Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Общий осмотр помещений с компьютерной техникой и рабочих мест 1 страница

Читайте также:
  1. Contents 1 страница
  2. Contents 10 страница
  3. Contents 11 страница
  4. Contents 12 страница
  5. Contents 13 страница
  6. Contents 14 страница
  7. Contents 15 страница

После выполнения комплекса организационно-подготовитель­ных мероприятий можно приступить к непосредственному ос­мотру места происшествия.

В начале следователь должен осуществить общий обзор места происшествия, в задачи которого входят:

1) непосредственное ознакомление с обстановкой (расположе­нием комнат и СКТ в них, подсобных помещений, подлежащих осмотру, и т.п.) путем обозрения места либо передвижения по территории;

2) уточнение границ места происшествия;

3) уточнение (в виде общего представления) характера проис­шедшего события;

4) принятие при необходимости мер по обеспечению сохран­ности следов;

5) уточнение плана детального осмотра, охватывающего все-иозможные версии о способах и мотивах преступления, на основе чего окончательно распределяются функции между участниками осмотра, решается вопрос об исходной точке и методах осмотра;

6) выбор позиции для производства ориентирующей и обзорной фотосъемки и ее осуществление специалистом-криминалистом;

7) изготовление предварительных набросков плана места про­исшествия.

Затем следователь вместе с другими участниками осмотра вы-» ясняет, какие объекты из находящихся на месте происшествия подлежат исследованию.

Основными объектами, подлежащими осмотру, являются: по­мещения, где расположена компьютерная техника; отдельные компьютеры, не подсоединенные к сети; рабочие станции, вхо­дящие в сеть; серверы (управляющие компьютеры); периферий­ные телекоммуникационные устройства (модемы, факс-модемы, сканеры); магнитные и оптические носители информации, стри­меры; распечатки, выполненные на принтере; техническая и иная


 




документация (описания к компьютерным системам, документы финансовой отчетности, производственные документы).

Сведения о компьютерной сети и используемых компьютерах, полученные у администрации и персонала, проверяются собст­венным осмотром: количество и тип серверов компьютерной се­ти, подключенных к ним рабочих станций (компьютеров), поме­щения их расположения (это можно сделать, проследив трассы кабелей или специальных коробов для их защиты). Собственный выясняющий осмотр группа проводит и в случае невозможности получить сведения у администрации и персонала.

Необходимо выяснить, имеется ли выход в другие, в т.ч. гло­бальные сети, возможно ли использование коммуникационных программ для связи с удалёнными пользователями, установить, какая компьютерная сеть, ее часть или компьютер подверглись несанкционированному доступу (как они использовались: как общий сервер, файл-сервер"; почтовый сервер, сервер речевой почты, сетевая база данных, рабочая станция).

Следует определить области компьютерной сети, в которых на компьютерах может быть обнаружена информация, имеющая значение для дела, и взять их под контроль, принять меры к бло­кированию внешнего удаленного доступа к системе (программно или физически отключив кабель к телефонной или другой линии связи).

Необходимо уточнить, имеет ли сеть различные уровни досту­па; как компьютер и сервер протоколируют (записывают в лог-файлы) вход пользователей в систему и выход из нее, их действия в конфигурации сетевой системы, события; могли ли записывать­ся команды, посылаемые взломщиком, и т.д.

Детальный осмотр места происшествия по делам о преступ­лениях в сфере компьютерной информации некоторые кримина­листы рекомендуют начинать от «центра к периферии». В каче­стве «центра» (отправной точки осмотра места происшествия) будет выступать конкретный компьютер и (или) компьютерная информация, явившаяся предметом преступления и несущая в себе следы преступной деятельности. Дальнейшее продвижение должно быть направлено в сторону периферийных устройств,


устройств сопряжения и обеспечения1, связанных по сети ком­пьютеров.

Другие криминалисты, напротив, придерживаются мнения, что при осмотре места происшествия по данной категории дел К1Д0 использовать концентрический способ осмотра, под кото­рым понимается порядок осмотра от «периферии к центру». В центре находится самый важный объект (объекты) — сервер сети (фийл-сервер, веб-сервер)2.

Имеется и точка зрения о целесообразности использования полиэксцентрического способа осмотра (как разновидность экс­центрического способа осмотра с исследованием, исходящим из нескольких информационных центров-узлов). При этом способе исходные центры - отдельные ЭВМ, образующие интересующий следователя участок, и «кибернетическое пространство», а дви­жение осуществляется от одного узла к другому в соответствии с иерархией и топологией (геометрией) каналов машинной связи3.

На наш взгляд, последовательность осмотра места происшест-иня должна определяться в зависимости от конкретных обстоя­тельств. Осмотр целесообразно начинать с такого участка (узла) места происшествия, который содержит наибольший объем кри­миналистической информации (при расследовании преступлений и сфере компьютерной информации это обычно компьютер). Имеете с тем исходную точку осмотра выбирают так, чтобы I >(>еепечить не только целеустремленность и полноту осмотра, но и такой порядок действий следователя и других участников ос­мотра, который исключил бы или, по крайней мере, свел к мини-

1 См.: Криминалистическая методика расследования отдельных видов преступле­
ний / Под ред. А.П. Резвана, М.В. Субботиной, М., 2002. Ч. 2. С. 100; Рогозин В.Ю. Осо­
бенности подготовки и производства отдельных следственных действий при расследова­
нии преступлений в сфере компьютерной информации. М, 2000. С. 25; Вехов В.Б., Попова
II В., Илютин Д.А.
Тактические особенности расследования преступлений в сфере компь-
ЮТериой безопасности. Изд. 2-е, доп. и испр. М., 2004. С. 57; Вехов В.Б. Особенности рас­
следования преступлений, совершенных с использованием пластиковых карт и их рекви-
читов. Волгоград, 2005. С. 212.

2 См.: Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М,
2002. С. 188.

3 См.: Мещеряков В.А. Основы методики расследования преступлений в сфере
компьютерной информации: Автореф. дисс.... д-ра юрид. наук. Воронеж, 2001. С. 26-27.


муму возможность уничтожения либо повреждения ими самими следов преступления4.

После определения расположения и состояния подлежащих осмотру объектов, при условии, что осматриваемые объекты вы­ключены, следователь должен решить вопрос о возможности и способах выявления и Изъятия запаховых следов. Наиболее ти­пичными местами, где бывают объекты — носители запаховых следов, являются пути прихода и ухода преступника; входные двери, окна, форточки, иные преграды, преодоленные преступни­ком; средства компьютерной техники (особенно манипулируе-мые); офисные кресла, перемещенные предметы в обстановке места происшествия5.

Практика свидетельствует, что нельзя ограничиваться сбором только «цифровых следов», забывая о традиционных следах рук, ног, взлома окон и дверей, которые могут быть обнаружены на удалении от ЭВМ. Традиционные следы иногда играют решаю­щую роль в выявлении и изобличении преступника. Поэтому вы­бор исходной точки и способов осмотра зависит от конкретной следственной ситуации. Так, эксцентрический способ осмотра целесообразно использовать при наличии на месте происшествия компьютера, не входящего в локальную сеть. Полиэксцентриче­ский способ (который, по сути, является множественным узло­вым способом осмотра) применяется при осмотре группы компь­ютеров, объединенных в локальную сеть. В любом случае, осмат­ривая СКТ, целесообразно руководствоваться правилом: в пер­вую очередь проводить поиск и исследование традиционных сле­дов, а затем — компьютерной информации.

Нужно обследовать монитор, мышь, переднюю поверхность системного блока и монитора компьютера, особенно около дис­ководов, кнопок, клавиатуру, соединительные и электропитаю-щие провода, розетки и штепсельные вилки, разъемы портов на предмет обнаружения, фиксации и изъятия следов рук, микрочас­тиц и т. д. Надо помнить, что поиск следов рук путем опыления


порошком может привести к попаданию его в дисковод, разъемы, на рабочую поверхность переносных дисков и повлечь наруше­ние работы ЭВМ и уничтожение информации. Поэтому рекомен­дуется либо отказаться от использования традиционных механи­ческих методов выявления потожировых следов, применяя в этих целях осветители ультрафиолетового или инфракрасного излуче­ния, либо максимально аккуратно работать с порошками6.

Вначале все находящиеся на месте происшествия объекты ос­матриваются в неподвижном состоянии, т.е. без осуществления дей­ствий, вносящих изменения в материальную обстановку. В ходе статического осмотра изучаются расположение объектов на месте происшествия, их размер, качественные характеристики (свойства, признаки, состояния), осуществляется узловая, а также детальная фото-, видеосъемка7. По ходу осмотра рекомендуется вести рабочие «шиси (заметки) на бумаге, в портативной электронной записной книжке либо наговаривать результаты на диктофон.

Если компьютер включен, необходимо оценить информацию, изображенную на экране монитора (дисплея), и определить, какая программа используется в данный момент, обратить внимание на дату и текущее время на индикаторе панели задач (обычно внизу жрана, справа). Следует сфотографировать экран монитора, опи­сать, что на нем отображено, в протоколе зафиксировать дату и текущее время по показаниям компьютера и их фактические зна­чения, остановить исполнение прикладной программы (или про­грамм), определив, какая информация получена после заверше­ния ее работы.

При динамическом осмотре (к которому приступают лишь по завершении статического) следователь может изменять положе­ние объектов: перемещать отдельные части компьютерной сис-» темы, изучать информацию на СКТ.

Начинать осмотр сети компьютеров необходимо с сервера — специального компьютера, с которого осуществляют общее управление работой сети и содержащего основную (базовую) и общую информацию.


 


4 См.: Баев О.Я. Тактика следственных действий. Воронеж, 1995. С. 50.

5 Подробнее об обнаружении и фиксации запаховых следов человека см.: Грошен-
кова О.А.
Исследование запаховых следов человека при раскрытии преступлений. Сара­
тов, 1999. С. 17-34; Старовойтов В.И., Шамонова Т.Н. Запах и ольфакторные следы че­
ловека. М., 2003. С. 26-36.


6 См.: Криминалистика/Под ред Т.А. Седовой, А.А. Эксархопуло. СПб., 2001. С. 375.

7 См.: Тактика следственных действий. Саратов, 2000. С. 37.


Осмотр может проводиться одновременно несколькими уча­стниками (следователями, специалистами) в присутствии двух понятых. В этом случае организуется параллельное обследование входящих в локальную сеть рабочих станций (компьютеров) по схеме, изложенной далее применительно к осмотру и изъятию информации на работающем компьютере8.

В помещениях с компьютерами осмотр осуществляется после­довательно от одного компьютера к другому. Очередность ос­мотра устанавливается в зависимости от степени связанности компьютера (наличие кабеля связи, обеспечение условия прямой видимости для оборудования, оснащенного инфракрасным пор­том передачи информации, и т.д.) или удаленности его располо­жения от основного (опорного) информационного узла. Момен­том завершения осмотра одного информационного узла и пере­хода к другому является достижение границ его функционирова­ния системы ЭВМ с периферийными устройствами.

Статический и динамический приемы осмотра в этом случае реализуются не в отношении всего места происшествия, а лишь относительно узла (отдельного компьютера), который вначале изучается статически, а затем динамически.

По завершению осмотра компьютеров, входящих в сеть, про­изводится осмотр помещения и иных объектов, расположенных на месте происшествия. При осмотре кабельных соединений ло­кальной сети надо убедиться в их целостности на всем протяже­нии, отсутствии следов подключений нештатной аппаратуры.

Если численность следственной группы позволяет, то в ходе осмотра (или прервав его) следует в присутствии специалистов опросить порознь очевидцев, лиц, обнаруживших признаки пре­ступления, иных лиц, располагающих сведениями, которые по­могут осмотру и получению информации. Показания опрашивае­мых необходимо зафиксировать с помощью средств звукозаписи.

Затем исследуются кабельные соединения локальной сети (ка­бельного хозяйства и устройств его разводки) на предмет целост-


КОСТИ и отсутствия следов подключения аппаратуры для ведения никгронной разведки.

Осмотр места происшествия не должен ограничиваться поме­щениями, где расположены СКТ, обследуются также лестничные ■ нющадки, подвалы, иные вспомогательные помещения, приле­гающая территория. В этих местах могут быть обнаружены важ­ные для дела источники криминалистической информации.

§ 2. Осмотр компьютерных систем на рабочих местах

При осмотре компьютерных систем на месте происшествия iподует: выяснить, сфотографировать и (или) изобразить в виде плана расположение компьютера и периферийного оборудования и помещении и относительно друг друга, особенности соедине­ния между собой всех устройств; указать их тип и модификацию; установить факт наличия либо отсутствия линий связи для рабо­ты СКТ, телекоммуникационных линий; определить, какая аппа­ратура используется в этих целях, какой абонентский номер те­лефонной связи (или какая линия другой связи) используется для соединения с провайдером сетевых услуг и глобальной сетью10; установить наличие задействованных разъемов для подключения периферийных и дополнительных устройств, их количество и какие именно устройства к ним подключены11.

При осмотре внутреннего устройства компьютера или пери­ферийного устройства стараются выявить наличие внутри них нештатной аппаратуры, следов противодействия аппаратной сис­теме защиты. Необходимо выяснить, какие платы и устройства встроены в системный блок.

Кроме компьютеров и периферийного оборудования, должны исследоваться физические носители компьютерной информации (дискеты, съемные винчестеры, компакт-диски, магнитные ленты и т.п.). Устанавливается также, имеются ли на указанном объекте следы рук, механические повреждения.


 


8 См.: Пособие для следователя. Расследование преступлений повышенной обще­
ственной опасности. М.„ 1998. С. 405-406; Андреев Б.В., Пак П.Н., Хорст В.П. Расследо­
вание преступлений в сфере компьютерной информации. М., 2001. С. 59.

9 См.: Мещеряков В.А. Указ. соч. С. 27.


10 См.: Компьютерные технологии в юридической деятельности / Под ред. Н.С.
Полевого. М., 1994. С. 241-243; Вехов В.Б. Компьютерные преступления: Способы совер­
шения и раскрытия. М., 1996. С. 160.

11 См.: Рогозин В.Ю. Указ. соч. С. 26.


 




Надо быть готовым к тому, что может отсутствовать докумен­
тация на компьютерную систему в целом, ее отдельные устройст­
ва и установленное программное обеспечение. Выяснив при ос­
мотре компьютера перечень установленных программ, нужно
потребовать лицензию шф другие документы, подтверждающие
законность их использования. Установленной считается про­
грамма, которая извлечена из сжатого (архивированного) состоя­
ния и после прохождения этапа предупреждения о необходимо­
сти лицензионного использования установлена (инсталлирована)
в рабочий каталог. Это свидетельствует о том, что пользователь,
не имея на то законных прав, осознанно установил программу
(взломал лицензионную программу или приобрел нелицензион­
ную копию). ~

Программы - средства взлома и несанкционированного досту­па, троянские кони и вирусы, конечно, не имеют лицензионных реквизитов и считаются установленными после копирования и приведения в функциональное состояние.

Кроме того, осмотру подлежат документы, выполненные как на бумажных, так и на машинных носителях. Особый интерес представляют:

а) документы, описывающие аппаратуру и программное обес­
печение (технический паспорт или документ, его заменяющий),
пояснения к аппаратным Средствам и программному обеспечению;

б) документы, устанавливающие правила работы с ЭВМ, сис­
темой или сетью (должностные обязанности, инструкции по ра­
боте с ЭВМ, программами для ЭВМ, средствами защиты от не­
санкционированных действий), действий оператора в нештатной
ситуации, черновая рабочая документация оператора ЭВМ;

в) учетные документы по работе с СКТ (журнал оператора или
протокол автоматической фиксации технологических операций,
доступа к СКТ; журналы учета машинных носителей информа­
ции, машинных документов, выдачи машинных носителей и ма­
шинных документов, массивов программ, записанных на носите­
лях; журналы учета уничтожения брака бумажных носителей и

12 См.: Гаврилов М.В., Иванов А.Н. Особенности осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Российская юридическая доктрина в XXI веке: проблемы и пути их решения: Научно-практич. конф. (3-4 октября 2001 г.). Саратов, 2001. С. 228.


машинных документов; акты на стирание конфиденциальной ин­формации и уничтожение машинных носителей с ней; журналы учета установки и тестирования вновь устанавливаемого про-граммного обеспечения; журналы учета обучения операторов ЖМ и пользователей работе с новым программным обеспечени­ем; журнал учета технических неисправностей и сбоев; журналы аудита системного администратора; акты контрольных проверок, U i u пусконаладочных и ремонтных работ);

г) документы, отражающие сашеционированность доступа к
СКТ (удостоверения личности, электронные ключи доступа, па­
роли, персональные идентификационные номера);

д) учетно-регистрационная и бухгалтерская документация (ли­
ца кии, сертификаты соответствия СКТ, программ для ЭВМ,
средств защиты информации, протоколов обмена информацией и
форматов электронных документов установленным требованиям,
Договоры на пользование СКТ и доступа к компьютерной ин­
формации и т.д.)13. Изучение указанных документов поможет
I иедователю выяснить законность использования программного
Обеспечения, особенности организации работы учреждения и об­
работки в ней информации, доступа к ней и компьютерной тех­
нике, круг лиц, имевших на это право, и т.п.14

" См.: Крылов В.А, Информационные компьютерные преступления. М., 1997. С. КI, Криминалистика / Под ред. А.Г. Филиппова. М., 2000. С. 633-639; Кримииалистиче-ПОЯ методика расследования отдельных видов преступлений: В 2 ч. / Под ред. А.П. Рез-шша, М.В. Субботиной. М., 2002. Ч. 2. С. 102-103; Криминалистика / Под ред Е П Ищен­ко. М„ 2000. С. 721.

14 См.: Ищенко Е.П., Топорков А.А. Криминалистика / Под ред. Е.П. Ищенко М 2003. С. 724.


 




Глава 4. Заключительный этап осмотра места происшествия

§ 1. Изъятие компьютеров и отдельных носителей с информацией

После выполнения указанных мероприятий осмотр физиче­ских объектов заканчивается и можно решать, как провести ос­мотр информации: на исходном месте ее расположения или из­влечь (изъять) и провести исследование в лаборатории.

Если для производства осмотра устройств и носителей с ин­формацией (в т.ч. бумажных документах) требуется много вре­мени или их осмотр на месте по каким-либо причинам затруднен (например, по технологическим причинам), то имеющие значение для дела носители, документы, накопители информации (в т.ч. внутри системных блоков компьютера) должны быть пересчита­ны, изъяты, упакованы, опечатаны, заверены подписями следова­теля и понятых на месте осмотра. Их дальнейший осмотр произ­водится по месту проведения следствия с участием тех же поня­тых и отражением в протоколе сохранности печати и удостовери-тельных подписей на упаковке, в которую были помещены изъя­тые объекты.

В зависимости от объема и целей исследования и изъятия ин­формации с дисков компьютера ее можно скопировать на чистые дискеты, стример, переносной диск типа ZIP, записываемый ком­пакт-диск и даже другой жесткий диск. В присутствии понятых переносные носители необходимо предварительно проверить на отсутствие вирусов. Поскольку исследуемая система может быть заражена вирусом, нельзя допустить его распространение на дру­гие машины. Поэтому для каждой ЭВМ во время осмотра компью­терных систем, их сетей и периферийного оборудования необхо­димо использовать ранее не задействованные (чистые) носители.

Наряду с созданием физической копии диска зараженной сис­темы, целесообразно сделать копии отдельных файлов, в кото­рых, по мнению специалиста, могут быть следы компьютерного

1 См.: Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М., 2002. С. 206.


преступления. Копирование осуществляется с помощью про­граммы управления файлами типа Total Commander, FAR либо в командной строке командой Сору. Копирование лучше осущест­влять именно на месте производства следственного действия. Это ПОЗВОЛИТ опровергнуть заявления о подмене копий2.

11ри копировании рекомендуется:

провести при выявлении вредоносных программ (вирусов, за­раженных вирусами программ и документов, программ троян­ских коней и аналогичных) их немедленное тестирование анти­вирусными программами с сохранением файла протокола (лог-файла) на отдельной дискете, защитив дискету от записи и указав г. протоколе дату копирования и номер дискеты;

нанести на носители ярлыки, указав на каждом из них номер дискеты и название обнаруженного вируса (если он был установ­или в процессе тестирования)3.

Копий должно быть как минимум две.

При копировании информации с жесткого диска следует учи-гывать, что современные винчестеры имеют объем дискового пространства более 100 гигабайт (объем почти 80 000 дискет). Не иссгда возможно полностью копировать всю информацию, со­держащуюся на жестком диске осматриваемого компьютера, це-иссообразно выбрать самое важное, для создания копий исполь- ЭОвать сжатие информации с помощью программ архивации.

В любом случае желательно составить файл полного списка папок, файлов и их реквизитов с помощью специальных про­грамм каталогизации (прил. 8 и 9). Программы готовят файл от­чета, в который выводится имя тома диска и серийный номер, список его каталогов и файлов, включая имена, дату и время по-(мед него изменения. Для файлов указывается расширение имени и размер. Выводится также общее число файлов и каталогов, об­щий размер и размер свободного пространства на диске.

В отсутствие таких программ в Windows придется открыть ок­но так называемого сеанса MS-DOS командой Пуск, Программы, Командная строка (или Сеанс DOS), сделать текущим соответст­вующий диск (например, командой CD D:\ или просто D:), дать

1 См.. Криминалистика / Под ред. Т.Д. Седовой, А.А. Эксархопуло... С. 381. ' См.: Козлов В.Е. Указ. соч. С. 207-208.


 




команду dir с параметрами для вывода списка файлов и подката­логов в файл spisok_d.txt. Вывести отчет:

на тот же текущий диск dir /s >spisok_d. txt

на дискету dir /s >a:\spisok_d.txt

на флэш-карту (дискJ7:) dir /s >f:\spisok_d.txt (при большом объеме ожидающегося списка).

Файл отчета следует открыть с помощью Word (выполнив конвертацию из кодировки DOS).

Текстовые данные, содержащиеся на компьютерном носителе, удобнее использовать в качестве доказательств, если их преобра­зовать программными средствами в форму, пригодную для обыч­ного восприятия и хранения, например распечатать. При наличии принтера перечень содержимого каталогов (файлов) дисков нуж­но распечатать и заверить подписями понятых.

Распечатка компьютерного текста документов должна быть снабжена, согласно ст.ст. 2, 5 Федерального закона от 20 февраля 1995 г. «Об информации, информатизации и защите информа­ции»4, реквизитами и подписями. Эти же требования зафиксиро­ваны в ГОСТе 6.10.4-845. В распечатках должны быть указаны характеристики применявшегося компьютера, наименование, а также версия использованной программы и дата изготовления документа. Эти параметры должны быть зафиксированы на по­следнем листе распечатанного текста документа как строковое поле электронного документа, удостоверены от руки, отмечены в протоколе осмотра. Оригинал (электронный образ документа) и копия (распечатка) должны соответствовать друг другу.

Понятые, а также другие лица, участвующие в осмотре, распи­сываются на всех распечатках информации, изготовленных в хо­де осмотра, которые оформляются как приложение к протоколу следственного действия.

В некоторых работах рекомендуется изымать все СКТ, нахо­дящиеся на месте происшествия. С подобным предложением со­гласиться нельзя. Помимо чисто технических сложностей суще-

4 См.: Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, ин­
форматизации и защите информации» // СЗ РФ. 1995. № 8. Ст. 609.

5 См.: ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание
юридической силы документам на машинном носителе и машинограмме, создаваемых
средствами вычислительной техники» / ПС СССР по стандартам. М., 1989. С. 1-26.


ствуют и экономические: по оценкам специалистов, в случае вы­хода из строя (а значит, и изъятия) ЭВМ-банк может «продер­жаться» не более двух дней, оптовая фирма - 3-5 дней, компания обрабатывающей промышленности - 4-8 дней, страховая компа­ния -5-6 дней6.

Владелец компьютерных средств и информации, пострадав­ший от компьютерного преступления, заинтересован не только в раскрытии преступления, но и в том, чтобы сберечь свое имуще­ство, как можно быстрее восстановить работу систем и сети. В связи с этим изъятие всей компьютерной техники - мера не толь­ко сложная по выполнению, но и чреватая претензиями организа­ции за понесенный неоправданный ущерб, причиненный следст­венной группой. Опасение, что обращение в правоохранительные органы и расследование нарушат нормальную работу и принесут убытки, ббльшие, чем принесло само происшествие, может стать для пострадавшей стороны аргументом в пользу сокрытия факта компьютерного преступления.

Принимая решение об изъятии аппаратуры или носителей, не­обходимо учитывать тот факт, что изъятие объектов для длитель­ного осмотра и тщательного исследования может создать компа­нии дополнительные трудности в работе и принести ей убытки. Компромиссное решение должно учитывать степень тяжести, общественной опасности совершенного преступления и наличия (отсутствия) у следственной группы отношений сотрудничества с пострадавшей стороной.

Изымать всю компьютерную систему (системный блок) и все периферийные устройства (клавиатуру, монитор) далеко не все­гда обязательно. Эти устройства взаимодействуют между собой, но каждый компонент системы выполняет определенную функ­цию; они не все хранят информацию и поэтому могут работать и быть исследованными независимо. В некоторых случаях по со­гласованию со специалистом изымаются только устройства, со­ответствующие направлению исследования, или даже только же­сткий диск из системного блока.

См.: Черкасов В.Н. Борьба с экономической преступностью в условиях приме­нения компьютерных технологий. Саратов, 1995. С. 16.


Изъятие компьютеров рекомендуется лишь для следующих случаев:

1) непосредственно компьютер должен быть объектом экс­пертного исследования;

2) на компьютере установлено уникальное аппаратное или программное обеспечение, в отсутствие которого не удастся по­лучить доступ к интересующей информации;

3) организацией или владельцем не предоставлены пароли, ко­ды доступа к компьютеру, отдельным папкам, файлам на диске;

4) на месте следственного действия не удалось в полном объеме провести поиск, изучить содержание файлов, есть основание счи­тать, что часть информации на дисках скрыта или зашифрована;

5) на месте следственного действия не удалось в полном объ­еме или необходимом качестве создать копии файлов, дисков7.

В организациях с большим объемом информации может при­меняться резервное копирование на специально выделенный для этих целей компьютер (или стример), который после копирова­ния надо отсоединить от сети и временно расположить в отдель­ной охраняемой комнате для исследования в ближайшие дни.

Если все же СКТ необходимо изъять, можно сделать копии файлов, содержащих данные, которые необходимы для нормаль­ной работы организации, предоставив их в распоряжение данного юридического лица.


Дата добавления: 2015-09-03; просмотров: 154 | Нарушение авторских прав


Читайте в этой же книге: Глава 1. Понятие, сущность и виды осмотра § 1. Понятие и виды следственного осмотра | Понятие, задачи и особенности осмотра места про­исшествия при расследовании преступлений в сфере компьютерной информации | Действия следователя до выезда на место происшествия | Общий осмотр помещений с компьютерной техникой и рабочих мест 3 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 4 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 5 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 6 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 7 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 8 страница | Общий осмотр помещений с компьютерной техникой и рабочих мест 9 страница |
<== предыдущая страница | следующая страница ==>
Подготовительные действия следователя по прибытии на место происшествия| Общий осмотр помещений с компьютерной техникой и рабочих мест 2 страница

mybiblioteka.su - 2015-2024 год. (0.033 сек.)