Организация ремонтного обслуживания аппаратуры и средств защиты

 

Организация ремонтного обслуживания аппаратуры и средств защиты осуществляется физическими и юридическими лицами в соответствии с имеющейся лицензией, выданной ФСТЭК России.

Кроме того осуществляется изъятие компьютерной техники при расследовании уголовных преступлений с целью проведения специализированных экспертиз и исследования информации.

При изъятии средств компьютерной техники необходимо обеспечить строгое соблюдение требований действующего уголовно-процессуального законодательства. Для этого необходимо акцентировать внимание понятых на всех производимых действиях и их результатах, давая им при необходимости пояснения, поскольку многим участникам следственного действия могут быть непонятны производимые манипуляции. Кроме того, следует опечатывать ЭВМ так, чтобы исключить возможность работы с ними, разукомплектования и физического повреждения основных рабочих компонентов в отсутствие владельца или эксперта. При опечатывании компьютерных устройств следует наложить один лист бумаги на разъем электропитания, расположенный на задней панели, второй - на переднюю панель вверху с захлестом на верхнюю панель и закрепить их края густым клеем. На листах бумаги должны быть подписи следователя, понятых и представителя персонала. При изъятии магнитного носителя машинной информации нужно помнить, что они должны перемещаться в пространстве и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискетных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и “наводок”, направленных излучений.

В случае, когда необходимо сослаться непосредственно на определенный физический носитель, следует указать в протоколе его серийный (заводской) номер, тип, название (если есть) или провести его точное описание (размеры, цвет, класс, надписи, физические повреждения). При отсутствии четких внешних признаков физический носитель запечатывается в отдельную коробку (ящик, конверт) о чем обязательно делается отметка в протоколе проведения следственного действия.

В случае невозможности изъятия и приобщения к делу в качестве вещественного доказательства средства компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы. Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего устройства - ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств, с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами;

Все изымаемое аппаратное оборудование и носители информации опечатывать и упаковывать таким образом, чтобы исключить:

– возможность их включения и работы с ними при хранении;

– разборку и демонтаж отдельных компонентов;

– уничтожение или изменение состояния технических средств и информации;

– возможность повреждения и уничтожения технических средств и информации при транспортировке.

При упаковке компьютерной техники и носителей информации на сопроводительной бирке указывается:

– наименование того, что находится в пакете либо коробке с указанием количества;

– где, когда, у кого изъято, в ходе какого следственного действия;

– подписи с указанием фамилий и инициалов участников следственного действия.

К упаковке изымаемых компьютерно-технических устройств и носителей информации предъявляются следующие требования:

Вещественные доказательства упаковываются в картонные коробки или мешки, которые заклеиваются в местах вскрытия липкой лентой.

Упаковка должна обеспечивать исключение свободного перемещения объектов внутри.

Мелкие объекты (дискеты, компакт-диски, флэш-накопители, накопители на жестких магнитных дисках и др.) могут быть упакованы в отдельные металлизированные или бумажные пакеты, при этом перед помещением в бумажные пакеты их целесообразно завернуть в металлическую фольгу.

При невозможности упаковки средств компьютерной техники в отдельную коробку допустимо использование листов плотной бумаги, картона, прочных целлофановых пакетов или кусков ткани, со всех сторон закрывающих изымаемые объекты. Их можно закрепить при помощи липкой ленты, исключив при этом ее контакт с поверхностью объекта. Выполнение вышеуказанных требований позволит максимально исключить возможность повреждения объектов, поступающих для производства компьютерно-технических экспертиз, обеспечит сохранность их признаков и свойств, а также хранимой на них информации.

Криминалистическое исследование компьютерной (электронной, машинной) информации и техники является одним из самых молодых направлений в криминалистической технике. Данное направление начало складываться в первой половине 90-х гг. XX в. В настоящее время указанные исследования проводятся практически по всем категориям уголовных дел. Наиболее часто исследования компьютерной информации и техники проводятся при расследовании следующих видов преступлений: в сфере компьютерной информации; терроризм и экстремизм, экономические и налоговые преступления, распространение порнографической продукции, преступных нарушений авторских и смежных прав, изготовление поддельной печатной продукции (например, бланков документов, денежных знаков, ценных бумаг). В последние годы значительно выросло число исследований компьютерной информации в ходе раскрытия преступлений против личности. Экспертизы компьютерной информации стали повседневным явлением при рассмотрении гражданских, арбитражных и административных дел.

Кратко остановимся на физической природе компьютерной информации.

Компьютерная информация является объектом материального мира, элементом искусственной среды, созданным человеком. Она может существовать только с помощью специальных технических средств: электронно-вычислительной техники и электронных средств связи (систем телекоммуникаций).

Компьютерная информация, как и любой другой вид информации, состоит из двух элементов: содержания информации — сведений о каком-либо явлении объективной реальности и материального носителя данных сведений.

Содержание компьютерной информации представлено в форме, пригодной для обработки ЭВМ, ее материальным носителем является электромагнитное поле. В свою очередь, носитель электромагнитного поля может быть материально-фиксированным предметом (жесткий диск, съемные магнитные носители) и не иметь предметной формы (передача информации по беспроводным каналам в компьютерных сетях, например Wi-Fi).

 

Природа компьютерной информации обусловливает следующие ее свойства, делающие ее весьма сложным объектом криминалистического исследования:

компьютерная информация недоступна для непосредственного человеческого восприятия;

определенное содержание информации не может быть однозначно закреплено за конкретным материальным носителем;

материальный носитель компьютерной информации (электромагнитное поле) невозможно индивидуализировать;

содержание информации может быть отделено от ее материального носителя без взаимных изменений; изменение содержания компьютерной информации не вызывает изменений ее носителя, и наоборот;

можно быстро обрабатывать, изменять и удалять информацию, в том числе путем удаленного доступа, вне контроля лиц, правомерно пользующихся данной информацией;

не всегда возможно восстановить первоначальное содержание измененной или удаленной информации.

Исследования компьютерной информации осложняют необходимость преодоления защитных средств, которые препятствуют ее получению третьими лицами. Некорректное решение данной задачи может привести к полной или частичной утрате криминалистически значимой информации.

В ходе расследования преступлений обнаружение компьютерной информации, подлежащей исследованию, возможно в трех типичных следственно-экспертных ситуациях.

Во-первых, информация является объектом преступных посягательств: фальсифицированные данные бухгалтерского и иных учетов, измененные персональные данные, взломанные защитные программные средства и др. Как правило, в этих случаях по материальным следам преступного воздействия на компьютерную информацию и свидетельским показаниям необходимо установить способ и механизм преступления.

Во-вторых, она является средством совершения преступления и (или) средством коммуникации, используемым для достижения криминальных целей. Это могут быть различные вредоносные программы (например, вирусы), компьютер преступника, мобильные устройства связи и т. п. В данной ситуации часто приходится преодолевать защитные средства (аппаратные и программные), используемые правонарушителем для защиты криминалистически значимой информации. Необходимо установить причинную связь между средством преступления и действиями преступника, преступным результатом.

В-третьих, компьютерная информация характеризует определенный объект по расследуемому делу, при этом она не является ни объектом преступного воздействия, ни средством совершения преступления. Например, статистическая информация о деятельности предприятия, данные с видеокамер о месте происшествия и др. Последняя ситуация наиболее проста для расследования. В этом случае, как правило, выполняются операции, позволяющие следователю получить доступ к данной информации, копировать ее, систематизировать и др.

В предмет криминалистического исследования компьютерной информации и техники входят:

разработка приемов, способов, рекомендаций по обнаружению, фиксации, изъятию и хранению компьютерной информации и техники;

изучение состояния и процессов обработки компьютерной информации; состояния и функционирования электронно-вычислительной техники.

Когда правоохранительные органы и суд интересуют свойства собственно компьютерной техники (потребительские свойства) вне связи с обрабатываемой этой техникой информацией или установлением обстоятельств ее использования в рамках уголовного дела, назначается судебно-товароведческая экспертиза, которая может проводиться специалистами в области компьютерной техники или с участием таких специалистов.

Когда необходимо установить стоимость компьютерной информации и техники, то привлекается эксперт, обладающий знаниями в области оценочной деятельности.

Основными объектами криминалистического исследования компьютерной информации являются: компьютерная информация и компьютерная техника.

К наиболее часто исследуемым объектам компьютерной техники относятся: компьютеры и их компоненты; микрокомпьютеры, встроенные в различные устройства (часы, телевизоры и др.); периферийные устройства (мониторы, принтеры, сканеры и др.); средства связи (сотовые телефоны, смартфоны и др.); сетевые технические средства (серверы, рабочие станции, кабели и др.); портативные системы видеонаблюдения; видеокамеры, фотоаппараты; диктофоны; органайзеры; GPS-навигаторы; съемные носители компьютерной информации (компакт-диски, USB флэш-накопители, дискеты, пластиковые карты и т. п.) и др. Развитие научно-технического прогресса приводит к постоянному обновлению компьютерной техники, появлению одних технических средств и исчезновению других. Так, в настоящее время практически полностью исчезли из употребления дискеты, резко сократилось использование пейджеров. Постоянно происходит обновление мобильных средств связи. В связи с развитием Интернета вещей (InternetofThings, IoT), в том числе использованием интернет- технологий для управления средствами производства (IndustrialInternetofThings, НоТ), следует ожидать расширения исследований комплексных технических средств: микрокомпьютеров, встроенных в различные приборы, и сопряженных с ними сетевых компьютерных устройств.

Компьютерная информация весьма многообразна. В криминалистике встречаются различные классификации компьютерной информации. Для целей технико-криминалистического исследования основное значение имеют три основания классификации: по носителю, на котором находится электромагнитное поле, содержащее компьютерную информацию, по ее функциональному назначению и по правовому статусу.

Выделяют следующие виды носителей машинной информации: жесткий магнитный диск (может находиться как внутри компьютера, так и в отдельном блоке); оперативное запоминающее устройство и постоянное запоминающее устройство, обеспечивающие все преобразования информации в компьютере и периферийных устройствах; микропроцессоры; съемные носители информации; электронные средства связи: проводные и беспроводные (линии электросвязи, компьютерные сети и др.), в которых информация находится при ее передаче.

По правовому статусу компьютерная информация подразделяется на документированную информацию (документ) и информацию, не имеющую документированной формы. Документ как вид информации выделяют реквизиты, позволяющие определить информацию, содержащуюся в документе.

Реквизитами компьютерной документированной информации (электронного документа) в соответствии с законодательством являются электронная подпись (простая и усиленная), коды, пароли и иные аналоги собственноручной подписи.

При изучении недокументированной компьютерной информации объектами исследования выступают содержание информации и ее материальный носитель. При изучении электронных документов самостоятельным объектом исследования могут стать их реквизиты, программные и аппаратные средства, использованные для их создания.

Компьютерная информация по функциональному назначению подразделяется на текстовые и графические документы, данные в форматах мультимедиа, информацию в форматах баз данных, программные средства. Программы, в свою очередь, классифицируются на операционные системы, сервисные программы, языки программирования, средства обработки текстов и изображений, системы управления базами данных, системы управления знаниями («экспертные системы»), электронные таблицы, интегрированные пакеты, игровые программы, специализированные программные средства, предназначенные для решения задач в узкой предметной области.

Разновидностью специализированных программ являются вредоносные программы. Рассмотрим самые распространенные классификации вредоносных программ. По целям создания и последствиям их действий: «безвредные инфекции» не уничтожают информацию и не производят с ней несанкционированных действий, но могут нарушать работу компьютера; «опасные инфекции» уничтожают, блокируют информацию и выводят из строя компьютеры и их системы; «инфекции проникновения» предназначены для неправомерного доступа к информации. По способу создания: создание новой вредоносной программы; изменение существующей полезной программы, модификация существующей вредоносной программы. По функции самораспространения: самораспространяющиеся (компьютерные вирусы, черви) и программы, не способные к самораспространению (программные закладки: мониторы, сборщики паролей, логические бомбы и др.).

При исследовании компьютерной информации с целью более полного познания ее свойств могут изучаться вспомогательные объекты: копии компьютерной информации на другом носителе (например, распечатки на бумаге данных); записи с паролями и кодами пользователей; видео- и аудиозаписи, фиксирующие обстоятельства использования компьютерных систем (например, действия пользователей); описания компьютерных программ; сопроводительная документация к компьютерной технике (например, руководства по их эксплуатации); инструкции пользователей, администраторов компьютерных сетей ит. п.; множительная техника; расходные материалы и комплектующие (например, емкости с красящим веществом для печатающих устройств) и др.

Задачи технико-криминалистического исследования компьютерной информации: идентификационные, классификационные, диагностические, реконструкционные и поисковые.

Идентификационные и классификационные задачи объединены в рамках данной главы по следующим причинам. Во-первых, на современном этапе, как правило, криминалисты не располагают инструментарием, позволяющим провести идентификацию единичных материальных объектов (компьютерную информацию и технику), а также использовать эти объекты для индивидуальной идентификации других объектов. Это обусловлено названными выше свойствами, присущими компьютерной информации. Во-вторых, при решении классификационных задач стремятся выйти на уровень как можно более узкой классификационной группы, выделить отдельные индивидуализирующие признаки, пусть и недостаточные для идентификации. Поэтому решение классификационных задач осуществляется по идентификационным методикам.

Чаще всего решаются следующие идентификационные и классификационные задачи:

изготавливалась (обрабатывалась, передавалась, изменялась) ли данная информация с помощью определенного типа или конкретного технического устройства;

какой тип (вид, модель, марка) аппаратных и программных средств применялся при операциях с машинной информацией;

к какому виду (текстовые файлы, программы и т. д.) или более узкой классификационной группе (системное или прикладное программное обеспечение, версия программы, редакция текстового файла) относится представленная компьютерная информация;

 

к какому типу (вид, модель, марка) относится представленная компьютерная техника;

определение общего источника происхождения содержания информации, представленной на разных носителях (создание ее определенной программой и т. п.);

установление пользователей и поставщиков сетевых услуг (провайдеров), ресурсов, которые они предоставляют другим пользователям Сети.

На современном этапе нет достаточно надежных методик установления автора или изготовителя компьютерной информации. Предложения использовать в этих целях методики, применяемые для решения таких задач в других отраслях криминалистической техники, в частности в автороведении, не имеют достаточного экспериментального подтверждения.

В настоящее время в криминалистике нет апробированных методик, которые позволили бы провести идентификацию технических комплексов (единичный компьютер, сеть ЭВМ). Представляется, что решить задачу идентификации компьютера или сети ЭМ В в настоящее время только технико-криминалистическим путем в большинстве случае невозможно. Это требует установления временных, организационных обстоятельств использования таких комплексов, чего нельзя сделать только в рамках экспертизы. Установление единичной ЭВМ или компьютерной сети является задачей процессуального доказывания. Экспертная идентификация выступает как одно из средств, используемых для достижения конечной цели.

Идентификация некоторых электронных печатающих устройств (принтеров, телефаксимильных аппаратов и др.) осуществляется по признакам, отобразившимся в знаковой информации на бумажных носителях. Поэтому чаще всего идентификация данных устройств проводится в рамках технико-криминалистического исследования документов. При этом эксперт должен обладать знаниями в области компьютерной техники или привлечь специалиста. Подробнее идентификация электронных печатающих устройств освещена в параграфе учебника, посвященном технико-криминалистическому исследованию документов.

В ходе решения типовых диагностических задач устанавливаются следующие обстоятельства:

свойства и состояние компьютерной информации и техники;

факт и условия внесения изменений в компьютерную информацию после ее создания; выявление признаков такого изменения;

время создания (удаления, изменения) информации, хронологическая последовательность функционирования компьютера, их системы или сети; функции, выполняемые определенной программой;

способ доступа к компьютерной информации и (или) оборудованию;

фактическое состояние и исправность компьютерной техники;

соответствие реквизитов электронных документов требованиям, предъявляемым к ним, выявление признаков изменения данных реквизитов;

соблюдение установленных технических правил при работе с компьютерной информацией, в том числе правил, обеспечивающих ее защиту;

причинная связь между действиями с компьютерной техникой и (или) информацией и наступившими последствиями (удалением файла, прекращением работы ЭВМ и т. п.);

содержание защищенной кодовыми и иными криптографическими средствами информации, получение к ней доступа;

способы и обстоятельства доступа в компьютерные и телекоммуникационные сети, в том числе в Интернет, операции, осуществляемые в данных сетях;

конфигурации компьютерной (телекоммуникационной) сети или конфигурации ее отдельных фрагментов.

 

Реконструкционные задачи связаны с необходимостью восстановления и установления первоначального состояния компьютерной информации в случае ее противоправного или случайного удаления (уничтожения), изменения, в том числе модификации, блокирования. При решении данных задач могут быть восстановлены содержание информации, ее служебные свойства, характеризующие время создания, автора, место нахождения на логическом и физическом уровне и др. Реконструкционные задачи могут иметь самостоятельное значение или решаться совместно с идентификационными, классификационными, диагностическими, поисковыми.

Поисковые задачи выделяются в качестве самостоятельных и занимают довольно большой объем в криминалистическом исследовании компьютерной информации в отличие от других видов технико-криминалистического исследования. Такое положение обусловлено тем, что компьютерная информация недоступна для непосредственного человеческого восприятия, обладает повышенной степенью уязвимости, большим объемом, необходимостью использовать для работы с ней специальные знания.

В поисковые задачи входит обнаружение конкретной информации в технических устройствах и на ее носителях, поиск информации по определенным признакам, например времени создания, функциональному назначению. В связи с распространением так называемых облачных технологий все большее значение приобретает поиск конкретной информации или данных определенной категории в удаленных хранилищах компьютерной информации, в интернет-ресурсах. Так, очень востребованы задачи обнаружения и получения электронной переписки (электронная почта, SMS- и MMS-сообщения и др.).

Основными методами и средствами исследований являются общие и частные методы математики, радиоэлектроники и информатики, используемые в современных компьютерных технологиях: системный анализ, оптические методы, математическое и имитационное моделирование, топологические методы, инструментальный анализ, метод экспертных оценок и др. В практической деятельности эксперт реализует вышеназванные методы не напрямую, а с помощью широкого набора специальных инструментальных (программных и аппаратных) средств. Например, блокираторы записи, инструменты для получения изображений, копирования, средства документирования, инструменты для поиска и восстановления удаленных файлов, программы для просмотра информации, инструменты для декомпиляции и пошаговой трассировки, различные утилиты и т. д. Привести исчерпывающий перечень указанных средств невозможно в связи с тем, что их арсенал постоянно изменяется вслед за увеличением разнообразия технического и программного обеспечения компьютеров и их систем.

Особое внимание в процессе исследований в связи со спецификой компьютерной информации необходимо уделять требованию ее сохранности в неизменном виде. Соблюдение данного требования обеспечивает возможность проведения повторных и дополнительных исследований. Технически указанный принцип реализуется путем создания точной копии исследуемой информации. Такая копия для последующего производства экспертизы, как правило, создается на дополнительном жестком диске компьютера эксперта (стендовом компьютере). В дальнейшем на нем и выполняются экспертные исследования объектов. При этом основные технические параметры этого жесткого диска (емкость, среднее время доступа к данным и др.) должны совпадать с параметрами жесткого диска исследуемого компьютера. При невозможности получения резервной копии содержимого жесткого диска должны быть предприняты иные меры для сохранности исследуемой информации (например, путем использования программных блокираторов записи).

Для диагностики и анализа компьютерной информации используются стандартные программы: SystemInformation (NortonUtilites, Symantec), версии NortonCommander. Для просмотра содержимого дисков в операционных системах Windows используется стандартная оболочка для работы с файлами — Explorer. Для решения более сложных задач, например дешифровки ряда шифровальных алгоритмов данных и мониторинга дискового пространства, применяются программы PowerDeskUtilities 98 и TurboBrowser. Исследование баз данных может проводиться специализированными программами: IRC, DataMining, DataExtractor UDMA и др.

При получении доступа к графическим файлам и их последующего анализа в экспертных исследованиях применяются AdobePhotoshop, CorelDraw, QuickTime (forWin) и др. Восстановление удаленных файлов или их фрагментов осуществляется с помощью программ UnEraseWisard. Любое восстановление данных осуществляется только на стендовом жестком диске.

Перечисленные программные средства применимы лишь к ЭВМ, совместимым с IBM PC. При изучении иных типов компьютеров в экспертных исследованиях используются иные программные и аппаратные средства.

Все большее распространение получают специализированные программно-аппаратные комплексы, которые специально предназначены для решения криминалистических задач в отношении компьютерной информации и техники. Использование таких криминалистических комплексов позволяет получить дополнительную информацию, которую нельзя извлечь при помощи стандартных программных средств, дает дополнительные гарантии неизменности объектов исследования, позволяет облегчить работу экспертов и специалистов по документальному оформлению соответствующего исследования. В экспертную деятельность внедряются программно-аппаратные комплексы, позволяющие комплексно решать задачи по исследованию компьютерной информации и техники (например, EnCase, Forensic I PC, XRY, «Мобильный криминалист»). Весьма перспективным направлением является использование криминалистических программно-аппаратных комплексов, позволяющих исследовать широкий спектр различных мобильных электронных устройств (от мобильных телефонов до планшетных компьютеров). Данные комплексы в автоматизированном режиме решают все поисковые задачи, значительное количество классификационных и диагностических задач во время проведения следственных действий. Универсальные комплексы[2] позволяют решать ряд важных задач расследования: получение и анализ пользовательской информации, находящейся в мобильных устройствах; получение и анализ электронной переписки (электронная почта, SMS и др.); установление местонахождения устройства в определенное время (дату или период); получение и анализ данных о соединениях с другими мобильными устройствами; получение информации о программных средствах, приложениях и т. п., установленных, в том числе ранее, на устройстве; получение и анализ информации об использовании устройством сети Интернет, включая использование определенных ресурсов сети Интернет; получение с помощью мобильного устройства доступа к пользовательской информации, находящейся в удаленных хранилищах информации; восстановление удаленной информации, в некоторых случаях получение доступа к информации, защищенной паролями или иными кодовыми средствами.

Все стандартные и специализированные средства, предназначенные для исследования компьютерной информации, должны быть сертифицированы или лицензированы.

Технико-криминалистическое исследование компьютерной информации может быть проведено в следующих процессуальных формах:

в форме непосредственного исследования следователем или судом.

На современном этапе использование данной формы происходит обычно после исследования компьютерной информации специалистом или экспертом в силу вышеназванной сложности объектов исследования. Первоначальное самостоятельное исследование компьютерной информации следователем или судом возможно, как правило, в вышеуказанной третьей следственно-экспертной ситуации, когда нет опасности утраты данной информации и информация представлена в формате, пригодном для ее изучения неспециалистом.

Использование в расследовании специализированных программно-аппаратных комплексов позволяет непосредственно следователю решать задачи, которые ранее относились к компетенции специалиста или эксперта, в автоматизированном режиме (например, извлечение SMS-сообщений, аудио-, видео- и графических файлов, данных о звонках из мобильных телефонов);

в форме участия специалиста при производстве следственных действий. Специалист привлекается для осуществления операций, связанных с обнаружением, осмотром, фиксацией, изъятием компьютерной информации и техники при производстве отдельных следственных действий, а в некоторых случаях и для ее исследования по заданию следователя. При этом специалист, как правило, решает поисковые задачи, диагностирует состояние и изменения компьютерной информации и оборудования, устанавливает возможность проведения в дальнейшем экспертизы в отношении изъятых объектов. При возникновении опасности утраты или изменения информации и для решения более сложных задач назначается экспертиза. Привлечение специалиста возможно для прогнозирования вероятных действий преступника при длящихся преступлениях. Например, определение возможных сбоев в обработке информации, слабых мест в системе защиты и т. п. с целью выявления способов совершения преступного посягательства;

в форме экспертного исследования компьютерной информации и техники (компьютерно-технической экспертизы (термин используется в системе Минюста России) или компьютерной экспертизы (термин используется в системе МВД России)). Выделяются следующие виды компьютерной экспертизы: аппаратно-компьютерная, программно-компьютерная, информационно-компьютерная или экспертиза данных, компьютерно-сетевая.

При подготовке к назначению компьютерной экспертизы следователь или суд решают следующие задачи: корректная фиксация состояния объектов, направляемых на экспертизу, обеспечивающая сохранение их неизменности; обеспечение защиты компьютерной информации от внешних воздействий, которые могут привести к утрате или изменению ее свойств (электромагнитное излучение, попадание воды и др.) при хранении и транспортировке; предоставление вместе с компьютерной информацией и техникой вышеуказанных вспомогательных объектов; направление материалов следственных действий с информацией о состоянии и обстоятельствах изъятия объектов (протоколы, планы, фотоснимки, видеоматериалы и т. п.).

На электронных носителях информации и компьютерном оборудовании могут быть следы, не связанные с компьютерной информацией, изучение которых необходимо для успешного расследования преступления. Такими следами являются: отпечатки пальцев, различные выделения человека, волосы, микрочастицы кожи, рукописные записи, микрочастицы различных веществ, в том числе одежды, и некоторые другие. В отношении данных следов назначаются самостоятельные экспертизы: дактилоскопическая, судебно-медицинская, биологическая, почерковедческая, судебно-техническая экспертиза документов и КЭМВИ. Когда изъятие таких следов невозможно в силу того, что они неразрывно связаны с носителем информации или техническим устройством (например, рукописные записи на пластиковой карте), экспертизы проводятся в последовательности, обеспечивающей сохранность указанных следов.

В настоящее время компьютерные экспертизы проводятся экспертными учреждениями МВД России, ФСБ России, Минюста России.

Проведение экспертных исследований может быть поручено либо негосударственным экспертным учреждениям, либо лицам или организациям, осуществляющим деятельность в сфере высоких технологий. В последнем случае необходимо обращать внимание на то, чтобы эти лица или организации не находились в зависимости или не имели заинтересованности в деле со стороны участников процесса. В частности, экспертизы по исследованию средств защиты не могут проводить организации, разработавшие такие средства защиты или обеспечивающие их эксплуатацию; установление технических признаков контрафактности не должны осуществлять лица, имеющие договоры с правообладателями по защите их авторских и смежных прав.

При назначении конкретной экспертизы следователю рекомендуется предварительно согласовать вопросы с экспертом.

Типовые вопросы, решаемые компьютерной экспертизой: относится ли представленное устройство к аппаратным компьютерным средствам (электронному носителю информации);

к какому типу (марке, модели) относится аппаратное средство (электронный носитель информации);

каково фактическое состояние (исправно, неисправно) аппаратного средства; причины неисправности аппаратного средства; каковы причины отсутствия доступа к носителю информации; какие свойства (характеристики) имеют представленные данные; какие данные с фактами и обстоятельствами конкретного дела имеются на носителе информации (аппаратном средстве);

позволяет ли программа создавать (обрабатывать) представленную компьютерную информацию;

какие функции выполняет представленная на экспертизу программа, ее атрибуты и характеристики;

когда и как осуществлялся доступ к данным или к аппаратному средству, был ли осуществлен доступ с определенного компьютера;

обладает ли представленная на экспертизу программа техническими признаками контрафактности;

имело ли лицо техническую возможность производить определенные операции с данной компьютерной информацией;

обладает ли программа (иная компьютерная информация) функциями, позволяющими уничтожать, блокировать, модифицировать, копировать информацию, нарушать работу компьютерных устройств;

имеются ли на представленных носителях компьютерной информации какие-либо программы для осуществления доступа к другим компьютерам;

позволяют ли представленные программы вносить изменения (заранее обусловливать результат работы) в определенные программы;

какие средства защиты применялись в представленном на экспертизу компьютерном устройстве, каковы их функции; какова хронология работы с программой (данными); каково время создания (последнего изменения) представленных данных;

какие файлы были уничтожены и (или) изменены, каковы их свойства (характеристики); каковы содержание и (или) свойства (характеристики) удаленных файлов;

каковы имена пользователей, их пароли при работе с представленным на экспертизу компьютером;

как получить доступ к представленной информации, защищенной паролями (иными средствами); каково содержание защищенных данных;

является ли представленное на экспертизу устройство средством хранения, обработки и передачи компьютерной информации (устройством, входящим в информационно-телекоммуникационную сеть, оконечным оборудованием, носителем компьютерной информации);

 

имеются ли признаки работы данного компьютерного устройства в сети Интернет (ин