Аннотация: В статье представлена разработанная автором комплексная научно-методическая модель экспертного исследования баз данных (БД) как источника криминалистически значимой информации. Модель основана на системном и процессно-ориентированном подходе, объединяющем методы компьютерно-технической экспертизы, финансового анализа и криминалистической реконструкции. Детально рассмотрены этапы исследования: от формализации целей и задач на основе процессуальных вопросов до синтеза выводов через призму криминалистических теорий (следообразования, механизма преступления). Предложена оригинальная классификация экспертных вопросов и алгоритмов их решения с использованием специализированных лингвистических (SQL) и аналитических средств. Методология апробирована на материалах реальных уголовных дел экономической направленности и доказала свою эффективность в установлении объективной истины.

Ключевые слова: компьютерно-техническая экспертиза, базы данных, криминалистическая методика, SQL, системный анализ, хранимые процедуры, цифровые следы, реконструкция, экономические преступления.

Введение: Актуальность и научная проблема

Цифровая трансформация криминальной деятельности привела к парадигмальному сдвигу в структуре источников доказательственной информации. База данных, являясь формализованной информационной моделью деятельности субъекта, объективно фиксирует не только результаты операций, но и их механизм, бизнес-логику и субъективный состав исполнителей. В контексте уголовного судопроизводства БД представляет собой сложный кибернетический объект, исследование которого лежит на стыке нескольких научных областей: криминалистики, информатики, теории систем и прикладной экономики.

Существующие методики компьютерно-технической экспертизы зачастую редуцируют исследование БД либо к извлечению контента (файловый уровень), либо к поверхностному анализу структуры, без глубокого погружения в семантику и динамику процессов. Это создает существенный пробел в доказывании, особенно по сложным многоэпизодным делам о финансовых пирамидах, мошенничестве в сфере компьютерной информации (ст. 159.6 УК РФ) и легализации преступных доходов.

Научная проблема заключается в отсутствии унифицированной, теоретически обоснованной и практико-ориентированной методики, позволяющей последовательно и всесторонне исследовать БД как целостную систему для реконструкции механизма противоправной деятельности. Цель настоящей работы – разработка и научное обоснование такой методики.

Глава 1. Теоретико-методологический базис экспертизы БД

1.1. База данных как система и объект криминалистического исследования

В рамках системного подхода БД рассматривается не как простая совокупность таблиц, а как целенаправленная система со следующими атрибутами:

• Структура: Элементы (таблицы, поля, индексы) и связи между ними (отношения «один-ко-многим», внешние ключи).
• Функция (цель): Автоматизация конкретного вида деятельности (учет, управление, расчет).
• Поведение: Динамика изменения состояния системы во времени под воздействием пользователей и автоматических процессов (хранимых процедур, триггеров).
• Входы и выходы: Каналы взаимодействия с внешней средой (API, файловый обмен, интерфейсы пользователя).

Такой взгляд позволяет применить к исследованию БД классические криминалистические теории:

Теория следообразования: Любое действие пользователя или автоматического процесса оставляет цифровой след в виде новой или измененной записи, записи в журнале транзакций (LOG), изменении временной метки. Задача эксперта – выявить и интерпретировать систему таких следов.

Учение о механизме преступления: БД является материальным отражением способа совершения преступления. Реконструкция алгоритмов работы БД эквивалентна реконструкции способа.

1.2. Принципы экспертного исследования БД

На основе системного подхода сформулированы базовые принципы:

• Принцип целостности: Исследование всех компонентов системы в их взаимосвязи.
• Принцип иерархичности: Последовательный анализ от общей структуры (метаданные) к деталям (данные, код процедур).
• Принцип процессуальности: Акцент на изучении динамических аспектов – процессов изменения данных.
• Принцип верифицируемости: Любой вывод эксперта должен быть основан на воспроизводимых методиках (например, конкретном SQL-запросе) и проверяемых данных.

Глава 2. Разработка многоуровневой модели исследования (ММИ-БД)

Предлагаемая модель включает четыре взаимосвязанных уровня анализа.

Уровень 1: Мета-уровень (структурно-семантический анализ)
Задача: Декомпозиция системы, установление ее архитектуры и семантики элементов.
Методы:

Анализ системного каталога СУБД: Запросы к INFORMATION_SCHEMA (MySQL, PostgreSQL), sys.* (MS SQL Server), DBA_* / ALL_* (Oracle) для получения перечня таблиц (TABLES), представлений (VIEWS), процедур (ROUTINES), ограничений целостности (TABLE_CONSTRAINTS, KEY_COLUMN_USAGE).

Построение ER-диаграммы (Entity-Relationship): Визуализация схемы данных на основе информации о первичных и внешних ключах. Это формирует «карту местности» для дальнейшего исследования.

Семантический анализ имен объектов: Лингвистический анализ названий таблиц и полей для гипотетического определения их назначения (например, investors, transactions, payout_log).

Уровень 2: Данный уровень (контент-анализ и статистическая обработка)
Задача: Установление фактического содержания, выявление статистических закономерностей и аномалий.
Методы:

Выборочный и сплошной контент-анализ: Исполнение селективных запросов (SELECT * FROM table LIMIT N) для понимания формата и смысла данных.

Статистический SQL-анализ:

• Агрегация: COUNT(), SUM(), AVG(), MIN(), MAX().
• Группировка: GROUP BY для анализа распределений (например, количество транзакций по типам).
• Ранжирование: Использование оконных функций (ROW_NUMBER(), RANK(), SUM() OVER()) для построения «топ-списков» клиентов.

Временной анализ: Исследование временных рядов на основе полей с типом DATE, TIMESTAMP. Построение графиков притока/оттока средств с использованием группировки по интервалам (GROUP BY MONTH(date)).

Уровень 3: Процедурно-алгоритмический уровень
Задача: Реконструкция бизнес-логики и автоматизированных процессов системы.

Методы:

Статический анализ кода: Изучение исходного текста хранимых процедур, функций (CREATE PROCEDURE, CREATE FUNCTION), триггеров (CREATE TRIGGER). Анализ включает:

• Выявление ключевых операторов, меняющих данные (INSERT, UPDATE, DELETE).
• Реконструкцию алгоритмов расчета (проценты, комиссии).
• Анализ потоков данных: откуда считываются параметры, куда записываются результаты.
• Динамический анализ (при наличии среды исполнения): Пошаговое выполнение процедур с тестовыми данными для верификации их функций.
• Событийный анализ триггеров: Определение условий их срабатывания (AFTER INSERT, INSTEAD OF UPDATE) и выполняемых действий.

Уровень 4: Контекстно-интеграционный уровень

Задача: Установление роли БД в общей информационной системе, взаимодействия с внешним миром и действий пользователей.

Методы:

• Анализ конфигурации и журналов СУБД: Исследование файлов конфигурации сервера БД, журналов ошибок, журналов медленных запросов (slow query log).
• Аудит безопасности: Анализ таблиц пользователей и привилегий (mysql.user, sys.sql_logins). Восстановление истории сеансов из журналов аудита, если они велись.
• Поиск следов внешних взаимодействий: Анализ таблиц или полей, содержащих ссылки на API endpoints, ключи доступа, названия внешних сервисов, IP-адреса.

Глава 3. Формализация экспертных задач и алгоритмов их решения

На основе ММИ-БД производится трансформация процессуальных вопросов в последовательность технических действий.

Пример 1: Задача «Установить алгоритм начисления процентов».

Шаг 1 (Мета-уровень): Найти объекты с именами, содержащими лексемы interest, percent, profit, accrue (процедуры, функции, триггеры).

Шаг 2 (Процедурный уровень): Получить и проанализировать исходный код найденных объектов. Выявить математические формулы (например, balance = balance * 1.01).

Шаг 3 (Данный уровень): Найти таблицы, изменяемые этим кодом. Проверить на реальных данных соответствие формулы фактическим изменениям записей (сравнение balance до и после даты выполнения процедуры).

Шаг 4: Синтез. Сформулировать вывод о детерминированном алгоритме: «Начисление осуществляется по формуле X, с периодичностью Y, на основании данных в поле Z».

Пример 2: Задача «Выделить топ-20 клиентов по объему вложений».

Шаг 1 (Мета-уровень): Идентифицировать таблицы, связанные с клиентами (clients, accounts) и транзакциями (transactions, operations).

Шаг 2 (Данный уровень): Написать агрегирующий SQL-запрос с соединением (JOIN) этих таблиц, фильтрацией по типу транзакции «ввод средств» и сортировкой по убыванию суммы (ORDER BY SUM(amount) DESC).

Шаг 3: Визуализировать результат в виде таблицы, приложить к заключению текст запроса для обеспечения проверяемости.

Пример 3: Задача «Установить, производились ли ручные корректировки данных».

Шаг 1 (Контекстный уровень): Проверить наличие и изучить журнал транзакций СУБД (если доступен). Поиск операций UPDATE, не связанных с именами известных автоматических процедур.

Шаг 2 (Данный уровень): Поиск в пользовательских данных полей типа last_modified_by, modified_by_admin. Анализ временных меток (updated_at) на предмет аномальных паттернов (например, массовые изменения глубокой ночью).

Шаг 3 (Процедурный уровень): Проверить наличие триггеров, логирующих изменения в отдельную таблицу-аудита.

Глава 4. Специальный методический аппарат: SQL как лингвистический инструмент эксперта

Язык SQL выступает основным инструментом диалога эксперта с БД. Его использование носит научно-методический характер:

Селективные запросы (SELECT) – метод выборочного наблюдения.

Агрегирующие запросы (GROUP BY, SUM()) – метод статистического анализа.

Соединения таблиц (JOIN) – метод установления системных связей.

Аналитические оконные функции (OVER()) – метод ранжирования и вычисления скользящих показателей.

Рекурсивные запросы (WITH RECURSIVE в PostgreSQL/MySQL 8+) – критически важны для анализа иерархических структур (сетевого маркетинга) и цепочек транзакций между клиентами.

Эксперт должен не просто использовать SQL, но и документировать каждый значимый запрос, обеспечивая тем самым полную воспроизводимость и объективность исследования.

Глава 5. Синтез и формулирование выводов: от данных к криминалистически значимым фактам

Заключительный этап – интеграция результатов всех уровней анализа.

Синтез 1: Установление несоответствия между декларацией и реализацией. Пример: Сопоставление данных с рекламными материалами («инвестиции в Forex») с отсутствием в БД таблиц котировок и наличием алгоритма фиксированных начислений.

Синтез 2: Реконструкция финансовой схемы. Объединение данных о топ-вкладчиках, алгоритме начисления и цепочках внутренних переводов позволяет построить модель движения средств, характерную для пирамиды или схемы Понци.

Синтез 3: Определение ролевой структуры. Корреляция данных о привязке клиентов к менеджерам, журналов действий пользователей и их уровней доступа позволяет реконструировать иерархию и распределение функций между участниками.

Выводы формулируются на языке фактов, избегая правовых категорий, но создавая неразрывную логическую цепь, ведущую к ним.

Заключение

Предложенная научно-методическая модель экспертизы баз данных представляет собой систематизированный, теоретически обоснованный и технологически обеспеченный подход к исследованию сложных цифровых объектов. Ее внедрение в экспертную практику позволяет:

• Повысить объективность, полноту и доказательственную силу заключений.
• Стандартизировать процесс исследования, минимизировав зависимость от субъективных навыков эксперта.
• Обеспечить прозрачность и проверяемость экспертных действий через фиксацию методик (SQL-запросов).
• Эффективно решать задачи криминалистической реконструкции механизма преступления, что является высшей целью судебной экспертизы.

Дальнейшее развитие методологии видится в создании специализированных экспертных программных комплексов, автоматизирующих этапы мета-анализа и визуализации данных, а также в разработке частных методик для различных типов СУБД и видов экономических преступлений.