62 Ч Л л 1) физические (материальные) носители информации. В первую очередь необходимо изъять жесткий диск (винчестер) главного компьютера (сервера) вычислительной сети, а также жесткие диски с других компьютеров. Корме того, подлежат изъятию магнитные ленты (при наличии подключенных к компьютеру соответствующих накопителей), дискеты, лазерные и магнитооптические диски, распечатки, выполненные на принтере, и другие носители компьютерной информации; 2) программное обеспечение ЭВМ (при невозможности изъять физические носители). В этом случае группе, занимающейся изъятием, необходимо иметь либо переносной компьютер (ноутбук), либо переносной накопитель на жестком магнитном диске или на магнитной ленте (стриммер); 3) файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций); 4) изымается и опечатывается сам системный блок и выносные накопители информации; 5) истребуется информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети; 6) акты по результатам антивирусных проверок и контрольные суммы файлов, которые хранятся в соответствующих программах. Нарушение контрольных сумм говорит о возможном незаконном копировании или использовании компьютерной информации; 7) список лиц, которые имеют право доступа к той или иной компьютерной информации, и список паролей, под которыми они идентифицированы в компьютере; 8) технические средства опознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвращения доступа пользователей к компьютерам в период проведения проверки; 9) распечатки проводимых на данном компьютере операций при их наличии в данном вычислительном центре. |
87 в обслуживающем данное подразделение сервисном центре (вычислительном центре); 2) журнал учета рабочего времени операторов ЭВМ или компьютеров сети; 3) журнал передачи смен операторами ЭВМ; 4) документы о проведенных в течение дня операциях, например, банковских, результаты антивирусных проверок, проверок контрольных сумм файлов и т.п. В качестве необходимых материалов в этот период могут истребоваться: 1) физические (материальные) носители информации. В первую очередь необходимо изъять жесткий диск (винчестер) главного компьютера (сервера) вычислительной сети, а так же жесткие диски с других компьютеров. Кроме того, подлежат изъятию магнитные ленты (при наличии подключенных к компьютеру соответствующих накопителей), дискеты, лазерные и магнито-оптические диски, распечатки, выполненные на принтере и другие носители компьютерной информации; 2) программное обеспечение ЭВМ (при невозможности изъять физические носители). В этом случае группе, занимающейся изъятием, необходимо иметь либо переносной компьютер (ноутбук), либо переносной накопитель на жестком магнитном диске, либо на магнитной ленте (стример); 3) файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций); 4) системный блок и выносные накопители информации; 5) информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети; 6) акты по результатам антивирусных проверок и контрольные суммы файлов, которые хранятся в соответствующих программах. Нарушение кон 88 трольных сумм говорит о возможном незаконном копировании или использовании компьютерной информации; 7) список лиц, которые имеют право доступа к той или иной компьютерной информации и список паролей, под которыми они идентифицированы в компьютере; 8) технические средства опознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвратить доступ пользователей к компьютерам в период проведения проверки; 9) распечатки проводимых на данном компьютере операций при их наличии в данном вычислительном центре. Таким образом, изложенный порядок проведения проверочных мероприятий позволяет получить основания для принятия законного и обоснованного решения о возбуждении уголовного дела, исключить случаи необоснованного возбуждения уголовного дела, собрать наибольшее количество криминалистически значимой информации. §2. Следственные ситуации и особенности тактики отдельных следственных действий на первоначальном этапе расследования В криминалистической науке установлено, определение основных направлений расследования и особенности тактики отдельных следственных действий зависит от характера исходных данных. В связи с этим, в юридической литературе неоднократно предпринимались попытки систематизации исходных данных, в результате чего появилось понятие исходной следственной ситуации1. Под исходной следственной ситуацией понимается объективно сложив1См.: Белкин Р.С. Курс криминалистики в 3 х томах. Том 3. Гл. 6. М., 1997.С. 129-148.; Лузгин И.М. Методика изучения, оценки и разрешения исходных следственных ситуаций // Исходные следственные ситуации и криминалистиче 165 мендациями: 1) в случае невозможности изъятия средства компьютерной техники, после его осмотра необходимо блокировать соответствующее помещение, отключать источники энергопитания аппаратуры; 2) при изъятии магнитного носителя информации нужно их перемещать и хранить только в специальных опломбированных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений; 3) при необходимости изъятия информации из оперативной памяти компьютера, ее копируют на физический носитель с использованием стандартных программных средств; 4) изъятие средств компьютерной техники производится только в выключенном состоянии. 16. При решении вопроса о возбуждении уголовного дела целесообразно истребовать: журнал учета сбоев в работе компьютерной сети, выхода отдельных компьютеров или технических устройств из строя; журнал учета рабочего времени; документы о проведенных в течение дня операциях; физические (материальные) носители информации; программное обеспечение ЭВМ (при невозможности изъять физические носители); файл администратора сети, в котором фиксируется вся работа сети (моменты включения и выключения, результаты тестирования, протоколы сбойных ситуаций); системный блок и выносные накопители информации; информация (в виде файлов) о попытках незаконного использования компьютера, несанкционированного подключения к сети; акты по результатам антивирусных проверок и контрольные суммы файлов, которые хранятся в соответствующих программах; список лиц, которые имеют право доступа к той или иной компьютерной информации и список паролей, под которыми они идентифицированы в компьютере; технические средства опознания пользователей (магнитные карты, ключи блокировки и пр.) с целью предотвратить доступ пользователей к компьютерам в период проведения проверки; и др. 17. На первоначальном этапе расследования могут складываться следующие типичные следственные ситуации: 1) установлен неправомерный доступ к |