Введение

В структуре процессуального акта назначения компьютерно-технической экспертизы (КТЭ) ключевым элементом, определяющим содержание, границы и конечную цель экспертного исследования, выступает перечень вопросов, поставленных перед экспертом. Качество и процессуальная корректность этих вопросов в прямой степени детерминируют доказательственную ценность заключения, эффективность судебного познания и, в конечном итоге, обоснованность судебного решения. Разработка образцов вопросов на экспертизу представляет собой не эмпирическую, а глубоко методологическую задачу, требующую системного подхода, основанного на понимании предметной компетенции КТЭ, структуры устанавливаемых ею фактов и логики экспертного исследования.

Данная статья посвящена научному анализу проблематики формулирования вопросов для КТЭ. Мы рассматриваем вопросы не как произвольный перечень, а как структурированную систему познавательных задач, каждая из которых соответствует определенному типу экспертных задач (идентификационным, диагностическим, классификационным, ситуационным) и объекту исследования. Цель работы – предложить научно обоснованную типологию и каталогизацию образцов вопросов, сопровождаемую анализом их гносеологической состоятельности, соответствия компетенции КТЭ и методической обеспеченности, а также выявить типичные ошибки в их постановке.

Глава 1. Методологические основы формулирования вопросов для компьютерно-технической экспертизы

1.1. Гносеологическая природа вопроса эксперту

Вопрос эксперту в рамках КТЭ представляет собой формализованное требование к экспертному познанию, преобразующее потребность правоприменителя в установлении юридически значимого факта в конкретную исследовательскую программу. С методологической точки зрения, каждый вопрос должен удовлетворять комплексу критериев:

1. Критерий научной и практической разрешимости:Вопрос должен быть сформулирован таким образом, чтобы его разрешение было возможно с применением существующих, научно обоснованных методик компьютерно-технического и программно-аналитического исследования. Вопрос «О чем думал пользователь в момент нажатия клавиши?» неразрешим, в то время как вопрос «Какое действие в операционной системе инициируется нажатием конкретной комбинации клавиш, зафиксированной в логе?» – разрешим.
2. Критерий соответствия специальной компетенции эксперта:Вопрос должен относиться к области специальных познаний в сфере информационных технологий и компьютерной инженерии, а не права, экономики или лингвистики. Эксперт устанавливает технические факты, но не дает правовой оценки.
3. Критерий определенности и однозначности:Формулировка должна исключать двусмысленность и множественность толкований. Используемые термины должны быть технически точными или, при необходимости, раскрыты в постановлении.
4. Критерий процессуальной нейтральности:Вопрос не должен содержать скрытых правовых оценок или предопределять виновность/невиновность лица. Вместо «Совершил ли Петров несанкционированный доступ?» следует задавать: «Каким способом и с какого устройства (устройств) был осуществлен доступ к серверу X в период времени Y?».
5. Критерий логической взаимосвязи:Вопросы в перечне должны выстраивать логическую цепочку, ведущую от установления базовых технических фактов к комплексной реконструкции события или явления.

1.2. Классификация вопросов по типу решаемых экспертных задач

В основу систематизации образцов вопросов должна быть положена классификация, отражающая сущность экспертной деятельности.

1. Идентификационные вопросы:Направлены на установление тождества объекта самому себе или его отождествление с другим объектом по совокупности индивидуально-определенных признаков.
2. Диагностические (исследовательские) вопросы:Направлены на установление фактического состояния, свойств, функциональных характеристик объекта, причин его изменений или нарушений в работе.
3. Классификационные вопросы:Направлены на отнесение объекта к определенному классу, типу, категории на основе его родовых (групповых) признаков.
4. Ситуационные (реконструкционные) вопросы:Направлены на установление механизма, обстоятельств, условий и последовательности произошедшего события или процесса на основе анализа цифровых следов.

Глава 2. Систематизированный каталог образцов вопросов по основным направлениям КТЭ

2.1. Вопросы по экспертизе данных (цифровой криминалистике – Digital Forensics)

Объект: Носители информации (HDD, SSD, USB-флешки, карты памяти), их битовые образы, файлы.

Идентификационные:

1. Имеются ли на представленном носителе информации (образе диска) файлы, тождественные файлам, представленным в качестве образца (с указанием контрольных хэш-сумм)?
2. С какого конкретного носителя информации (с указанием серийного номера, модели) был создан представленный битовый образ?
3. Принадлежат ли данные файлы (указать путь/имена) к операционной системе или программному обеспечению, установленным на исследуемом компьютере?

Диагностические:
4. Каково содержание указанных файлов (с указанием путей)?
5. Каковы атрибуты (время создания, модификации, последнего доступа – MAC-времена, размер, права доступа) указанных файлов?
6. Имеются ли на носителе признаки удаления файлов (пути, имена, возможное первоначальное содержание подлежащих восстановлению файлов)?
7. Имеются ли признаки преднамеренного уничтожения информации (использование специализированных утилит шифрования/стирания, многократная перезапись секторов)?
8. Имеются ли в нераспределенном пространстве диска (unallocated space) или в файле подкачки фрагменты данных, связанные с [указать тему: например, определенной перепиской, документами]?

Ситуационные:
9. Какова хронологическая последовательность действий пользователя с указанными файлами (создание, редактирование, копирование, удаление) в заданный временной период?
10. Имеются ли признаки доступа к носителю информации или определенным файлам в указанный период времени?

2.2. Вопросы по экспертизе программного обеспечения (ПО)

Объект: Исходный код, исполняемые файлы, установочные пакеты, системные библиотеки.

Идентификационные:

1. Содержит ли исследуемое ПО фрагменты исходного кода (алгоритмы, функции, уникальные комментарии), тождественные фрагментам кода из базы данных [или из другого представленного ПО]?
2. Была ли использована конкретная среда разработки (IDE), компилятор или библиотека для создания данного программного модуля?

Диагностические:
3. Соответствует ли фактический функционал представленного программного обеспечения требованиям, изложенным в техническом задании (договоре) №Х от DD.MM.YYYY (с указанием конкретных пунктов соответствия/несоответствия)?
4. Содержит ли ПО дефекты (баги), ошибки реализации, которые могли привести к [указать последствие: сбою, утечке данных, некорректным расчетам]?
5. Имеются ли в программном коде недекларированные возможности (функции «бэкдора», «закладки»), не описанные в документации и не соответствующие заявленному назначению?
6. Каков механизм работы указанного функционального модуля программы?
7. Является ли данное ПО модификацией (переработанной версией) другого, представленного на исследование, программного продукта?

Классификационные:
8. К какому типу (классу) относится представленное программное обеспечение с точки зрения архитектуры (клиент-серверное, десктопное, веб-приложение) и назначения?
9. Относится ли исследуемое ПО к категории вредоносного (malware)? Если да, то к какому конкретному виду (троян, вирус, червь, шпионское ПО, ransomware)?

2.3. Вопросы по экспертизе аппаратно-технических средств

Объект: Компьютеры, серверы, мобильные устройства, сетевое оборудование, их компоненты.

Идентификационные:

1. Каковы аппаратные характеристики (модель процессора, объем и тип ОЗУ, модель и объем накопителей, сетевые адаптеры) представленного устройства?
2. Совпадают ли идентификационные признаки представленного устройства (серийные номера компонентов, MAC-адреса сетевых карт) с признаками, зафиксированными в документах (актах, договорах)?

Диагностические:
3. Находилось ли данное компьютерное (мобильное) устройство в работоспособном состоянии на дату [указать дату]?
4. Имеются ли в устройстве физические повреждения или признаки несанкционированного вмешательства (вскрытие, замена компонентов)?
5. Соответствует ли фактическая конфигурация устройства конфигурации, указанной в спецификации/договоре?
6. Какова история изменений конфигурации оборудования (установка дополнительных компонентов, замена)?

2.4. Вопросы по сетевой экспертизе (Network Forensics)

Объект: Логи сетевых устройств (маршрутизаторов, коммутаторов, фаерволов, прокси-серверов), дампы сетевого трафика (pcap-файлы).

Диагностические и ситуационные:

1. Имеются ли в представленных логах сетевого оборудования записи, свидетельствующие о доступе с IP-адреса [указать адрес] к IP-адресу/домену [указать] в указанный период времени?
2. Каков был характер сетевого трафика (типы протоколов, объем переданных данных, установленные соединения) между указанными хостами в заданный промежуток времени?
3. Имеются ли в сетевом трафике признаки компьютерной атаки (сканирование портов, попытки подбора паролей, эксплуатация уязвимостей)? Если да, то каковы ее этапы и используемые методы?
4. Возможно ли установить по представленным сетевым логам географическую локацию (примерную) источника или получателя трафика?
5. Имеются ли признаки утечки информации (массовая передача файлов определенного типа, соединения с внешними ресурсами) за пределы корпоративной сети?

2.5. Вопросы по комплексным ситуационным исследованиям (реконструкция событий)

Эти вопросы интегрируют данные из разных источников и направлений.

1. Каковы были действия пользователя за компьютером под учетной записью [указать] в период с [время начала] по [время окончания] [дата]? (Требует анализа логов ОС, истории браузера, журналов приложений).
2. Какова возможная причина сбоя (отказа) в работе автоматизированной системы [название] в момент [дата, время]? (Требует комплексного анализа логов серверов, ПО, возможных аппаратных сбоев).
3. Каким способом и через какие каналы могла произойти утечка конфиденциального документа «Х»? (Требует анализа прав доступа, логов файлового сервера, сетевого трафика, активности на рабочих станциях).
4. Имеется ли причинно-следственная связь между установкой определенного программного обеспечения (или посещением конкретного веб-сайта) и последующим нарушением в работе компьютера (потерей данных, сбоем)?

Глава 3. Критический анализ некорректных формулировок вопросов и типичных ошибок

Разработка позитивных образцов требует понимания анти-образцов – некорректных формулировок, снижающих эффективность экспертизы.

3.1. Ошибки, связанные с выходом за пределы компетенции КТЭ

• Некорректно:«Является ли данное действие нарушением авторских прав?» (правовая квалификация).
• Корректно:«Содержит ли программный продукт «А» фрагменты исходного кода, тождественные фрагментам кода продукта «Б»?» (установление технического факта заимствования).
• Некорректно:«Нанесло ли использование программы материальный ущерб?» (экономическая оценка).
• Корректно:«Приводит ли выявленный дефект в программе к некорректным расчетам [конкретного параметра]?» (установление технической причины).

3.2. Ошибки неопределенности и излишней широты

• Некорректно:«Исследовать компьютер и дать заключение.» (неопределенно).
• Корректно:Конкретный перечень вопросов, как в каталоге выше.
• Некорректно:«Все ли было сделано правильно при разработке сайта?» (оценочно, субъективно).
• Корректно:«Соответствует ли функционал веб-сайта, расположенного по адресу [URL], пунктам технического задания №Y?»

3.3. Ошибки, содержащие скрытые предпосылки или правовые оценки

• Некорректно:«Совершал ли обвиняемый хакерскую атаку с данного компьютера?» (содержит термины правовой квалификации – «хакерская атака»).
• Корректно:«Имеются ли на компьютере следы использования специализированного ПО для сканирования сетей или эксплуатации уязвимостей? Зафиксированы ли в системных логах попытки несанкционированного доступа к внешним ресурсам [указать]?»

3.4. Ошибки, игнорирующие техническую специфику и ограничения

• Некорректно:«Установить точное время первого создания документа «Договор.doc».» (Игнорирует возможность программного изменения временных меток файловой системой).
• Корректно:«Каковы значения временных меток (дата/время создания, модификации, последнего доступа) для файла «Договор.doc» согласно данным файловой системы? Имеются ли в системных журналах или других артефактах данные, позволяющие верифицировать или опровергнуть эти метки?»

Глава 4. Принципы построения логической последовательности вопросов в постановлении

Вопросы в определении о назначении КТЭ должны образовывать логически связный narrative, ведущий эксперта и суд от простых фактов к сложным выводам. Рекомендуемая структура:

1. Блок установочных (описательных) вопросов:Направлен на фиксацию состояния и свойств объектов.
   • Пример:«Каковы аппаратные характеристики и конфигурация программного обеспечения представленного сервера?»
2. Блок вопросов по существу спора (ядерные диагностические/идентификационные вопросы):Направлен на разрешение центральных противоречий.
   • Пример:«Соответствует ли функционал модуля «Расчет» программного комплекса «Х» требованиям пп. 3.1-3.5 Технического задания?»
3. Блок ситуационных и причинно-следственных вопросов:Направлен на реконструкцию событий и установление связей.
   • Пример:«Какова возможная причина ошибки «Y», возникающей в программе при выполнении операции «Z»?»
4. Блок вспомогательных (уточняющих) вопросов:Могут быть поставлены для прояснения контекста.
   • Пример:«Имеется ли техническая возможность удаленного администрирования данной системы?»

Заключение

Разработка научно обоснованных образцов вопросов для компьютерно-технической экспертизы является фундаментальной задачей для повышения эффективности судебного познания в цифровую эпоху. Качество вопроса определяет не только содержание экспертного заключения, но и саму возможность достоверного установления фактов.

Предложенная в статье систематизация по типам задач и объектам исследования создает методологическую основу для формирования ситуационно-зависимых перечней вопросов. Ключевым выводом является необходимость строгого соблюдения критериев научной разрешимости, компетентностного соответствия, определенности и процессуальной нейтральности.

Практическое внедрение таких типологизированных каталогов (в форме методических рекомендаций для судей и следователей) позволит минимизировать риски назначения несостоятельных экспертиз, сократить время на их производство за счет четкой постановки задач и, в конечном счете, повысить доказательственную культуру в делах, связанных с информационными технологиями. Дальнейшая работа должна быть направлена на детализацию вопросников для узкоспециализированных областей (криптовалютные системы, IoT, промышленные АСУ ТП), что требует тесного сотрудничества юридической науки и сообщества IT-экспертов.