Читаем Следственные действия: психология, тактика, технология полностью

Не следует ограничиваться поиском информации только в компьютере; необходимо внимательно осмотреть имеющуюся документацию, вплоть до записей на клочках бумаги. Дело в том, что программисты часто, не надеясь на свою память, оставляют записи о паролях, изменениях конфигурации системы, особенностях построения информационной базы компьютера. Многие пользователи хранят копии своих файлов на дискетах во избежание утраты их при выходе компьютера из строя. Поэтому любые обнаруженные носители информации должны быть изъяты и изучены.

В связи с изложенным крайне важно участие специалистов в производимом следственном действии. Они помогут не только разобраться в особенностях компьютерного оборудования и машинных носителей информации, но и указать на то, что подлежит изъятию. Профиль нужного специалиста определяется в зависимости от целей и задач осмотра с учётом первоначальных данных о характере преступления. Чаще всего может потребоваться помощь нескольких специалистов, в том числе программиста по операционным системам и прикладным программам, электронщика, хорошо знающего компьютерную технику, специалиста по средствам связи, а также техника-криминалиста. Последний необходим для обнаружения и сбора традиционных доказательств, например скрытых отпечатков пальцев рук на клавиатуре, "мыши", выключателях и тумблерах и др., шифрованных рукописных записях и пр.

В качестве понятых целесообразно приглашать лиц, знакомых с работой ЭВМ.

Осмотр служебного помещения необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ, а также установить место создания, использования либо распространения вредоносной программы для ЭВМ и место нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. В процессе осмотра необходимо отразить в протоколе месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проёмов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты; микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха).

Целесообразно начертить схему осматриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии - сначала общий вид его, затем по правилам узловой фотосъёмки зафиксировать отдельные компьютеры и подключённые к ним устройства, а в случае вскрытия системного блока - по правилам детальной съёмки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока (это определит специалист).

Осмотр средств вычислительной техники.Непосредственными объектами действия могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре в протоколе отражается: положение переключателей на блоках и устройствах вычислительной техники; состояние индикаторных ламп; содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло; состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры); наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования; механические повреждения; наличие внутри компьютерной техники нештатной аппаратуры и различных устройств; следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.

Помимо этих общих положений, необходимо отметить особенности осмотра работающего и неработающего компьютера.

При осмотре работающего компьютера с участием специалиста следует: установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще произвести фотографирование или видеозапись); по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания её работы; определить и восстановить наименование вызывавшейся последний раз программы; установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стримеры, оптические диски), их тип (вид) и количество; скопировать информацию (программы, файлы данных), имеющуюся в компьютере (особенно это важно для информации, находящейся в ОЗУ и виртуальном диске, так как после выключения компьютера она уничтожается).