• Рис. 2. Действия подозреваемого при производстве следственного эксперимента
  • Рис. 3. Проведение следственного действия

Вопрос 3. Тактические особенности проведения ОМП

Хотелось бы выделить также общие рекомендации, которые необходимо учитывать при исследовании компьютера на месте происшествия.

Можно выделить три основных направления. Первое – это изъятие средств компьютерной и периферийной техники, и машинных носителей информации. Второе -  изъятие информации, размещенной на сетевых информационных ресурсах. И третье – изъятие цифровых доказательств у сетевых посредников (провайдеров). Рассмотрим последовательно эти три направления, отмечая в основном те недостатки, которые сопутствуют этим процессам.

Перед началом обыска необходимо в первую очередь принять меры к предотвращению возможного повреждения или уничтожения информации. Кроме этого, в ходе подготовки к следственному действию необходимо заранее позаботиться о приглашении специалистов. Участие специалистов обязательно при проведении любых следственных действий, в ходе которых происходит сбор и фиксация компьютерной информации и средств компьютерной техники.

Не следует ограничиваться изъятием только средств компьютерной, и в случае необходимости, периферийной техники. Многие пользователи хранят копии своих файлов на переносимых машинных носителях для избежания их утраты при выходе компьютера из строя, в качестве архивных копий, либо ограничения доступа к ним посторонних лиц.

Если были получены сведения о том, что компьютеры соединены локальной сетью, следует установить местонахождение всех средств компьютерной техники, подключенных к этой сети. При этом проводить обыск надо одновременно во всех помещениях, где установлены компьютеры. К сожалению, это технически возможно далеко не всегда, тем более когда сегодня активно используются беспроводные технологии соединения компьютеров в единую сеть. Автор сталкивался с ситуацией, когда центральный сервер, связанный по радиоканалу с остальными компьютерами локальной сети, был установлен в соседнем здании в помещении совершенно посторонней фирмы.

Изъятию подлежат вся вычислительная техника и машинные  носители информации, находящиеся на момент следственных действий в обыскиваемом помещении независимо от их юридической принадлежности.

Приступая к осмотру компьютера, следователь и специалист, непосредственно производящий все действия на ЭВМ, должны придерживаться следующего:

• перед выключением компьютера необходимо по возможности закрыть все используемые на компьютере программы. Следует помнить о том, что некорректный выход с некоторых программ может вызвать уничтожение информации или испортить саму программу;

• принять меры по установлению пароля доступа к защищенным программам;

• при активном вмешательстве сотрудников предприятия, стремящихся противодействовать следственной группе, необходимо отключить электропитание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для исследования информации в лабораторных условиях;

• в случае необходимости консультаций персонала предприятия, получать их следует у разных лиц путем опрашивания или допроса. Подобный метод позволит получить максимально правдивую информацию и избежать умышленного вреда;

• при изъятии технических средств, целесообразно изымать не только системные блоки, но и дополнительные периферийные устройства (принтеры, стримеры, модемы, сканеры и т.п.);

• при наличии локальной вычислительной сети необходимо иметь нужное количество специалистов для дополнительного исследования информационной сети;

• изымать все компьютеры (системные блоки) и магнитные носители;

• тщательно осмотреть документацию, обращая внимание на рабочие записи операторов ЭВМ, ибо часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую полезную информацию;

• составить список всех внештатных и временных работников организации (предприятия) с целью выявления программистов и других специалистов в области информационных технологий, работающих в данном учреждении. Желательно установить их паспортные данные, адреса и места постоянной работы;

• записать данные всех лиц, находящихся в помещении на момент появления следственной группы, независимо от объяснения причин их пребывания в данном помещении;

• составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике либо часто пребывающих в помещении, где находятся ЭВМ.

Если возможен непосредственный доступ к компьютеру и исключены все нежелательные ситуации, приступают к осмотру.  Причем следователь и специалист должны четко объяснять все свои действия понятым.

При осмотре должны быть установлены:

• конфигурация компьютера с четким и подробным описанием всех устройств;

• номера моделей и серийные номера каждого из устройств;

• инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;

• другая информация с фабричных ярлыков (на клавиатуре ярлык обычно находится на обратной стороне, а на мониторе и процессоре — сзади). Такая информация вносится в протокол осмотра вычислительной техники и может быть важной для следствия.

Фотографирование и маркирование элементов компьютерной системы.

Фотографирование и маркирование элементов компьютерной системы — важный первый шаг при подготовке системы к транспортировке. Документирование состояния системы на данном этапе необходимо для правильной сборки и подключения всех элементов системы в условиях лаборатории. При фотографировании следует исполнить снимки системы крупным планом ее передней и задней частей. Фотографирование и маркирование элементов изымаемой компьютерной системы дает возможность в точности воссоздать состояние компьютерной техники в лабораторных условиях исследования. Некоторое оборудование типа внешних модемов может иметь множество мелких переключателей, фиксирующих его состояние, которые при транспортировке могут быть изменены, что создаст дополнительные проблемы для эксперта.

В заключение необходимо подчеркнуть, что при проведении любых следственных действий, связанных с расследованием преступлений в сфере использования компьютерных технологий (особенно выемка информации и компьютерного оборудования) целесообразно с самого начала привлечение специалиста в области информационных технологий. До начала следственных действий следует также иметь определенную информацию, касающуюся: марки, модели, компьютера, операционной системы, периферийных устройств, средств связи и любые другие ведомости о системе, которая является объектом расследования. Целенаправленная деятельность следователя, оперативных работников, особенно на первичном этапе расследования, обеспечивает успех дальнейшего расследования компьютерных преступлений.

Поделиться в соц. сетях

Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники

Автор: Николай, 28.09.2012
Рубрики: Тема 12. Особенности расследования преступлений, совершенных посредством сети Интернет

Последние статьи

Электронный учебник содержит краткую теорию и мультимедийный ресурс, включающий терминологические словари, презентации, видео- и аудиозаписи, задачи, расчетно-графические задания, тесты, кроссворды, флеш, контрольные вопросы и список используемой литературы. Большинство тем снабжено иллюстрационным материалом, что заметно повышает интерес обучающихся и процесс усвоения нового материала, в соответствии с компетенциями ООП ФГОС 3 поколения. Электронный учебник по результатам конкурса в номинации «Учебная книга» ITE Сибирская ярмарка Международной выставки «УчСиб — 2013″ награжден БОЛЬШОЙ ЗОЛОТОЙ МЕДАЛЬЮ. Электронный учебник предназначен для студентов, изучающих курсы «Криминалистика», «МРОВП», «КЭНЭПС» по специальности «Юриспруденция» и для студентов, изучающих курс «Правоведение» не юридических специальностей!!!
Сегодня 23 сентября 2017,  суббота Идет 4 учебная неделя