ЖАНРЫ

Судебная экспертиза в гражданском, арбитражном, административном и уголовном процессе

Росинская Елена Рафаиловна

Шрифт:

Затем следует промаркировать всю систему подключения до того, как провода будут отсоединены, промаркировать все порты и разъемы с тем, чтобы потом можно было осуществить точную реконструкцию расположения кабелей, плат расширения и других устройств. Если конфигурация процессора стандартна, следует корректно завершить работу исполняемой в данный момент программы либо дождаться завершения ее работы для получения дополнительных, возможно искомых, данных. Если для поиска информации задействуется программное обеспечение, не находящееся в компьютере, это необходимо отметить в протоколе. Такие программы должны быть стандартны и лицензированы, а контроль над их работой - нагляден.

При необходимости специалистом может быть выполнено копирование компьютерной информации на заранее приготовленные носители или стендовый компьютер. По существующей методике <1> - это специализированные малогабаритные персональные компьютеры, оснащенные набором тестовых программных средств <2>.

– -------------------------------

<1> См.: Россинская Е.Р., Усов А.И. Указ. соч.

<2> См.: Мещеряков В.А. Преступления в сфере компьютерной информации: Основы теории и практики расследования. Воронеж, 2002.

При обнаружении, фиксации и изъятии криминалистически значимой информации в вычислительной сети необходимо установить общее количество компьютеров и их распределение по другим помещениям, а также количество и тип используемых серверов и рабочих мест. Далее важно выяснить тип используемой сетевой операционной системы и состав прикладного программного обеспечения, используемого в вычислительной сети. Следует также установить факт наличия резервных копий данных и места их хранения.

Особое внимание должно уделяться выявлению выхода в другие, в том числе и глобальные, сети, установлению возможностей использования коммуникационных средств для связи с удаленными пользователями, другими организациями (фирмами), частными лицами. В это же время определяются принятые в организации мероприятия по защите информации и наличие выхода в Интернет. В случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона, по возможности удалить из помещения все взрывчатые, едкие и легковоспламеняющиеся материалы.

Сразу же при установлении факта наличия в осматриваемом помещении локальной вычислительной сети следует точно установить местоположение серверов. Как правило, для сервера выделяется специальная комната (серверная), вход в которую ограничен. Однако помимо центральной серверной в других помещениях могут находиться местные локальные серверы. Внешне определить местоположение компьютеров, подключенных к вычислительной сети, иногда помогает электропроводка: достаточно проследить трассы кабелей или специальных коробов для защиты кабелей.

Иногда в процессе фиксации и изъятия может возникнуть необходимость описания содержимого жесткого диска. Однако, по нашему мнению, совпадающему с мнением большинства специалистов в сфере современных информационных технологий, эту процедуру необходимо проводить только в ходе экспертного исследования <1>.

– -------------------------------

<1> См.: Зубаха В.С. и др. Общие положения по назначению и производству компьютерно-технической экспертизы (методические рекомендации). М., 2001.

При изъятии компьютеров и носителей данных их следует упаковывать и опечатывать. Системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Следует пронумеровать все носители информации, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее эффективен следующий способ фиксации компьютерного средства:

1) выключить компьютер;

2) отключить его от сети;

3) отсоединить все разъемы;

4) на длинной полосе бумаги поставить подписи следователя, специалиста, понятых, представителей персонала или администрации и номер;

5) наложить эти полосы на разъемы для подключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной полосы с подписями;

6) такой же бумажной полосой опечатать крышку корпуса таким образом, чтобы исключить возможность доступа к внутренним элементам системного блока без нарушения ее целостности.

Кроме указанного способа, на практике все чаще используется другой способ опечатывания системного блока. Последний помещается в полиэтиленовый (либо холщовый) пакет, и далее опечатывается уже сам пакет (доступа не будет ни к разъемам, ни к кнопкам, ни к корпусу).

Для опечатывания носителей информации необходимо упаковать их в жесткую негнущуюся коробку и опечатать ее. Далее следует сделать на отдельном листе бумаги подробное описание упакованных носителей (тип каждого из них, количество). Коробка с носителями и описание помещаются в полиэтиленовый пакет, который заклеивается. Кроме коробок, в крайнем случае для упаковки компьютерных средств могут быть использованы большие полотняные мешки или куски ткани. Если изымается жесткий диск (винчестер), то его необходимо упаковать в антистатический пакет, предотвратить его свободное перемещение в упаковке при транспортировке и опечатать.

Изъятие компьютерных средств должно производиться в один прием. При отсутствии транспорта следует организовать строгую охрану изъятого оборудования в специальном помещении. Недопустимо предоставление части изъятых средств в распоряжение организации (учреждения) по причинам производственной необходимости, так как в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой повреждение или уничтожение имеющейся компьютерной информации. Известны совершенно недопустимые случаи использования изъятых в качестве вещественных доказательств компьютерных средств следователями и сотрудниками оперативных аппаратов для составления процессуальных документов, отчетов, компьютерных игр. Такие действия должны решительно пресекаться, а виновные привлекаться к ответственности, даже если в следственном отделе, расследующем преступление, отказали все служебные компьютеры.

При перевозке компьютерных средств необходимо исключить их механические повреждения и взаимодействие с химически активными веществами. Следует экранировать от воздействий магнитных полей как компьютерные устройства, так и магнитные носители информации. Такое воздействие может привести к порче или уничтожению информации путем размагничивания. Поскольку компьютерные средства попадают на исследование в экспертные учреждения, особое внимание следует обратить на ограждение изъятых объектов от воздействия широко используемых в этих учреждениях магнитосодержащих средств криминалистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и проч.).

Поделиться с друзьями: