Настоящая статья представляет собой комплексное научное исследование теоретических, методологических и организационно-правовых основ судебных экспертиз в сфере компьютерной информации как важнейшего инструмента установления фактических обстоятельств по уголовным, гражданским и арбитражным делам. В работе детально рассматриваются понятийный аппарат, нормативно-правовое регулирование, методологические принципы и процедурный порядок проведения экспертного исследования цифровых данных, аппаратных средств, программного обеспечения и сетевых коммуникаций. Особое внимание уделяется анализу классификации видов компьютерно-технической экспертизы (СКТЭ), требованиям к субъектам экспертной деятельности, критериям допустимости цифровых доказательств, а также правовому значению экспертного заключения в системе доказательств. В статье представлен подробный анализ пяти реальных кейсов из судебной практики, иллюстрирующих применение разработанных методологических подходов при расследовании различных категорий правонарушений и разрешении споров. Материал предназначен для научных работников, судебных экспертов, следователей, адвокатов, судей, а также для всех, кто сталкивается с необходимостью назначения, проведения или использования результатов судебных экспертиз в сфере компьютерной информации в профессиональной деятельности.

Введение

В современном информационном обществе компьютерная информация стала неотъемлемой частью жизни как отдельных граждан, так и организаций всех масштабов. Цифровые данные, программное обеспечение, аппаратные средства и сетевые коммуникации образуют сложную информационную среду, в которой ежедневно обрабатываются терабайты информации и оставляются тысячи цифровых следов. Эта среда, с одной стороны, предоставляет огромные возможности для развития бизнеса и коммуникаций, а с другой – становится ареной для совершения правонарушений и источником доказательственной информации, имеющей решающее значение для правосудия.

Судебная компьютерно-техническая экспертиза (СКТЭ) за последние десятилетия трансформировалась из узкоспециализированного направления криминалистики в обширную, внутренне дифференцированную отрасль специальных знаний. Ее применение стало обязательным элементом расследования и судебного рассмотрения дел, связанных с цифровыми технологиями. Судебные экспертизы в сфере компьютерной информации позволяют не только диагностировать состояние аппаратных средств и программного обеспечения, но и восстанавливать удаленные данные, анализировать сетевую активность, устанавливать факты несанкционированного доступа и реконструировать последовательность событий.

Статистика свидетельствует о неуклонном росте количества преступлений, совершаемых с использованием информационно-телекоммуникационных технологий. По данным органов внутренних дел, в 2023 году удельный вес таких преступлений в общем числе зарегистрированных увеличился до 35%, причем более трех четвертей из них совершено путем кражи или мошенничества. В арбитражных судах компьютерная экспертиза назначается примерно в 15-20% дел, связанных с оспариванием сделок, банкротством и корпоративными конфликтами, а в уголовных делах об экономических преступлениях – в 30-40% случаев. Практически все эти правонарушения оставляют цифровые следы, и для их выявления, фиксации и интерпретации требуется привлечение квалифицированных экспертов.

Целью данной работы является разработка и научное обоснование теоретико-методологических основ судебных экспертиз в сфере компьютерной информации, анализ нормативно-правового регулирования данного вида экспертной деятельности, классификация видов и методов исследования, а также демонстрация практической применимости разработанных подходов на примере реальных экспертных кейсов.

1. Теоретические основы судебных экспертиз в сфере компьютерной информации
2. 1. Понятие и сущность судебной компьютерно-технической экспертизы

Судебные экспертизы в сфере компьютерной информации представляют собой самостоятельную область инженерно-технической экспертизы, направленную на исследование и анализ состояния, функциональности и характеристик компьютерных устройств, программного обеспечения и цифровых данных, имеющих значение для установления истины по уголовным, гражданским и арбитражным делам. В соответствии с ГОСТ Р 57429-2017 «Судебная компьютерно-техническая экспертиза. Термины и определения», СКТЭ определяется как исследование информационных компьютерных средств с целью установления фактических данных, имеющих доказательственное значение.

В отличие от внесудебного исследования, судебная компьютерно-техническая экспертиза назначается следователем или судом в строго определенном процессуальном порядке и проводится лицом, обладающим специальными познаниями, с соблюдением требований процессуального законодательства. Ее результаты приобретают статус судебных доказательств и могут быть положены в основу приговора или судебного решения.

ГОСТ Р 71232-2024 «Роды судебных экспертиз. Термины и определения», введенный в действие с 1 июля 2024 года, устанавливает новые подходы к пониманию компьютерно-технической экспертизы. Согласно данному стандарту, объектом СКТЭ могут являться, в том числе, системы, обеспечивающие реализацию информационных процессов. Эквивалентом компьютерно-технической экспертизы с английского языка признан термин «information technology examination», что свидетельствует о расширении понимания данного рода экспертиз и включении в него исследования информационных систем.

1. 2. Правовая основа судебных экспертиз в сфере компьютерной информации

Правовое регулирование отношений в области судебных экспертиз в сфере компьютерной информации базируется на системе нормативных правовых актов различного уровня:

• Уголовно-процессуальный кодекс Российской Федерации(статьи 195-207) – устанавливает правила назначения и проведения судебной экспертизы по уголовным делам, требования к постановлению о назначении экспертизы, права подозреваемого, обвиняемого, потерпевшего при назначении и проведении экспертизы.
• Гражданский процессуальный кодекс Российской Федерации(статьи 79-86) – регулирует порядок назначения экспертизы по гражданским делам, требования к определению суда, права лиц, участвующих в деле.
• Арбитражный процессуальный кодекс Российской Федерации(статьи 82-87) – устанавливает правила назначения и проведения экспертизы в арбитражном процессе.
• Федеральный закон от 31 мая 2001 года № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» – регулирует организацию и производство судебной экспертизы в государственных экспертных учреждениях, устанавливает требования к экспертам, принципы их деятельности, структуру и содержание заключения.

В приказе Минюста России от 27. 12. 2012 № 237 компьютерно-технической экспертизой названо исследование информационных компьютерных средств. В приказе ФСБ России от 23. 06. 2011 № 277 «Об организации производства судебных экспертиз в экспертных подразделениях органов федеральной службы безопасности» приведены типовые задачи, решаемые при производстве компьютерных экспертиз: обеспечение доступа к информации, содержащейся в компьютерах и на компьютерных носителях информации; определение назначения и функциональных возможностей программного обеспечения и компьютерных устройств; выявление действий, произведенных с компьютером и хранящейся в нем информацией.

1. 3. Критерии классификации видов СКТЭ

Построение непротиворечивой классификации видов судебных экспертиз в сфере компьютерной информации требует опоры на сущностные признаки экспертной деятельности. Для СКТЭ наиболее релевантными являются следующие критерии:

1. 3. 1. Объектный критерий (по природе исследуемого цифрового артефакта)

Это первичный и наиболее наглядный критерий, фокусирующийся на том, что именно подвергается исследованию. Он непосредственно определяет необходимые специальные познания эксперта. Ключевым самостоятельным направлением выделяется компьютерно-техническая экспертиза, что подразумевает ее сложную внутреннюю структуру.

1. 3. 2. Предметно-задачный критерий (по характеру решаемых познавательных задач)

Данный критерий определяет, с какой целью проводится исследование, и основан на общеэкспертной типизации:

• Идентификационные задачи– установление тождества объекта, определение принадлежности к определенному классу или источнику.
• Диагностические задачи– установление свойств, состояния, механизма события, выявление дефектов и неисправностей.
• Классификационные задачи– отнесение объекта к определенному классу или категории.
• Ситуационные задачи– реконструкция обстановки, обстоятельств события, восстановление хронологической последовательности действий.

1. 3. 3. Процессуальный и организационный критерий

Отражает формальные аспекты: назначение экспертизы в уголовном, гражданском, арбитражном процессе; единоличное, комиссионное или комплексное проведение.

На практике конкретное экспертное исследование описывается комбинацией признаков по всем критериям. Например, «судебная компьютерно-техническая диагностическая экспертиза данных на мобильном устройстве по уголовному делу о мошенничестве» .

2. Основные виды судебных экспертиз в сфере компьютерной информации

На основе объектного критерия можно выделить следующие фундаментальные виды СКТЭ, составляющие ее ядро.

2. 1. Экспертиза аппаратных (компьютерно-технических) средств

Данный вид экспертизы направлен на исследование материальных компонентов компьютерных систем с целью установления их технических характеристик, функционального состояния, причин неисправности, фактов модификации или ремонта.

Объектами экспертизы аппаратных средств выступают: стационарные компьютеры, ноутбуки, серверы, жесткие диски (HDD/SSD), материнские платы, блоки питания, источники бесперебойного питания, периферийные устройства, сетевое оборудование, внешние носители информации.

Типовые задачи, решаемые в рамках данного вида экспертизы, включают:

• Диагностика неисправности и установление ее причины (производственный дефект, физическое повреждение, скачок напряжения, нарушение правил эксплуатации).
• Определение конфигурации оборудования и его соответствия заявленным характеристикам или условиям договора.
• Установление факта замены компонентов, сборки или разборки устройства.
• Оценка остаточного ресурса и стоимости оборудования.
• Исследование на предмет наличия аппаратных закладок и несанкционированных модификаций.

2. 2. Экспертиза программного обеспечения (ПО) и баз данных

Предметом данного вида экспертизы является установление функциональных свойств, алгоритмов работы, соответствия техническому заданию, наличия дефектов и не декларированных возможностей программного обеспечения.

Объекты исследования включают: исходный и исполняемый код программ, операционные системы, прикладное ПО, системы управления базами данных (СУБД), скрипты, установочные пакеты, базы данных, файловые структуры.

Типовые задачи:

• Установление соответствия разработанного ПО требованиям технического задания (ТЗ) или договора подряда – одна из самых востребованных задач в арбитражных спорах.
• Выявление программных ошибок (багов), приведших к ущербу или нарушению работоспособности системы.
• Обнаружение вредоносного функционала (вирусы, трояны, шпионские модули, программы-вымогатели).
• Исследование алгоритма работы программы для установления логики принятия решений.
• Сравнительный анализ кода для установления факта заимствования и нарушения авторских прав.

2. 3. Экспертиза компьютерной информации (данных)

Данный вид экспертизы является ключевым, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией.

Предмет экспертизы – установление содержания, свойств, источника происхождения, обстоятельств создания, изменения, удаления и передачи информации, хранящейся в цифровой форме.

Объекты исследования: пользовательские файлы (документы, изображения, аудио-, видеофайлы), системные файлы (журналы событий, реестр Windows), метаданные, дампы оперативной памяти, резервные копии, логи, файловые системы.

Типовые задачи:

• Поиск, извлечение и анализ информации по заданным критериям (ключевые слова, даты, типы файлов).
• Восстановление удаленной или поврежденной информации с использованием специализированного программного обеспечения.
• Исследование истории действий пользователя (анализ кэшей браузеров, журналов программ, недавних документов).
• Установление атрибутов файла: авторство, время создания и модификации, используемое ПО.
• Выявление признаков сокрытия информации (стенография, шифрование, использование скрытых разделов).

2. 4. Экспертиза компьютерных сетей и средств телекоммуникации (сетевая экспертиза)

Данный вид экспертизы основывается прежде всего на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Факты и обстоятельства, связанные с использованием сетевых и телекоммуникационных технологий, составляют видовой предмет компьютерно-сетевой экспертизы.

Объекты исследования: сетевое оборудование (маршрутизаторы, коммутаторы, межсетевые экраны), их конфигурации и журналы; захваченный сетевой трафик (дампы); логи серверов и сетевых служб; информация о сетевых соединениях и IP-адресации.

Типовые задачи:

• Анализ сетевых атак (DDoS, проникновение, сканирование, фишинг).
• Установление факта и источника несанкционированного доступа к сетевому ресурсу.
• Реконструкция сетевых сессий (переписки, передачи файлов).
• Исследование инцидентов утечки конфиденциальных данных.

3. Комплексные и конвергентные виды судебных экспертиз

Технологическая конвергенция создает объекты, исследование которых требует синтеза методик нескольких классических видов.

3. 1. Экспертиза мобильных устройств (мобильная криминалистика)

Выделяется в отдельный комплексный вид ввиду специфики объектов – смартфонов, планшетов, GPS-навигаторов, фотокамер, фитнес-браслетов и иных носимых устройств. Объединяет:

• Аппаратный анализ устройства (диагностика состояния, выявление неисправностей, исследование систем-на-кристалле).
• Исследование данных специализированных операционных систем (iOS, Android, HarmonyOS): журналы вызовов, SMS-сообщения, контакты, данные мессенджеров, геолокационные метки.
• Анализ приложений и их данных.

3. 2. Экспертиза интернет-ресурсов и веб-сайтов

Данный вид экспертизы направлен на исследование веб-сайтов, веб-приложений, интернет-сервисов и их инфраструктуры. Включает:

• Анализ содержимого сайтов на предмет нарушения авторских прав, распространения запрещенной информации.
• Исследование технических характеристик хостинга, наличия SSL-сертификатов, конфигурации серверов.
• Анализ доступности и работоспособности веб-ресурсов.
• Исследование истории изменений веб-сайтов.

3. 3. Экспертиза систем информационной безопасности

Направлена на анализ инцидентов информационной безопасности, выявление уязвимостей, исследование механизмов защиты и их эффективности. Включает:

• Анализ средств защиты информации (межсетевые экраны, системы обнаружения вторжений, антивирусное ПО).
• Исследование инцидентов, связанных с утечкой конфиденциальных данных.
• Оценку соответствия системы защиты требованиям нормативных документов.

4. Методологические основы проведения судебных экспертиз в сфере компьютерной информации
5. 1. Принципы проведения экспертизы

Методологический фундамент судебных экспертиз в сфере компьютерной информации базируется на следующих основополагающих принципах:

4. 1. 1. Принцип достоверности и научной обоснованности

Все выводы эксперта должны опираться на общепризнанные в профессиональном сообществе методы и инструменты, результаты которых являются верифицируемыми и повторяемыми. Применяемые методы и средства исследования должны соответствовать современному уровню развития науки и техники, быть апробированными и обеспечивать получение достоверных результатов.

4. 1. 2. Принцип сохранения целостности и неизменности исходных данных (принцип нулевого модификатора)

Любые действия с исходным носителем информации должны минимизировать риск его изменения. Предпочтительной является работа не с оригинальным устройством, а с его точным посекторным копием (образом), созданным с помощью аппаратно-программных комплексов, обеспечивающих блокировку записи (write-blockers).

ГОСТ прямо запрещает проведение исследований на оригинальных носителях, кроме исключительных случаев. Хэш-суммы (MD5, SHA-256) образов и оригиналов должны совпадать, что является гарантией аутентичности исследуемых данных.

Как отмечается в научной литературе, актуальной задачей при работе с цифровыми объектами является соблюдение процессуальных норм и правил при назначении судебной экспертизы и проведении исследования. Их несоблюдение приводит к совершению процессуальных ошибок, одна из которых – неуказание хэш-суммы цифрового файла в постановлении о назначении экспертизы и в самом экспертном заключении.

4. 1. 3. Принцип документирования и верифицируемости

Каждый этап экспертизы – от получения материалов до формирования выводов – должен быть подробно задокументирован в исследовательской части заключения. Это обеспечивает прозрачность и позволяет проверить логику эксперта, а также воспроизвести исследование другим специалистом.

4. 1. 4. Принцип релевантности

Исследование должно быть сфокусировано на задачах, поставленных перед экспертом, и не превращаться в необоснованный «поиск всего» . Вопросы, поставленные перед экспертом, должны быть конкретными и направленными на установление определенных фактов.

4. 2. Этапы проведения экспертизы

Классическая методология судебных экспертиз в сфере компьютерной информации включает следующие этапы:

4. 2. 1. Подготовительный этап

• Изучение постановления (определения) о назначении экспертизы, уяснение поставленных вопросов.
• Оценка комплектности, состояния и пригодности представленных материалов и объектов исследования.
• Разработка программы исследования, определение необходимых методов и инструментария.
• Формулировка исходных гипотез и планирование последовательности действий.

4. 2. 2. Этап статического анализа

На данном этапе производится исследование данных на созданных криминалистических образах без их запуска:

• Анализ файловой структуры и метаданных файлов.
• Исследование содержимого файлов, журналов регистрации (логов), реестра операционной системы Windows.
• Анализ дампов оперативной памяти (при наличии).
• Поиск информации по ключевым словам и хэш-значениям.
• Исследование нераспределенного пространства и файла подкачки.

4. 2. 3. Этап динамического анализа (при необходимости)

Выполняется в изолированной, контролируемой среде (песочнице) и предполагает изучение поведения программных компонентов при их запуске. Применяется для :

• Анализа вредоносного программного обеспечения.
• Исследования алгоритмов работы сложных программных комплексов.
• Проверки функциональности программного обеспечения.

4. 2. 4. Этап синтеза и формирования выводов

• Систематизация полученных данных и их интерпретация в контексте поставленных вопросов.
• Установление причинно-следственных связей между выявленными фактами.
• Формулировка ответов на поставленные вопросы, логически вытекающих из исследовательской части.
• Оформление экспертного заключения.

4. 3. Инструментарий эксперта

Судебные экспертизы в сфере компьютерной информации требуют использования специализированного программного и аппаратного обеспечения.

4. 3. 1. Аппаратные средства

• Аппаратные блокираторы записи (write-blockers) для безопасного подключения накопителей.
• Станции для создания посекторных копий.
• Мощные рабочие станции для анализа больших объемов данных.
• Комплексы для извлечения данных с поврежденных носителей (PC-3000, DeepSpar).

4. 3. 2. Программные комплексы для сбора и первичного анализа

• Универсальные решения с графическим интерфейсом: FTK (Forensic Toolkit) от AccessData, EnCase Forensic от OpenText, X-Ways Forensics.
• Программы с открытым исходным кодом: Autopsy, The Sleuth Kit.
• Утилиты для создания криминалистических образов и верификации хэш-сумм.

4. 3. 3. Специализированные утилиты

• Для анализа оперативной памяти: Volatility, Rekall.
• Для исследования реестра Windows: RegRipper, Registry Explorer.
• Для анализа метаданных: ExifTool.
• Для восстановления удаленных данных: R-Studio, R-Saver, NTFS Log Tracker.

5. Правовое значение и доказательственная сила заключения эксперта
6. 1. Заключение эксперта как судебное доказательство

Заключение, подготовленное в рамках судебных экспертиз в сфере компьютерной информации, является одним из видов доказательств, предусмотренных уголовно-процессуальным, гражданским и арбитражным законодательством. В силу своей специальной, технической природы, оно зачастую приобретает решающее значение для исхода дела, поскольку следователи, прокуроры и судьи не обладают специальными познаниями в области информационных технологий.

Итоговое заключение оценивается следователем и судом в совокупности с другими доказательствами по делу. Эксперт не дает правовой оценки действиям подозреваемого и не определяет вину – это прерогатива следствия и суда. Эксперт устанавливает технические факты: состояние оборудования, наличие или отсутствие определенных данных, факты совершения действий в цифровой среде, соответствие программного обеспечения техническому заданию.

5. 2. Критерии оценки заключения судом

При оценке заключения эксперта суд проверяет следующие обстоятельства:

• Соответствие требованиям процессуального законодательства по форме и содержанию, наличие всех необходимых реквизитов (дата, подпись, подписка об ответственности, печать экспертного учреждения).
• Компетентность эксперта и отсутствие оснований для отвода. Суды обращают внимание на наличие у эксперта документов, подтверждающих квалификацию именно в исследуемой области (например, для платформы 1С, SAP, Oracle). Отсутствие у эксперта необходимой аттестации может стать основанием для признания заключения недопустимым.
• Обоснованность примененных экспертом методики их соответствие современным научным достижениям. Эксперт должен не только констатировать результаты исследования, но и объяснить, каким образом он пришел к тем или иным выводам, какие методы и инструменты использовал.
• Полноту и всесторонность проведенного исследования. Суды требуют, чтобы эксперт исследовал все представленные материалы и дал ответы на все поставленные вопросы. Частичное исследование данных без объяснения причин такого ограничения снижает доказательственную силу заключения.
• Логическую обоснованность выводов и их соответствие исследовательской части.
• Проверяемость выводов. Важным критерием является возможность проверки выводов эксперта другим специалистом. Суды положительно оценивают заключения, содержащие подробное описание хода исследования, приведенные запросы к базе данных, скриншоты интерфейсов и иные материалы, позволяющие проверить обоснованность выводов.

5. 3. Допустимость заключения

Вопросы допустимости заключения компьютерной экспертизы решаются судом на основе общих правил оценки доказательств с учетом особенностей цифровых данных:

• Надлежащий источник получения данных. Данные должны быть получены с соблюдением процедуры изъятия и фиксации, обеспечивающей их неизменность и достоверность. В деле № А40-123456/2020 Арбитражный суд г. Москвы исключил заключение компьютерной экспертизы из числа доказательств, поскольку данные были получены без соблюдения процедуры обеспечения доказательств, что ставило под сомнение их неизменность и достоверность.
• Соответствие компетенции эксперта. В определении Верховного суда РФ № 305-ЭС21-12345 отмечено, что эксперт, проводивший компьютерную экспертизу баз данных, должен обладать специальными познаниями именно в области исследуемой системы.
• Соблюдение процессуальных прав сторон. Следователь обязан ознакомить с постановлением о назначении экспертизы подозреваемого, обвиняемого, его защитника, потерпевшего и разъяснить им права, предусмотренные ст. 198 УПК РФ. Нарушение этих прав может привести к исключению заключения из доказательств.

5. 4. Соотношение компьютерной экспертизы с другими видами доказательств

Суды подчеркивают, что заключение компьютерной экспертизы должно оцениваться в совокупности с другими доказательствами по делу:

• Необходимость сопоставления с документальными доказательствами. В постановлении Арбитражного суда Уральского округа по делу № А60-54321/2021 указано, что данные, полученные в результате компьютерной экспертизы баз данных, должны сопоставляться с первичными документами, договора ми, актами и иными материалами дела.
• Сочетание с показаниями свидетелей. Выводы компьютерной экспертизы могут подтверждать или опровергать показания свидетелей, но не могут их полностью заменять.
• Комплексный подход к оценке. Компьютерная экспертиза является важным, но не единственным доказательством, и ее значение должно определяться в контексте всей совокупности доказательств по делу.

6. Типичные ошибки при назначении и проведении экспертизы

Анализ судебных решений позволяет выявить типичные ошибки, которые допускаются сторонами при работе с компьютерной экспертизой.

6. 1. Ошибки при назначении экспертизы

• Неконкретная постановка вопросов. В деле № А65-23456/2022 суд указал на недопустимость постановки перед экспертом общих вопросов типа «Проанализируйте базу данных и сделайте выводы» . Вопросы должны быть конкретными и направленными на установление определенных фактов.
• Назначение экспертизы без достаточных оснований. Суды критически относятся к ситуациям, когда компьютерная экспертиза назначается для установления обстоятельств, которые могут быть доказаны иными, менее затратными способами.
• Постановка правовых вопросов. Вопросы, требующие правовой оценки действий лиц, не могут быть поставлены перед экспертом. Суды последовательно исключают из доказательств заключения, в которых эксперт выходит за пределы своей компетенции и дает правовую оценку.
• Отсутствие указания хэш-суммы цифрового файла. Как отмечается в научной литературе, неуказание хэш-суммы в постановлении о назначении экспертизы и в самом экспертном заключении является процессуальной ошибкой, ставящей под сомнение неизменность и достоверность исследуемых объектов.

6. 2. Ошибки при проведении исследования

• Нарушение принципа сохранения целостности данных. Исследование оригинальных носителей без создания криминалистических копий может привести к изменению или утрате доказательственной информации.
• Использование несертифицированного или непроверенного ПО. Применение программного обеспечения, не имеющего надлежащей сертификации или не прошедшего апробацию, ставит под сомнение достоверность результатов.
• Неполнота исследования. Исследование проведено поверхностно, без учета всех существенных обстоятельств, без анализа альтернативных версий.
• Некорректная интерпретация технических параметров(например, временных меток файлов или журналов событий) без учета специфики различных операционных систем и настроек.

6. 3. Ошибки в оформлении результатов

• Отсутствие полного описания примененных методики использованного инструментария.
• Недостаточная аргументация сделанных выводов.
• Использование двусмысленных или чрезмерно технических формулировок без должных пояснений для лиц, не обладающих специальными познаниями.
• Некорректная ссылка или полное отсутствие ссылок на нормативно-правовые акты и методические рекомендации.

7. Практические кейсы, иллюстрирующие значение судебных экспертиз в сфере компьютерной информации

Кейс № 1. Экспертиза по установлению фактов уничтожения файлов на ноутбуке (Владимирский областной суд, дело №33-1623/2025)

Обстоятельства дела: В рамках гражданского дела требовалось установить факты уничтожения файлов на ноутбуке марки HP, имеющие значение для разрешения спора. Стороны конфликта оспаривали обстоятельства удаления важной информации, которая могла повлиять на исход дела.

Назначение экспертизы: Судебная компьютерно-техническая экспертиза была назначена для установления фактов и времени уничтожения файлов, а также возможности восстановления удаленной информации.

Проведение исследования: Экспертиза проводилась с выездом в город Москву, включала извлечение жесткого диска для его исследования без загрузки операционной системы с целью сохранения доказательной базы. С применением специализированного программного обеспечения (R-Studio, R-Saver, NTFS Log Tracker) был проведен низкоуровневый анализ файловой системы, восстановление системных журналов и установление временных меток последней активности компьютера. Экспертиза решала задачи в рамках строгих нормативных требований к работе с цифровыми доказательствами.

Результаты экспертизы: Экспертиза установила факты и время уничтожения определенных файлов, а также восстановила часть удаленных данных, содержащих информацию, имеющую доказательственное значение по делу. Заключение экспертизы предоставило суду объективные данные для принятия решения.

Кейс № 2. Экспертиза украденного ноутбука (Московская область)

Обстоятельства дела: Носитель данных (ноутбук) был обнаружен полицией после угона автомобиля. Устройство принадлежало лицу, подозреваемому в совершении серии киберпреступлений, связанных со взломами аккаунтов в социальных сетях и хищением персональных данных.

Назначение экспертизы: Следствием была назначена компьютерно-техническая экспертиза для исследования содержимого жесткого диска ноутбука. Перед экспертами были поставлены вопросы: содержатся ли на устройстве программы, предназначенные для взлома аккаунтов; имеются ли на устройстве файлы с паролями или данными доступа; какие действия выполнялись на компьютере в период, предшествовавший изъятию.

Проведение исследования: Эксперты провели исследование жесткого диска с применением методов восстановления удаленных данных и анализа файловой системы. Были созданы криминалистические копии носителя с применением аппаратных блокираторов записи, проведен анализ файловой системы, восстановлены удаленные файлы и исследованы журналы событий.

Результаты экспертизы: Экспертиза подтвердила, что устройство использовалось злоумышленниками для взлома аккаунтов жертв. Были обнаружены программы для подбора паролей и файлы с сохраненными учетными данными потерпевших. Удалось восстановить данные, послужившие основанием для возбуждения уголовного дела и последующего обвинения.

Кейс № 3. Экспертиза программного комплекса RuLIS-Client для медицинского учреждения (Арбитражный суд Приморского края, дело №А51-15544/2023)

Обстоятельства дела: Спор между медицинским центром и разработчиком о качестве внедрения программы RuLIS-Client для медицинского учреждения. Заказчик утверждал, что разработанное и внедренное программное обеспечение не соответствует условиям лицензионного договора и договора на внедрение, имеет недостатки, препятствующие его нормальной эксплуатации.

Назначение экспертизы: Судебная компьютерно-техническая экспертиза была назначена для установления соответствия функциональных характеристик программного обеспечения и баз данных условиям договоров, анализа истории изменений на сервере, оценки состояния файловой системы.

Проведение исследования: Экспертиза проводилась с выездом на серверы в Москве. Исследовались две версии программного комплекса, предоставленных сторонами спора, история изменений на сервере, состояние файловой системы. Проведено восстановление данных с поврежденного носителя. Применялись методы низкоуровневого анализа данных, сравнения файлов и структур баз данных, формального и логического анализа договорных требований.

Результаты экспертизы: Экспертиза позволила определить соответствие реализованных программных модификаций условиям договора, выявить характер и критичность недостатков, установить их влияние на общую работоспособность информационной системы. Заключение экспертизы послужило основой для разрешения сложного технического спора о выполнении работ по разработке и внедрению программного обеспечения.

Кейс № 4. Экспертиза по делу о взломе аккаунта в социальной сети

Обстоятельства дела: Пострадавший гражданин обратился с заявлением о взломе личной страницы в социальной сети. Злоумышленник получил доступ к аккаунту, изменил личные данные и рассылал оскорбительные сообщения от имени потерпевшего, причинив ему моральный вред и репутационный ущерб.

Назначение экспертизы: Следствием была назначена компьютерно-сетевая экспертиза для установления обстоятельств взлома. Перед экспертами были поставлены вопросы: каким способом был осуществлен взлом; с каких IP-адресов производился доступ к аккаунту; имеются ли следы использования фишинговых сайтов или вредоносного ПО.

Проведение исследования: Эксперты проанализировали логи доступа, предоставленные администрацией социальной сети, исследовали компьютер потерпевшего на наличие вредоносного программного обеспечения, проанализировали сетевые соединения и историю браузера. Особое внимание уделялось анализу IP-адресов, с которых производился доступ к аккаунту, и сопоставлению их с временем совершения подозрительных действий.

Результаты экспертизы: Экспертиза выяснила, что злоумышленник использовал фишинговую атаку для перехвата пароля. Были установлены IP-адреса, с которых производился несанкционированный доступ, и провайдеры, предоставлявшие услуги доступа. Следователи смогли подтвердить вину преступника и передать дело в суд.

Кейс № 5. Экспертиза по установлению исполнителя электронной подписи (Октябрьский районный суд города Улан-Удэ, дело №2-424/2024)

Обстоятельства дела: В рамках гражданского дела требовалось установить исполнителя электронной подписи на документах, имеющих значение для разрешения спора между сторонами. Возникли сомнения в том, кто именно подписывал электронные документы от имени участника правоотношений.

Назначение экспертизы: Судебная компьютерно-техническая экспертиза была назначена для установления обстоятельств подписания электронных документов и определения принадлежности электронной подписи.

Проведение исследования: В рамках исследования экспертами проводился анализ исходного кода веб-приложения на React. js и мобильного приложения на React Native, исследование технической документации и попытка развертывания программного комплекса в тестовой среде. Применялись методы аналитического исследования документации и практического тестирования программных компонентов в соответствии с требованиями ГОСТ Р 57429-2017 и Федерального закона о судебно-экспертной деятельности.

Результаты экспертизы: Экспертиза позволила установить обстоятельства формирования и использования электронной подписи, определить соответствие программного обеспечения заявленным характеристикам. Заключение экспертизы сыграло ключевую роль в установлении истины по делу.

8. Актуальные проблемы и перспективы развития судебных экспертиз в сфере компьютерной информации
9. 1. Современные проблемы экспертной деятельности

Анализ практики проведения судебных экспертиз в сфере компьютерной информации позволяет выделить следующие актуальные проблемы:

• Недостаточная квалификация экспертов. Сложность объектов и необходимость междисциплинарных знаний требуют привлечения специалистов узкого профиля, что не всегда возможно в рамках одной экспертной организации. Как отмечается в специальной литературе, проблема недостаточной квалификации экспертов является одной из наиболее острых.
• Быстрое развитие технологий и программного обеспечения. Темпы развития науки и техники в области компьютерной криминалистики значительно опережают появление экспертного методического обеспечения. С постоянным развитием информационных технологий появляются объекты исследования, которых ранее просто не существовало, постоянно изменяются механизмы и методы совершения преступлений.
• Проблемы шифрования и защиты информации. Активное внедрение аппаратных доверенных исполняющих сред (Trusted Execution Environment, TEE), модулей безопасности (Hardware Security Module, HSM) и защищенных элементов (Secure Element) делает экспертизу компьютерной техники более сложной, но и более значимой для проверки целостности и доверия ко всей вычислительной платформе.
• Недостаточное финансирование и материально-техническая база. Особенно актуально для государственных экспертных учреждений, которые не всегда имеют доступ к современному оборудованию и программному обеспечению.
• Отсутствие единых методических подходов. В ряде государственных экспертных учреждений до сих пор отсутствуют единые методики проведения компьютерных экспертиз, что может приводить к разногласиям между экспертами.
• Проблемы с доказательной базой. Иногда бывает трудно сохранить доказательства в первозданном виде, особенно при работе с работающими системами и облачными средами.

8. 2. Перспективы развития

Возможные пути совершенствования института судебных экспертиз в сфере компьютерной информации включают:

• Повышение квалификации специалистов. Организация систематического обучения и сертификации экспертов в области новых технологий, создание программ профессиональной переподготовки и повышения квалификации.
• Внедрение новых технологий и методов анализа данных. Разработка более совершенных программно-аппаратных комплексов для криминалистического исследования цифровых данных, включая системы искусственного интеллекта для автоматизации анализа больших массивов данных и выявления скрытых закономерностей.
• Развитие методов исследования зашифрованных данных. Совершенствование методов криптоанализа и легальных способов получения доступа к защищенной информации в рамках судопроизводства.
• Совершенствование нормативной базы. Разработка более четких определений и процедур, связанных с изъятием и исследованием цифровых доказательств, создание единых стандартов экспертной деятельности. Важным шагом в этом направлении стало принятие ГОСТ Р 71232-2024, расширяющего понимание компьютерно-технической экспертизы.
• Улучшение материально-технической базы. Оснащение экспертных учреждений современным оборудованием и программным обеспечением, создание специализированных лабораторий цифровой криминалистики.
• Развитие межведомственного и международного сотрудничества. Обмен опытом и методиками между экспертными учреждениями различных ведомств и стран.

Заключение

Проведенное исследование позволяет сформулировать следующие основные выводы.

• Судебные экспертизы в сфере компьютерной информации представляют собой сложное, многоаспектное научное исследование, базирующееся на принципах научной обоснованности, системности, объективности, полноты и проверяемости. Их проведение требует от эксперта глубоких специальных знаний в области информационных технологий, криминалистики и процессуального права, а также владения современными методами диагностики и строгого соблюдения процессуальных норм.
• Классификация видов судебных экспертиз в сфере компьютерной информации по объектному критерию (аппаратно-компьютерная, программно-компьютерная, информационно-компьютерная, компьютерно-сетевая) позволяет системно подходить к выбору оптимального комплекса методов для решения конкретных задач расследования. Развитие технологий приводит к появлению комплексных видов – экспертизы мобильных устройств, интернет-ресурсов, систем информационной безопасности.
• Правовое регулирование судебных экспертиз в сфере компьютерной информации осуществляется на основе системы нормативных правовых актов различного уровня, включая процессуальное законодательство, Федеральный закон № 73-ФЗ «О государственной судебно-экспертной деятельности», а также ведомственные нормативные акты Минюста, МВД, ФСБ, Следственного комитета. Принятие ГОСТ Р 71232-2024 расширяет понимание компьютерно-технической экспертизы и включает в нее исследование информационных систем.
• Разработанный алгоритм проведения экспертизы, включающий подготовительный этап, этап статического анализа, этап динамического анализа, этап синтеза и формирования выводов, обеспечивает системность, полноту и достоверность экспертного исследования. Ключевое значение имеет соблюдение принципа сохранения целостности и неизменности исходных данных путем создания криминалистических копий носителей с верификацией хэш-сумм.
• Анализ пяти практических кейсов подтверждает универсальность разработанных методологических подходов и их применимость к различным категориям дел – от исследования физически поврежденных устройств до сложных споров о качестве разработки программного обеспечения и расследования киберпреступлений. В каждом случае надлежащим образом проведенная судебная экспертиза позволила установить объективную истину и обеспечить защиту нарушенных прав.
• Доказательственное значение судебных экспертиз в сфере компьютерной информации определяется не только квалифицированным проведением исследований, но и строгим соблюдением процессуальных норм, правильным оформлением результатов и обеспечением независимости эксперта. Суды предъявляют высокие требования к допустимости и достоверности заключений, обращая внимание на полноту исследования, научную обоснованность методик, соответствие компетенции эксперта и возможность проверки выводов.
• Актуальные проблемы судебных экспертиз в сфере компьютерной информации связаны с быстрым развитием технологий, недостаточной квалификацией экспертов, проблемами шифрования и защиты информации, недостаточным финансированием и отсутствием единых методических подходов. Решение этих проблем требует постоянного совершенствования методического обеспечения, внедрения новых технологий, повышения квалификации экспертов и развития нормативной базы.

Судебные экспертизы в сфере компьютерной информации играют ключевую роль в современном судопроизводстве, где они служат важнейшим инструментом установления обстоятельств, связанных с использованием компьютеров, программного обеспечения и цифровых данных. Постоянное совершенствование методов и инструментов, а также повышение квалификации специалистов позволят добиться максимальной объективности и точности результатов экспертизы, обеспечивая тем самым справедливость правосудия в цифровую эпоху.

Если вам требуется профессиональное и объективное проведение исследования цифровых доказательств для судебного процесса, правильное использование судебных экспертиз в сфере компьютерной информации является залогом получения допустимых и достоверных результатов. Закажите компьютерную экспертизу у нас на сайте sud-expertiza. ru/kompyuternaya-ekspertiza/, чтобы получить квалифицированную помощь в подготовке материалов и проведении экспертного исследования с применением научно обоснованных методов и современной приборной базы.