v Как правило, проводится в тех помещениях, где находилась компьютерная техника и компьютерная информация потерпевшего, а в ситуациях, когда был непосредственный доступ или удаленный доступ был с прилегающей территории, например, путем магнитного излучения, осмотр места происшествия возможен и на участке территории, который непосредственно прилегает к этим помещениям.
v Требования к осмотру: как можно быстрее после выявления признаков совершения преступления – требования своевременности наиболее актуальны, так как следы исчезают быстро.
Специфика осмотра:
1) Подготовка:
а) Необходимо обеспечение участия специалиста в области компьютерной информации и техники;
б) Техническое обеспечение (съемные Машиноносители копирования информации, периферийное оборудование – сканер, клавиатура, программные средства, фото и видео техника);
в) Подбор понятых: желательно проводить из лиц, которые владеют хотя бы зачатками знаний в области обработки информатики.
2) По прибытии на место происшествия:
|
|
а) Прежде всего надо получить предварительную информацию о лицах,:
- которые там находятся;
- которые наблюдали совершение преступления;
б) О действиях, которые предприняли для предотвращения преступных действий;
в) об организации информационных потоков в данной организации;
г) о средствах защиты, которые находятся на территории.
3) Важнейшие специфические узлы исследования:
а) Компьютер и подключенное к нему оборудование,
б) Средства связи;
в) Соединения со средствами связи;
г) Соединение компьютера с приборами электропитания;
д) и т.п.
4) Осмотр компьютера:
§ Внешний осмотр самого компьютера и находящихся рядом с ним периферийных устройств и средств связи;
1. Если ЭВМ работает:
а) следует определить, какая программа выполняется:
- необходимо изучить изображение на экране дисплея и по возможности детально описать его;
- осуществить фотографирование или видеозапись изображения на экране дисплея;
- остановить исполнение программы;
- зафиксировать (отразить в протоколе) результаты своих действий и реакции на них ЭВМ;
б) определить наличие у ЭВМ внешних устройств — накопителей информации на жестких магнитных дисках (винчестерах), внешних устройств удаленного доступа (например, модемов) к системе и их состояния
в) разъединить сетевые кабели так, чтобы никто не мог модифицировать или уничтожить информацию в ходе обыска:
2. Если ЭВМ не работает
- нужно отразить в протоколе и на прилагаемой к нему схеме местонахождение ЭВМ и ее периферийных устройств,
- а также порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов) соединительных проводов и кабелей;
|
|
- перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения.
§ Осмотр информации в компьютере
― При осмотре места происшествия, при осмотре компьютера мы хотим получить наиболее полную информацию, поэтому наиболее рациональным было бы изъятие компьютерной информации и всей информации, однако зачастую это может привнести больше вреда, чем само преступление.
Поэтому тут надо искать середину:
§ Либо сделать полную копию и оставить ее провайдеру, чтобы он работал на ней;
§ Если нас интересует какая-то конкретная информации и ее можно структурировать и выделить, то можно получить ее на электронных и/или бумажных носителях;
§ Если в организации создается первоначальная компьютерная информация, то следователь может обязать пользователя принять меры к охране данной информации, обеспечить ее защиту.
Обыски и выемки.
v Обязательно участие специалиста при обыске и выемке (требование закона).
v Подготовка обыска наряду с требованиями, предъявляемыми при осмотре места происшествия (специалист, технические программные средства, подбор понятых), важно также:
а) Как можно быстрее после совершения преступления и внезапно для обыскиваемого (психологический фактор и предотвращение уничтожения информации);
б) Если обыск проводится в нескольких местах, где находятся компьютеры, которые взаимодействуют между собой, очень важна одновременность обыска (речь идет не только о минутах, но иногда и о секундах).
v Обыск начинается с личного обыска:
- Ищем не только предметы, которые запрещены к обороту, но и съёмные носители информации, а также технические средства, обеспечивающие дистанционное уничтожение информации на компьютере.
v Специфические вещественные доказательства:
§ Рукописные записи, которые характеризуют процесс совершения преступления и работы с компьютером (графики сеансов, пароли);
§ Документы, подтверждающие приобретение компьютерных средств (например, электронных устройств или программ);
§ Документы, указывающие на каналы преступника, телефоны, интернет связи;
§ Литература и документы, содержащие описание аппаратных и программных средств;
§ Источники, описывающие способы совершения преступления, например, исходные тексты вредоносных программ, распечатки с форумов хакеров, документы, характеризующие местонахождения преступника – билеты, чеки из интернет кафе;
§ Машинные носители информации.
v Изъятая в ходе обыска компьютерная информация подлежит копированию, и все действия осуществляются только с копиями данной информации.
Допрос.
Особенности допроса в основном связаны с тем, что:
ü Сами преступные действия протекают очень быстро и не всегда возможно получить информацию от очевидцев;
ü Специфическая лексика и специфические понятия – не всегда следователи понимают даже ту лексику, которая имеется, неофициальную лексику, которая описывает соответствующие информационные процессы устройства, а тем более, что достаточно распространена неформальная лексика (жаргонизмы – например Windows – винда, окошки, форточки, мозда) – в этих случаях при допросе рекомендуется использовать специа