- •113623, Москва, ул. Типографская, 10
- •Введение
- •Классификация и предмет экспертных исследований компьютерных средств
- •Задачи компьютерно-технической экспертизы
- •Система объектов компьютерно-технической экспертизы Общая классификация
- •Выбор типичных объектов исследования
- •Рекомендации по обнаружению, фиксации и изъятию компьютерной информации Подготовка к обыску
- •Проведение обыска
- •Порядок выключения компьютера
- •Изъятие компьютеров
- •Опечатывание компьютеров и носителей информации
- •Транспортировка и хранение компьютерной техники и носителей информации
- •Методы предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей
- •Перечень типовых вопросов при назначении компьютерно-технической экспертизы
- •Характеристика типичных объектов компьютерно-технической экспертизы Электронные компоненты компьютеров и периферийные устройства
- •Виды накопителей информации
- •Программное обеспечение
- •Основные виды операционных систем
- •Основные виды информационных файлов
- •Краткое содержание экспертного исследования
- •Заключение
- •Литература
- •Основные понятия и определения
- •Долевое распределение аппаратных объектов компьютерно-технической экспертизы
- •Справочникпо расширениям имен файлов dos и windows
- •125130, Москва, ул. З. И а. Космодемьянских, 5 Тел. 156-79-65
- •Исследование
- •Исследование ноутбука Dell Latitude xp cd
- •Ориентировочная спецификация стенда и оборудования, необходимого для производства и оформления результатов компьютерно-технической экспертизы
- •Оглавление
Рекомендации по обнаружению, фиксации и изъятию компьютерной информации Подготовка к обыску
Помимо стандартных действий, которые необходимо выполнить при подготовке к проведению обыска, следует обязательно выяснить, имеется ли в данном помещении компьютерная техника. При наличии таковой необходимо установить:
количество компьютеров и их типы;
наличие автономных источников питания;
используемые носители информации;
наличие локальной сети и выхода в другие сети с помощью модема, радиомодема или выделенных линий;
используемое прикладное программное обеспечение;
наличие систем защиты информации и шифрования, их типы;
возможности использования средства экстренного уничтожения компьютерной информации.
В случае проведения обыска на предприятии необходимо дополнительно выяснить:
количество компьютеров на предприятии и их распределение по службам и помещениям;
объединены ли компьютеры в локальную сеть.
Если такое объединение существует, то необходимо установить:
кто на предприятии отвечает за сетевую систему и программное обеспечение, т.е. является администратором системы;
количество и типы используемых серверов;
количество и типы рабочих мест;
типы используемых операционных сетевых систем;
прикладное программное обеспечение, используемое в сети (например, сетевые базы данных, система документооборота и пр.);
наличие резервных копий серверных дисков и баз данных и место их хранения;
наличие выхода в другие, в том числе и глобальные, сети;
используются ли распределенные сети или почтовые программы для связи с удаленными подразделениями организации или с другими предприятиями;
используются ли системы шифрования и защиты информации; если да, то какие;
используются ли другие средства компьютерной связи (например, модемы и радиомодемы, выделенные линии);
наличие выхода в Интернет и системы электронной почты.
Получить ответы на все перечисленные вопросы не всегда представляется возможность, но выяснить расположение компьютеров и серверов на предприятии необходимо. При отсутствии полной информации по данным вопросам целесообразно включить в группу, производящую обыск, эксперта по компьютерной технике. Если такой возможности нет, то следователю необходимо предварительно получить консультацию у любого другого специалиста в области компьютерных технологий, исходя из наличия имеющейся информации.
Проведение обыска
При проведении обыска основной задачей руководителя следственной группы и специалистов применительно к компьютерным средствам является обеспечение сохранности информации, имеющейся в компьютерах и на компьютерных носителях информации. Для этого необходимо:
предотвратить отключение энергоснабжения предприятия, обеспечив охрану распределительного щита;
запретить сотрудникам предприятия и прочим лицам производить какие-либо манипуляции с компьютерами и носителями информации;
оградить работающие компьютеры от случайных нажатий на клавиши клавиатуры, кнопок системных блоков и устройств;
предупредить всех сотрудников следственной группы о недопустимости самостоятельной манипуляции с компьютерной техникой и носителями информации;
обеспечить отключение телефона в случае использования телефонной линии для связи с другими сетями;
удалить из помещений, в которых находятся компьютеры и носители информации, все взрывчатые, едкие и легковоспламеняющиеся материалы.
В дальнейшем следует точно определить местоположение компьютеров; при этом помнить, что портативные компьютеры типа ноутбук легко умещаются в небольшую сумку.
При наличии в осматриваемом помещении локальной сети необходимо точно установить местоположение серверов. Как правило, на крупных предприятиях под серверную выделена специальная комната, вход в которую ограничен. Однако помимо центральной серверной в отделах могут находиться местные локальные серверы. Определить местоположение компьютеров при наличии локальной сети поможет проводка. Достаточно проследить трассы кабеля или коробов (в случае, когда кабель спрятан в специальный короб).
Следует обратить внимание на неподключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару, имеют вид импортных телефонных розеток), так как в этих местах, возможно, находились компьютеры или подключались портативные компьютеры, которые в момент проведения обыска могут находиться в другом месте или могут быть спрятаны.
Особое внимание нужно обратить на места хранения дискет и других носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к соответствующим накопителям.
На предприятиях, имеющих развитую локальную сеть, как правило, производится регулярное архивирование информации на какой-либо носитель, поэтому необходимо определить место хранения данных копий.
Обязательно следует выявить администратора системы и провести его опрос, при котором выяснить следующее:
какие операционные системы установлены на каждом из компьютеров;
какое программное обеспечение используется;
какие программы защиты и шифрования используются;
где хранятся общие файлы данных и резервные копии;
пароли супервизора и администраторов системы;
имена и пароли пользователей.
Далее специалист по компьютерам, участвующий в обыске, используя данные, полученные от администратора системы, может произвести копирование информации на заранее приготовленные носители. Это могут быть обычные дискеты, однако при большом объеме изымаемых файлов рекомендуется использовать более современные носители информации (например, магнитооптический диск или дополнительный жесткий диск). Носители, на которые была переписана информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то его необходимо упаковать в антистатический пакет и предотвратить его свободное перемещение в упаковке при транспортировке), которые необходимо опечатать в соответствии с требованиями ст. 171 УПК РСФСР.