Программа (алгоритм) расследования в первой следственной ситуации:
осмотр места происшествия;
допрос потерпевшего (пользователя) или его представителя;
допрос в качестве свидетеля представителя фирмы-провайдера;
выемка документов у пользователя (потерпевшего) и провайдера;
назначение экспертиз.
Особенности осмотра места происшествия:
Записать данные всех лиц, находящихся в помещении на момент появления следственной группы, независимо от объяснения причин их пребывания в данном помещении.
Первое и основное правило: никогда и ни при каких условиях не работать на осматриваемом компьютере. Компьютер – объект работы специалиста.
Допуск к компьютеру владельца (пользователя) компьютера для оказания помощи в осмотре является серьезной ошибкой.
При противодействии следственной группе, необходимо отключить электропитание всех компьютеров на объекте, опечатать их и изъять вместе с носителями для исследования информации в лабораторных условиях.
Перед выключением компьютера необходимо по возможности закрыть все используемые на компьютере программы. Некорректный выход с некоторых программ может вызвать уничтожение информации или испортить саму программу.
Изымать все компьютеры (системные блоки) и магнитные носители.
При изъятии технических средств, целесообразно изымать не только системные блоки, но и дополнительные периферийные устройства (принтеры, стримеры, модемы, сканеры и т.п.).
Фотографирование и маркирование элементов компьютерной системы.
Тщательно осмотреть документацию, обращая внимание на рабочие записи операторов ЭВМ, ибо часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую полезную информацию.
С целью проверки компьютера на наличие вирусов и программных закладок, необходимо загрузить компьютер не с его операционной системы, а с носителя специалиста.
В первую очередь следует сделать резервную копию информации. Найти и сделать копии временных файлов.
Необходимо обязательно проверить Swap File.
Необходимо сравнивать дубли текстовых документов.
При допросе потерпевшего (его представителя) выясняется:
на основании чего сделан вывода о том, что был доступ постороннего лица к компьютерной информации;
размер причиненного материального ущерба;
кого и на каком основании он в этом подозревает;
список всех сотрудников предприятия, имеющих доступ к компьютерной технике, либо часто пребывающих в помещении, где находятся ЭВМ;
список всех внештатных и временных работников организации (предприятия) с целью выявления программистов и других специалистов в области информационных технологий. Желательно установить их паспортные данные, адреса и места постоянной работы;
с каким провайдером заключен договор;
присвоенное пользователю имя для работы в сети и пароль доступа к нему;
пароли доступа к защищенным программам и др.
При допросе представителя фирмы- провайдера выясняется:
основные понятия и определения, используемые в технической терминологии, поскольку они могут не совпадать с юридической, что может вызвать недопонимание и разночтения;
как обслуживается потерпевший: по постоянному каналу или в режиме телефонных звонков (dial-up);
время и продолжительность работы в сети Интернет абонента с именем, присвоенным потерпевшему с указанием суммы денежных средств, списанных со счета указанного абонента.
Выемка документов у потерпевшего и провайдера:
копия договора потерпевшего с провайдером;
копии документов оплаты услуг провайдера;
копии учредительных документов провайдера и лицензии на право предоставления услуг связи;
протоколы работы в сети Интернет абонента с именем, присвоенным потерпевшему с указанием времени работы и суммы денежных средств, списанных со счета указанного абонента.
При расследовании преступлений в сфере компьютерной информации назначаются и проводятся различные экспертизы, в том числе традиционные криминалистические экспертизы, экспертизы веществ и материалов, экономические экспертизы и др.
Назначение и проведение компьютерно- технических экспертиз, по делам данной категории, является обязательным.
Судебная компьютерно-техническая экспертиза (СКТЭ) – самостоятельный род экспертиз, относящийся к классу инженерно-технических экспертиз, осуществляемый с целью:
определения статуса объекта как компьютерного средства;
выявления и изучения роли компьютерных средств в расследуемом преступлении;
получения доступа к информации на электронных носителях с последующим всесторонним её исследованием.
Объекты компьютерно- технической экспертизы:
аппаратные;
программные;
информационные.