В настоящее время в экономической деятельности общества и государства очевидна тенденция перехода на безбумажные технологии, основанные на «электронном документообороте» (ЭДО).

В криминалистике существуют следующие классификации электронных документов (ЭД): по форме существования все электронные документы, существующие в компьютерной системе, подразделяются на материальные и виртуальные. Под материальным ЭД следует понимать любой объект, зафиксированный на электронном носителе, несущий информацию, имеющую смысловое значение и существующую только в электронной среде. Виртуальный ЭД — это документ, представляющий собой совокупность информационных объектов, создаваемую в результате взаимодействия пользователя с электронной информационной системой.

По источнику происхождения ЭД можно подразделить на создаваемые пользователем и компьютерной системой. Документы, создаваемые пользователем, могут быть текстовыми, графическими, содержать звуковую или видеоинформацию и иметь форму файла, папки, каталога, программы и т.д. Сведения о сообщениях, передаваемых по сетям электросвязи, отражаются в специальных файлах регистрации событий (log-файлах), в которых протоколируется техническая информация, а также данные о системном техническом обмене.

По содержанию ЭД могут содержать текстовую информацию, графику, анимацию, фоно- или видеоинформацию (определяется расширением файла), а также информацию в виде специальных машинных кодов.

По техническим характеристикам различают расширение файла, объем занимаемой им машинной памяти, дату создания и модификации, название файла. В данном случае основным классификационным параметром, позволяющим отнести ЭД к той или иной группе, является различная емкость, которую занимает ЭД в электронной памяти. Так, например, некоторые программы, которые также являются ЭД, могут занимать единицы килобайт, а информационные массивы в виде баз данных сотни гигабайт. Естественно, все это, оказывает влияние на продолжительность и тактику планируемых следственных действий.

По степени защищенности ЭД могут быть открытыми и закрытыми. Для защиты электронных документов существует большое количество специальных средств: ЭЦП документа, шифрование с помощью кримптоалгоритмов (стеганография), установление различных паролей доступа. К материальным носителям применяемым для фиксации электронных документов относятся разного рода и вида электронные носители данных. Особое место занимают ЭД, удаленные злоумышленником (например, изображения денежных купюр), и восстановленные полностью или частично в процессе их исследования.

В процессе поиска, обнаружения, фиксации и изъятия ЭД необходимо отражать индивидуализирующие его признаки (например, для файла это: его название, величина, автор, время и дата создания время последнего изменения, расширение, путь к нему по древу каталогов, краткая характеристика информации, номер шрифта, установочные данные страницы и т.д.). Электронные носители данных в криминалистическом понимании являются источниками следовой криминалистически значимой компьютерной информации. Поиск, обнаружение, и получение доступа к информации записанной на электронных носителях данных с ее последующим всесторонним исследованием с соответствующим процессуальным закреплением доказательственной информации, является квинтэссенцией раскрытия и расследования преступлений, сопряженных с применением информационных технологий, а также при исследовании информационной техники, которая использовалась злоумышленниками в их повседневной деятельности. Существует достаточно большой ассортимент ЭНД, различающихся между собой принципами чтения-записи информации, формфакторами, интерфейсом и конструктивными особенностями, массогабаритными параметрами, техническими характеристиками, емкостью, быстродействием, природой и материалом носителя, на который производится запись и выборка информации, используемыми алгоритмами записи и чтения данных, программной (дисковой) операционной системой и т.д.

В зависимости от конструктивных особенностей и функционального предназначения ЭНД разделяют на внешние, съемные и встроенные и предназначены как для временного так и для постоянного хранения данных. В любом современном электронном или радиотехническом аппарате обязательно содержатся элементы электронной памяти, которые в обязательном порядке должны быть обнаружены и исследованы на предмет поиска, анализа криминального события и криминологический характеристики личности (интересы, места частого посещения), Кроме того, исследование ЭНД может помочь установить: электронные адреса (ICQ, E-mаil, TCP/IP, пароли WAP и входа в Интернет), номера провайдера, номера мобильной связи, файлы и программное обеспечение самостоятельно созданное пользователем и входящее в сервисный пакет компьютерной системы (файлы регистрации событий (LOG), КЭШ-память, электронные шкалы и настройки частот сканеров и т.д.).

В случае, обнаружения ЭД на ЭНД проводят «зеркальное» (побайтовое) копирование электронного документа или всего ЭНД на инструментальный носитель, например, на аналогичный жесткий диск, компакт диск, флеш-карту, инструментальный переносной жесткий диск и т.д. Дальнейшее исследование «зеркальной копии» позволяет впоследствии проводить необходимые исследования информационных объектов, в том числе восстановление удаленных информационных данных.