В статье представлено комплексное научное исследование информационно-компьютерной экспертизы как фундаментального вида судебной компьютерно-технической экспертизы, интегрирующего методы анализа данных, криминалистики и информационных технологий. Рассматриваются теоретико-методологические основания, нормативно-правовая база, объекты и предмет данного вида экспертизы, а также классификация решаемых задач. Особое внимание уделяется роли ГОСТ Р 57429-2017 в унификации понятийного аппарата и методологии исследования информации, созданной пользователем или порожденной программами. На основе анализа пяти практических кейсов из судебной практики демонстрируется значение профессиональной информационно-компьютерная экспертиза в установлении обстоятельств, имеющих значение для разрешения гражданских, арбитражных и уголовных дел.

Введение: актуальность и проблематика исследования

В эпоху цифровой трансформации всех сфер общественной жизни информация, создаваемая и обрабатываемая с помощью компьютерных средств, приобретает критическое значение как объект правовой защиты и как источник доказательств. Информационно-компьютерная экспертиза представляет собой специализированный вид судебной компьютерно-технической экспертизы, направленный на поиск, обнаружение, анализ и оценку информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе. Данный вид экспертизы является ключевым инструментом для установления обстоятельств, связанных с созданием, хранением, передачей и уничтожением цифровой информации.

Актуальность глубокого научного осмысления информационно-компьютерной экспертизы обусловлена комплексом факторов. Во-первых, стремительное увеличение объема цифровых данных, вовлекаемых в орбиту судебных разбирательств, требует разработки и совершенствования методологических подходов к их исследованию. Во-вторых, внедрение национального стандарта ГОСТ Р 57429-2017 «Судебная компьютерно-техническая экспертиза. Термины и определения» создало терминологическую основу для унификации понятийного аппарата, однако не решило в полной мере вопросы методического обеспечения экспертной деятельности. В-третьих, практика показывает, что корректное проведение информационно-компьютерной экспертизы на стадии предварительного расследования и судебного разбирательства предопределяет возможность установления объективной истины по делу и доказательственную силу полученного заключения.

Глава 1. Теоретико-методологические основы информационно-компьютерной экспертизы

1. 1. Понятие и правовая природа информационно-компьютерной экспертизы

В системе судебной компьютерно-технической экспертизы (СКТЭ) выделяются четыре основных вида: аппаратно-компьютерная, программно-компьютерная, информационно-компьютерная и компьютерно-сетевая экспертиза. Информационно-компьютерная экспертиза (экспертиза данных) занимает особое место, поскольку позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией.

Согласно научной доктрине, предметом информационно-компьютерной экспертизы являются факты и обстоятельства, имеющие значение для дела и устанавливаемые на основе исследования закономерностей создания, обработки, хранения и передачи информации в компьютерных системах. Данный вид экспертизы интегрирует методы нескольких научно-прикладных дисциплин: теории информации, криминалистики, программирования, системного анализа и математической статистики.

1. 2. Нормативно-правовая база

Правовую основу проведения информационно-компьютерной экспертизы составляет комплекс законодательных и нормативных актов Российской Федерации:

• Федеральный закон от 31. 05. 2001 № 73-ФЗ«О государственной судебно-экспертной деятельности в Российской Федерации» – определяет правовые основы, принципы организации и основные направления судебно-экспертной деятельности.
• ГОСТ Р 57429-2017«Судебная компьютерно-техническая экспертиза. Термины и определения» – устанавливает термины и определения понятий, применяемые в судебной компьютерно-технической экспертизе, и рекомендован для применения во всех видах документации и литературы в данной области. Требования стандарта распространяются в равной степени как на государственных, так и на негосударственных судебных экспертов.
• Процессуальные кодексы– Арбитражный процессуальный кодекс РФ (статья 82), Гражданский процессуальный кодекс РФ (статья 79), Уголовно-процессуальный кодекс РФ (статья 195) – регламентируют порядок назначения и проведения судебной экспертизы.

1. 3. Объекты информационно-компьютерной экспертизы

Объектами информационно-компьютерная экспертиза являются данные и информация, созданные пользователем или порожденные программами в процессе функционирования компьютерных систем. В соответствии с ГОСТ Р 57429-2017 и сложившейся экспертной практикой, к объектам относятся:

• Текстовые документы– файлы, созданные с использованием текстовых редакторов (Microsoft Word, LibreOffice Writer и др. ), содержащие значимую для дела информацию.
• Графические документы– изображения, фотографии, чертежи, схемы, созданные с использованием графических редакторов или полученные в результате цифровой съемки.
• Электронные таблицы– файлы, содержащие расчеты, базы данных, финансовую и бухгалтерскую информацию.
• Базы данных– структурированные массивы информации, организованные в соответствии со структурой и правилами обеспечения целостности данных.
• Файлы мультимедиа– аудио- и видеозаписи, содержащие информацию, имеющую доказательственное значение.
• Метаданные файлов– характеристики файла, определяемые операционной системой и прикладным программным обеспечением, включая даты создания, модификации и доступа.
• Журналы событий (логи)– системные записи, фиксирующие действия пользователей, работу программ и состояние системы.
• Электронная почта и сообщения– корреспонденция в виде сообщений, передаваемая между пользователями через вычислительную сеть.

1. 4. Задачи информационно-компьютерной экспертизы

Типовые задачи, решаемые в рамках информационно-компьютерная экспертиза, включают:

• Поиск и обнаружение информации– выявление файлов и данных, соответствующих заданным критериям (ключевые слова, даты, типы файлов, авторы).
• Извлечение информации– получение доступа к данным, в том числе защищенным паролем, зашифрованным или скрытым.
• Восстановление удаленной информации– процесс получения доступа к информации, размещенной на машинном носителе в областях, ранее определенных файловой системой как конкретный файл.
• Восстановление поврежденных файлов– процесс восстановления структуры файла с целью получения доступа к информации.
• Анализ метаданных– исследование атрибутов файлов для установления времени создания, модификации, доступа, а также авторства и используемого программного обеспечения.
• Исследование истории действий пользователя– анализ кэшей браузеров, журналов программ, списков недавних документов для реконструкции последовательности действий.
• Установление атрибутов файла– определение авторства, времени создания и модификации, используемого ПО для создания документа.
• Выявление признаков сокрытия информации– обнаружение стеганографии, шифрования, маскировки файлов.

Глава 2. Методологический аппарат и классификация методов исследования

2. 1. Системный подход к организации экспертного исследования

Процесс информационно-компьютерная экспертиза базируется на принципах системного анализа и включает несколько последовательных этапов, обеспечивающих системность, полноту и доказательную силу исследования.

Подготовительный этап включает анализ постановления (определения) о назначении экспертизы, изучение поставленных вопросов, ознакомление с предоставленными объектами и материалами дела. На данном этапе эксперт оценивает достаточность объектов для ответа на поставленные вопросы, при необходимости заявляет ходатайство о предоставлении дополнительных материалов.

Этап создания криминалистических копий является критически важным для сохранения доказательной базы. С применением аппаратных или программных write-blockers создаются посекторные копии носителей информации с обязательным расчетом контрольных хэш-сумм для верификации неизменности данных. Работа с оригинальными носителями не допускается, за исключением случаев, когда это технически невозможно.

Этап поиска и обнаружения информации включает применение специализированного программного обеспечения для сканирования файловых систем, поиска файлов по заданным критериям, выявления скрытых и защищенных данных.

Этап анализа и исследования представляет собой центральную часть работы, где применяются методы, описанные в разделе 2. 2.

Этап фиксации результатов и формулирования выводов завершает исследование оформлением экспертного заключения, содержащего подробное описание проведенных исследований и обоснованные выводы.

2. 2. Классификация методов исследования

Методологический аппарат информационно-компьютерная экспертиза включает широкий спектр методов, классифицируемых по различным основаниям.

По характеру получаемой информации:

• Методы анализа метаданных– исследование встроенной информации о файлах (даты создания, модификации, доступа; информация об авторе; история изменений). Специализированное программное обеспечение, такое как ExifTool и X-Ways Forensics, позволяет изучать внутреннюю структуру документов, версии программного обеспечения и операционных систем, использованные при их создании, а также временные метки контейнеров и идентификаторы GUID.
• Методы контент-анализа– исследование содержательной части файлов для установления их смыслового наполнения, выявления ключевых слов, фактов, обстоятельств.
• Методы сравнительного анализа– сопоставление различных версий файлов, баз данных, программных продуктов для установления сходств и различий, выявления внесенных изменений.

По способу получения данных:

• Статические методы– исследование информации в неизменном виде, без воздействия на исследуемый объект.
• Динамические методы– анализ функционирования программного обеспечения в процессе его работы, наблюдение за создаваемыми и изменяемыми файлами, сетевыми соединениями.

По целевому назначению:

• Поисковые методы– обнаружение информации по заданным критериям.
• Идентификационные методы– установление тождества объектов (например, принадлежности документа конкретному автору).
• Диагностические методы– определение состояния, свойств и признаков объекта.
• Реконструкционные методы– восстановление хронологии событий, последовательности действий пользователя.

2. 3. Специализированное программное обеспечение

Для проведения информационно-компьютерной экспертизы применяется широкий спектр специализированного программного обеспечения:

• Средства криминалистического копирования– EnCase Forensic, FTK Imager, Tableau Imager – для создания точных посекторных копий носителей информации.
• Средства анализа файловых систем– X-Ways Forensics, Belkasoft Evidence Center, Autopsy – для исследования структуры файловых систем, поиска удаленных файлов, анализа метаданных.
• Средства восстановления данных– R-Studio, R-Saver, UFS Explorer – для восстановления удаленных и поврежденных файлов.
• Средства анализа метаданных– ExifTool, Metadact – для извлечения и анализа метаданных файлов различных форматов.
• Средства анализа электронной почты– MailXaminer, Aid4Mail – для исследования почтовых баз и сообщений.
• Средства анализа мобильных устройств– UFED, MOBILedit, Oxygen Forensic Detective – для извлечения и анализа данных из мобильных телефонов и планшетов.

Глава 3. Процессуальный порядок и организация проведения экспертизы

3. 1. Назначение информационно-компьютерной экспертизы

Назначение информационно-компьютерная экспертиза осуществляется в порядке, установленном процессуальным законодательством. Основанием для проведения является определение суда (в гражданском или арбитражном процессе) или постановление следователя (в уголовном процессе). В определении (постановлении) указываются:

• основания для назначения экспертизы;
• фамилия, имя, отчество эксперта или наименование экспертного учреждения;
• вопросы, поставленные перед экспертом;
• перечень материалов, предоставляемых в распоряжение эксперта.

Формулировка вопросов имеет критическое значение для успешного проведения экспертизы. Вопросы должны быть четкими, конкретными и требовать специальных знаний для ответа. Недопустима постановка правовых вопросов (например, о виновности), поскольку это выходит за пределы компетенции эксперта.

Типовые вопросы, разрешаемые в ходе информационно-компьютерной экспертизы:

• «Имеются ли признаки неисправности или повреждения на указанном устройстве?»
• «Какие программы установлены на устройстве и соответствуют ли они лицензионным соглашениям?»
• «Возможно ли восстановить утраченные или удалённые данные с указанного устройства?»
• «Есть ли следы несанкционированного доступа к указанным данным?»
• «Соответствуют ли меры защиты указанным требованиям?»
• «Можно ли утверждать, что файл выполнен исследуемыми компьютерными средствами?»
• «Содержится ли в памяти компьютера информация о создании, удалении, изменениях, распечатывании документа?»
• «Под чьей учетной записью проводились операции с документом?»

3. 2. Выбор экспертной организации и требования к экспертам

Качество и доказательственная ценность информационно-компьютерная экспертиза напрямую зависят от компетентности эксперта и его технической оснащенности. К эксперту предъявляются следующие требования:

• Наличие высшего образования по специальностям, соответствующим объекту исследования (информатика, вычислительная техника, информационная безопасность, прикладная математика).
• Наличие дополнительного образования в области судебной экспертизы и, желательно, включение в государственный реестр судебных экспертов.
• Опыт практической работы с соответствующим видом данных и специализированным программным обеспечением.
• Знание нормативной базы, включая ГОСТ Р 57429-2017 и методические рекомендации.
• Владение современными методами криминалистического анализа данных.

При выборе исполнителя следует учитывать опыт работы с аналогичными объектами, наличие лицензионного специализированного ПО, положительную репутацию и отзывы от клиентов.

3. 3. Требования к экспертному заключению

Экспертное заключение является итоговым документом, имеющим доказательственное значение. Его структура регламентирована статьей 204 УПК РФ, статьей 86 АПК РФ, статьей 86 ГПК РФ и статьей 25 Федерального закона № 73-ФЗ. Заключение должно содержать:

• Вводную часть– основания для проведения экспертизы, сведения об эксперте (образование, специальность, стаж работы), предупреждение об уголовной ответственности по статье 307 УК РФ, вопросы, поставленные перед экспертом, перечень материалов, предоставленных в распоряжение эксперта.
• Описание объекта исследования– характеристики носителей информации, их состояние, идентификационные признаки, условия хранения и эксплуатации.
• Исследовательскую часть– описание примененных методов и программных средств, последовательность проведенных исследований, результаты с указанием выявленных фактов, представленные в виде таблиц, графиков, скриншотов, с обязательным приложением фототаблиц.
• Аналитическую часть– обоснование выявленных обстоятельств, установление взаимосвязей, интерпретация полученных данных.
• Выводы– четкие, исчерпывающие ответы на поставленные вопросы.
• Приложения– протоколы исследований, распечатки файлов, фототаблицы, копии документов.

Глава 4. Практические кейсы из судебной практики

Кейс №1: Установление фактов уничтожения файлов на ноутбуке (Владимирский областной суд, дело №33-1623/2025)

Ситуация: В рамках судебного разбирательства между ФКУ СИЗО-3 УФСИН России по Владимирской области и Российской Федерацией в лице Следственного Комитета возник спор, связанный с уничтожением файлов на ноутбуке марки HP. Требовалось установить обстоятельства удаления данных и определить временные параметры последней активности компьютера.

Задача экспертизы: Установить факты уничтожения файлов на ноутбуке, определить временные параметры последней активности компьютера, восстановить по возможности удаленную информацию.

Ход исследования: Экспертиза проводилась с выездом в город Москву и включала извлечение жесткого диска для его исследования без загрузки операционной системы с целью сохранения доказательной базы. С применением специализированного программного обеспечения (R-Studio, R-Saver, NTFS Log Tracker) был проведен низкоуровневый анализ файловой системы, восстановление системных журналов и установление временных меток последней активности компьютера. Применялись методы криминалистического копирования, анализа метаданных и восстановления удаленных файлов.

Результат: Информационно-компьютерная экспертиза позволила установить обстоятельства, связанные с уничтожением файлов, восстановить часть удаленной информации и предоставить суду объективные данные о хронологии событий. Экспертное заключение было положено в основу судебного решения.

Кейс №2: Экспертиза программного обеспечения медицинской информационной системы (Арбитражный суд Приморского края, дело №А51-15544/2023)

Ситуация: Между ООО Медицинский диагностический центр «Доктор ТАФИ» и ООО «Программный стиль» возник спор относительно качества внедрения программы для ЭВМ RuLIS-Client. Заказчик утверждал, что предоставленных исполнителем материалов недостаточно для успешного внедрения и функционирования системы.

Задача экспертизы: Определить соответствие информационных материалов, предоставленных истцом ответчику, критериям достаточности для формирования технического задания и успешного внедрения программного обеспечения в медицинском учреждении.

Ход исследования: Экспертами проведен комплексный анализ электронной переписки, коммерческих предложений, описаний функционала МИС и других документов, используя методы документального анализа, содержательно-аналитического исследования, хронологического восстановления событий и сравнительно-оценочный подход на основе ГОСТов и отраслевых стандартов. Исследование включало анализ двух версий программного комплекса, предоставленных сторонами спора, экспертизу истории изменений на сервере, оценку состояния файловой системы и восстановление данных с поврежденного носителя.

Результат: Экспертиза позволила установить полноту, детализацию и своевременность предоставленных данных, критически важных для реализации сложной информационной системы. Заключение эксперта позволило разрешить спор о качестве выполненных работ по внедрению ПО.

Кейс №3: Экспертиза программного обеспечения по договору авторского заказа (Октябрьский районный суд г. Улан-Удэ, дело №2-424/2024)

Ситуация: Возник спор между заказчиком и разработчиком программного обеспечения относительно качества созданных веб-приложения на React. js и мобильного приложения на React Native. Заказчик утверждал, что разработанное ПО не соответствует условиям договора и технического задания.

Задача экспертизы: Определить соответствие разработанного программного обеспечения (веб-приложения и мобильного приложения) условиям договора авторского заказа.

Ход исследования: Экспертами проводился анализ исходного кода веб-приложения и мобильного приложения, исследование технической документации и попытка развертывания программного комплекса в тестовой среде. Применялись методы аналитического исследования документации и практического тестирования программных компонентов в соответствии с требованиями ГОСТ Р 57429-2017 и Федерального закона о судебно-экспертной деятельности.

Результат: Экспертное заключение позволило установить фактические характеристики разработанного программного обеспечения и их соответствие условиям договора, что имело решающее значение для разрешения спора.

Кейс №4: Экспертиза электронных документов (Суд по интеллектуальным правам, дело №СИП-43/2023)

Ситуация: В рамках спора о защите интеллектуальных прав требовалось установить даты создания и изменения двух электронных документов формата Microsoft Word. Стороны оспаривали достоверность указанных в документах дат.

Задача экспертизы: Установить даты создания и изменения двух электронных документов формата Microsoft Word, выявить возможные признаки преднамеренного изменения или недостоверности указанных дат.

Ход исследования: Исследование включало глубокий анализ метаданных файлов с использованием специализированных программных средств, таких как ExifTool и X-Ways Forensics. Эксперты изучали внутреннюю структуру документов, версии программного обеспечения и операционных систем, использованные при их создании, а также временные метки контейнеров OLE2 и идентификаторы GUID. Целью работы было выявление возможных противоречий в хранимых данных, которые могли бы указывать на преднамеренное изменение или недостоверность указанных дат создания и модификации.

Результат: Экспертиза позволила получить объективную информацию о жизненном цикле исследуемых цифровых объектов, что послужило основанием для принятия решения Судом по интеллектуальным правам.

Кейс №5: Экспертиза данных на смартфоне подозреваемого (практика Московского региона)

Ситуация: Следователи задержали подозреваемого по делу о краже крупной суммы денег. Имелись основания полагать, что на мобильном устройстве задержанного содержится информация, имеющая значение для расследования.

Задача экспертизы: Извлечь и исследовать данные из смартфона подозреваемого, выявить информацию, имеющую значение для уголовного дела, восстановить удаленные сообщения и файлы.

Ход исследования: Экспертиза смартфона проводилась с применением специализированного оборудования для извлечения данных из мобильных устройств. Были извлечены контакты, журналы вызовов, SMS-сообщения, данные мессенджеров, фотографии и видеозаписи. При анализе данных был обнаружен скрытый чат в одном из мессенджеров, содержащий сообщения о готовящемся преступлении, включая обсуждение деталей кражи и распределения похищенных средств.

Результат: Полученные в ходе информационно-компьютерная экспертиза доказательства позволили подтвердить вину подозреваемого и передать дело в суд. Данный кейс демонстрирует ключевую роль экспертизы данных в расследовании уголовных преступлений.

Глава 5. Сложности и перспективы развития информационно-компьютерной экспертизы

5. 1. Типичные сложности при проведении экспертизы

Практика проведения информационно-компьютерная экспертиза сталкивается с рядом проблем, обусловленных спецификой цифровых объектов исследования:

• Стремительное технологическое развитие– постоянное появление новых форматов данных, методов шифрования и сокрытия информации требует непрерывного обновления методической базы и инструментария.
• Объемы данных– современные носители информации могут содержать терабайты данных, анализ которых требует значительных временных и вычислительных ресурсов.
• Шифрование и защита данных– применение современных методов шифрования может существенно затруднить или сделать невозможным доступ к информации.
• Удаление и уничтожение данных– злоумышленники могут предпринимать меры по уничтожению цифровых следов, что требует применения специализированных методов восстановления.
• Недостаточная квалификация экспертов– быстрое развитие технологий требует постоянного повышения квалификации и освоения новых методов исследования.

5. 2. Перспективы развития

Современные тенденции развития информационно-компьютерной экспертизы связаны с несколькими направлениями:

• Внедрение методов искусственного интеллекта и машинного обучения– для автоматизации анализа больших массивов данных, выявления закономерностей и аномалий.
• Развитие методов облачной криминалистики– исследование данных, хранящихся в облачных сервисах и распределенных системах.
• Совершенствование нормативной базы– разработка новых и актуализация существующих методик проведения экспертизы с учетом современных технологических реалий.
• Стандартизация протоколов исследования– создание единых подходов к проведению экспертиз и оформлению заключений.
• Повышение квалификации специалистов– создание системы непрерывного образования экспертов, включающей изучение новых технологий и методов исследования.

Заключение

Проведенный анализ теоретико-методологических основ и практики применения информационно-компьютерная экспертиза позволяет сформулировать ряд выводов.

Во-первых, информационно-компьютерная экспертиза представляет собой самостоятельный и критически важный вид судебной компьютерно-технической экспертизы, сфокусированный на исследовании данных и информации, созданной пользователем или порожденной программами. Ее предметная область охватывает широкий спектр объектов – от текстовых документов и баз данных до сложных программных комплексов и мобильных устройств.

Во-вторых, методологически корректное проведение экспертизы базируется на системном подходе, объединяющем анализ документации, криминалистическое копирование, поиск и обнаружение информации, анализ метаданных и восстановление данных. Применение специализированного программного обеспечения и соблюдение принципов неизменности исходных данных обеспечивает достоверность и доказательственную силу результатов.

В-третьих, нормативную основу деятельности составляет ГОСТ Р 57429-2017, устанавливающий единую терминологическую базу и распространяющийся на всех судебных экспертов, независимо от их ведомственной принадлежности.

В-четвертых, анализ представленных практических кейсов демонстрирует, что качественно проведенное экспертное исследование имеет ключевое значение для разрешения широкого спектра правовых споров – от гражданских дел о качестве программного обеспечения до уголовных дел о киберпреступлениях и хищениях.

Дальнейшее развитие методов и технологий проведения информационно-компьютерной экспертизы, внедрение автоматизированных систем анализа данных, совершенствование нормативной базы и повышение квалификации экспертов позволит обеспечить надежность и достоверность экспертных исследований в условиях цифровой трансформации общества и экономики.