ФЕДЕРАЛЬНОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ САРАТОВСКАЯ ЛАБОРАТОРИЯ СУДЕБНОЙ ЭКСПЕРТИЗЫ МИНИСТЕРСТВА ЮСТИЦИИ РОССИЙСКОЙ ФЕДЕРАЦИИ 410003 г. Саратов, ул. Кутякова, 10 телефон: (8452) 74-07-83, 74-09-17 телефон/факс: (8452) 27-71-96 Порядок подготовки и назначения компьютерно-технической экспертизы Раскрытие преступлений в сфере высоких технологий невозможно без детального изучения механизма самого деяния и выяснения обстоятельств применения информационных систем при его осуществлении, для чего может быть назначена компьютерно-техническая экспертиза. Экспертиза будет успешно проведена только при грамотном изъятии компьютеров, их систем, а также их отдельных частей: клавиатур, манипуляторов всех видов (мыши, джойстики, трекболы), дисплеев, модемов, сканеров, коммуникационных устройств компьютеров и вычислительных сетей и коммуникационных устройств общего назначения (пейджеры, телефонные аппараты, электронные записные книжки, мобильные телефоны), сопроводительной документации к ним, магнитных носителей информации, других видов техники, содержащих информацию в электронном виде. Следует учитывать вероятность попыток подозреваемых уничтожить информацию, имеющую доказательственное значение, ценой потери носителей, их механического повреждения. Наиболее распространенный способ приведения жесткого диска в негодность - повреждение встроенного контроллера ногтем, с помощью отвертки или ножа (отрывается одна или несколько ножек микросхем, разрезаются проводники на печатной плате). Встречаются случаи уничтожения информации на жестких дисках путем приведения их в негодность с помощью пиропатрона или мощного электромагнита с дистанционным управлением по радио или по проводам, приклеенным к нему. Замаскированный пульт дистанционного управления в разных вариациях может находиться у вахтера или у директора предприятии. Сам же диск с данными может находиться на другом этаже, или даже в соседнем здании. Обычно делается копия данных на магнитные ленты, магнитооптику или другие резервные носители, которые хранятся у кого-нибудь из заместителей директора или начальника службы безопасности. Чтобы предотвратить уничтожение информации следователю до начала проведения следственных действий нужно выяснить количество и типы компьютерной техники, имеющейся на объекте, наличие средств защиты от несанкционированного доступа. Необходимо пригласить специалиста и понятых, разбирающихся в компьютерной технике. В ходе проведения следственных действий следователю необходимо потребовать от лиц у которых они проводятся не прикасаться к компьютерам, не разрешать выключать электроснабжение объекта, не производить самому никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен. Выставить у компьютеров охрану, любое включение, отключение, вскрытие и демонтаж компьютеров производить только по согласованию со специалистом и под его непосредственным руководством. Не производить разъединения или соединения кабельных линий, прежде, чем будет выяснено их назначение, чтобы не допустить ущерба компьютерной системе. Не допускать попадания мелких частиц порошков на рабочие части устройств ввода-вывода компьютеров. При изъятии компьютеров необходимо отсоединить все периферийные устройства от системных блоков, промаркировать устройства, относящиеся к одному компьютеру, аккуратно, не повреждая контакты отсоединять устройства, разъемы которых прикручены болтами. Упаковывать изъятую технику желательно в специальную тару, в которой ее поставляет завод-изготовитель. Дискеты, лазерные диски, магнитные ленты и другие сменные носители компьютерной информации должны быть упакованы каждый в свой конверт, при отсутствии такового можно просто завернуть в плотную бумагу, а для ослабления электромагнитного воздействия магнитный носитель поверх конвертов обернуть в бытовую фольгу. Транспортировку и хранение изъятой техники следует осуществлять так, чтобы не допустить по отношению к ней механического воздействия, влияния атмосферных факторов, электромагнитных излучений, высоких и низких температур. 2 При назначении экспертизы, в зависимости от обстоятельств дела, рекомендуется ставить вопросы в нижеприведенной редакции. 1. По аппаратным средствам (компьютерные системы и их части) 1.1. Компьютер какой конфигурации представлен на исследование? 1.2. Каковы технические характеристики его системного блока и периферийных устройств и соответствуют ли они представленной технической документации? 1.3. Вносились ли в конструкцию какие-либо изменения? (На данный вопрос эксперт может ответить при наличии документом, описывающих первоначальную конфигурацию системы.) 1.5. Исправен ли компьютер и его комплектующие, если нет, то каковы причины неисправности? 2. По программному обеспечению (программные системы и данные) 2.1. Какие операционные системы установлены на представленном жестком диске? 2.2. Имеется ли какая-нибудь логическая структура (файловая система) на представленных на исследование носителях информации, если да, то возможно ли восстановить содержание информации? 2.3. Какое программное обеспечение установлено на представленном на исследование жестком диске? 2.4. Содержит ли рассматриваемая система, систему ограничения доступа к информации? 2.5. Имеется ли скрытая информация и каково ее содержание? 2.6. Возможно ли восстановление удаленных файлов, если да, то каково их содержание? 3. По носителям информации (диски, ленты) 3.1. Каков тип представленного магнитного носителя и его технические характеристики (в случае исследования жесткого диска), исправен ли носитель? 3.2. Какая информация записана на носителе? 3.3. Имеется ли скрытая информация и каково ее содержание? 3.4. Имеются ли механические повреждения? 3.5. Возможно ли восстановление информации, если да, каково ее содержание? 3.6. Возможно ли изменение информации на носителе? 4. По информации 4.1. Имеется ли на представленных носителях информация, соответствующая данному образцу? 4.2. Возможно ли восстановление стертых файлов, если да, каково их содержание? 4.3. Когда производилась последняя корректировка файла? 4.4. Возможно ли внести изменения в информацию на представленном носителе? 4.5. Имеются ли на представленных носителях информация сведения о доступе к сети Интернет? 5. По документам 5.1. Является ли представленный документ распечаткой информации, содержащейся на машинных постелях? 5.2. На представленном ли компьютерном устройстве изготовлен данный документ? 6. По исследованию компакт-дисков 6.1. Экземпляры каких программных продуктов имеются на представленных носителях (компакт дисках и др.)? 6.2. Имеется ли информация, идентифицирующая указанные экземпляры программ, автора или иного обладателя исключительных прав на эти программы, информация об условиях использования экземпляра программы? 6.3. Экземпляры каких из имеющихся на носителях (компакт дисках и др.) программных продуктов имеют технические (включая программные) средства защиты авторского права и смежных прав, какие именно средства защиты? 6.4. Имеются ли на представленных носителях (компакт дисках и др.) программные средства, описания или рекомендации, иная информация, использование которых приводит к невозможности использования технических (программных) средств защиты имеющихся экземпляров программ либо эти технические (программные) средства перестают обеспечивать надлежащую защиту указанных программ? Экспертизы по уголовным делам производятся бесплатно. При назначении экспертизы вопросы рекомендуется уточнить у эксперта заранее.