Информационно-компьютерная экспертиза (ИКТЭ) представляет собой один из видов судебно-технической экспертизы, направленный на исследование цифровой информации, расположенной на компьютерных носителях, с целью получения и анализа искомых данных. Такой вид экспертизы необходим для поиска, выявления, анализа и оценки цифровой информации, представляющей интерес для конкретного дела.

Задача ИКТЭ заключается в предоставлении экспертного мнения по ряду вопросов, связанных с восприятием, отображением и структурой информации, хранящейся на электронных носителях. Искомая информация включает:

• Пользовательские файлы (графические, текстовые, аудио- и видеоданные),
• Лог-файлы и журналы операций,
• Содержимое баз данных,
• Дамп оперативной памяти,
• Адреса компьютерных устройств и сетевые журналы.

Объектами ИКТЭ являются:

• Электронные носители информации (жёсткие диски, флеш-карты, CD/DVD),
• Серверы, личные компьютеры, ноутбуки, планшеты,
• Хранящиеся на устройствах данные (разнообразные форматы файлов, базы данных, информация из сети Internet).

Когда назначается информационно-компьютерная экспертиза

ИКТЭ назначается в самых широких сферах гражданского и уголовного судопроизводства. Особенно актуальна она в случаях, когда необходимо исследовать цифровые следы, относящиеся к конкретному событию или лицу.

Примеры применения ИКТЭ:

• Гражданские дела: исследования авторских прав, интеллектуальная собственность, плагиат, выявление рекламных объявлений, нарушающих законодательство.
• Уголовные дела: выявление и исследование порнографических материалов, экстремистских высказываний, наркотиков и прекурсоров, запрещённых веществ и предметов.
• Арбитражные дела: разрешение споров о контрактах, торгах, маркетинге, рекламе, налоговых нарушениях.

Кроме того, нередко после проведения ИКТЭ назначаются дополнительные виды экспертиз (лингвистическая, психолого-психиатрическая, искусствоведческая и др.) для точной квалификации найденной информации.

Основные задачи информационно-компьютерной экспертизы

ИКТЭ призвана решать широкий спектр задач, связанных с анализом цифровых данных и их использованием в правоприменительной практике. Наиболее распространенные задачи включают:

• Определение способа форматирования носителя информации и особенностей записи данных.
• Выявление характеристик физического расположения информации на носителе.
• Анализ логического распределения данных на носителе.
• Определение атрибутов данных (размеры файлов, общее количество данных, названия и типы файлов, даты их создания и изменения).
• Определение вида информации (явная, скрытая, удалённая, архивированная).
• Идентификация типов файлов и программ, необходимых для их просмотра и обработки.
• Оценка механизма доступа к данным, его характеристик и ограничений.
• Изучение средств защиты информации, выявление путей её преодоления.
• Установление наличия и содержания защищённой информации.
• Исследование текущего состояния данных и их соответствия типичному состоянию на аналогичном носителе.
• Выявление несоответствий данных и определение их природы (повреждение, заражение вредоносным кодом и т.д.).
• Установление потребительских свойств и назначения данных.
• Поиск данных, относящихся к расследуемому делу.
• Найти информацию о владельце или пользователе компьютерной системы.
• Установить сходство данных с образцами, представленными на экспертизу.

Что исследуется при проведении информационно-компьютерной экспертизы

Объектами исследования при проведении ИКТЭ являются:

• Носители информации (жёсткие диски, флеш-накопители, карты памяти и т.д.).
• Электронные документы и файлы (тексты, графики, видео, аудио, электронные таблицы, базы данных).
• Журнал событий операционной системы и программ.
• Лог-файлы и системные журналы.
• Архивные и резервные копии данных.
• Электронная почта, чаты, социальные сети, страницы Web-сайтов.
• Сведения о настройках безопасности и доступах.

Эти объекты представляют собой основу для анализа и последующего экспертного заключения.

Типовые вопросы информационно-компьютерной экспертизы

Вопросы, решаемые в рамках ИКТЭ, могут быть разнообразными и зависят от конкретной ситуации. Тем не менее, можно выделить типовые вопросы, встречающиеся в большинстве случаев:

• Как отформатирован носитель информации и в каком виде записаны данные?
• Каковы характеристики физического размещения данных на носителе?
• Каковы характеристики логического размещения данных на носителе?
• Какие атрибуты и характеристики имеют данные на носителе?
• Какого вида информация находится на носителе (явная, скрытая, удалённая, архивированная)?
• К какому типу относятся обнаруженные данные (текст, изображение, база данных и т.д.)?
• Как организован доступ к данным и каковы его характеристики?
• Имеются ли на носителе средства защиты данных и каковы возможные пути их преодоления?
• Каково содержание защищённых данных?
• Соответствует ли текущее состояние данных типичному состоянию на таком носителе?
• Имеется ли в данных какое-либо несоответствие (повреждения, вредоносные включения и т.д.)?
• Каковы потребительские свойства и назначение данных?
• Какие данные, относящиеся к расследуемому делу, находятся на носителе?
• Есть ли данные о пользователе или собственнике компьютера на представленном носителе?
• Сходны ли данные на носителе с образцом, представленным на экспертизу?

Практика и нормативное регулирование информационно-компьютерной экспертизы

На сегодняшний день практика проведения ИКТЭ хорошо отработана и регулируется многочисленными нормативными актами, включая Федеральный закон №73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации», Уголовно-процессуальный кодекс РФ, Арбитражный процессуальный кодекс РФ и Гражданский процессуальный кодекс РФ.

Необходимо отметить, что экспертиза проводится в строгом соответствии с нормативными документами и с соблюдением принципов непредвзятости, объективности и научности. Результатом экспертизы является экспертное заключение, которое содержит описание методики исследования, полученных данных и сделанные выводы.

В рамках Федерального закона №73-ФЗ предусмотрена обязанность эксперта сохранять конфиденциальность информации, полученной в ходе исследования, а также ответственность за достоверность и объективность экспертного заключения.

Проблемы и перспективы развития информационно-компьютерной экспертизы

Основные проблемы, с которыми сталкиваются эксперты при проведении ИКТЭ, включают:

• Быстрое устаревание технологий и методов исследования.
• Отсутствие единой нормативной базы и общероссийских стандартов.
• Проблема обеспечения безопасности данных и защиты от несанкционированного доступа.
• Низкий уровень квалификации экспертов в ряде регионов.

Перспективы развития ИКТЭ связаны с совершенствованием методологии, разработкой новых методов и инструментов, а также улучшением нормативно-правовой базы. В ближайшее время планируется расширение использования методов искусственного интеллекта и машинного обучения для повышения эффективности и точности экспертиз.

Заключение

Информационно-компьютерная экспертиза является важным инструментом для установления истинных обстоятельств дела в современных условиях цифровизации общества. Развитие ИКТЭ вносит существенный вклад в борьбу с киберпреступностью, коррупцией, налоговыми нарушениями и другими преступлениями, связанными с использованием информационных технологий. Федерация судебных экспертов поддерживает инициативы по совершенствованию методологии и стандартов проведения ИКТЭ, стремясь обеспечить наилучший уровень обслуживания и максимального удовлетворения потребностей заказчиков.