- •Глава 35. Осмотр места происшествия по делам о преступлениях в сфере компьютерной информации1 Общие положения
- •Объекты осмотра
- •Рекомендации по осмотру
- •Осмотр служебного помещения.
- •Осмотр средств вычислительной техники.
- •При осмотре неработающего компьютера с участием специалиста необходимо:
- •Осмотр работающего компьютера
- •Если компьютер подключен к локальной сети, то необходимо:
- •Осмотр носителей машинной информации.
- •Осмотр документов.
- •Типичные ошибки, допускаемые при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации:
- •Назначение экспертиз
- •Компьютерно-техническая экспертиза
- •Техническая экспертиза компьютеров
- •Экспертиза данных и программного обеспечения
- •Экспертиза сетевого программного обеспечения
- •Техническая экспертиза оборудования защиты
Осмотр служебного помещения.
Он необходим для общего обзора, определения границ осмотра места происшествия, количества и схемы расположения рабочих мест, уточнения порядка размещения компьютерного оборудования и мест хранения машинных носителей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение, где установлена ЭВМ, а также установить место создания, использования либо распространения вредоносной программы для ЭВМ и место нарушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. Следует учитывать возможность наличия в организации так называемых «резервных каналов» для хранения информации. Резервный канал может находиться как в помещении, где проводится осмотр, так и в другом здании. В этом случае местонахождение резервного канала устанавливается путем допросов специалистов той организации, в которой проводится осмотр места происшествия, и также подлежит осмотру с целью обнаружения и изъятия интересующей следствие информации. В процессе осмотра необходимо установить и отразить в протоколе месторасположение данного помещения в здании учреждения, наличие охранной сигнализации, состояние оконных и дверных проемов (наличие повреждений, техническое состояние), запорных устройств, наличие экранизирующих средств защиты; микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха). Целесообразно начертить схему осматриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии — сначала общий вид его, затем по правилам узловой фотосъемки зафиксировать отдельные компьютеры и подключенные к ним устройства, а случае вскрытия системного блока — по правилам детальной съемки отдельные его узлы, особенно те, которые согласно инструкции по эксплуатации не должны быть установлены на материнской плате или в корпусе блока (это должен определить специалист).
Осмотр средств вычислительной техники.
Непосредственными объектами осмотра могут быть: отдельные компьютеры, не являющиеся составной частью локальных или глобальных сетей; рабочие станции (компьютеры), входящие в сеть; файл-сервер, т. е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. При их осмотре следует установить и отразить в протоколе:
1) положение переключателей на блоках и устройствах вычислительной техники;
2) Состояние индикаторных ламп;
3) содержание информации, высвечиваемой на мониторе, и световых сигналов на различных индикаторах и табло;
4) состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры);
5) наличие, состояние и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования;
6) механические повреждения;
7) наличие внутри компьютерной техники нештатной аппаратуры и различных устройств;
8) следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.