в пам'яті телефонних апаратів, пейджерів і інших комп'ютерних пристроїв.
Цінні докази можуть бути виявлені і при особистих обшуках підозрюваних (обвинувачених).
Предметом виїмки в переважній більшості випадків вчинення злочину у сфері комп'ютерної інформації є персональні комп'ютери, машинні носії інформації (включаючи роздруківки на папері, аудіо-та відеокасети, пластикові карти) і всілякі документи (у тому числі й електронні), що відображають і регламентують різні операції, технологічні процеси, пов'язані з обробкою, накопиченням, створенням, передачею та захистом комп'ютерної інформації, використання ЕОМ, системи ЕОМ та їх мережі. Останні знаходяться за місцем роботи (навчання) підозрюваного (обвинуваченого), в робочих кабінетах посадових осіб та інших службових (навчальних) приміщеннях.
Крім вищевказаного можуть бути вилучені спеціальні технічні засоби для негласного отримання, модифікації і знищення інформації, вільні зразки почерку, бланки і фрагменти документів, заготівлі машинних носіїв інформації, вихідні тексти програм для ЕОМ, чернетки та інші зразки для порівняльного дослідження.
Перед вилученням магнітних носіїв інформації вони повинні бути в обов'язковому порядку упаковані в алюмінієвий матеріал (алюмінієву фольгу або спеціальний контейнер), що оберігає МНІ та його вміст від зовнішнього електромагнітного і магнітного впливу.
Призначення експертиз. При розслідуванні злочину у сфері комп'ютерної інформації найбільш характерна комп'ютерно-технічна експертиза. Її проводять з метою: відтворення та роздруківки всієї або частини комп'ютерної інформації (за певними темами, ключовими словами і т.д.), що міститься на машинних носіях, в тому числі що знаходиться в нетекстової формі (у складних форматах: у формі мов програмування, електронних таблиць, баз даних тощо); відновлення комп'ютерної інформації, раніше містилася на машинних носіях, але згодом стертою (знищеної) або зміненої (модифікованої) за різних причин; встановлення дати і часу створення, зміни (модифікації), знищення, або копіювання інформації (документів, файлів, програм); розшифровки закодованої інформації, підбору паролів і розкриття системи захисту від НСД; дослідження СВТ і комп'ютерної інформації на предмет наявності програмно- апаратних модулів і модифікацій, що призводять до несанкціонованого знищення, блокування, модифікації або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі; встановлення авторства, місця (кошти) підготовки і способу виготовлення документів (файлів, програм), що знаходяться на МНІ; з'ясування можливих каналів витоку інформації з комп'ютерної мережі, конкретних СВТ і приміщень; встановлення можливих несанкціонованих способів доступу до охоронюваної законом комп'ютерної інформації та її носіїв; з'ясування технічного стану, справності СВТ, оцінки їх зносу, а також індивідуальних ознак адаптації СВТ під конкретного користувача; встановлення рівня професійної підготовки окремих осіб, які проходять у справі, в області програмування і в якості користувача конкретного СВТ; встановлення конкретних осіб, які порушили правила експлуатації ЕОМ, системи ЕОМ або їх мережі; встановлення причин і умов, що сприяють вчиненню злочину у сфері комп'ютерної інформації.
До винесення постанови про призначення експертизи рекомендується проконсультуватися з фахівцем з приводу її цілей, формулювання питань, характеру матеріалів, що надаються.
Може бути призначена ідентифікаційна і не ідентифікаційна комп'ютерно-технічна експертиза.
У справах даної категорії з криміналістичних експертиз найбільш часто призначають дактилоскопічну, одорологіческую, трасологічної, почеркознавчу, фоноскопічну, авторознавчу, радіотехнічну та техніко-криміналістичну експертизу документів, експертизу полімерних матеріалів і виробів з них.