3) непосредственно в ходе осмотра компьютерной техники следует принимать во внимание возможное воздействие следующих неблагоприятных факторов: возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и данных, могущих иметь доказательственное значение; возможное наличие на компьютере специальных технических или программных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию; • возможное наличие на ЭВМ иных средств защиты от несанкционированного доступа; постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств не знакомых следователю и специалисту. В целях недопущения наступления вредных последствий перечисленных факторов необходимо придерживаться следующих рекомендаций: перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях отключить компьютер (в некоторых случаях некорректное отключение компьютера путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель приводит к потере информации в оперативной памяти и даже к частичному стиранию информационных ресурсов на данном компьютере)1. * принять меры к установлению пароля доступа в защищенных информационных ресурсах; 101 1 Корректные способы выключения компьютеров при их изъятии более подробно см.: Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М., 2001. С. 399-411; Зубаха B.C., Усов А.И., Саенко Г.В., Волков Г.А., Белый CJI., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. М.: ГУ ЭКЦ МВД России, 2000. С. 16-21. |
2) носители информации должны перемещаться в пространстве и храниться только в специальных опечатанных и экранированных контейнерах или в стандартных футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей, направленных излучений и иных внешних воздействий; 3) непосредственно в ходе осмотра компьютерной техники следует принимать во внимание возможное воздействие следующих неблагоприятных факторов: возможные попытки со стороны персонала повредить ЭВМ с целью уничтожения информации и данных, могущих иметь доказательственное значение; возможное наличие на компьютере специальных технических или программных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию; возможное наличие на ЭВМ иных средств защиты от несанкционированногодоступа; постоянное совершенствование компьютерной техники, следствием чего может быть наличие на объекте программно-технических средств, не знакомых следователю и специалисту. В целях недопущения наступления вредных последствий перечисленных факторов необходимо придерживаться следующих рекомендаций: перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях отключить компьютер (в некоторых случаях некорректное отключение компьютера путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель приводит к потере информации в опера130 тивной памяти и даже к частичному стиранию информационных ресурсов на данном компьютере)1; принять меры к установлению пароля доступа в защищенных информационных ресурсах; при необходимости получить консультации у персонала предприятия путем раздельного опроса. Такой метод позволит получить максимально правдивую информацию и избежать преднамеренной дезориентации; при нахождении обследуемого компьютера в локальной вычислительной сети необходимо, прежде всего, отключить физически или программным путем сетевые соединения; наряду с осмотром компьютера обеспечить осмотр документов о пользовании им, в которых следует обратить особое внимание на рабочие записи операторов ЭВМ, т.к. в них нередко удается обнаружить коды, пароли и другую ценную для следствия информацию. При осмотре должен присутствовать кто-либо из сотрудников предприятия, способный дать пояснения по установленному на ЭВМ программному обеспечению и информационным ресурсам. Если на начальной стадии осмотра не удалось установить пароли и коды используемых программ, то компьютер подлежит опечатыванию и изъятию, с тем, чтобы в последующем в стационарных условиях при производстве компьютерно-технической экспертизы выявить существующие пароли и коды доступа, осуществить надлежащий осмотр компьютера и содержащихся на нем файлов. В таких случаях достаточно изъять только системный блок, в который входят процессор и накопители на магнитных дисках. Остальную часть компьюте131 1 О корректных способах выключения компьютеров при их изъятии более подробно см.: Российская Е.Р., Усов А.И. Судебная компьютерно-техническая экспертиза. М., 2001. С. 399-411; Зубаха B.C., Усов А.И., Саенко Г.В., Волков Г.А., Белый С.Л., Семикаленова А.И. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. М.: ГУ ЭКЦ МВД России, 2000. С. 16-21. компьютеры локальной вычислительной сети и компьютеры с наиболее ценной информацией. На предварительной стадии обыска сразу после входа в помещение необходимо организовать охрану компьютерной техники и не допускать к ней присутствующих в помещении. При этом основной задачей руководителя следственной группы и специалистов применительно к компьютерным средствам является обеспечение сохранности информации, имеющейся в компьютерах и на компьютерных носителях информации. Для этого необходимо1: предотвратить отключение энергоснабжения предприятия, обеспечив охрану распределительного щита; запретить сотрудникам предприятия и прочим лицам производить какие-либо манипуляции с компьютерами и носителями информации; оградить работающие компьютеры от случайных нажатий на клавиши клавиатуры и кнопки системных блоков и устройств; предупредить всех участников обыска о недопустимости самостоятельной манипуляции с компьютерной техникой и носителями информации; в случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона; удалить из помещений, в которых находятся компьютеры и носители информации, все взрывчатые, едкие илегковоспламеняющиеся вещества. На обзорной и детальной стадиях обыска необходимо выполнить рекомендации, аналогичные прибытию на место происшествия. При этом следует точно определить местоположение компьютеров, учитывая, что портативные компьютеры типа Notebook легко умещаются в небольшую сумку. Если будет установлено, что на момент проведения следственного действия на компьютере запущены какие-либо программы, то специалисту необходимо принять меры к их остановке. В результате проведения экспресс-анализа компьютерной ин137 ' Зубаха B.C., Усов А.И., Саенко Г.В. и др. Общие положения по назначению и производству компьютерно-технической экспертизы: Методические рекомендации. М.: ГУ ЭКЦ МВД России, 2000. С. 15. |