- •24. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации Общие положения
- •Объекты осмотра
- •Рекомендации по осмотру
- •Осмотр служебного помещения.
- •Осмотр средств вычислительной техники.
- •При осмотре работающего компьютера следует с участием специалиста:
- •Если компьютер подключен к локальной сети, то необходимо'.
- •Осматривая с участием специалиста неработающий компьютер, нужно:
- •В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой, в частности:
- •Осмотр носителей машинной информации.
- •При осмотре необходимо указать в протоколе:
- •Осмотр документов.
- •Упаковка и транспортировка
- •Типичные ошибки при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации:
- •Назначение экспертиз Компьютерно-програмная экспертиза
Осмотр служебного помещения.
Он необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где находится ЭВМ, а также установить место создания, использования либо распространения вредоносной программы для ЭВМ и место нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. В процессе осмотра необходимо отразить в протоколе месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проемов (повреждения, техническое состояние), запорных устройств, экранирующих средств защиты;
микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха). Целесообразно начертить схему осматриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии — сначала общий вид его, затем по правилам узловой фотосъемки зафиксировать отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока — по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны устанавливаться на материнской плате или в корпусе блока (это определит специалист).
Осмотр средств вычислительной техники.
Непосредственными объектами осмотра могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей;
рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре в протоколе следует отразить:
1. Положение переключателей на блоках и устройствах вычислительной техники.
2. Состояние индикаторных ламп.
3. Содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло.
4. Состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры).
5. Наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования.
6. Механические повреждения.
7. Наличие внутри компьютерной техники нештатной аппаратуры и различных устройств.
8. Следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.
Помимо этих общих положений необходимо отметить особенности осмотра работающего и неработающего компьютера.
При осмотре работающего компьютера следует с участием специалиста:
1) установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще произвести фотографирование или видеозапись);
2) по мере необходимости остановить исполнение программы и установить, какая информация получена после окончания ее работы;
3) определить и восстановить наименование вызывавшейся последней раз программы;
4) установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стриммеры, оптические диски), их тип (вид) и количество;
5) скопировать информацию (программы, файлы данных), имеющуюся в компьютере (особенно это важно для информации, находящейся в ОЗУ и виртуальном диске, так как после выключения компьютера она уничтожается).