направленных на получение невербальной криминалистически значимой информации, необходимо участие специалиста. 2. Специалист в области компьютерных средств: определяет, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть; устанавливает, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения; выясняет, подключен ли компьютер к телефонной линии; определяет, запущены ли программы на ЭВМ и какие именно; проводит экспресс-анализ компьютерной информации путем просмотра содержимого дисков; оказывает помощь следователю в фиксации текущего состояния компьютерной информации, выявлении признаков, указывающих на характер произошедшего события и его последствия: уничтожение, блокирование, модификация, копирование информации, нарушение работы ЭВМ, их системы или сети; установлении способа совершения преступления. 3. Исследование компьютерно-технических следов преступлении производится в рамках следующих видов компьютерно-технических экспертиз: а) техническая экспертиза компьютеров и периферийных устройств, б) техническая экспертиза оборудования защиты компьютерной информации, в) экспертиза машинных данных и программного обеспечения ЭВМ, г) экспертиза программного обеспечения и данных, используемых в компьютерной сети. 117 |
1. Специалист-криминалист оказывает помощь следователю в фиксации обстановки, сложившейся на момент осмотра места происшествия, производит ориентирующую и обзорную фото-видеосъемку. 2. Специалист вобласти компьютерных средств: определяет, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть. На это могут указать коаксиальные кабели, идущие от компьютера к компьютеру, или просто телефонные провода. При наличии локальной компьютерной сети наибольший интерес представляет центральный компьютер, так называемый сервер, на котором хранится большая часть информации и к которому имеют доступ все ЭВМ. Этот компьютер необходимо обследовать более тщательно и осторожно; устанавливает, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения. На это могут указывать кабели и провода, идущие от компьютера в другие помещения или здания. Если есть соединения, то существует реальная возможность непосредственного обмена информацией, независимо от желания специалиста, ее изменения или уничтожения с удаленных рабочих мест, находящихся за несколько метров или даже километров от обыскиваемого помещения. Для предотвращения этого необходимо отключить осматриваемый компьютер от "внешнего мира" программно или физическим отключением кабелей; выясняет, подключен ли компьютер к телефонной линии. В случае подключения на него могут поступать вызовы с дальнейшими приемами или передачами информации; определяет, запущены ли программы на ЭВМ и какие именно. Для этого необходимо изучить изображение на экране. В операционной среде Windows самым простым средством установления запущенных программ и приложений является панель задач. Панель задач это панель экрана, по умол122 развитием современных телекоммуникаций и связи, в судебной компьютерносетевой экспертизе можно выделить судебную телематическую экспертизу, предметом которой являются фактические данные, устанавливаемые на основе применения специальных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии расследуемого преступления. Можно выделить следующие типичные виды компьютерно-технических экспертиз, необходимость назначения которых часто возникает при расследовании преступлений в сфере экономики, совершенных с использованием средств компьютерной техники: 1. Техническая экспертиза компьютеров и периферийных устройств. Она назначается и проводится в целях изучения технических особенностей компьютера, его периферийных устройств, технических параметров компьютерных сетей, а также причин возникновения сбоев в работе компьютерного оборудования. 2. Техническая экспертиза оборудования защиты компьютерной информации. Проводится в целях изучения технических устройств защиты информации, используемых на данном предприятии, организации, учреждении или фирме. 3. Экспертиза машинных данных и программного обеспечения ЭВМ осуществляется в целях изучения информации, хранящейся в компьютере и на магнитных носителях, в том числе изучения программных методов защиты компьютерной информации. 4. Экспертиза программного обеспечения и данных, используемых в компьютерной сети. Проводится в целях изучения информации, которая обрабаты142 Компьютерно-технические следы образуются на: а) машинных носителях, с использованием которых действовал преступник на своем рабочем месте; б) «транзитных» машинных носителях, посредством которых преступник осуществлял связь с информационными ресурсами, подвергавшимися нападению; в) машинных носителях информационной системы, на которую осуществлено преступное воздействие. 2. Характерной чертой расследования преступлений в сфере экономики, совершаемых с использованием средств компьютерной техники, являетсято, что при проведении большинства следственных действий, особенно направленных на получение невербальной криминалистически значимой информации, необходимо участие специалиста. Специалист в области компьютерных средств: определяет, соединены ли находящиеся в помещении компьютеры в локальную вычислительную сеть; устанавливает, имеются ли соединения компьютера с оборудованием или вычислительной техникой вне осматриваемого помещения; выясняет, подключен ли компьютер к телефонной линии; определяет, запущены ли программы на ЭВМ и какие именно; проводит экспресс-анализ компьютерной информации путем просмотра содержимого дисков; оказывает помощь следователю в фиксации текущего состояния компьютерной информации, выявлении признаков, указывающих на характер произошедшего события и его последствия: уничтожение, блокирование, модификацию, копирование информации, нарушение работы ЭВМ, их системы или сети; устанавливает способ совершения преступления. 3. Компьютерно-техническая экспертиза самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимый в целях: определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним ее исследованием. 160 |