|
пользуется; какие программы защиты и шифрования используются; где хранятся общие файлы данных и резервные копии; пароли супервизора и администраторов системы; имена и пароли пользователей. Далее, специалист, используя данные, полученные от администратора системы, может произвести копирование информации на заранее приготовленные носители. Это могут быть обычные дискеты, однако при большом объеме изымаемых файлов рекомендуется использовать более современные носители информации (например, магнитооптический диск, флеш-карту или дополнительный жесткий диск). Носители, на которые была переписана информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический пакет и предотвратить его свободное перемещение в упаковке при транспортировке), которые необходимо опечатать в соответствии с требованиями УПК. Необходимо иметь в виду, что для исследования больших компьютерных систем потребуется значительное время не только часы, но и дни. При этом в процессе расследования возможны ситуации, когда физически невозможно перевезти компьютеры для их изучения и исследования. В таких случаях необходимо руководствоваться следующими рекомендациями: 1) в обязательном порядке после осмотра средств компьютерной техники (сервера, рабочей станцией компьютерной сети) необходимо блокировать не только соответствующее помещение, но и отключить источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опечатыванием всех необходимых узлов, деталей, частей и механизмов компьютерной системы;. 2) носители информации должны перемещаться в пространстве и храниться только в специальных опечатанных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений и иных внешних воздействий; 100 |
Обязательно следует выявить администратора системы и провести его опрос, при котором необходимо выяснить: какие операционные системы установлены на каждом из компьютеров; какое программное обеспечение используется; какие программы защиты и шифрования используются; где хранятся общие файлы данных и резервные копии; пароли супервизора и администраторов системы; имена и пароли пользователей. Далее специалист, используя данные, полученные от администратора системы, может произвести копирование информации на заранее приготовленные носители. Это могут быть обычные дискеты, однако при большом объеме изымаемых файлов рекомендуется использовать более современные носители информации (например, магнитооптический диск, флеш-карту или дополнительный жесткий диск). Носители, на которые была переписана информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический пакет и предотвратить его свободное перемещение в упаковке при транспортировке), которые необходимо опечатать в соответствии с требованиями УПК. Необходимо иметь ввиду, что для исследования больших компьютерных систем потребуется значительное время не только часы, но и дни. При этом в процессе расследования возможны ситуации, когда физически невозможно перевезти компьютеры для их изучения и исследования. В таких случаях необходимо руководствоваться следующими рекомендациями: 1) в обязательном порядке после осмотра средств компьютерной техники (сервера, рабочей станции компьютерной сети) необходимо блокировать не только соответствующее помещение, но и отключить источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опечатыванием всех необходимых узлов, деталей, частей и механизмов компьютерной системы; 129 2) носители информации должны перемещаться в пространстве и храниться только в специальных опечатанных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений и иных внешних воздействий; 3) непосредственно в ходе осмотра компьютерной техники следует принимать во внимание возможное воздействие следующих неблагоприятных факторов: возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и данных, могущих иметь доказательственное значение; возможное наличие на компьютере специальных технических или программных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию; возможное наличие на ЭВМ иных средств защиты от несанкционированногодоступа; постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, не знакомых следователю и специалисту. В целях недопущения наступления вредных последствий перечисленных факторов необходимо придерживаться следующих рекомендаций: перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях отключить компьютер (в некоторых случаях некорректное отключение компьютера путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель приводит к потере информации в опера130 |