double arrow

Осмотр компьютерных средств на месте происшествия

Производство следственного действия требует тщательной подготовки, обусловленной особенностями компьютерных средств.

Надо помнить, что помещение и компьютерные средства, как правило, находятся под надежной электронной охраной и один неправильный шаг может привести к непоправимым последствиям. Например, информация на винчестере может быть уничтожена автоматически при вскрытии кожуха компьютера, открытии комнаты, в которой находится компьютер, или при других обстоятельствах, определенных руководителем предприятия (фирмы). Так, на практике используются следующие способы уничтожения важной информации, хранящейся в компьютере: дистанционно (например, по локальной сети); путем нажатия на тревожную кнопку; передачей сообщения по телефону на пейджер, который находится в компьютере; использованием устройства "брелок" - передатчик для отключения охранной сигнализации автомобиля или мобильного передатчика и т.п.

С целью достижения наиболее благоприятных результатов к участию следственного действия необходимо обязательно привлекать специалиста - сведующего лица в области компьютерной техники.

Подготовительная стадия включает выполнение следующих действий.

1. У руководителя подразделения, лица, отвечающего за эксплуатацию компьютерной техники, либо иного сотрудника организации, фирмы необходимо отобрать объяснение, а при возбужденном уголовном деле допросить и выяснить следующие обстоятельства:

а) заблокировано ли помещение, в котором находится компьютер,
электронной системой допуска либо охранной сигнализацией и какие
технические средства обеспечения используются для этого. Поскольку систему
блокировки выбирает пользователь, то необходимо потребовать на нее
документацию и соответствующий электронный либо физический пароль
(код), а в некоторых случаях и дополнительное устройство (электронный ключ)
для доступа к охраняемым объектам.

При этом следует помнить, что электронная блокировка помещения соединена с системой блокировки самоуничтожения важной информации в компьютере, которая работает от встроенного в компьютер источника питания. При нарушении установленного порядка входа в помещение срабатывает защита и компьютер уничтожает информацию на винчестере, даже если он отключен от питающей сети. Фирмы, использующие подобные системы уничтожения важной информации на компьютере, обязательно имеют надежно спрятанную ежедневную копию этой информации либо используют "зеркальный" винчестер. Содержимое последнего является точной копией основного винчестера, изменения которого отслеживаются ежесекундно. "Зеркальный" винчестер находится на значительном удалении от основного под особой охраной;

б) какие имеются средства охранной сигнализации и обеспечения
безопасности компьютерной информации, где находится соответствующая
документация;

в) установлены ли специальные средства в компьютере для уничтожения
информации в случае попытки несанкционированного доступа к ней;
выяснить место нахождения организации, установившей эту систему;

г) необходим ли пароль (дополнительное устройство - электронный ключ)
для доступа к информации (отдельным задачам, областям данных и т.п.),
находящейся в компьютере, либо отдельным ее частям. Правила его
использования. Ведет ли нарушение этих правил к порче информации;

д) соединены (включены) ли компьютеры в локальную сеть предприятия (фирмы), объединения, какова схема локальной сети, основные правила ее безопасного использования;

2. В досудебной оперативно-розыскной работе либо в ходе
предварительного следствия необходимо помнить, что при правильно
организованной работе компьютерных средств в конце рабочего дня
проводится обязательное резервное (на всякий случай) копирование данных с
ведением полного протокола работы компьютера за день. Поэтому у лиц,
ответственных за резервное копирование и хранение протоколов, выясняется
нахождение соответствующих документов и копий на магнитных носителях.

3. Если компьютер подключен к сети ИНТЕРНЕТ (ИНТРАНЕТ), то
необходимо изъять договора у руководителя предприятия (фирмы), где будет
проводиться осмотр, немедленно связаться с сетевым администратором
провайдером узла, к которому подключено данное предприятие (фирма), и
организовать с его помощью изъятие и сохранение электронной информации,
принадлежащей либо поступившей в адрес предприятия (фирмы).

4. Изъять и изучить документацию, связанную с обеспечением
безопасности компьютерной информации на интересующей следствие фирме,
предприятии. Изъять протоколы и резервные копии винчестера. При наличии
протоколов можно установить удаленную (стертую) информацию на
винчестере (магнитном носителе).

5. Перед тем, как непосредственно приступить к осмотру следователь
знакомит специалиста с объяснениями либо протоколами допросов, изъятой
документацией и копиями. Составляется и обсуждается план проведения
осмотра (как безопасно для сохранения компьютерной информации войти в
помещение, как отключить компьютеры от сети, как прекратить их работу и
т.п.).

Рабочий этап осмотра начинается с устранения блокировки входной двери. Следователь предлагает специалисту, входящему в состав следственно-опера­тивной группы, выполнить действия, направленные на недопущение порчи информации извне, например, по модемной, пейджерной или радиосвязи. Для этого необходимо:

а) отстранить сотрудников фирмы (предприятия) от компьютерных средств и разместить их в помещении, исключающем использование любых средств связи;

б) в процессе осмотра не принимать помощи от сотрудников фирмы (предприятия);

в) изъять у персонала пейджеры, электронные записные книжки, ноутбуки, индивидуальные устройства отключения сигнализации автомобиля и т.п.;

г) зафиксировать информацию на экранах работающих компьютеров путем
фотографирования (детальная съемка) либо составления чертежа;

д) выключить питание мини-АТС и опечатать ее;

е) составить схему подключения внешних кабелей к компьютерным
устройствам и пометить кабели для правильного восстановления соединения в
последующем;

ж) изолировать компьютеры от всякой связи извне: модемной,
компьютерной сети, радиосвязи;

з) наиболее эффективным образом отключить все компьютерные средства
от источников питания (в том числе и от бесперебойных источников);

и) экранировать системный блок компьютера, помещая его в специальный футляр.

Одновременно с действиями специалиста следователь визуально фиксирует общую картину места происшествия, фотографирует общий вид обстановки (обзорная съемка), организует охрану помещения и наблюдение за перемещением лиц - сотрудников предприятия (фирмы). Фиксирует узловой съемкой место положение и внешний вид компьютерных средств.

Специалист в это время оперативно выполняет действия согласно плану, выработанному со следователем. Внешним осмотром устанавливаются следующие специфические обстоятельства, касающиеся компьютерных средств, которые заносятся в протокол:

а) состав компьютерного средства: наличие системного блока, монитора,
клавиатуры, принтера, модема, бесперебойного источника питания, колонок
и др. периферийных устройств;

б) по расположению устройств на передней панели системного блока
определяет наличие и виды устройств хранения информации (дисководы), а
также устройств считывания кредитных карт, парольных карт и т.п., особо
отмечается наличие неизвестных ему устройств. По возможности определяет
присутствие устройства для уничтожения информации;

в) по расположению разъемов на задней панели системного блока определяет наличие и виды встроенных устройств: сетевой платы, модема (отмечает был ли он подключен к телефонной или иной линии связи), наличие портов послед, звательного и параллельного каналов, были ли они подключены к внешним линиям связи.

Заключительная стадия осмотра включает составление протокола, схем, плана Отключаемые кабели подлежат маркировке с целью восстановления соединения при производстве последующей комьютерно-техничесюй экспертизы. Экранированный системный блок компьютера, принтер, обнаруженные дискеты, магнитные ленты и другие носители компьютерной информации (например, распечатки) опечатывают и изымают, о чем делается отметка в протоколе.

ОБЪЕКТЫ ОПИСАНИЯ В ПРОТОКОЛЕ ОСМОТРА МЕСТА ПРОИСШЕСТВИЯ

При составлении протокола следственного действия подлежат описанию:

а) Системный блок:

- размеры блока;

- наименование фирмы-изготовителя, модель, марка;

- идентификационный номер;

б) Принтер:

- размеры;

- наименование фирмы-изготовителя, модель, марка;

- идентификационный номер;

в) Модем:
-размеры;

- наименование фирмы-изготовителя, модель, марка;

- идентификационный номер;

г) Гибкие магнитные диски (дискеты):

- размеры;
-тип;

- наименование фирмы-изготовителя;

- фирменные и рукописные надписи на наклейке (если имеется).


Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  



Сейчас читают про: