Эффективное противостояние преступлениям в сфере компьютерной информации, защита прав и законных интересов граждан, а также обеспечение информационной безопасности государства, юридических и физических лиц возможны только на базе постоянно изменяемого комплекса всех мер защиты, включая и формирование криминалистических средств и методов.
При расследовании преступлений в сфере компьютерной информации большое значение играют вопросы своевременного и правильного изъятия компьютеров, а также компьютерной информации.
При производстве следственных действий в ходе расследования преступлений данной категории (обысках, осмотрах и выемках, а также при допросах и следственных экспериментах) необходимо привлекать специалистов в сфере компьютерной техники и информации.
Основными задачами специалистов в области компьютерной техники являются выполнение всех манипуляций с компьютерной техникой (включение - выключение, разборка - сборка и пр.); оказание помощи следователю в описании компьютерной техники и периферийного оборудования в протоколах следственных действий; проведение экспресс-анализа компьютерной информации; обнаружение информационных следов преступления; предотвращение уничтожения или повреждения компьютерной информации; изъятие компьютерной информации и др.
Изъятие средств компьютерной техники и компьютерной информации
При изъятии средств компьютерной техники существуют некоторые особенности, которые в обязательном порядке должен учитывать следователь.
Если следователь располагает информацией, что на месте производства следственного действия находятся средства компьютерной техники, расшифровка данных с которых может дать доказательства по делу, он должен заранее подготовиться к их изъятию:
- подготовить необходимые материалы и средства (компакт-диски, наборы утилит и др.);
- пригласить для оказания помощи соответствующих специалистов в сфере компьютерной техники и информации.
На месте производства следственного действия следует сразу же принять меры к обеспечению сохранности средств компьютерной техники и компьютерной информации. Для этого необходимо:
- запретить присутствующим прикасаться к компьютерной технике с любой целью;
- принять меры к недопущению выключения электроснабжения объекта;
- в случае если на момент начала производства следственного действия электроснабжение объекта выключено, то до его восстановления следует отключить от электросети всю компьютерную технику;
- самому не производить никаких манипуляций со средствами компьютерной техники, если результат этих манипуляций заранее неизвестен.
После принятия указанных выше неотложных мер можно приступать к непосредственному к выявлению и изъятию средств компьютерной техники.
При этом следует обращать внимание на могущие возникнуть следующие неблагоприятные факторы:
- возможные попытки со стороны персонала повредить средства компьютерной техники с целью уничтожения информации и ценных данных;
- возможное наличие на компьютерах специальных средств защиты от несанкционированного доступа, которые, не получив в установленное время специальный код, автоматически уничтожат всю информацию;
- возможное наличие на средствах компьютерной техники иных средств защиты от несанкционированного доступа;
- наличие на объекте программно-технических средств, незнакомых следователю.
В целях недопущения или минимизации вредных последствий перечисленных факторов необходимо придерживаться следующих рекомендаций:
- перед выключением питания по возможности корректно закрыть все используемые программы, а в сомнительных случаях просто отключить компьютер, так как в некоторых случаях некорректное отключение компьютера (путем перезагрузки или выключения питания без предварительного выхода из программы и записи информации на постоянный носитель) приводит к потере информации в оперативной памяти и даже к стиранию информационных ресурсов на данном компьютере;
- корректно выключить питание всех средств компьютерной техники, находящихся в помещении;
- при наличии средств защиты средств компьютерной техники от несанкционированного доступа принять меры к установлению ключей доступа (паролей, алгоритмов и т.д.);
- не просматривать на месте производства следственного действия информацию, содержащуюся в компьютерах;
- при производстве следственного действия без участия специалиста в случаях возникновения каких-либо затруднений, связанных с осмотром, фиксацией и изъятием средств компьютерной техники и компьютерной информации, в целях оказания соответствующей помощи необходимо пригласить нужного специалиста и ни в коем случае не обращаться за такой помощью к заинтересованным лицам (например, из числа персонала);
- к средствам компьютерной техники не подносить близко источники электромагнитного поля (например, постоянные магниты и т.п.). Необходимо помнить, что информация может быть повреждена в результате воздействия влажности и температуры.
При изъятии средств компьютерной техники целесообразно изымать не только системные блоки, но и дополнительные периферийные устройства (принтеры, стримеры, модемы, сканеры и т.п.).
При наличии локальной вычислительной сети необходимо иметь нужное количество специалистов для дополнительного исследования информационной сети.
В ходе производства следственного действия необходимо изымать все компьютеры (системные блоки) и магнитные носители. При этом необходимо обращать внимание на различные записи, имеющие отношение к расследуемому событию, которые также должны быть изъяты (например, записи паролей, кодов на стикере).
Упаковка средств компьютерной техники
Упаковывать средства компьютерной техники следует таким образом, чтобы исключить возможность работы на них в период расследования и разрешения уголовного дела, разукомплектования и физического повреждения основных рабочих компонентов в процессе транспортировки и хранения.
Прежде чем упаковать системный блок, необходимо его переднюю и заднюю панель закрыть листами бумаги, края которой путем захлеста зафиксировать клеем или лентой «скотч» на верхней и боковых панелях. Затем частично на захлесты, частично на панель наклеить бирки с оттисками печати. На листах бумаги, закрывающих переднюю и заднюю панели, должны быть подписи участников следственного действия (следователя, понятых, представителя администрации или персонала), а также выполнена соответствующая пояснительная надпись (что, в ходе какого следственного действия, когда, по какому адресу был изъят данный объект). Далее системный блок упаковывается, как правило, в полиэтиленовый пакет либо картонный короб.
При изъятии магнитного носителя машинной информации нужно помнить, что он должен транспортироваться и храниться только в специальных опломбированных и экранированных контейнерах или в стандартных дискет- ных или иных алюминиевых футлярах заводского изготовления, исключающих разрушающее воздействие различных электромагнитных и магнитных полей и «наводок», направленных излучений. После помещения магнитного носителя машинной информации в специальный контейнер (футляр) он упаковывается в отдельную коробку (ящик, конверт).
В случае невозможности изъятия средств компьютерной техники (например, если компьютер является сервером или рабочей станцией компьютерной сети) в обязательном порядке после его осмотра необходимо блокировать не только соответствующее помещение, но и отключать источники энергопитания аппаратуры или, в крайнем случае, создать условия лишь для приема информации с одновременным опломбированием всех необходимых узлов, деталей, частей и механизмов компьютерной системы.
Если же возникла необходимость изъятия информации из оперативной памяти компьютера (непосредственно из оперативного запоминающего устройства - ОЗУ), то сделать это возможно только путем копирования соответствующей машинной информации на физический носитель с использованием стандартных паспортизированных программных средств, с соответствующим документальным приложением и в порядке, установленном следующими нормативными документами. Носители, на которые была переписана информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический пакет и предотвратить его свободное перемещение в упаковке при транспортировке).
Упаковка, в которую помещены изъятые объекты, должна быть закрыта, заклеена, опечатана и снабжена пояснительной надписью, удостоверенной подписями соответствующих участников следственного действия.
Недопустимо приклеивать что-либо непосредственно к физическим носителям информации, пропускать через них бечеву, пробивать степлером, прокалывать шилом, делать пометки пишущими средствами и красителями (маркером, карандашом, пишущей ручкой, краской).
В результате неправильного изъятия и упаковки средств компьютерной техники и компьютерной информации могут быть безвозвратно утрачены важнейшие доказательства.
| 
0%