Рейтинг пользователей: / 7
ХудшийЛучший 

УДК 343.9

Вражнов А.С.

Криминалистический риск следователя при расследовании неправомерного доступа к компьютерной информации на стадии возбуждения уголовного дела

ФГБОУ ВПО «МГУ им. Н.П. Огарёва», ЗАО «ИКСМ»

 

Следователь является ключевым участником деятельности по расследованию и раскрытию всех преступлений, (не исключая и неправомерный доступ к компьютерной информации), и зачастую только он один из всех субъектов стороны обвинения стремится к выстраиванию целостной картины совершённого деяния, с учётом имеющихся у него процессуальных полномочий. Криминалистический риск у данного лица может выражаться во всех факторах (условиях), которые мы выделяли ранее[1]. Так, например, в качестве временного условия можно привести двоякую ситуацию, когда с одной стороны, поспешные меры по задержанию лица, вероятно причастного к совершению преступления могут негативным образом отразиться на выявлении его пособников, а с другой, наглядно описанной Д.А.Илюшиным, «запоздалое начало уголовного процесса может привести к быстрой, по сравнению с другими видами преступлений, утрате важных доказательств, безнаказанности преступников, увеличению сроков предварительного расследования и другим негативным последствиям»[2]. В свою очередь, пространственно-территориальный фактор будет заключаться в возможности определить все места происшествия при неправомерном доступе к компьютерной информации, и извлечь из них в процессе осмотра необходимую доказательственную информацию. И, наконец, личностное условие определяется наличием у следователя специализированных знаний и опыта, которые он может применить в сложившейся ситуации.

Учитывая, что основная масса деяний, предусмотренных статьёй 272 УК РФ, причиняющих существенный материальный ущерб, преимущественно направлена именно против юридических лиц (по данным А.С.Егорышева[3]), и в предыдущей публикации[4] мы уже раскрывали процедуру проверки фактов возможных компьютерных преступлений в корпоративной среде, то и в дальнейшем по тексту настоящей статьи предметом нашего исследования будет являться криминалистический риск при расследовании неправомерного доступа к компьютерной информации, потерпевшим при котором является организация.

На стадии возбуждения уголовного дела, по нашему мнению, представляется целесообразным выделение следующих основных вариантов криминалистического риска, присущих следователю:

1) риск производства неотложного следственного действия – осмотр места происшествия;

2) риск использования следователем недостоверных или незаконно полученных сведений, которые были собраны сотрудниками оперативно-розыскных органов, в рамках ОРМ;

3) риск возбуждения уголовного дела или отказа в таковом.

Прежде чем перейти к первой разновидности криминалистического риска из представленного нами списка, упомянем про само следственное действие – осмотр места происшествия, и круг лиц участвующих в нём. Согласно диссертационному исследованию И.Г.Ивановой, оно проводилось «в 84% уголовных дел, связанных с неправомерным доступом к компьютерной информации»[5]. Данное процессуальное действие относится к категории первоначальных и неотложных, и является одним из самых эффективных инструментов, благодаря которым лицо, производящее предварительное следствие может установить наличие факта преступления в реальности. Под осмотром места происшествия, в самой общей форме, соглашаясь с Д.С.Хижняком следует понимать «следственное действие, в процессе которого следователь непосредственно либо опосредованно (с помощью технических средств) обнаруживает, исследует, фиксирует, изымает, оценивает и использует состояния, свойства и признаки материальных объектов, имеющихся на месте происшествия с целью обнаружения на них следов, выявления обстановки и обстоятельств, имеющих значение для установления истины по делу»[6]. В криминалистической литературе имеется достаточно много различных точек зрения, касающихся определения места происшествия. Не вмешиваясь в сложившуюся дискуссию, и не давая критического анализа каждому из высказанных исследователями мнений, отметим только некоторые из них, имеющиеся в современной юридической литературе: 1) «место происшествия – это тот фрагмент пространства, в пределах которого произошло какое-либо юридически и криминалистически значимое событие»[7] (В.А.Образцов); 2) под местом происшествия подразумевается «участок местности (территория, акватория), подводная среда, подземное природное образование или сооружение, помещение, в пределах которых произошло преступление либо иное событие, непреступный характер которого в момент осмотра неизвестен»[8] (В.В.Степанов); 3) «местом происшествия может быть не только то место, где совершено преступление, но и то, где обнаружены различные следы, указывающие на его связь с преступлением»[9] (Т.С.Седова и А.А.Эксархопуло). Что же касается компьютерных преступлений, и в частности деяния, предусмотренного статьёй 272 УК РФ, то здесь, по мнению М.В.Гаврилова и А.Н.Иванова, с обоснованностью которого мы, безусловно, соглашаемся, «может быть несколько мест происшествия: место обработки информации, ставшей предметом преступного посягательства; удаленное место управления сетевыми ресурсами, хранения, резервирования информации, ставшей предметом преступного посягательства; место использования технических средств для неправомерного доступа к компьютерной информации; место наступления вредных последствий»[10]. Естественно, что до момента возбуждения уголовного дела по факту неправомерного доступа к компьютерной информации, следователь чаще всего может осмотреть только место наступления вредных последствий, в нашем случае - это само помещение фирмы или её филиала (представительства), а также сервер и иные компьютеры организации, её сайт и корпоративную электронную почту.

Переходя непосредственно к криминалистическому риску, который возникает в рамках осмотра места происшествия, в настоящей работе ограничим круг исследуемых объектов для неправомерного доступа к компьютерной информации, исключив из него сайт и электронную почту организации[11], так как «атаки» на них носят более редкий характер, чем на сервер компании, получив доступ к которому, у злоумышленника появляется реальная возможность узнать большинство интересующих его сведений о данном юридическом лице, не прибегая к «взлому» остальных информационных сегментов.

Криминалистический риск при осмотре места происшествия, на наш взгляд, будет обуславливаться следующими составляющими:

К первой составляющей относится риск определения состава следственно-оперативной группы (СОГ), который вызван оценкой возможности и целесообразности участия в ней отдельных лиц. На этапе проверки факта возможного неправомерного доступа к компьютерной информации, кроме следователя имеются и иные участники уголовного процесса, подверженные криминалистическому риску (в качестве таковых выступают сотрудники оперативно-розыскных органов, специалисты и т.д.), которые оказывают содействие лицу, ведущему следствие в выяснении всех интересующих его обстоятельств произошедшего события, оставляя при этом за ним руководство и контроль за всеми совместными процессуальными мероприятиями. Вместе с тем, криминалистический риск вышеназванных лиц, не просто производный от действий следователя, а самостоятелен, учитывая, что, несмотря на общие задачи, которые стоят перед данными субъектами уголовного процесса, каждый из них подвержен возможности совершения личных ошибок, при выборе того или иного решения, которые могут отразиться на всём процессе расследования в целом. Здесь уместно будет вспомнить слова Р.С. Белкина, по мнению которого «успешность расследования преступлений зависит не только от методически правильного подхода к процессу расследования, но и от оперативности действий, умения организовать силы и средства, которыми располагают органы, ведущие борьбу с преступностью»[12]. Разделяя данную позицию, акцентируем наше внимание на координации действий следователя, специализирующегося на расследовании уголовных дел по компьютерным преступлениям, с иными лицами, в процессе первоначального осмотра места происшествия при получении информации о возможном совершении деяния, предусмотренного статьёй 272 УК РФ. В качестве таковых субъектов, в научной литературе справедливо предлагается широкий круг участников, включающий в себя сотрудника отдела «К», оперуполномоченного, обслуживающего территорию, являющуюся местом происшествия, специалиста-криминалиста, знающего особенности обнаружения, изучения, фиксации и изъятия типичных для рассматриваемой категории хищений следов и иных лиц [13]. Однако на практике, в силу различных причин, в основном наблюдается ситуация, когда при первоначальном осмотре места происшествия, кроме следователя, в нём принимают участие лишь следующие лица: сотрудники оперативно-розыскных органов, специалист по общим информационным технологиям, понятые, системный администратор (оператор, программист) организации и представитель администрации фирмы, на территории (в помещении) которой производится данное следственное действие, а также остаются ещё единичные случаи, когда лицо, производящее следствие вообще самонадеянно игнорирует помощь субъектов, обладающих определёнными техническими и иными познаниями, рассчитывая только на свои теоретические и практические умения.

Второй составляющей является риск возможности обеспечения состава следственно-оперативной группы необходимыми техническими средствами («компьютерный чемодан»). В доктрине, тема комплекта аппаратного и программного обеспечения, которое должно быть в наличии у следователя по компьютерным преступлениям неоднократно поднималась, в частности у следующих лиц:

1) М. Гаврилова и А.Иванова, рекомендующих следующее:

- портативный компьютер типа Ноутбук с дисководами для дискет и компакт-дисков CD-ROM, с портами подключения внешних устройств (принтера, внешнего винчестера, ZIP накопителя, цифрового фотоаппарата или видеокамеры) или специализированный лабараторно-исследовательский переносной компьютер со специальным программным обеспечением для просмотра содержимого дискет, компакт-дисков, других носителей, которые могут быть на месте происшествия, если на месте нет других компьютеров или их применение нецелесообразно;

- портативный (или малогабаритный) принтер;

- внешний винчестер с необходимым программным обеспечением[14];

2) И.Г.Ивановой, предлагающей включать в него:

- компьютер со следующими параметрами: мощный современный процессор, не менее 256 мегабайт оперативной памяти, накопители SCSI и IDE большой емкости; быстрое устройство записи/чтения компакт-дисков; ленточный накопитель на 20-40 гигабайт;

- другие устройства: модем, принтер, цифровая камера, дополнительный источник питания, источники бесперебойного питания UPS, соединительные шнуры, кабели сетевого питания, гибкие кабели, активные терминаторы шин, компакт-диски, монтажные инструменты, этикетки, маркеры;

- программное обеспечение: несколько операционных систем на одном компьютере вместе с их загрузчиками; специальные утилиты, позволяющие воссоздать точный образ компьютерных носителей, все драйвера для всех устройств исследуемого компьютера, инструментальные пакеты, позволяющие разархивировать и просматривать файлы любого типа, набор антивирусных программ, утилита блокировки записи на диск[15].

Данный риск обусловлен различными причинами, но основными являются следующие. Так, во-первых, к настоящему времени, несмотря на реформирование системы МВД в Российской Федерации, в её отдельных субъектах, на уровне соответствующих подразделений, занимающихся расследованием компьютерных преступлений, продолжает сохраняться ситуация, связанная с низкой материально-технической базой, находящейся в распоряжении у сотрудников отделов «К». Во-вторых, несмотря на то, что уже свыше 10 лет в науке обсуждаются конкретные виды технических средств, которые должны быть в обязательном порядке у лиц, производящих следствие по компьютерным преступлениям, до настоящего момента на уровне ведомственных нормативных актов, распространяющихся на всю систему МВД официально не разработаны, и не приняты перечни аппаратного и программного обеспечения, составляющие техническую основу для нужд расследования.

Третьей составляющей является риск непонимания лицом, ведущим следствие основных технических моментов, с которыми ему предстоит столкнуться, в процессе осмотра места происшествия. Конечно, в настоящий момент уже нет таких ситуаций, как описанных Ю.В.Гаврилиным в его диссертационном исследовании, когда «только 14% следователей работают на ЭВМ на уровне пользователя, 56% не знают ничего о принципах работы ЭВМ»[16]. Но вместе с тем, сейчас просто уметь пользоваться компьютером, обращаться с определёнными программами (в особенности текстовыми редакторами, эмуляторами, преобразователями форматов и т.д.), под силу и ребёнку, что в свою очередь ещё не означает упрощение технологий, а лишь свидетельствует о том, что технические возможности современных устройств достигли такого уровня, что пользовательский и специализированный интерфейсы практически окончательно разделились.

Четвёртой составляющей является риск не ознакомления следователя с наглядно-схематичной информацией, касающейся планов офисного помещения, локальной сети организации, систем электронного учёта рабочего времени в фирме, либо не проверки её на соответствие объективным данным, которые устанавливаются в ходе осмотра этого оборудования. На практике, может возникнуть ситуация, когда следователю предъявляют устаревшую схему расположения компьютеров, принтеров, факсов и иных устройств, рассчитывая на то, что он не будет её сверять с реально имеющейся конфигурацией в помещении, что в свою очередь негативным образом отразится на протоколе следственного действия, с приложенными к нему документами, которые в итоге будут содержать разночтения. Кроме этого, в данную составляющую риска, входят случаи, когда следователь не обращает внимания «на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару)»[17], иные информационные соединители, «подозрительно» свободные рабочие места, на которых отсутствуют ЭВМ, или иное оборудование и прочее.

Пятой составляющей является риск возможности обнаружения и исследования «материальных» и «виртуальных» следов на месте предполагаемого преступления. Первую группу информации следователь получает при физическом осмотра сервера, и периферийных компонентов, а также при анализе иных объектов, в которых может отображаться информация о совершённом деянии. К ним в научной литературе относят: 1) «рукописные записи, листинги (распечатки) хода работы программы или результата ее работы, следы пальцев рук на ЭВМ и ее периферийных устройствах, CD-ROM дисках и других носителях информации» (Е.А.Севрюкова и К.С.Скоромников)[18]; 2) рукописные записи и принтерные распечатки (коды доступа, тексты программ, записные книжки с именами других хакеров), описания программного обеспечения, инструкции по пользованию ЭВМ и ее устройствами, устройства доступа в телефонные сети и сети ЭВМ, нестандартные периферийные устройства, счета телефонных компаний (Е.П.Ищенко, А.А.Топорков)[19]. Вторую группу следов можно обнаружить благодаря анализу следующих системных параметров и настроек:  1) разделов реестра (HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\Run и т.д.) и каталогов Documents and Settings\ All Users\ Start Menu\Programs\Startup и Documents and Settings\user_name>\Start Menu\ Programs\ Startup на предмет обнаружения незнакомых программ; секций в файлах win.ini и system.ini для тех же целей; планировщика (Windows\tasks) для изучения расписания задач; открытых портов для выявления имеющихся на данный момент подключений к компьютеру; учетных записей в Active Directory (AD), для проверки наличия неавторизованных пользователей в привилегированных группах[20]; 2) директорий и файлов, таких как: \Windows\History\, - содержит сведения о том, какие действия осуществлялись на данном компьютере в определенный период времени; \Windows\name.pwl – включает в себя информацию об именах, телефонах, паролях для соединения с Интернетом; \Windows\Profiles\name – хранит профили и все установки конкретных пользователей; \windows\temp – вмещает временные копии программ компьютера, сведения об инсталляциях программ и т.п.; \Windows\Cookies – представляет разнообразную информацию о пользователе Интернета; \Windows\Application\ Microsoft\Outlook Express\Mail\ – выводит информацию о почте – файлах с расширениями IDX и MBX (входящие, отправленные, удаленные, черновики), при условии, что пользователь работает с программой Microsoft Outlook Express и т.д.[21] Здесь следует заметить, что риски при анализе «виртуальных» следов несоизмеримо выше, чем при исследовании «материальных» предметов и компонентов. Это обусловлено особым механизмом «следообразования» в операционных системах ЭВМ, при котором бывают случаи не только умышленного удаления, или изменения определённой информации в компьютере, но и не исключается вероятность искажения или «затирания» каких-либо данных в результате системных ошибок, или неумелых действий пользователя[22].

Шестой составляющей является риск полноценного и объективного отображения информации в протоколе следственного действия. Ошибки, при оформлении данного процессуального документа, в основном касаются следующих моментов: 1) не приложения к нему схем, графиков помещений, сетей и т.д.; 2) неправильного отражения технических терминов, названий программ, которые были запущены на компьютере, или с чьей помощью были определены какие-либо дополнительные сведения об операционной системе, имеющихся файлах и т.д.; 3) выборочного описания процесса производства осмотра места происшествия.

Выделив данные составляющие, попробуем предложить определённые рекомендации, соблюдение которых в общей совокупности, будет способствовать минимизации криминалистического риска у следователя при данном следственном действии.

Во-первых, предлагаем следователю, до момента осмотра места происшествия, выяснить информацию об имеющейся в офисном помещении компьютерной технике, сетевых устройствах, дополнительном общем (принтеры, многофункциональные устройства и пр.) и специализированном оборудовании (смарт-карты, устройства считывания и др.), количестве it-специалистов и направлениях их работы, и т.д. Установление этих данных, на наш взгляд, позволит лицу, производящему следствие более основательно подготовиться к предстоящему осмотру места происшествия, в части возможности привлечения узконаправленных специалистов, профессиональная деятельность которых напрямую связана с особенностями «взлома»[23]. Эти сведения рекомендуем получить от генерального директора организации, или от акционеров (участников) фирмы, сообщив им при этом, что они не должны выдать заинтересованность правоохранительных органов в такой информации, и постараться выяснить все интересующие следователя аспекты в рамках обычной рабочей деятельности.

Во-вторых, необходимо оснастить всех следователей, занимающихся расследованием преступлений в «сфере высоких технологий», специальными «компьютерными чемоданами», перечень необходимого оборудования в которых должен быть утверждён соответствующим ведомственным актом, обновляемым, как минимум, ежегодно. На настоящий момент в него, по нашему мнению, должны быть включены следующие аппаратные устройства:

  1. ультрапортативный ноутбук (процессор на базе Intel Core i3, оперативная память 2 гигабайта, винчестер на 250 гигабайт, встроенные элементы: мультиформатный (MS Pro, SD/MMC, XD-Picture Card) кардридер, модули связи Wi-fi и Bluetooth, web-камера, и дополнительный параметр – аккумулятор, с увеличенным временем работы);
  2. внешний привод для CD и DVD дисков;
  3. накопители на 2,5 и 3,5 дюйма, с ёмкостью от 160 гигабайт;
  4. цифровая камера (фотоаппарат);
  5. 3G модем;
  6. соединительные шнуры, переходные устройства (типы: ide usb, sata usb, usb ide sata), кабели для сетевого питания и т.д.
  7. «чистые» оптические накопители;
  8. монтажные инструменты (нож, отвертки, малоформатные кусачки и пассатижи, пинцет и т.д.), этикетки, маркеры, упаковки для дисков.

Что же касается программного обеспечения («софта»), то в состав следственного чемодана можно включить следующее:

  1. live CD (позволяет загружать дополнительную операционную систему непосредственно в оперативную память компьютера, без её предварительной установки, со сменных носителей типов CD, DVD и USB-накопителей);
  2. утилиты для восстановления информации (в качестве примеров можно привести следующие: Advanced EFS Data Recovery, Active File Recovery Corporate, EASEUS Data Recovery Wizard и т.д.);
  3. антивирусные программы (Антивирус Касперского, DrWeb и др.);
  4. сборники драйверов для операционных систем;
  5. инструментальные средства для просмотра различных типов файлов.

В-третьих, считаем необходимым, чтобы перед началом осмотра места происшествия, следователь в обязательном порядке производил «неформальную беседу» с системным администратором предприятия, в ходе которой it-специалист разъяснял бы ему основные термины информационных технологий, с которыми тот будет сталкиваться: шлюз, ip-адрес, сервер, роутер, кэш, иные понятия, а также принципы построения локальной сети организации, используемое в фирме программное обеспечение, были ли раньше попытки «взлома», и если получен утвердительный ответ, то на какой объект(ы) они были направлены (сервер, электронная почта, сайт и т.д.), и, исходя из чего этот неправомерный доступ в качестве такового квалифицировали[24]. В ходе данного разговора, лицо, производящее проверку факта возможного преступления должно постараться не только максимально полно усвоить объясняемые ему сведения, но и попытаться выяснить, нет ли кроме «админа» иных лиц, среди сотрудников организации, ранее уволенных работников, партнеров компании, которые могли бы быть заинтересованы в данном проникновении по различным мотивам: месть за увольнение, материальная выгода от сообщения контрагентам информации, содержащейся на жёстком диске сервера (корпоративного электронного ящика), или по иным причинам. Вместе с тем, следователь не должен забывать, и про возможность, что неправомерный доступ был инициирован самим системным администратором (программистом), поэтому все сведения, которые будут получены в рамках такой беседы, должны по возможности лицом, производящим расследование записываться на диктофон, чтобы в дальнейшем их можно было проверить у иных специалистов в IT-сфере.

Кроме этого, представляется целесообразным, на уровне федерального нормативного документа, ввести положение об обязательной технической подготовке (переподготовке) всех следователей, в компетенцию которых входит расследование компьютерных преступлений. Данное повышение квалификации может осуществляться, как на уровне определённых образовательных программ, разработанных учебными заведениями, так и в форме практических занятий, без отрыва от основной деятельности (например, «мастер-классы» от опытных it-специалистов). Кроме этого, считаем необходимым высказаться, и по поводу правил приёма лиц на службу в правоохранительные органы, в компетенцию которых входит расследование компьютерных преступлений. По нашему мнению, при всех прочих равных условиях, следует законодательно установить преимущества тем претендентам на определённые должности в отделы «К» в субъектах Российской Федерации, которые наряду с высшим юридическим образованием имеют знания по техническим специальностям, связанным с обработкой, хранением и защитой информации[25], что даст им возможность комплексно расследовать преступления в «сфере высоких технологий», не опираясь только на правовые познания, что в целом повысит эффективность работы. Особое внимание также следует уделять и системе основного «вузовского» образования. Так, например, в научной среде большое внимание уделяется подготовке студентов и их целенаправленной специализации, о чём в частности высказываются Е.П.Ищенко[26] и Л.Г.Шапиро[27]. Позиции данных учёных мы полностью разделяем, и применительно для нашего исследования, считаем, что в обозримом будущем целесообразно ввести новое направление в системе студенческих специализаций, в основу которого должны быть заложены следующие элементы: информационное право, методика расследования компьютерных преступлений, компьютерно-технические экспертизы, методы защиты и хранения конфиденциальных данных и т.д.

В-четвёртых, во время осмотра места происшествия, следователь всегда должен не просто истребовать и ознакомиться с наглядными документами, на которых зафиксированы схемы офиса, имеющейся компьютерной конфигурации в помещении, систем пропускного контроля, но и сопоставить их между собой, проверить их достоверность по имеющейся технической и юридической документации у собственников помещения или представителей администрации организации, и получить от них надлежаще заверенные копии. Что же касается подозрений о том, что часть компьютеров, которые были в организации, во время осмотра места происшествия отсутствуют, то следователю необходимо выяснить у генерального директора фирмы информацию о сотрудниках, которых работают по удалённому графику, и лишь изредка приезжают в офис.

В-пятых, не будем особо останавливаться на «материальных» следах неправомерного доступа к компьютерной информации, так как эта тема широко освещена в научных исследованиях по криминалистике, упомянем лишь о том, что при их поиске стоит обращать внимание не столько на документы, компьютерные распечатки, книги по программированию, которые находятся рядом с сервером организации, и в большинстве случаев, являются его «обязательными атрибутами», а ознакомиться с содержимым коробок от системных блоков, мониторов, иных периферийных устройств, где наряду с драйверами могут находиться и диски, с записанными программами, которые можно использовать для «взлома». Для обнаружения «виртуальных» следов совершённого деяния, следователю, на наш взгляд, стоит произвести следующие действия:

1) проанализировать данные о лицах, получивших доступ к серверу организации, времени их работы, сведения к которым они обращались, ошибках системы и т.д. Для операционной системы Windows Server 2003, это выполняется путём выполнения следующих стандартных операций: панель управления – администрирование – просмотр событий – система; панель управления – администрирование – просмотр событий - приложение);

2) произвести анализ маршрутизатора организации, на предмет поиска сведений, касающихся ip-адресов тех компьютеров, которые к нему подключались, и изучить системный журнал, расположенный в log-файлах. Заметим, что если log-файлы «чистые», или имеются сведения о компьютерах, не входящих в локальную сеть фирмы, то это свидетельствует о возможном неправомерном доступе к компьютерной информации[28]. Для наглядного примера данных, которые могут содержаться в таких форматах (расширениях), приведём часть сведений, имеющихся в Windows Server 2003 в системном файле КВ2567680.log, место нахождения - папка Windows:

«1.984: Source:C:\WINDOWS\system32\SET108.tmp (5.2.3790.4759)

1.984: Destination:C:\WINDOWS\system32\rpcrt4.dll (5.2.3790.4502)

1.984: Source:C:\WINDOWS\SysWOW64\SET109.tmp (5.2.3790.4759)

1.984: Destination:C:\WINDOWS\SysWOW64\rpcrt4.dll (5.2.3790.4502)

1.984: Source:C:\WINDOWS\system32\SET188.tmp (5.2.3790.4758)

1.984: Destination:C:\WINDOWS\system32\w03a3409.dll (5.2.3790.4590)

2.000: Source:C:\WINDOWS\system32\SET11A.tmp (5.2.3790.4872)

2.000: Destination:C:\WINDOWS\system32\win32k.sys (5.2.3790.4730)

2.000: Source:C:\WINDOWS\system32\SET124.tmp (5.2.3790.4860)

2.000: Destination:C:\WINDOWS\system32\winsrv.dll (5.2.3790.4043)

2.000: Source:C:\WINDOWS\system32\SET125.tmp (5.2.3790.4860)».

3) изучить аптайм (от английского «up time - рабочее время; время работоспособности системы; время доступности; период работоспособного состояния»[29]) вычислительной системы, который представляет собой временной интервал от начала загрузки операционной системы до момента прекращения её работы по различным причинам[30]. К сведению, среднее время бесперебойной работы сервера организации составляет от месяца до нескольких лет, и его можно узнать с помощью команд: пуск–выполнить–systeminfo или пуск – выполнить – uptime. Если последняя не проходит, то средство uptime.exe можно скачать с официального сайта (http://support.microsoft.com), и запустить вышеуказанным способом. Информация может выглядеть следующим образом:

«Время работы системы: 35 дн., 2 час., 6 мин., 3 сек.»;

4) Исследовать жёсткие диски принтеров и МФУ, на наличие содержащейся в их памяти сохранённой информации. Следует заметить, что далеко не все современные устройства вывода печати оснащены такими винчестерами, с которых можно в дальнейшем считать определённые данные (таблицы, текстовые документы, рисунки и т.д.), поступавшие на них с сервера или иных компьютеров локальной сети. В качестве образцов таких принтеров можно привести следующие модели:

а) OKI Printing Solutions C9650hdn (буква h в устройствах данной фирмы указывает на наличие жёсткого диска), с памятью которого можно работать при помощи панели управления данного устройства[31];

б) Xerox Phaser 6120 (внутренний винчестер 20 Гб);

в) МФУ HP лазерный LaserJet M3035 MFP.

В-шестых, протокол осмотра места происшествия необходимо всегда составлять в процессе производства следственного действия, а не после его завершения, как указывается в качестве одного из допустимых вариантов в части 1 статьи 166 УПК РФ. Это обусловлено тем, что какие-то явления, которые фиксируются в операционной системе компьютера, разъяснения специалиста, комментарии представителя администрации организации и иные сведения, не говоря уже о технических моментах, могут в нём в дальнейшем не отразиться. Учитывая, что при осмотре места происшествия не всегда присутствуют оперативно-розыскные сотрудники или иные лица из правоохранительных органов, а следователь в силу своих прямых обязанностей не может одновременно участвовать в следственном действии и надлежаще вести протокол, можно привлечь к его составлению одного из понятых, который, разумеется, как минимум должен быть опытным пользователем ЭВМ. Составление протокола понятым также ещё благоприятно отразится, и на возможную ситуацию, когда адвокат в ходе судебного заседания, будет указывать, что понятые не могут удостоверить факт производства следственного действия, его содержание, ход и результаты, в силу своего лишь «формального» присутствия на месте происшествия, что на практике возникает нередко.

Второй разновидностью криминалистического риска является возможность использования следователем недостоверных, незаконно полученных или ненадлежащее оформленных сведений, которые были собраны сотрудниками оперативно-розыскных органов, в рамках ОРМ. Основные оперативно-розыскные мероприятия на данном этапе, при проверке данных о возможном деянии, предусмотренном статьёй 272 УК РФ кардинально не отличаются от проводимых при иных видах преступлений, и являются следующими.

Во-первых, это опрос, чья краткая суть заключается в проводимой исключительно на добровольной основе беседе сотрудника оперативно-розыскного органа с лицом, которому известны какие-либо обстоятельства о совершённом деянии. В научных публикациях, опрос может рассматриваться не только, как «оперативно-розыскное мероприятие, представляющее собой сбор фактической информации, у опрашиваемого лица, который реально или вероятно ею обладает, имеющей значение для решения конкретной задачи ОРД»[32], но и также как «процессуальное поисково-познавательное действие, выполняемое следователем или по его поручению уполномоченным должностным лицом органа дознания в целях получения на добровольной основе интересующей информации (сведений) в процессе разговора (беседы) с гражданами по поводу обстоятельств преступного деяния и лиц, имеющих отношение к преступлению, а также в целях выявления возможных свидетелей и очевидцев произошедшего»[33], с чем также можно согласиться.

Во-вторых, это наведение справок. В научной среде, данное оперативно-розыскное мероприятие, в основном связывают только с получением информации об определённых физических лицах, а также фактах и обстоятельствах, имеющих значение для решения задач ОРД. Так, например, О.А.Вагин, А.В.Земскова, и В.С.Овчинский понимают его, как «ОРМ, направленное на получение информации о физических лицах, о фактах и обстоятельствах, имеющих значение для решения задач ОРД, путем непосредственного изучения документов, материалов, баз данных, направления запросов на предприятия, в учреждения и организации, другим юридическим, а также физическим лицам, которые располагают или могут располагать указанной информацией»[34]. Аналогичной точки зрения, придерживается и Е.С.Лапин, по мнению которого наведение справок заключается «в непосредственном изучении документов (в том числе архивных), материалов, баз данных, а также в направлении запросов юридическим и физическим лицам, где располагается или может располагаться информация о физических лицах, о фактах и обстоятельствах, имеющих значение для решения задач ОРД»[35]. Мы позволим себе не согласиться с вышеназванными исследователями, в части искусственного ограничения круга субъектов, о которых могут запросить информацию оперативно-розыскные органы, и аргументируем это тем, что в практике должностного лица, осуществляющего ОРД зачастую возникает потребность выяснить не только данные об определённой физической персоне, но и также сведения о какой-либо организации (например, о фактах её государственной регистрации, уплаты налогов за определённый период, участия в качестве истца или ответчика в судебных спорах и т.д.). В связи с этим, учитывая нашу позицию, и принимая во внимание указанные выше дефиниции, считаем необходимым, дать следующее определение: наведение справок - это ОРМ, направленное на получение данных о физических или юридических лицах, о фактах и обстоятельствах, имеющих значение для решения задач ОРД, заключающееся в непосредственном изучении документов, материалов, баз данных, а также в направлении запросов в организации, государственные или муниципальные органы, или же физическим лицам, которые располагают или могут располагать указанной информацией.

Следователь при анализе поступивших к нему сведений от сотрудников оперативно-розыскных органов, в рамках вышеназванных ОРМ, подвергается риску, который заключается в следующих (далеко не исчерпывающихся) моментах:

1) получение искажённых сведений об определённом событии и лицах, причастных к нему:

а) в случае, если сотрудник ОРМ знал о недостоверности информации. Например, когда лицо, в компетенцию которого входит оперативно-розыскная работа предоставляет следователю информацию о сотрудниках фирмы, которых он «якобы» опросил в ходе проверки возможного неправомерного доступа к компьютерной информации в организации, а в реальности эти ОРМ не были им произведены);

б) в случае, когда от лица, осуществляющего ОРМ была скрыта ложность информации. В качестве образца, выступает такая ситуация, когда it-специалист в фирме, в рамках имеющихся у него должностных полномочий или поручений руководства, производит тестирование на устойчивость к «взлому» корпоративного электронного ящика организации, паролем к которому он не владеет, а какой-либо иной сотрудник фирмы, увидев это, посчитает, что происходит незаконный доступ к компьютерной информации, и обратится в правоохранительные органы, в качестве представителя которых сотрудник, осуществляющий ОРМ произведёт его опрос, в рамках чего может быть представлена следователю информация, созданная под влиянием ошибки;

2) получение незаконных данных (в качестве модели данного риска можно привести ситуацию, когда сотрудник ОРО производил опрос какого-либо лица, с применением угроз, чем в итоге настроил возможного свидетеля против стороны обвинения);

3) получение ненадлежаще оформленной информации (представление сотрудником, осуществляющим ОРМ следователю результатов ОРД, в форме, не предусмотренной пунктом 7 Инструкции «О порядке предоставления результатов оперативно-розыскной деятельности дознавателю, органу дознания, следователю, прокурору или в суд», например в виде сводных таблиц и т.д.)

Криминалистический риск в данной ситуации носит опосредованный характер (работа сотрудников ОРМ – предоставление полученных результатов лицу, производящему расследование – принятие процессуального решения), и заключается в том, что следователь может взять за основу информацию, которая не отвечает требованиям, предъявляемым к доказательствам, что в итоге с высокой вероятностью повлечёт за собой «развал» уголовного дела.

Чтобы этого не допустить, следователю на наш взгляд стоит придерживаться довольно несложных рекомендаций, которые можно распространить не только на проверку фактов неправомерного доступа к компьютерной информации, но и на иные деяния, в отношении которых проводится проверка по поводу их уголовной наказуемости:

1) выборочно опросить отдельных лиц, с которыми уже была проведена беседа сотрудниками органов, осуществляющих ОРМ (для нашего исследования, таковыми должны быть it-специалисты фирмы, представители администрации, сотрудник отдела кадров);

2) посетить или сделать запрос в государственные учреждения и частные организации, из которых сотрудниками оперативно-розыскных органов были затребованы определённые документы, с целью определения были ли официальные запросы от данных должностных лиц, имеются ли у вышеназванных субъектов объективные данные об этой информации и т.д.;

3) в случае предоставления результатов ОРД в формах, не предусмотренных пунктом 7 вышеназванной инструкции, незамедлительно обращаться к непосредственному начальнику лица, представившему такую информацию.

Третьей разновидностью криминалистического риска, присущего следователю будет вероятность совершения им ошибки при возбуждении уголовного дела. Данный риск, по сути, является итоговым для данной стадии судопроизводства, так как отражается на дальнейшей «судьбе» уголовного дела, и состоит из двух элементов:

1) принятие ошибочного решения о возбуждении уголовного дела, которое бывает:

а) основанное на неправильно интерпретированной следователем информации, находящейся у него в распоряжении (в случае, когда лицо, производящее проверку факта неправомерного доступа к компьютерной информации посчитало собранные сотрудниками ОРО разрозненные сведения достаточными для того, чтобы принять совершённое деяние за преступление);

б) сформированное на недостоверных или недостаточно проверенных данных, имеющихся у следователя, в случае, когда он не знал об их «природе»[36], и не осуществил их проверку (например, в случае инсценировки неправомерного доступа к серверу кем-либо из сотрудников организации);

в) построенное на игнорировании части имеющихся в распоряжении следователя сведений (в случае, когда следователь не принимая во внимание консультации специалиста, указывающие на отсутствие «взлома», принимает решение о возбуждении уголовного дела);

2) вынесение постановления об отказе в возбуждении уголовного дела, принятое под влиянием ошибки, с аналогичными приведёнными выше составляющими.

Дача рекомендаций для минимизации данной разновидности криминалистического риска достаточно проблематична, так как она охватывает всю процедуру взаимодействия следователя с оперативно-розыскными сотрудниками, специалистами, понятыми и иными лицами с момента получения информации о возможном преступлении, и до момента принятия решения о возбуждении уголовного дела, или об отказе в таковом. Отдельные рекомендации для данной разновидности криминалистического риска можно позаимствовать из представленных выше предложений по осмотру места происшествия, и при использовании следователем информации от сотрудников ОРО, а в качестве комплексных организационных мер считаем необходимым ужесточение дисциплинарной ответственности, и введение института наставничества для молодых следователей, занимающихся расследованием компьютерных преступлений.

Представленные разновидности криминалистического риска у лица, производящего расследование, при проверке данных о возможном неправомерном доступе к компьютерной информации не являются исчерпывающими. К данному перечню можно ещё добавить возможность совершения ошибки следователем при непосредственном получении им[37] недостоверной справочной и документальной информации о произошедшем событии от заявителя, субъектов, предположительно причастных к совершённому деянию, средств массовой информации, других физических и юридических лиц, или органов государственной власти и местного самоуправления. Вместе с тем, охарактеризованные нами виды в своей совокупности уже в достаточной мере отражают, как общие типы криминалистического риска, присущие лицу, производящему расследование по всем родам преступлений (при возможности получении следователем недостоверной информации от сотрудников ОРО; при возбуждении уголовного дела), так специальный (при осмотре места происшествия), суть которого зависит напрямую от категории проверяемого деяния.

 

Литература:

1. Абидов А.С. К вопросу о понятии опроса как оперативно-розыскного мероприятия // «Черные дыры» в Российском законодательстве. – 2006. – №3. – С.332-333.

2. Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Россинская Е.Р. Криминалистика: Учебник для вузов / Под ред. заслуженного деятеля науки РФ, проф. Р.С.Белкина. – 2-е изд., перераб. и доп. – М.: Норма, 2005. – 992 с.

3. Алан Сугано. Жизнь после взлома. Восстановление после сетевой атаки// Windows IT Pro. – 2004. – №8. – С.54-60.

4. Англо-русский словарь по вычислительной технике и информационным технологиям: 60 тыс. терминов / Составитель С.Б.Орлов. – 4-е изд., перераб. и доп. – М.: ИП Радио-Софт, 2005. – 640 с.

5. Белкин Р.С. Курс криминалистики: Общая теория криминалистики. В 3-х томах. Т. 1. - М.: Юристъ, 1997. - 408 c.

6. Вехов В.Б. Особенности организации и тактика осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Российский следователь. – 2004. – №7. – С.2-5.

7. Вражнов А.С. Криминалистический риск при проведении следственных действий, тактических операций и комбинаций // Современное право. – 2011. – №9 – С.79-83.

8. Вражнов А.С. Риск при выявлении отдельных составов компьютерных преступлений (на примере статей 272 и 274 УК РФ) // Проблемы права. – 2011. – №5. – С.171-177.

9. Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Дис. … канд. юрид. наук. – Москва, 2000. – 206 с.

10. Гаврилов М.В., Иванов А.Н. Осмотр места происшествия при расследовании преступлений в сфере компьютерной информации: учебное пособие. Саратов: Изд-во «Саратовская государственная академия права», 2004.

11. Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. – 2001. – №9. – С.11-16.

12. Егорышев А.С. Расследование и предупреждение неправомерного доступа к компьютерной информации: Дис. … канд.юрид.наук. – Уфа, 2004. – 230 с.

13. Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации: Дис. … канд.юрид.наук. – Красноярск, 2007. - 197с

14.Илюшин Д.А. Возбуждение дел по «сетевым» преступлениям // Российская юстиция. – 2007. –№2. – С.55-57.

15. Ищенко Е.П., Топорков А.А. Криминалистика: Учебник – 2-е изд., испр., доп. и перераб. / Под ред. д-ра юр.наук, проф. Е.П.Ищенко. – М.: Юридическая фирма «КОНТРАКТ»: ИНФРА-М, 2010. – 784 с. – (Высшее образование).

16. Ищенко Е. Подготовка  и   переподготовка   следователей   актуальнейшая   проблема  /Е .П . Ищенко // Проблемы   повышения   уровня   подготовки   специалистов   для   работы   в   органах   предварительного   следствия . – Уфа ,  1991 . – С . 41-45.

18. Настольная книга следователя. Тактические приемы проведения осмотра места происшествия и допросов при расследовании преступлений различной категории: научно-методическое пособие / под. ред. канд. юрид. наук А.И.Дворкина. – М.: Издательство «Экзамен», 2006. – 637 с.

19. Криминалистика: учебник / Под ред. Т.С.Седовой, А.А.Эксархопуло. - СПб.: Изд-во «Лань», 2001. – 928 с.

20. Лапин Е.С. Оперативно-розыскная деятельность. Курс правовых и теоретических основ: Учебное пособие. – М.: Юрлитинформ, 2010. – 224 с.

21. Маслов А.Г., Шевченко И.А. Опрос – способ поиска и выявления первичной информации о совершенном преступлении // Вестник Саратовской государственной академии права. – 2004. – №2. – С.126–129.

22. Оперативно-розыскная деятельность: Учебник. 2-е изд., доп. и перераб. / Под ред. К.К.Горяинова, В.С.Овчинского, Г.К.Синилова, А.Ю. Шумилова. – М.: ИНФРА-М, 2004. XIV. – 848 c. – (Серия «Высшее образование»).

23. Салтевский М.В., Литвинов А.Н., Чернец Н.Г. Проблемы противодействия преступности в сфере компьютерных технологий: Научно-практическое издание. – М.: Юркнига, 2006. – 96 с.

24. Следственные действия. Криминалистические рекомендации. Типовые образцы документов / В.А.Образцов. – М.: Юристъ, 2001. – 501 с.

25. Степанов В.В. Понятие места происшествия. Тактика следственных действий. - Саратов, 2000. – 203 с.

26. Хижняк Д.С. Осмотр места происшествия: учеб.пособие / Д.С.Хижняк. – М.: ГроссМедиа: РОСБУХ, 2007. – 96 с.

27. Шапиро Л.Г. Специализация знаний как основа подготовки юристов-профессионалов // Вестник Саратовской государственной академии права. – 2004. – №3. – С.50-52.

 



[1] Вражнов А.С. Криминалистический риск при проведении следственных действий, тактических операций и комбинаций // Современное право. – 2011. – №9 – С.79-80.

[2] Илюшин Д.А. Возбуждение дел по «сетевым» преступлениям // Российская юстиция. – 2007. –№2. – С.55.

[3] Егорышев А.С. Расследование и предупреждение неправомерного доступа к компьютерной информации: Дис. … канд.юрид.наук. – Уфа, 2004. – С.178.

[4] Вражнов А.С. Риск при выявлении отдельных составов компьютерных преступлений (на примере статей 272 и 274 УК РФ) // Проблемы права. – 2011. – №5. – С.171-177.

[5] Иванова И.Г. Выявление и расследование неправомерного доступа к компьютерной информации: Дис. … канд.юрид.наук. – Красноярск, 2007. – С.124.

[6] Хижняк Д.С. Осмотр места происшествия: учеб.пособие. – М.: ГроссМедиа: РОСБУХ, 2007. – С.8–9.

[7] Следственные действия. Криминалистические рекомендации. Типовые образцы документов / В.А.Образцов. - М.: Юристъ, 2001. - С.190.

[8] Степанов В.В. Понятие места происшествия. Тактика следственных действий. - Саратов,  2000. - С.28.

[9] Криминалистика: учебник / Под ред. Т.С.Седовой, А.А.Эксархопуло. - СПб.: Изд-во «Лань», 2001. – С.467.

[10] Гаврилов М.В., Иванов А.Н. Осмотр места происшествия при расследовании преступлений в сфере компьютерной информации: учебное пособие. Саратов: Изд-во «Саратовская государственная академия права», 2004. – С.7.

[11] Кроме случаев, когда отдельные примеры криминалистического риска следователя нагляднее всего будут проявляться именно на примере данных объектов.

[12] Белкин Р.С. Курс криминалистики: Общая теория криминалистики. В 3-х томах. Т. 1. - М.: Юристъ, 1997. – С.307.

[13] Вехов В.Б. Особенности организации и тактика осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Российский следователь. – 2004. – №7. – С.2.

[14] Гаврилов М., Иванов А. Следственный осмотр при расследовании преступлений в сфере компьютерной информации // Законность. – 2001. – №9. – С.11-12.

[15] Иванова И.Г. Указ соч. – С.126-127.

[16] Гаврилин Ю.В. Расследование неправомерного доступа к компьютерной информации: Дис. … канд. юрид. наук. – Москва, 2000. – С.78.

[17] Аверьянова Т.В., Белкин Р.С., Корухов Ю.Г., Россинская Е.Р. Криминалистика: Учебник для вузов / Под ред. заслуженного деятеля науки РФ, проф. Р.С.Белкина. – 2-е изд., перераб. и доп. – М.: Норма, 2005. – С.956.

[18] Настольная книга следователя. Тактические приемы проведения осмотра места происшествия и допросов при расследовании преступлений различной категории: научно-методическое пособие / под. ред. канд. юрид. наук А.И.Дворкина. – М.: Издательство «Экзамен», 2006. – С.412.

[19] Ищенко Е.П., Топорков А.А. Криминалистика: Учебник – 2-е изд., испр., доп. и перераб. / Под ред. д-ра юр.наук, проф.  Е.П.Ищенко. – М.: Юридическая фирма «КОНТРАКТ»: ИНФРА-М, 2010. – С.709.

[20] Алан Сугано. Жизнь после взлома. Восстановление после сетевой атаки // Windows IT Pro. – 2004. – №8. – С.54-56.

[21] Салтевский М.В., Литвинов А.Н., Чернец Н.Г. Проблемы противодействия преступности в сфере компьютерных технологий: Научно-практическое издание. – М.: Юркнига, 2006. – С.42-44.

[22] В качестве примера такой ошибки, которая возникает по обстоятельствам, не зависящим от пользователя или иных лиц, можно привести довольно распространённую в текстовом редакторе Word (Microsoft Office 2003 и 2007) ситуацию, когда при сохранении определённого документа, при работе с flash-устройством, появляется сообщение «убедитесь, что задвижка дисковода закрыта и он содержит правильный диск», после чего, в результате зависания системного процесса, работа с данным файлом становится невозможным, и после аварийного завершения работы этой программы, он автоматически удаляется.

[23] Здесь следует отметить, что квалифицированный специалист в одной области компьютерных технологий, (например, по операционным системам Windows), зачастую не может выполнять даже отдельные «пользовательские» действия в Linux или в MAC, поэтому привлечение к осмотру места происшествия лица, обладающего определёнными познаниями должно быть основано, прежде всего, на его профессиональном умении практического обращения с соответствующими аппаратными или программными компонентами.

[24] Косвенными подтверждениями этого может быть следующее: 1) работа маршрутизатора являлась не естественной (уменьшение скорости, появление ошибок), что могло быть обусловлено подключением какого-либо третьего лица по технологии wi-fi к интернету организации; 2) изменение ключа сети (пароля на wi-fi); 3) увеличение объёма информации, загружаемого из глобальной сети за счёт организации, который довольно легко вычисляется, учитывая, что в большинстве компаний установлено программное обеспечение, позволяющее контролировать загружаемые и передаваемые данные, например с помощью таких программ, как «10-Страйк Учет Трафика»,  позволяющей видеть скорость входящего и исходящего трафика компьютеров и сетевых устройств на экране компьютера администратора в режиме реального времени, или «UserGate», благодаря которой it-специалисту видна полная статистика об использовании интернета в компании по отдельным пользователям и группам.

[25] В качестве таковых можно выделить такие направления, как «Информационное и программное обеспечение автоматизированных систем», «Компьютерная безопасность» и т.д.

[26] Ищенко Е.  Подготовка   и   переподготовка   следователей   актуальнейшая   проблема  / Е.П.Ищенко // Проблемы   повышения   уровня   подготовки   специалистов   для   работы   в   органах   предварительного   следствия . - Уфа ,  1991 .  – С.41.

[27] Шапиро Л.Г. Специализация знаний как основа подготовки юристов-профессионалов // Вестник Саратовской государственной академии права. – 2004. – №3. – С.51.

[28] На возможный «взлом» может указывать также отсутствие отдельных log-файлов, которые создаются в процессе работы операционной системы в обязательном порядке, и удаление которых не влияет на работоспособность последней.

[29] Англо-русский словарь по вычислительной технике и информационным технологиям: 60 тыс. терминов / Составитель С.Б.Орлов. – 4-е изд., перераб. и доп. – М.: ИП Радио-Софт, 2005.- С.570.

[30] Знание данной информации позволяет следователю и иным лицам определить, когда в последний раз была произведена перезагрузка системы, по поводу причины которой присутствующий в ходе осмотра места происшествия штатный it-специалист должен дать свои пояснения.

[31] Также следует отметить, что в данной модели имеется функция защищённой печати, при которой определённый документ можно вывести в материальную форму только, зная пароль, который является ключом к данному файлу.

[32] Абидов А.С. К вопросу о понятии опроса как оперативно-розыскного мероприятия // «Черные дыры» в Российском законодательстве. – 2006. – №3. – С.333.

[33] Маслов А.Г., Шевченко И.А. Опрос – способ поиска и выявления первичной информации о совершенном преступлении // Вестник Саратовской государственной академии права. – 2004. – №2. – С.128.

[34] Оперативно-розыскная деятельность: Учебник. 2-е изд., доп. и перераб. / Под ред. К.К.Горяинова, В.С.Овчинского, Г.К.Синилова, А.Ю. Шумилова. – М.: ИНФРА-М, 2004. – С.327.

[35] Лапин Е.С. Оперативно-розыскная деятельность. Курс правовых и теоретических основ: Учебное пособие. – М.: Юрлитинформ, 2010. – С.23.

[36] Случаи, когда следователь знает о том, что имеющиеся у него материалы не дают ему основания возбудить уголовное дело, но он всё равно принимает такое решение, не подпадают под криминалистический риск, так как в этих обстоятельствах отсутствует информационная неопределённость, а действия лица, производящего расследования являются преступлением.

[37] Т.е. в том случае, когда следователь сам осуществляет опросы лиц, собирает иную информацию, а не пользуется готовыми данными, которые ему представляют сотрудники оперативно-розыскных органов, как в рассмотренном выше по тексту примере.