Читайте также: |
|
После выполнения комплекса организационно-подготовительных мероприятий можно приступить к непосредственному осмотру места происшествия.
В начале следователь должен осуществить общий обзор места происшествия, в задачи которого входят:
1) непосредственное ознакомление с обстановкой (расположением комнат и СКТ в них, подсобных помещений, подлежащих осмотру, и т.п.) путем обозрения места либо передвижения по территории;
2) уточнение границ места происшествия;
3) уточнение (в виде общего представления) характера происшедшего события;
4) принятие при необходимости мер по обеспечению сохранности следов;
5) уточнение плана детального осмотра, охватывающего все-иозможные версии о способах и мотивах преступления, на основе чего окончательно распределяются функции между участниками осмотра, решается вопрос об исходной точке и методах осмотра;
6) выбор позиции для производства ориентирующей и обзорной фотосъемки и ее осуществление специалистом-криминалистом;
7) изготовление предварительных набросков плана места происшествия.
Затем следователь вместе с другими участниками осмотра вы-» ясняет, какие объекты из находящихся на месте происшествия подлежат исследованию.
Основными объектами, подлежащими осмотру, являются: помещения, где расположена компьютерная техника; отдельные компьютеры, не подсоединенные к сети; рабочие станции, входящие в сеть; серверы (управляющие компьютеры); периферийные телекоммуникационные устройства (модемы, факс-модемы, сканеры); магнитные и оптические носители информации, стримеры; распечатки, выполненные на принтере; техническая и иная
документация (описания к компьютерным системам, документы финансовой отчетности, производственные документы).
Сведения о компьютерной сети и используемых компьютерах, полученные у администрации и персонала, проверяются собственным осмотром: количество и тип серверов компьютерной сети, подключенных к ним рабочих станций (компьютеров), помещения их расположения (это можно сделать, проследив трассы кабелей или специальных коробов для их защиты). Собственный выясняющий осмотр группа проводит и в случае невозможности получить сведения у администрации и персонала.
Необходимо выяснить, имеется ли выход в другие, в т.ч. глобальные сети, возможно ли использование коммуникационных программ для связи с удалёнными пользователями, установить, какая компьютерная сеть, ее часть или компьютер подверглись несанкционированному доступу (как они использовались: как общий сервер, файл-сервер"; почтовый сервер, сервер речевой почты, сетевая база данных, рабочая станция).
Следует определить области компьютерной сети, в которых на компьютерах может быть обнаружена информация, имеющая значение для дела, и взять их под контроль, принять меры к блокированию внешнего удаленного доступа к системе (программно или физически отключив кабель к телефонной или другой линии связи).
Необходимо уточнить, имеет ли сеть различные уровни доступа; как компьютер и сервер протоколируют (записывают в лог-файлы) вход пользователей в систему и выход из нее, их действия в конфигурации сетевой системы, события; могли ли записываться команды, посылаемые взломщиком, и т.д.
Детальный осмотр места происшествия по делам о преступлениях в сфере компьютерной информации некоторые криминалисты рекомендуют начинать от «центра к периферии». В качестве «центра» (отправной точки осмотра места происшествия) будет выступать конкретный компьютер и (или) компьютерная информация, явившаяся предметом преступления и несущая в себе следы преступной деятельности. Дальнейшее продвижение должно быть направлено в сторону периферийных устройств,
устройств сопряжения и обеспечения1, связанных по сети компьютеров.
Другие криминалисты, напротив, придерживаются мнения, что при осмотре места происшествия по данной категории дел К1Д0 использовать концентрический способ осмотра, под которым понимается порядок осмотра от «периферии к центру». В центре находится самый важный объект (объекты) — сервер сети (фийл-сервер, веб-сервер)2.
Имеется и точка зрения о целесообразности использования полиэксцентрического способа осмотра (как разновидность эксцентрического способа осмотра с исследованием, исходящим из нескольких информационных центров-узлов). При этом способе исходные центры - отдельные ЭВМ, образующие интересующий следователя участок, и «кибернетическое пространство», а движение осуществляется от одного узла к другому в соответствии с иерархией и топологией (геометрией) каналов машинной связи3.
На наш взгляд, последовательность осмотра места происшест-иня должна определяться в зависимости от конкретных обстоятельств. Осмотр целесообразно начинать с такого участка (узла) места происшествия, который содержит наибольший объем криминалистической информации (при расследовании преступлений и сфере компьютерной информации это обычно компьютер). Имеете с тем исходную точку осмотра выбирают так, чтобы I >(>еепечить не только целеустремленность и полноту осмотра, но и такой порядок действий следователя и других участников осмотра, который исключил бы или, по крайней мере, свел к мини-
1 См.: Криминалистическая методика расследования отдельных видов преступле
ний / Под ред. А.П. Резвана, М.В. Субботиной, М., 2002. Ч. 2. С. 100; Рогозин В.Ю. Осо
бенности подготовки и производства отдельных следственных действий при расследова
нии преступлений в сфере компьютерной информации. М, 2000. С. 25; Вехов В.Б., Попова
II В., Илютин Д.А. Тактические особенности расследования преступлений в сфере компь-
ЮТериой безопасности. Изд. 2-е, доп. и испр. М., 2004. С. 57; Вехов В.Б. Особенности рас
следования преступлений, совершенных с использованием пластиковых карт и их рекви-
читов. Волгоград, 2005. С. 212.
2 См.: Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М,
2002. С. 188.
3 См.: Мещеряков В.А. Основы методики расследования преступлений в сфере
компьютерной информации: Автореф. дисс.... д-ра юрид. наук. Воронеж, 2001. С. 26-27.
муму возможность уничтожения либо повреждения ими самими следов преступления4.
После определения расположения и состояния подлежащих осмотру объектов, при условии, что осматриваемые объекты выключены, следователь должен решить вопрос о возможности и способах выявления и Изъятия запаховых следов. Наиболее типичными местами, где бывают объекты — носители запаховых следов, являются пути прихода и ухода преступника; входные двери, окна, форточки, иные преграды, преодоленные преступником; средства компьютерной техники (особенно манипулируе-мые); офисные кресла, перемещенные предметы в обстановке места происшествия5.
Практика свидетельствует, что нельзя ограничиваться сбором только «цифровых следов», забывая о традиционных следах рук, ног, взлома окон и дверей, которые могут быть обнаружены на удалении от ЭВМ. Традиционные следы иногда играют решающую роль в выявлении и изобличении преступника. Поэтому выбор исходной точки и способов осмотра зависит от конкретной следственной ситуации. Так, эксцентрический способ осмотра целесообразно использовать при наличии на месте происшествия компьютера, не входящего в локальную сеть. Полиэксцентрический способ (который, по сути, является множественным узловым способом осмотра) применяется при осмотре группы компьютеров, объединенных в локальную сеть. В любом случае, осматривая СКТ, целесообразно руководствоваться правилом: в первую очередь проводить поиск и исследование традиционных следов, а затем — компьютерной информации.
Нужно обследовать монитор, мышь, переднюю поверхность системного блока и монитора компьютера, особенно около дисководов, кнопок, клавиатуру, соединительные и электропитаю-щие провода, розетки и штепсельные вилки, разъемы портов на предмет обнаружения, фиксации и изъятия следов рук, микрочастиц и т. д. Надо помнить, что поиск следов рук путем опыления
порошком может привести к попаданию его в дисковод, разъемы, на рабочую поверхность переносных дисков и повлечь нарушение работы ЭВМ и уничтожение информации. Поэтому рекомендуется либо отказаться от использования традиционных механических методов выявления потожировых следов, применяя в этих целях осветители ультрафиолетового или инфракрасного излучения, либо максимально аккуратно работать с порошками6.
Вначале все находящиеся на месте происшествия объекты осматриваются в неподвижном состоянии, т.е. без осуществления действий, вносящих изменения в материальную обстановку. В ходе статического осмотра изучаются расположение объектов на месте происшествия, их размер, качественные характеристики (свойства, признаки, состояния), осуществляется узловая, а также детальная фото-, видеосъемка7. По ходу осмотра рекомендуется вести рабочие «шиси (заметки) на бумаге, в портативной электронной записной книжке либо наговаривать результаты на диктофон.
Если компьютер включен, необходимо оценить информацию, изображенную на экране монитора (дисплея), и определить, какая программа используется в данный момент, обратить внимание на дату и текущее время на индикаторе панели задач (обычно внизу жрана, справа). Следует сфотографировать экран монитора, описать, что на нем отображено, в протоколе зафиксировать дату и текущее время по показаниям компьютера и их фактические значения, остановить исполнение прикладной программы (или программ), определив, какая информация получена после завершения ее работы.
При динамическом осмотре (к которому приступают лишь по завершении статического) следователь может изменять положение объектов: перемещать отдельные части компьютерной сис-» темы, изучать информацию на СКТ.
Начинать осмотр сети компьютеров необходимо с сервера — специального компьютера, с которого осуществляют общее управление работой сети и содержащего основную (базовую) и общую информацию.
4 См.: Баев О.Я. Тактика следственных действий. Воронеж, 1995. С. 50.
5 Подробнее об обнаружении и фиксации запаховых следов человека см.: Грошен-
кова О.А. Исследование запаховых следов человека при раскрытии преступлений. Сара
тов, 1999. С. 17-34; Старовойтов В.И., Шамонова Т.Н. Запах и ольфакторные следы че
ловека. М., 2003. С. 26-36.
6 См.: Криминалистика/Под ред Т.А. Седовой, А.А. Эксархопуло. СПб., 2001. С. 375.
7 См.: Тактика следственных действий. Саратов, 2000. С. 37.
Осмотр может проводиться одновременно несколькими участниками (следователями, специалистами) в присутствии двух понятых. В этом случае организуется параллельное обследование входящих в локальную сеть рабочих станций (компьютеров) по схеме, изложенной далее применительно к осмотру и изъятию информации на работающем компьютере8.
В помещениях с компьютерами осмотр осуществляется последовательно от одного компьютера к другому. Очередность осмотра устанавливается в зависимости от степени связанности компьютера (наличие кабеля связи, обеспечение условия прямой видимости для оборудования, оснащенного инфракрасным портом передачи информации, и т.д.) или удаленности его расположения от основного (опорного) информационного узла. Моментом завершения осмотра одного информационного узла и перехода к другому является достижение границ его функционирования системы ЭВМ с периферийными устройствами.
Статический и динамический приемы осмотра в этом случае реализуются не в отношении всего места происшествия, а лишь относительно узла (отдельного компьютера), который вначале изучается статически, а затем динамически.
По завершению осмотра компьютеров, входящих в сеть, производится осмотр помещения и иных объектов, расположенных на месте происшествия. При осмотре кабельных соединений локальной сети надо убедиться в их целостности на всем протяжении, отсутствии следов подключений нештатной аппаратуры.
Если численность следственной группы позволяет, то в ходе осмотра (или прервав его) следует в присутствии специалистов опросить порознь очевидцев, лиц, обнаруживших признаки преступления, иных лиц, располагающих сведениями, которые помогут осмотру и получению информации. Показания опрашиваемых необходимо зафиксировать с помощью средств звукозаписи.
Затем исследуются кабельные соединения локальной сети (кабельного хозяйства и устройств его разводки) на предмет целост-
КОСТИ и отсутствия следов подключения аппаратуры для ведения никгронной разведки.
Осмотр места происшествия не должен ограничиваться помещениями, где расположены СКТ, обследуются также лестничные ■ нющадки, подвалы, иные вспомогательные помещения, прилегающая территория. В этих местах могут быть обнаружены важные для дела источники криминалистической информации.
§ 2. Осмотр компьютерных систем на рабочих местах
При осмотре компьютерных систем на месте происшествия iподует: выяснить, сфотографировать и (или) изобразить в виде плана расположение компьютера и периферийного оборудования и помещении и относительно друг друга, особенности соединения между собой всех устройств; указать их тип и модификацию; установить факт наличия либо отсутствия линий связи для работы СКТ, телекоммуникационных линий; определить, какая аппаратура используется в этих целях, какой абонентский номер телефонной связи (или какая линия другой связи) используется для соединения с провайдером сетевых услуг и глобальной сетью10; установить наличие задействованных разъемов для подключения периферийных и дополнительных устройств, их количество и какие именно устройства к ним подключены11.
При осмотре внутреннего устройства компьютера или периферийного устройства стараются выявить наличие внутри них нештатной аппаратуры, следов противодействия аппаратной системе защиты. Необходимо выяснить, какие платы и устройства встроены в системный блок.
Кроме компьютеров и периферийного оборудования, должны исследоваться физические носители компьютерной информации (дискеты, съемные винчестеры, компакт-диски, магнитные ленты и т.п.). Устанавливается также, имеются ли на указанном объекте следы рук, механические повреждения.
8 См.: Пособие для следователя. Расследование преступлений повышенной обще
ственной опасности. М.„ 1998. С. 405-406; Андреев Б.В., Пак П.Н., Хорст В.П. Расследо
вание преступлений в сфере компьютерной информации. М., 2001. С. 59.
9 См.: Мещеряков В.А. Указ. соч. С. 27.
10 См.: Компьютерные технологии в юридической деятельности / Под ред. Н.С.
Полевого. М., 1994. С. 241-243; Вехов В.Б. Компьютерные преступления: Способы совер
шения и раскрытия. М., 1996. С. 160.
11 См.: Рогозин В.Ю. Указ. соч. С. 26.
Надо быть готовым к тому, что может отсутствовать докумен
тация на компьютерную систему в целом, ее отдельные устройст
ва и установленное программное обеспечение. Выяснив при ос
мотре компьютера перечень установленных программ, нужно
потребовать лицензию шф другие документы, подтверждающие
законность их использования. Установленной считается про
грамма, которая извлечена из сжатого (архивированного) состоя
ния и после прохождения этапа предупреждения о необходимо
сти лицензионного использования установлена (инсталлирована)
в рабочий каталог. Это свидетельствует о том, что пользователь,
не имея на то законных прав, осознанно установил программу
(взломал лицензионную программу или приобрел нелицензион
ную копию). ~
Программы - средства взлома и несанкционированного доступа, троянские кони и вирусы, конечно, не имеют лицензионных реквизитов и считаются установленными после копирования и приведения в функциональное состояние.
Кроме того, осмотру подлежат документы, выполненные как на бумажных, так и на машинных носителях. Особый интерес представляют:
а) документы, описывающие аппаратуру и программное обес
печение (технический паспорт или документ, его заменяющий),
пояснения к аппаратным Средствам и программному обеспечению;
б) документы, устанавливающие правила работы с ЭВМ, сис
темой или сетью (должностные обязанности, инструкции по ра
боте с ЭВМ, программами для ЭВМ, средствами защиты от не
санкционированных действий), действий оператора в нештатной
ситуации, черновая рабочая документация оператора ЭВМ;
в) учетные документы по работе с СКТ (журнал оператора или
протокол автоматической фиксации технологических операций,
доступа к СКТ; журналы учета машинных носителей информа
ции, машинных документов, выдачи машинных носителей и ма
шинных документов, массивов программ, записанных на носите
лях; журналы учета уничтожения брака бумажных носителей и
12 См.: Гаврилов М.В., Иванов А.Н. Особенности осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Российская юридическая доктрина в XXI веке: проблемы и пути их решения: Научно-практич. конф. (3-4 октября 2001 г.). Саратов, 2001. С. 228.
машинных документов; акты на стирание конфиденциальной информации и уничтожение машинных носителей с ней; журналы учета установки и тестирования вновь устанавливаемого про-граммного обеспечения; журналы учета обучения операторов ЖМ и пользователей работе с новым программным обеспечением; журнал учета технических неисправностей и сбоев; журналы аудита системного администратора; акты контрольных проверок, U i u пусконаладочных и ремонтных работ);
г) документы, отражающие сашеционированность доступа к
СКТ (удостоверения личности, электронные ключи доступа, па
роли, персональные идентификационные номера);
д) учетно-регистрационная и бухгалтерская документация (ли
ца кии, сертификаты соответствия СКТ, программ для ЭВМ,
средств защиты информации, протоколов обмена информацией и
форматов электронных документов установленным требованиям,
Договоры на пользование СКТ и доступа к компьютерной ин
формации и т.д.)13. Изучение указанных документов поможет
I иедователю выяснить законность использования программного
Обеспечения, особенности организации работы учреждения и об
работки в ней информации, доступа к ней и компьютерной тех
нике, круг лиц, имевших на это право, и т.п.14
" См.: Крылов В.А, Информационные компьютерные преступления. М., 1997. С. КI, Криминалистика / Под ред. А.Г. Филиппова. М., 2000. С. 633-639; Кримииалистиче-ПОЯ методика расследования отдельных видов преступлений: В 2 ч. / Под ред. А.П. Рез-шша, М.В. Субботиной. М., 2002. Ч. 2. С. 102-103; Криминалистика / Под ред Е П Ищенко. М„ 2000. С. 721.
14 См.: Ищенко Е.П., Топорков А.А. Криминалистика / Под ред. Е.П. Ищенко М 2003. С. 724.
Глава 4. Заключительный этап осмотра места происшествия
§ 1. Изъятие компьютеров и отдельных носителей с информацией
После выполнения указанных мероприятий осмотр физических объектов заканчивается и можно решать, как провести осмотр информации: на исходном месте ее расположения или извлечь (изъять) и провести исследование в лаборатории.
Если для производства осмотра устройств и носителей с информацией (в т.ч. бумажных документах) требуется много времени или их осмотр на месте по каким-либо причинам затруднен (например, по технологическим причинам), то имеющие значение для дела носители, документы, накопители информации (в т.ч. внутри системных блоков компьютера) должны быть пересчитаны, изъяты, упакованы, опечатаны, заверены подписями следователя и понятых на месте осмотра. Их дальнейший осмотр производится по месту проведения следствия с участием тех же понятых и отражением в протоколе сохранности печати и удостовери-тельных подписей на упаковке, в которую были помещены изъятые объекты.
В зависимости от объема и целей исследования и изъятия информации с дисков компьютера ее можно скопировать на чистые дискеты, стример, переносной диск типа ZIP, записываемый компакт-диск и даже другой жесткий диск. В присутствии понятых переносные носители необходимо предварительно проверить на отсутствие вирусов. Поскольку исследуемая система может быть заражена вирусом, нельзя допустить его распространение на другие машины. Поэтому для каждой ЭВМ во время осмотра компьютерных систем, их сетей и периферийного оборудования необходимо использовать ранее не задействованные (чистые) носители.
Наряду с созданием физической копии диска зараженной системы, целесообразно сделать копии отдельных файлов, в которых, по мнению специалиста, могут быть следы компьютерного
1 См.: Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М., 2002. С. 206.
преступления. Копирование осуществляется с помощью программы управления файлами типа Total Commander, FAR либо в командной строке командой Сору. Копирование лучше осуществлять именно на месте производства следственного действия. Это ПОЗВОЛИТ опровергнуть заявления о подмене копий2.
11ри копировании рекомендуется:
провести при выявлении вредоносных программ (вирусов, зараженных вирусами программ и документов, программ троянских коней и аналогичных) их немедленное тестирование антивирусными программами с сохранением файла протокола (лог-файла) на отдельной дискете, защитив дискету от записи и указав г. протоколе дату копирования и номер дискеты;
нанести на носители ярлыки, указав на каждом из них номер дискеты и название обнаруженного вируса (если он был установили в процессе тестирования)3.
Копий должно быть как минимум две.
При копировании информации с жесткого диска следует учи-гывать, что современные винчестеры имеют объем дискового пространства более 100 гигабайт (объем почти 80 000 дискет). Не иссгда возможно полностью копировать всю информацию, содержащуюся на жестком диске осматриваемого компьютера, це-иссообразно выбрать самое важное, для создания копий исполь- ЭОвать сжатие информации с помощью программ архивации.
В любом случае желательно составить файл полного списка папок, файлов и их реквизитов с помощью специальных программ каталогизации (прил. 8 и 9). Программы готовят файл отчета, в который выводится имя тома диска и серийный номер, список его каталогов и файлов, включая имена, дату и время по-(мед него изменения. Для файлов указывается расширение имени и размер. Выводится также общее число файлов и каталогов, общий размер и размер свободного пространства на диске.
В отсутствие таких программ в Windows придется открыть окно так называемого сеанса MS-DOS командой Пуск, Программы, Командная строка (или Сеанс DOS), сделать текущим соответствующий диск (например, командой CD D:\ или просто D:), дать
1 См.. Криминалистика / Под ред. Т.Д. Седовой, А.А. Эксархопуло... С. 381. ' См.: Козлов В.Е. Указ. соч. С. 207-208.
команду dir с параметрами для вывода списка файлов и подкаталогов в файл spisok_d.txt. Вывести отчет:
на тот же текущий диск dir /s >spisok_d. txt
на дискету dir /s >a:\spisok_d.txt
на флэш-карту (дискJ7:) dir /s >f:\spisok_d.txt (при большом объеме ожидающегося списка).
Файл отчета следует открыть с помощью Word (выполнив конвертацию из кодировки DOS).
Текстовые данные, содержащиеся на компьютерном носителе, удобнее использовать в качестве доказательств, если их преобразовать программными средствами в форму, пригодную для обычного восприятия и хранения, например распечатать. При наличии принтера перечень содержимого каталогов (файлов) дисков нужно распечатать и заверить подписями понятых.
Распечатка компьютерного текста документов должна быть снабжена, согласно ст.ст. 2, 5 Федерального закона от 20 февраля 1995 г. «Об информации, информатизации и защите информации»4, реквизитами и подписями. Эти же требования зафиксированы в ГОСТе 6.10.4-845. В распечатках должны быть указаны характеристики применявшегося компьютера, наименование, а также версия использованной программы и дата изготовления документа. Эти параметры должны быть зафиксированы на последнем листе распечатанного текста документа как строковое поле электронного документа, удостоверены от руки, отмечены в протоколе осмотра. Оригинал (электронный образ документа) и копия (распечатка) должны соответствовать друг другу.
Понятые, а также другие лица, участвующие в осмотре, расписываются на всех распечатках информации, изготовленных в ходе осмотра, которые оформляются как приложение к протоколу следственного действия.
В некоторых работах рекомендуется изымать все СКТ, находящиеся на месте происшествия. С подобным предложением согласиться нельзя. Помимо чисто технических сложностей суще-
4 См.: Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, ин
форматизации и защите информации» // СЗ РФ. 1995. № 8. Ст. 609.
5 См.: ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание
юридической силы документам на машинном носителе и машинограмме, создаваемых
средствами вычислительной техники» / ПС СССР по стандартам. М., 1989. С. 1-26.
ствуют и экономические: по оценкам специалистов, в случае выхода из строя (а значит, и изъятия) ЭВМ-банк может «продержаться» не более двух дней, оптовая фирма - 3-5 дней, компания обрабатывающей промышленности - 4-8 дней, страховая компания -5-6 дней6.
Владелец компьютерных средств и информации, пострадавший от компьютерного преступления, заинтересован не только в раскрытии преступления, но и в том, чтобы сберечь свое имущество, как можно быстрее восстановить работу систем и сети. В связи с этим изъятие всей компьютерной техники - мера не только сложная по выполнению, но и чреватая претензиями организации за понесенный неоправданный ущерб, причиненный следственной группой. Опасение, что обращение в правоохранительные органы и расследование нарушат нормальную работу и принесут убытки, ббльшие, чем принесло само происшествие, может стать для пострадавшей стороны аргументом в пользу сокрытия факта компьютерного преступления.
Принимая решение об изъятии аппаратуры или носителей, необходимо учитывать тот факт, что изъятие объектов для длительного осмотра и тщательного исследования может создать компании дополнительные трудности в работе и принести ей убытки. Компромиссное решение должно учитывать степень тяжести, общественной опасности совершенного преступления и наличия (отсутствия) у следственной группы отношений сотрудничества с пострадавшей стороной.
Изымать всю компьютерную систему (системный блок) и все периферийные устройства (клавиатуру, монитор) далеко не всегда обязательно. Эти устройства взаимодействуют между собой, но каждый компонент системы выполняет определенную функцию; они не все хранят информацию и поэтому могут работать и быть исследованными независимо. В некоторых случаях по согласованию со специалистом изымаются только устройства, соответствующие направлению исследования, или даже только жесткий диск из системного блока.
См.: Черкасов В.Н. Борьба с экономической преступностью в условиях применения компьютерных технологий. Саратов, 1995. С. 16.
Изъятие компьютеров рекомендуется лишь для следующих случаев:
1) непосредственно компьютер должен быть объектом экспертного исследования;
2) на компьютере установлено уникальное аппаратное или программное обеспечение, в отсутствие которого не удастся получить доступ к интересующей информации;
3) организацией или владельцем не предоставлены пароли, коды доступа к компьютеру, отдельным папкам, файлам на диске;
4) на месте следственного действия не удалось в полном объеме провести поиск, изучить содержание файлов, есть основание считать, что часть информации на дисках скрыта или зашифрована;
5) на месте следственного действия не удалось в полном объеме или необходимом качестве создать копии файлов, дисков7.
В организациях с большим объемом информации может применяться резервное копирование на специально выделенный для этих целей компьютер (или стример), который после копирования надо отсоединить от сети и временно расположить в отдельной охраняемой комнате для исследования в ближайшие дни.
Если все же СКТ необходимо изъять, можно сделать копии файлов, содержащих данные, которые необходимы для нормальной работы организации, предоставив их в распоряжение данного юридического лица.
Дата добавления: 2015-09-03; просмотров: 154 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
Подготовительные действия следователя по прибытии на место происшествия | | | Общий осмотр помещений с компьютерной техникой и рабочих мест 2 страница |