Виды компьютерно-технических экспертиз:
аппаратно-компьютерная экспертиза;программно-компьютерная экспертиза;
информационно-компьютерная экспертиза;компьютерно-сетевая экспертиза.
Вопросы, разрешаемые судебной аппаратно-компьютерной экспертизой:
1.К какому типу (марке, модели) относится аппаратное средство?
2.Каковы его технические характеристики и параметры?
3.Каково функциональное предназначение аппаратного средства?
4.Какова роль и функциональные возможности данного аппаратного средства в конкретной компьютерной системе?
5.Относится ли данное аппаратное средство к представленной компьютерной системе?
6.Используется ли данное аппаратное средство для решения конкретной функциональной задачи?
7.Какое первоначальное состояние (конфигурацию, характеристики) имело аппаратное средство?
8.Доступен ли для чтения представленный носитель информации?
9.Каковы причины отсутствия доступа к носителю информации? Другие вопросы, исходя из обстоятельств дела.
Вопросы, разрешаемые программно-компьютерной экспертизой:
1.Какова общая характеристика представленного программного обеспечения, из каких компонент (программных средств) оно состоит?
2.Каковы реквизиты разработчика и владельца данного программного средства?
3.Каков состав соответствующих файлов программного обеспечения, каковы их параметры (объемы, даты создания, атрибуты)?
4.Какое общее функциональное предназначение имеет программное средство? Какова хронология внесения изменений в программном средстве?
5.С какой целью было произведено изменение каких-либо функций в программном средстве?
6.Направлены ли внесенные изменения в программное средство на преодоление его защиты?
7.Какова хронология использования программного средства (начиная с ее инсталляции)?
8.Имеются ли в программном средстве враждебные функции, которые влекут уничтожение, блокирование, модификацию либо копирование информации, нарушение работы компьютерной системы?
Другие вопросы, исходя из конкретных обстоятельств дела.
Вопросы, разрешаемые судебной информационно-компьютерной
экспертизой:
1.Как отформатирован носитель информации и в каком виде на него записаны данные?
2.Какого вида (явный, скрытый, удаленный, архив) информация имеется на носителе?
3.Каким образом организован доступ (свободный, ограниченный и проч.) к данным на носителе информации и каковы его характеристики?
4.Какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
5.Каково содержание защищенных данных?
6.Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
7.Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денежных знаков, ценных бумаг, оттисков печатей и т. п.)?
8.Какая причинная связь имеется между действиями (вводом, модификацией, удалением и проч.) с данными и произошедшим событием (например, нарушением в работе компьютерной системы, в том числе сбоями в программном и аппаратном обеспечении)?
Вопросы, разрешаемые компьютерно-сетевой экспертизой:
1.Имеются ли признаки работы данного компьютерного средства в сети Интернет?
2.Какие аппаратные средства использовались для подключения к Интернету?
3.Имеются ли заготовленные соединения с узлом сети Интернет и каковы их свойства (номера телефонов провайдера, имена и пароли пользователя, даты создания)?
4.Каково содержание установок программы удаленного доступа к сети и протоколов соединений?
5.Какие имеются адреса Интернета, по которым осуществлялся доступ с данного компьютерного средства?
6.Имеется ли какая-либо информация о проведении электронных платежей и использовании кодов кредитных карт?
7.Имеются ли почтовые сообщения, полученные (а также отправленные) по электронной почте?
8.Имеются ли сообщения, полученные (отправленные) посредством использования программ персональной связи через Интернет, и каково их содержание?
Другие вопросы, исходя из конкретных обстоятельств дела.
Вопросы комплексного исследования при судебной экспертизе целостной компьютерной системы (устройства):
1.Является ли представленное оборудование компьютерной системой?
2.Является ли представленное оборудование целостной компьютерной системой или же ее частью?
3.К какому типу (марке, модели) относится компьютерная система?
4.Каковы общие характеристики сборки компьютерной системы и изготовления ее компонент?
5.Какой состав (конфигурацию) и технические характеристики имеет компьютерная система?
6.Является ли конфигурация компьютерной системы типовой или расширенной под решение конкретных задач?
7.Какое функциональное предназначение имеет компьютерная система?
8.Имеются ли в компьютерной системе наиболее выраженные функции (потребительские свойства)?
9.Решаются ли с помощью представленной компьютерной системы определенные функциональные (потребительские) задачи?
10.Находится ли компьютерная система в рабочем состоянии?
11.Имеет ли компьютерная система какие-либо отклонения от типовых (нормальных) параметров, в том числе физические (механические) дефекты?
12.Какой перечень эксплуатационных режимов имеется в компьютерной системе?
13.Какие эксплуатационные режимы задействованы (установлены) в компьютерной системе?
14.Существуют ли в компьютерной системе недокументированные (сервисные) возможности, если да, то какие?
15.Какие носители информации имеются в данной компьютерной системе?
16.Реализована ли в компьютерной системе какая-либо система защиты информации?
17.Какая система защиты информации имеется в данной компьютерной системе? Каковы тип, вид и характеристики этой системы защиты? Каковы возможности по ее преодолению?
Другие вопросы, исходя из конкретных обстоятельств дела.
Управлению «К» (Бюро специальных технических мероприятий) МВД России (его подразделению) поручается:
на основании собранных данных выяснить, с каких абонентских номеров осуществлялся доступ в Интернет в указанное время и по указанному адресу;
по указанным абонентским номерам установить адреса, откуда производилась связь, и кто по этим адресам проживает;
выявить среди них лиц, осуществивших несанкционированный доступ к компьютерной информации.
Программа (алгоритм) расследования при второй следственной ситуации:
обыск по месту нахождения компьютера, с которого осуществлен несанкционированный доступ;
допросы в качестве свидетелей, проживающих там лиц;
допрос подозреваемого;
назначение компьютерно-технической экспертизы по обнаруженной при обыске компьютерной технике.
Особенности производства обыска:
Идеальным можно считать проведение обыска в момент совершения преступления, устанавливаемого по предварительной договоренности с провайдером, который может сообщить о моменте выхода абонента в сеть Интернет.
В этом случае необходимо осуществить максимально быстрый доступ к компьютеру (без предварительного обесточивания квартиры).
Отстранить пользователя от работы и с помощью видео- либо фототехники зафиксировать изображение на мониторе с указанием даты и времени фиксации, после чего произвести осмотр компьютера.
При проведения обыска необходимо обращать внимание на наличие рукописных записей в ежедневниках, телефонных и записных книжках, поскольку в большинстве случаев преступники ведут записи полученных ими сетевых реквизитов.
Установить, заключался ли пользователем договор на предоставление доступа в Интернет, и если да, то изъять соответствующие документы.