Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3 Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Общий осмотр помещений с компьютерной техникой и рабочих мест 1 страница

После выполнения комплекса организационно-подготовитель­ных мероприятий можно приступить к непосредственному ос­мотру места происшествия.

В начале следователь должен осуществить общий обзор места происшествия, в задачи которого входят:

1) непосредственное ознакомление с обстановкой (расположе­нием комнат и СКТ в них, подсобных помещений, подлежащих осмотру, и т.п.) путем обозрения места либо передвижения по территории;

2) уточнение границ места происшествия;

3) уточнение (в виде общего представления) характера проис­шедшего события;

4) принятие при необходимости мер по обеспечению сохран­ности следов;

5) уточнение плана детального осмотра, охватывающего все-иозможные версии о способах и мотивах преступления, на основе чего окончательно распределяются функции между участниками осмотра, решается вопрос об исходной точке и методах осмотра;

6) выбор позиции для производства ориентирующей и обзорной фотосъемки и ее осуществление специалистом-криминалистом;

7) изготовление предварительных набросков плана места про­исшествия.

Затем следователь вместе с другими участниками осмотра вы-» ясняет, какие объекты из находящихся на месте происшествия подлежат исследованию.

Основными объектами, подлежащими осмотру, являются: по­мещения, где расположена компьютерная техника; отдельные компьютеры, не подсоединенные к сети; рабочие станции, вхо­дящие в сеть; серверы (управляющие компьютеры); периферий­ные телекоммуникационные устройства (модемы, факс-модемы, сканеры); магнитные и оптические носители информации, стри­меры; распечатки, выполненные на принтере; техническая и иная

документация (описания к компьютерным системам, документы финансовой отчетности, производственные документы).

Сведения о компьютерной сети и используемых компьютерах, полученные у администрации и персонала, проверяются собст­венным осмотром: количество и тип серверов компьютерной се­ти, подключенных к ним рабочих станций (компьютеров), поме­щения их расположения (это можно сделать, проследив трассы кабелей или специальных коробов для их защиты). Собственный выясняющий осмотр группа проводит и в случае невозможности получить сведения у администрации и персонала.

Необходимо выяснить, имеется ли выход в другие, в т.ч. гло­бальные сети, возможно ли использование коммуникационных программ для связи с удалёнными пользователями, установить, какая компьютерная сеть, ее часть или компьютер подверглись несанкционированному доступу (как они использовались: как общий сервер, файл-сервер"; почтовый сервер, сервер речевой почты, сетевая база данных, рабочая станция).

Следует определить области компьютерной сети, в которых на компьютерах может быть обнаружена информация, имеющая значение для дела, и взять их под контроль, принять меры к бло­кированию внешнего удаленного доступа к системе (программно или физически отключив кабель к телефонной или другой линии связи).

Необходимо уточнить, имеет ли сеть различные уровни досту­па; как компьютер и сервер протоколируют (записывают в лог-файлы) вход пользователей в систему и выход из нее, их действия в конфигурации сетевой системы, события; могли ли записывать­ся команды, посылаемые взломщиком, и т.д.

Детальный осмотр места происшествия по делам о преступ­лениях в сфере компьютерной информации некоторые кримина­листы рекомендуют начинать от «центра к периферии». В каче­стве «центра» (отправной точки осмотра места происшествия) будет выступать конкретный компьютер и (или) компьютерная информация, явившаяся предметом преступления и несущая в себе следы преступной деятельности. Дальнейшее продвижение должно быть направлено в сторону периферийных устройств,

устройств сопряжения и обеспечения¹, связанных по сети ком­пьютеров.

Другие криминалисты, напротив, придерживаются мнения, что при осмотре места происшествия по данной категории дел К1Д0 использовать концентрический способ осмотра, под кото­рым понимается порядок осмотра от «периферии к центру». В центре находится самый важный объект (объекты) — сервер сети (фийл-сервер, веб-сервер)².

Имеется и точка зрения о целесообразности использования полиэксцентрического способа осмотра (как разновидность экс­центрического способа осмотра с исследованием, исходящим из нескольких информационных центров-узлов). При этом способе исходные центры - отдельные ЭВМ, образующие интересующий следователя участок, и «кибернетическое пространство», а дви­жение осуществляется от одного узла к другому в соответствии с иерархией и топологией (геометрией) каналов машинной связи³.

На наш взгляд, последовательность осмотра места происшест-иня должна определяться в зависимости от конкретных обстоя­тельств. Осмотр целесообразно начинать с такого участка (узла) места происшествия, который содержит наибольший объем кри­миналистической информации (при расследовании преступлений и сфере компьютерной информации это обычно компьютер). Имеете с тем исходную точку осмотра выбирают так, чтобы I >(>еепечить не только целеустремленность и полноту осмотра, но и такой порядок действий следователя и других участников ос­мотра, который исключил бы или, по крайней мере, свел к мини-

¹ См.: Криминалистическая методика расследования отдельных видов преступле­
ний / Под ред. А.П. Резвана, М.В. Субботиной, М., 2002. Ч. 2. С. 100; Рогозин В.Ю. Осо­
бенности подготовки и производства отдельных следственных действий при расследова­
нии преступлений в сфере компьютерной информации. М, 2000. С. 25; Вехов В.Б., Попова
II В., Илютин Д.А. Тактические особенности расследования преступлений в сфере компь-
ЮТериой безопасности. Изд. 2-е, доп. и испр. М., 2004. С. 57; Вехов В.Б. Особенности рас­
следования преступлений, совершенных с использованием пластиковых карт и их рекви-
читов. Волгоград, 2005. С. 212.

² См.: Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М,
2002. С. 188.

³ См.: Мещеряков В.А. Основы методики расследования преступлений в сфере
компьютерной информации: Автореф. дисс.... д-ра юрид. наук. Воронеж, 2001. С. 26-27.

муму возможность уничтожения либо повреждения ими самими следов преступления⁴.

После определения расположения и состояния подлежащих осмотру объектов, при условии, что осматриваемые объекты вы­ключены, следователь должен решить вопрос о возможности и способах выявления и Изъятия запаховых следов. Наиболее ти­пичными местами, где бывают объекты — носители запаховых следов, являются пути прихода и ухода преступника; входные двери, окна, форточки, иные преграды, преодоленные преступни­ком; средства компьютерной техники (особенно манипулируе-мые); офисные кресла, перемещенные предметы в обстановке места происшествия⁵.

Практика свидетельствует, что нельзя ограничиваться сбором только «цифровых следов», забывая о традиционных следах рук, ног, взлома окон и дверей, которые могут быть обнаружены на удалении от ЭВМ. Традиционные следы иногда играют решаю­щую роль в выявлении и изобличении преступника. Поэтому вы­бор исходной точки и способов осмотра зависит от конкретной следственной ситуации. Так, эксцентрический способ осмотра целесообразно использовать при наличии на месте происшествия компьютера, не входящего в локальную сеть. Полиэксцентриче­ский способ (который, по сути, является множественным узло­вым способом осмотра) применяется при осмотре группы компь­ютеров, объединенных в локальную сеть. В любом случае, осмат­ривая СКТ, целесообразно руководствоваться правилом: в пер­вую очередь проводить поиск и исследование традиционных сле­дов, а затем — компьютерной информации.

Нужно обследовать монитор, мышь, переднюю поверхность системного блока и монитора компьютера, особенно около дис­ководов, кнопок, клавиатуру, соединительные и электропитаю-щие провода, розетки и штепсельные вилки, разъемы портов на предмет обнаружения, фиксации и изъятия следов рук, микрочас­тиц и т. д. Надо помнить, что поиск следов рук путем опыления

порошком может привести к попаданию его в дисковод, разъемы, на рабочую поверхность переносных дисков и повлечь наруше­ние работы ЭВМ и уничтожение информации. Поэтому рекомен­дуется либо отказаться от использования традиционных механи­ческих методов выявления потожировых следов, применяя в этих целях осветители ультрафиолетового или инфракрасного излуче­ния, либо максимально аккуратно работать с порошками⁶.

Вначале все находящиеся на месте происшествия объекты ос­матриваются в неподвижном состоянии, т.е. без осуществления дей­ствий, вносящих изменения в материальную обстановку. В ходе статического осмотра изучаются расположение объектов на месте происшествия, их размер, качественные характеристики (свойства, признаки, состояния), осуществляется узловая, а также детальная фото-, видеосъемка⁷. По ходу осмотра рекомендуется вести рабочие «шиси (заметки) на бумаге, в портативной электронной записной книжке либо наговаривать результаты на диктофон.

Если компьютер включен, необходимо оценить информацию, изображенную на экране монитора (дисплея), и определить, какая программа используется в данный момент, обратить внимание на дату и текущее время на индикаторе панели задач (обычно внизу жрана, справа). Следует сфотографировать экран монитора, опи­сать, что на нем отображено, в протоколе зафиксировать дату и текущее время по показаниям компьютера и их фактические зна­чения, остановить исполнение прикладной программы (или про­грамм), определив, какая информация получена после заверше­ния ее работы.

При динамическом осмотре (к которому приступают лишь по завершении статического) следователь может изменять положе­ние объектов: перемещать отдельные части компьютерной сис-» темы, изучать информацию на СКТ.

Начинать осмотр сети компьютеров необходимо с сервера — специального компьютера, с которого осуществляют общее управление работой сети и содержащего основную (базовую) и общую информацию.

⁴ См.: Баев О.Я. Тактика следственных действий. Воронеж, 1995. С. 50.

⁵ Подробнее об обнаружении и фиксации запаховых следов человека см.: Грошен-
кова О.А. Исследование запаховых следов человека при раскрытии преступлений. Сара­
тов, 1999. С. 17-34; Старовойтов В.И., Шамонова Т.Н. Запах и ольфакторные следы че­
ловека. М., 2003. С. 26-36.

⁶ См.: Криминалистика/Под ред Т.А. Седовой, А.А. Эксархопуло. СПб., 2001. С. 375.

⁷ См.: Тактика следственных действий. Саратов, 2000. С. 37.

Осмотр может проводиться одновременно несколькими уча­стниками (следователями, специалистами) в присутствии двух понятых. В этом случае организуется параллельное обследование входящих в локальную сеть рабочих станций (компьютеров) по схеме, изложенной далее применительно к осмотру и изъятию информации на работающем компьютере⁸.

В помещениях с компьютерами осмотр осуществляется после­довательно от одного компьютера к другому. Очередность ос­мотра устанавливается в зависимости от степени связанности компьютера (наличие кабеля связи, обеспечение условия прямой видимости для оборудования, оснащенного инфракрасным пор­том передачи информации, и т.д.) или удаленности его располо­жения от основного (опорного) информационного узла. Момен­том завершения осмотра одного информационного узла и пере­хода к другому является достижение границ его функционирова­ния системы ЭВМ с периферийными устройствами.

Статический и динамический приемы осмотра в этом случае реализуются не в отношении всего места происшествия, а лишь относительно узла (отдельного компьютера), который вначале изучается статически, а затем динамически.

По завершению осмотра компьютеров, входящих в сеть, про­изводится осмотр помещения и иных объектов, расположенных на месте происшествия. При осмотре кабельных соединений ло­кальной сети надо убедиться в их целостности на всем протяже­нии, отсутствии следов подключений нештатной аппаратуры.

Если численность следственной группы позволяет, то в ходе осмотра (или прервав его) следует в присутствии специалистов опросить порознь очевидцев, лиц, обнаруживших признаки пре­ступления, иных лиц, располагающих сведениями, которые по­могут осмотру и получению информации. Показания опрашивае­мых необходимо зафиксировать с помощью средств звукозаписи.

Затем исследуются кабельные соединения локальной сети (ка­бельного хозяйства и устройств его разводки) на предмет целост-

КОСТИ и отсутствия следов подключения аппаратуры для ведения никгронной разведки.

Осмотр места происшествия не должен ограничиваться поме­щениями, где расположены СКТ, обследуются также лестничные ■ нющадки, подвалы, иные вспомогательные помещения, приле­гающая территория. В этих местах могут быть обнаружены важ­ные для дела источники криминалистической информации.

§ 2. Осмотр компьютерных систем на рабочих местах

При осмотре компьютерных систем на месте происшествия iподует: выяснить, сфотографировать и (или) изобразить в виде плана расположение компьютера и периферийного оборудования и помещении и относительно друг друга, особенности соедине­ния между собой всех устройств; указать их тип и модификацию; установить факт наличия либо отсутствия линий связи для рабо­ты СКТ, телекоммуникационных линий; определить, какая аппа­ратура используется в этих целях, какой абонентский номер те­лефонной связи (или какая линия другой связи) используется для соединения с провайдером сетевых услуг и глобальной сетью¹⁰; установить наличие задействованных разъемов для подключения периферийных и дополнительных устройств, их количество и какие именно устройства к ним подключены¹¹.

При осмотре внутреннего устройства компьютера или пери­ферийного устройства стараются выявить наличие внутри них нештатной аппаратуры, следов противодействия аппаратной сис­теме защиты. Необходимо выяснить, какие платы и устройства встроены в системный блок.

Кроме компьютеров и периферийного оборудования, должны исследоваться физические носители компьютерной информации (дискеты, съемные винчестеры, компакт-диски, магнитные ленты и т.п.). Устанавливается также, имеются ли на указанном объекте следы рук, механические повреждения.

⁸ См.: Пособие для следователя. Расследование преступлений повышенной обще­
ственной опасности. М.„ 1998. С. 405-406; Андреев Б.В., Пак П.Н., Хорст В.П. Расследо­
вание преступлений в сфере компьютерной информации. М., 2001. С. 59.

⁹ См.: Мещеряков В.А. Указ. соч. С. 27.

¹⁰ См.: Компьютерные технологии в юридической деятельности / Под ред. Н.С.
Полевого. М., 1994. С. 241-243; Вехов В.Б. Компьютерные преступления: Способы совер­
шения и раскрытия. М., 1996. С. 160.

¹¹ См.: Рогозин В.Ю. Указ. соч. С. 26.

Надо быть готовым к тому, что может отсутствовать докумен­
тация на компьютерную систему в целом, ее отдельные устройст­
ва и установленное программное обеспечение. Выяснив при ос­
мотре компьютера перечень установленных программ, нужно
потребовать лицензию шф другие документы, подтверждающие
законность их использования. Установленной считается про­
грамма, которая извлечена из сжатого (архивированного) состоя­
ния и после прохождения этапа предупреждения о необходимо­
сти лицензионного использования установлена (инсталлирована)
в рабочий каталог. Это свидетельствует о том, что пользователь,
не имея на то законных прав, осознанно установил программу
(взломал лицензионную программу или приобрел нелицензион­
ную копию). ~

Программы - средства взлома и несанкционированного досту­па, троянские кони и вирусы, конечно, не имеют лицензионных реквизитов и считаются установленными после копирования и приведения в функциональное состояние.

Кроме того, осмотру подлежат документы, выполненные как на бумажных, так и на машинных носителях. Особый интерес представляют:

а) документы, описывающие аппаратуру и программное обес­
печение (технический паспорт или документ, его заменяющий),
пояснения к аппаратным Средствам и программному обеспечению;

б) документы, устанавливающие правила работы с ЭВМ, сис­
темой или сетью (должностные обязанности, инструкции по ра­
боте с ЭВМ, программами для ЭВМ, средствами защиты от не­
санкционированных действий), действий оператора в нештатной
ситуации, черновая рабочая документация оператора ЭВМ;

в) учетные документы по работе с СКТ (журнал оператора или
протокол автоматической фиксации технологических операций,
доступа к СКТ; журналы учета машинных носителей информа­
ции, машинных документов, выдачи машинных носителей и ма­
шинных документов, массивов программ, записанных на носите­
лях; журналы учета уничтожения брака бумажных носителей и

¹² См.: Гаврилов М.В., Иванов А.Н. Особенности осмотра места происшествия при расследовании преступлений в сфере компьютерной информации // Российская юридическая доктрина в XXI веке: проблемы и пути их решения: Научно-практич. конф. (3-4 октября 2001 г.). Саратов, 2001. С. 228.

машинных документов; акты на стирание конфиденциальной ин­формации и уничтожение машинных носителей с ней; журналы учета установки и тестирования вновь устанавливаемого про-граммного обеспечения; журналы учета обучения операторов ЖМ и пользователей работе с новым программным обеспечени­ем; журнал учета технических неисправностей и сбоев; журналы аудита системного администратора; акты контрольных проверок, U i u пусконаладочных и ремонтных работ);

г) документы, отражающие сашеционированность доступа к
СКТ (удостоверения личности, электронные ключи доступа, па­
роли, персональные идентификационные номера);

д) учетно-регистрационная и бухгалтерская документация (ли­
ца кии, сертификаты соответствия СКТ, программ для ЭВМ,
средств защиты информации, протоколов обмена информацией и
форматов электронных документов установленным требованиям,
Договоры на пользование СКТ и доступа к компьютерной ин­
формации и т.д.)¹³. Изучение указанных документов поможет
I иедователю выяснить законность использования программного
Обеспечения, особенности организации работы учреждения и об­
работки в ней информации, доступа к ней и компьютерной тех­
нике, круг лиц, имевших на это право, и т.п.¹⁴

" См.: Крылов В.А, Информационные компьютерные преступления. М., 1997. С. КI, Криминалистика / Под ред. А.Г. Филиппова. М., 2000. С. 633-639; Кримииалистиче-ПОЯ методика расследования отдельных видов преступлений: В 2 ч. / Под ред. А.П. Рез-шша, М.В. Субботиной. М., 2002. Ч. 2. С. 102-103; Криминалистика / Под ред Е П Ищен­ко. М„ 2000. С. 721.

¹⁴ См.: Ищенко Е.П., Топорков А.А. Криминалистика / Под ред. Е.П. Ищенко М 2003. С. 724.

Глава 4. Заключительный этап осмотра места происшествия

§ 1. Изъятие компьютеров и отдельных носителей с информацией

После выполнения указанных мероприятий осмотр физиче­ских объектов заканчивается и можно решать, как провести ос­мотр информации: на исходном месте ее расположения или из­влечь (изъять) и провести исследование в лаборатории.

Если для производства осмотра устройств и носителей с ин­формацией (в т.ч. бумажных документах) требуется много вре­мени или их осмотр на месте по каким-либо причинам затруднен (например, по технологическим причинам), то имеющие значение для дела носители, документы, накопители информации (в т.ч. внутри системных блоков компьютера) должны быть пересчита­ны, изъяты, упакованы, опечатаны, заверены подписями следова­теля и понятых на месте осмотра. Их дальнейший осмотр произ­водится по месту проведения следствия с участием тех же поня­тых и отражением в протоколе сохранности печати и удостовери-тельных подписей на упаковке, в которую были помещены изъя­тые объекты.

В зависимости от объема и целей исследования и изъятия ин­формации с дисков компьютера ее можно скопировать на чистые дискеты, стример, переносной диск типа ZIP, записываемый ком­пакт-диск и даже другой жесткий диск. В присутствии понятых переносные носители необходимо предварительно проверить на отсутствие вирусов. Поскольку исследуемая система может быть заражена вирусом, нельзя допустить его распространение на дру­гие машины. Поэтому для каждой ЭВМ во время осмотра компью­терных систем, их сетей и периферийного оборудования необхо­димо использовать ранее не задействованные (чистые) носители.

Наряду с созданием физической копии диска зараженной сис­темы, целесообразно сделать копии отдельных файлов, в кото­рых, по мнению специалиста, могут быть следы компьютерного

¹ См.: Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. М., 2002. С. 206.

преступления. Копирование осуществляется с помощью про­граммы управления файлами типа Total Commander, FAR либо в командной строке командой Сору. Копирование лучше осущест­влять именно на месте производства следственного действия. Это ПОЗВОЛИТ опровергнуть заявления о подмене копий².

11ри копировании рекомендуется:

провести при выявлении вредоносных программ (вирусов, за­раженных вирусами программ и документов, программ троян­ских коней и аналогичных) их немедленное тестирование анти­вирусными программами с сохранением файла протокола (лог-файла) на отдельной дискете, защитив дискету от записи и указав г. протоколе дату копирования и номер дискеты;

нанести на носители ярлыки, указав на каждом из них номер дискеты и название обнаруженного вируса (если он был установ­или в процессе тестирования)³.

Копий должно быть как минимум две.

При копировании информации с жесткого диска следует учи-гывать, что современные винчестеры имеют объем дискового пространства более 100 гигабайт (объем почти 80 000 дискет). Не иссгда возможно полностью копировать всю информацию, со­держащуюся на жестком диске осматриваемого компьютера, це-иссообразно выбрать самое важное, для создания копий исполь- ЭОвать сжатие информации с помощью программ архивации.

В любом случае желательно составить файл полного списка папок, файлов и их реквизитов с помощью специальных про­грамм каталогизации (прил. 8 и 9). Программы готовят файл от­чета, в который выводится имя тома диска и серийный номер, список его каталогов и файлов, включая имена, дату и время по-(мед него изменения. Для файлов указывается расширение имени и размер. Выводится также общее число файлов и каталогов, об­щий размер и размер свободного пространства на диске.

В отсутствие таких программ в Windows придется открыть ок­но так называемого сеанса MS-DOS командой Пуск, Программы, Командная строка (или Сеанс DOS), сделать текущим соответст­вующий диск (например, командой CD D:\ или просто D:), дать

¹ См.. Криминалистика / Под ред. Т.Д. Седовой, А.А. Эксархопуло... С. 381. ' См.: Козлов В.Е. Указ. соч. С. 207-208.

команду dir с параметрами для вывода списка файлов и подката­логов в файл spisok_d.txt. Вывести отчет:

на тот же текущий диск dir /s >spisok_d. txt

на дискету dir /s >a:\spisok_d.txt

на флэш-карту (дискJ⁷:) dir /s >f:\spisok_d.txt (при большом объеме ожидающегося списка).

Файл отчета следует открыть с помощью Word (выполнив конвертацию из кодировки DOS).

Текстовые данные, содержащиеся на компьютерном носителе, удобнее использовать в качестве доказательств, если их преобра­зовать программными средствами в форму, пригодную для обыч­ного восприятия и хранения, например распечатать. При наличии принтера перечень содержимого каталогов (файлов) дисков нуж­но распечатать и заверить подписями понятых.

Распечатка компьютерного текста документов должна быть снабжена, согласно ст.ст. 2, 5 Федерального закона от 20 февраля 1995 г. «Об информации, информатизации и защите информа­ции»⁴, реквизитами и подписями. Эти же требования зафиксиро­ваны в ГОСТе 6.10.4-84⁵. В распечатках должны быть указаны характеристики применявшегося компьютера, наименование, а также версия использованной программы и дата изготовления документа. Эти параметры должны быть зафиксированы на по­следнем листе распечатанного текста документа как строковое поле электронного документа, удостоверены от руки, отмечены в протоколе осмотра. Оригинал (электронный образ документа) и копия (распечатка) должны соответствовать друг другу.

Понятые, а также другие лица, участвующие в осмотре, распи­сываются на всех распечатках информации, изготовленных в хо­де осмотра, которые оформляются как приложение к протоколу следственного действия.

В некоторых работах рекомендуется изымать все СКТ, нахо­дящиеся на месте происшествия. С подобным предложением со­гласиться нельзя. Помимо чисто технических сложностей суще-

⁴ См.: Федеральный закон от 20 февраля 1995 г. № 24-ФЗ «Об информации, ин­
форматизации и защите информации» // СЗ РФ. 1995. № 8. Ст. 609.

⁵ См.: ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание
юридической силы документам на машинном носителе и машинограмме, создаваемых
средствами вычислительной техники» / ПС СССР по стандартам. М., 1989. С. 1-26.

ствуют и экономические: по оценкам специалистов, в случае вы­хода из строя (а значит, и изъятия) ЭВМ-банк может «продер­жаться» не более двух дней, оптовая фирма - 3-5 дней, компания обрабатывающей промышленности - 4-8 дней, страховая компа­ния -5-6 дней⁶.

Владелец компьютерных средств и информации, пострадав­ший от компьютерного преступления, заинтересован не только в раскрытии преступления, но и в том, чтобы сберечь свое имуще­ство, как можно быстрее восстановить работу систем и сети. В связи с этим изъятие всей компьютерной техники - мера не толь­ко сложная по выполнению, но и чреватая претензиями организа­ции за понесенный неоправданный ущерб, причиненный следст­венной группой. Опасение, что обращение в правоохранительные органы и расследование нарушат нормальную работу и принесут убытки, ббльшие, чем принесло само происшествие, может стать для пострадавшей стороны аргументом в пользу сокрытия факта компьютерного преступления.

Принимая решение об изъятии аппаратуры или носителей, не­обходимо учитывать тот факт, что изъятие объектов для длитель­ного осмотра и тщательного исследования может создать компа­нии дополнительные трудности в работе и принести ей убытки. Компромиссное решение должно учитывать степень тяжести, общественной опасности совершенного преступления и наличия (отсутствия) у следственной группы отношений сотрудничества с пострадавшей стороной.

Изымать всю компьютерную систему (системный блок) и все периферийные устройства (клавиатуру, монитор) далеко не все­гда обязательно. Эти устройства взаимодействуют между собой, но каждый компонент системы выполняет определенную функ­цию; они не все хранят информацию и поэтому могут работать и быть исследованными независимо. В некоторых случаях по со­гласованию со специалистом изымаются только устройства, со­ответствующие направлению исследования, или даже только же­сткий диск из системного блока.

См.: Черкасов В.Н. Борьба с экономической преступностью в условиях приме­нения компьютерных технологий. Саратов, 1995. С. 16.

Изъятие компьютеров рекомендуется лишь для следующих случаев:

1) непосредственно компьютер должен быть объектом экс­пертного исследования;

2) на компьютере установлено уникальное аппаратное или программное обеспечение, в отсутствие которого не удастся по­лучить доступ к интересующей информации;

3) организацией или владельцем не предоставлены пароли, ко­ды доступа к компьютеру, отдельным папкам, файлам на диске;

4) на месте следственного действия не удалось в полном объеме провести поиск, изучить содержание файлов, есть основание счи­тать, что часть информации на дисках скрыта или зашифрована;

5) на месте следственного действия не удалось в полном объ­еме или необходимом качестве создать копии файлов, дисков⁷.

В организациях с большим объемом информации может при­меняться резервное копирование на специально выделенный для этих целей компьютер (или стример), который после копирова­ния надо отсоединить от сети и временно расположить в отдель­ной охраняемой комнате для исследования в ближайшие дни.

Если все же СКТ необходимо изъять, можно сделать копии файлов, содержащих данные, которые необходимы для нормаль­ной работы организации, предоставив их в распоряжение данного юридического лица.

Дата добавления: 2015-09-03; просмотров: 154 | Нарушение авторских прав