– текстовый редактор для составления компьютерной версии протокола, табличный редактор для описи оборудования или даже заготовленная база данных для описания осматриваемых и изъятых устройств, носителей, других объектов, копируемой информации,

– диагностические программы для сбора информации об устройствах, входящих в состав компьютерной системы, их параметрах и техническом состоянии,

– программы сбора информации о файловой системе на машинных носителях (структуре папок и файлов, их свойствах, атрибутах),

– программы для выявления вредоносных программ в компьютерной системе и отдельных машинных носителях информации,

– программы получения информации о программах, находящихся в оперативной памяти ЭВМ на месте осмотра, обеспечивающие просмотр буфера памяти компьютера,

– программы определения настроек аппаратуры и программ, – программы просмотра и вывода на печать содержимого файлов разных типов.

По прибытии на место происшествия следователь с помощью специалистов выполняет следующие мероприятия:

• блокирует доступ персонала ко всем компьютерам сети и серверу;

• выставляет охрану у средств компьютерной техники и электрических распределительных щитов и пультов;

• отсоединяет удаленный доступ к системе извне, чтобы никто не смог изменить или повредить информацию во время осмотра;

• устанавливает, не запущена ли на ЭВМ программа уничтожения информации, а если на ЭВМ программа запущена, отключает компьютер от питания[6].

При осмотре места происшествия специалист-криминалист производит ориентирующую и обзорную видео- и фотосъемку. Фиксируется общий вид здания, все помещения, где расположены средства компьютерной техники, затем фиксируются по отдельности все (если их много) компьютеры и подключенные к ним устройства, а также вскрытые отдельные узлы, модемы, факс-модемы, сканеры, магнитные и оптические носители информации, стримеры, вся распечатка, выполненная на принтерах, техническая и финансовая документация.

Способ данного осмотра может быть от центра к периферии или от периферии к центру.

На статической стадии осмотра специалист-криминалист обязательно фотографирует экран монитора, специалист по средствам связи или системный аналитик определяет дату, текущее время и программу, используемую в данный момент.

Осмотр сети компьютеров на динамической стадии начинают с сервера – специального компьютера, с которого осуществляют общее управление работой сети и который содержит базовую и общую информацию, а в помещениях с несколькими компьютерами осмотр осуществляется последовательно от одного компьютера к другому. При этом специалисты могут выявить внутри них нештатную аппаратуру и следы противодействия аппаратной системе защиты, которая обязательно фотографируется и описывается.

Исследуются на динамической стадии и физические носители компьютерной информации, а специалист-криминалист устанавливает механические повреждения, выявляет на компьютерных объектах следы папиллярных узоров рук и осматривает документы, выполненные как на бумажных, так и на машинных носителях, а именно:

• документы, описывающие аппаратуру и программное обеспечение;

• документы, устанавливающие функциональные правила работы с ЭВМ;

• учетно-регистрационную и бухгалтерскую документацию.

Анализ этих документов позволяет выяснить законность использования программного обеспечения и особенности организации работы данного учреждения[7].

На заключительном этапе осмотра с информации, находящейся на дисках компьютера, делаются копии. Копий должно быть не менее двух. А если для дальнейшего детального осмотра устройств и носителей информации требуется много времени, то все имеющие значение для уголовного дела документы (носители криминалистически важной информации) должны быть подробно описаны, изъяты, упакованы и опечатаны, а их дальнейший осмотр производится с помощью специалистов по месту проведения следствия.

3.3. Участие специалиста в осмотре места происшествия в помещении

Местами происшествия могут быть как жилые, так и самые различные производственные помещения. В этих осмотрах, как правило, участвуют:

• материально ответственные лица;

• руководители фирм и предприятий;

• сотрудники учреждений и предприятий, работающие в осматриваемом помещении и жилище.

Участие в осмотре этих лиц помогает определить, что похищено, где и как хранилось похищенное, какие изменения произошли после преступления в обстановке помещения, где могут быть обнаружены следы рук, ног, тела и одежды преступника, каким образом произошло проникновение в помещение и каким образом преступник скрылся.

Прежде чем приступить к осмотру, необходимо осмотреть прилегающую к основному осмотру местность, а именно, коридор или лестничную площадку, двор или приусадебный участок, чердак и другие места, ведущие к месту происшествия, так как и здесь могут быть обнаружены криминалистически значимые следы преступления, а именно: