Особенно тщательно должны быть осмотрены и описаны в протоколе типичные вещественные доказательства: вредоносные программы для ЭВМ и машинные носители с ними; программы для ЭВМ, заведомо приводящие к несанкционированным пользователем действиям ( влияющие на конечные результаты технологического процесса), а также их носители; обнаруженные СТС негласного получения (уничтожения, блокирования) компьютерной информации и магнитных носителей; специфические следы преступника и преступления. Типичными следами являются: следы орудий взлома, повреждения, уничтожения и(или) модификации охранных и сигнальных устройств; показания регистрирующей аппаратуры (видеотехники, электронного журнала учета операций с компьютерной информацией, доступа к ней и СВТ, др.); показания специальных мониторинговых (тестовых) программно-аппаратных средств, в том числе электронной цифровой подписи (сокр. ЭЦП); следы пальцев рук на СВТ, охранных и сигнальных устройствах, на их клавиатуре, соединительных и электропитающих проводах и разъемах, на розетках и штепсильных вилках, тумблерах, кнопках и рубильниках, включающих и отключающих СВТ и электрооборудование; остатки соединительных проводов и изоляционных материалов; капли припоя, канифоли или флюса; следы вдавливания, проплавления, прокола, надреза изоляции токонесущих и соединительных (управляющих) проводов, приклеивания к ним сторонних предметов и устройств.
Осмотру подлежат следующие документы и их носители, являющиеся доказательствами подготовки, совершения и сокрытия преступления:
а) учетно-справочная документация по работе с СВТ и компьютерной информацией (технический паспорт или документ его заменяющий; журнал оператора или протокол автоматической фиксации технологических операций, доступа к СВТ и конфиденциальной компьютерной информации; журналы (карточки) учета машинных носителей информации, машинных документов, заказов (заданий или запросов), выдачи МНИ и машинных документов, массивов (участков, зон), программ, записанных на МНИ; журналы учета уничтожения брака бумажных МНИ и машинных документов; акты на стирание конфиденциальной информации и уничтожение машинных носителей с ней);
б) документация, отражающая санкционированность доступа ( удостоверения личности, электронные ключи доступа, пароли, персональные идентификационные номера (ПИН-коды), ЭЦП и иные средства (предметы или устройства) идентификации и аутентификации санкционированного пользователя);
в) учетно-регистрационная и бухгалтерская документация (лицензии и лицензионные соглашения; сертификаты соответствия СВТ, программ для ЭВМ, средств защиты информации (в том числе и ЭЦП), протоколов обмена информацией и форматов электронных документов установленным требованиям; договора (соглашения) на пользование СВТ и доступ к компьютерной информации с соответствующим комплектом документов; расчетно-кассовые и иные бухгалтерские документы, отражающие факт оплаты пользователем предоставленной ему услуги, отпущенного товара или осуществленной им кредитно-банковской операции);
г) учетно-контрольная документация (журналы (акты) пуско - наладочных, ремонтных и регламентных работ по техническому обслуживанию СВТ, программ для ЭВМ и средств защиты информации; журналы аварий и сбойных (нештатных) ситуаций; акты сбоев и ложных сработок охранных сигнализаций; акты контрольных проверок соблюдения режима безопасности информации, ревизий, служебных и иных документальных проверок; сводные отчеты и контрольные показатели по отдельным участкам работы, операциям и временным интервалам);
д) документация, регламентирующая действия обслуживающего персонала ( должностные обязанности; инструкции по работе с СВТ, программами для ЭВМ, средствами защиты от НСД, действий оператора в нештатной ( аварийной) ситуации; черновая рабочая документация оператора СВТ).
Их осмотр позволяет установить способ совершения преступления в сфере компьютерной информации, использованные для этого преступником материалы и средства, наличие у субъекта специальных навыков и познаний; выдвинуть версии о причинно-следственных связях.
Осмотр средства электронно-вычислительной техники в большинстве случаев является первоначальным следственным действием и проводится для обнаружения следов преступления; для решения вопросов о том, кем, с какой целью и при каких обстоятельствах было совершено преступление; выяснения обстановки происшедшего события; восстановления механизма совершения преступления. Проводить осмотр следует с участием специалиста.
Прежде всего нужно уяснить смысл и назначение СВТ; установить, включено оно или нет; проверить его работоспособность и наличие в его памяти компьютерной информации; установить наличие или отсутствие сопряжения с каналом электросвязи и другими техническими устройствами. После этого необходимо перейти к поиску материальных следов, содержащихся на его корпусе, отдельных деталях и проводных соединениях, в его постоянной и оперативной памяти (в виде компьютерной информации).
При осмотре СВТ недопустимо использование: магнитосодержащих материалов и инструментов; технических устройств, генерирующих и излучающих электромагнитные поля и наводки (магнитный порошок и кисточка, электромагнит, металлодетектор, мощные осветительные приборы, УФ и ИК излучатели и т.п.); кислотно-щелочных материалов и нагревательных приборов во избежании уничтожения (повреждения) СВТ и компьютерной информации, следов преступника и преступления. Вышеуказанными материалами и оборудованием можно пользоваться с особой осторожностью на расстоянии более 1 метра от СВТ и их соединительных проводов.
Осмотр СВТ обычно приводит к необходимости их изъятия для последующего экспертного исследования и(или) приобщения к делу в качестве вещественного доказательства.
В протоколе осмотра СВТ фиксируют: его тип (назначение), марку (название), конфигурацию, цвет и заводской номер (серийный, инвентарный или учетный номер изделия); тип (назначение), цвет и другие индивидуальные признаки соединительных и электропитающих проводов; состояние на момент осмотра (выключено или включено); техническое состояние - внешний вид, целостность корпуса, комплектность (наличие и работоспособность необходимых блоков, узлов, деталей, и правильность их соединения между собой), наличие расходных материалов, тип используемого машинного носителя информации; тип источника электропитания, его тактико-технические характеристики и техническое состояние (рабочее напряжение, частота тока, рабочая нагрузка, наличие предохранителя, стабилизатора, сетевого фильтра, количество подключенного к нему электрооборудования, количество питающих электроразъемов-розеток и т.д.); наличие заземления («зануления») СВТ и его техническое состояние; наличие и техническая возможность подключения к СВТ периферийного оборудования и(или) самого СВТ к такому оборудованию, либо к каналу электросвязи; имеющиеся повреждения, непредусмотренные стандартом конструктивные изменения в архитектуре строения СВТ, его отдельных деталей (частей, блоков), особенно те, которые могли возникнуть в результате преступления, а равно могли спровоцировать возникновение происшествия; следы преступной деятельности (следы орудий взлома корпуса СВТ, проникновения внутрь корпуса, пальцев рук, несанкционированного подключения к СВТ сторонних технических устройств и др.); расположение СВТ в пространстве, относительно периферийного оборудования и других электротехнических устройств; точный порядок соединения СВТ с другими техническими устройствами; категорию обрабатываемой информации (общего пользования или конфиденциальная); наличие или отсутствие индивидуальных средств защиты осматриваемого СВТ и обрабатываемой на нем информации от несанкционированного доступа и манипулирования.
Если на момент осмотра СВТ находится в рабочем состоянии необходимо детально описать: расположение его рабочих механизмов и изображение на его видеоконтрольном устройстве (экране, мониторе, дисплее); основные действия, производимые специалистом при осмотре СВТ (порядок корректного приостановления работы и закрытия исполняемой операции или программы, выключения СВТ, отключения от источника электропитания, рассоединения (или соединения) СВТ, отсоединения проводов, результаты измерения технических параметров контрольно-измерительной или тестовой аппаратурой и т.п.).
Осмотр машинного носителя и компьютерной информации проводят по принципу «от общего к частному». Вначале описывают внешние индивидуальные признаки носителя: его цвет, размер, тип, вид, название, марка, заводской и индивидуальный номер, наличие наклейки и надписей на ней, наличие или отсутствие физических повреждений корпуса и следов на нем, положение элемента защиты от записи/стирания компьютерной информации. Затем переходят к осмотру компьютерной информации, содержащейся на МНИ. Перед началом ее осмотра необходимо указать в протоколе следственного действия: индивидуальные признаки используемого для осмотра средства электронно-вычислительной техники и основные реквизиты его программного обеспечения (тип, вид, марку, название, заводской или регистрационный номер, номер версии, юридический адрес и(или) автора программного продукта); юридические реквизиты программы, с помощью которой СВТ и его программное обеспечение в присутствии понятых было тестировано специалистом на предмет отсутствия вредоносных программно-аппаратных средств. После этого на указанный предмет проверяется и осматриваемая компьютерная информация.
Анализируя содержащуюся на осматриваемом носителе компьютерную информацию, надо установить сведения, имеющие отношение к расследуемому событию. Для оптимизации процесса осмотра большого объема информации можно применять функции автоматизированного поиска по конкретному слову (реквизиту), входящие в состав стандартного программного обеспечения ЭВМ. Ход осмотра должен дополнительно фиксироваться на цветной фото- или видеопленке. При обнаружении следов преступления, необходимо сделать распечатку всей или части компьютерной информации и приложить ее к протоколу следственного действия с указанием в протоколе индивидуальных признаков использованного для этого печатающего устройства (тип, вид, марку, название, номер).
В протоколе осмотра, помимо вышеуказанного, необходимо отразить: наличие, индивидуальные признаки защиты носителя от несанкционированного использования (голография, штрих-код, эмбоссинг, флуоресцирование, перфорация, ламинирование личной подписи и(или) фотографии владельца, их размеры, цвет, вид и т.п.); признаки материальной подделки МНИ и его защиты; внутреннюю спецификацию носителя - серийный номер и(или) метку тома, либо код, размер разметки (для дисков - по объему записи информации, для лент - по продолжительности записи); размер области носителя свободной от записи и занятой под информацию; количество и номера сбойных зон, секторов, участков, кластеров, цилиндров; количество записанных программ, файлов, каталогов (структура их расположения на МНИ, название, имя и(или) расширение, размер (объем), в том числе тот, который занимают их названия, дата и время создания (или последнего изменения), а также специальная метка или флаг (системный, архивный, скрытый, только для чтения или записи и т.д.); наличие скрытых или ранее стертых файлов (программ) и их реквизиты (название, размер, дата и время создания или уничтожения).
Готовясь к проведению обыска, следователь должен решить что и где он будет искать. Для этого необходимо тщательно изучить обстоятельства дела и собрать ориентирующую информацию о предмете обыска, месте его проведения и личности обыскиваемого. По делам о преступлениях в сфере компьютерной информации предметом обыска могут быть не только разнообразные СВТ, машинные носители и содержащаяся на них компьютерная информация, но и документы, средства электросвязи, разработанные и приспособленные специальные технические устройства, бытовые электротехнические устройства и оборудование, материалы и инструменты.
В ходе обыска следует обращать внимание на литературу, методические материалы и рекламные проспекты по компьютерной технике, обработке, защите, передаче и негласному получению компьютерной информации, а также на аудио-, видеокассеты, распечатки машинной информации и документы о соответствующем образовании. Особое внимание нужно уделять предметам, содержащим коды, пароли доступа, идентификационные номера, названия, электронные адреса пользователей конкретных компьютерных систем и сетей, алгоритмы входа и работы в системах и сетях. Необходимо также переиллюстрировать записные (телефонные) книжки, справочники и каталоги, в том числе электронные, находящиеся в памяти телефонных аппаратов, пейджеров и других компьютерных устройств.
Ценные доказательства могут быть обнаружены и при личных обысках подозреваемых (обвиняемых).
Предметом выемки в подавляющем большинстве случаев совершения преступления в сфере компьютерной информации являются персональные компьютеры, машинные носители информации (включая распечатки на бумаге, аудио- и видеокассеты, пластиковые карты) и всевозможные документы (в том числе и электронные), отражающие и регламентирующие различные операции, технологические процессы, связанные с обработкой, накоплением, созданием, передачей и защитой компьютерной информации, использования ЭВМ, системы ЭВМ и их сети. Последние находятся по месту работы (учебы) подозреваемого (обвиняемого), в рабочих кабинетах должностных лиц и других служебных (учебных) помещениях.
Помимо вышеуказанного могут быть изъяты специальные технические средства для негласного получения, модификации и уничтожения информации, свободные образцы почерка, бланки и фрагменты документов, заготовки машинных носителей информации, исходные тексты программ для ЭВМ, черновики и иные образцы для сравнительного исследования.
Перед изъятием магнитных носителей информации они должны быть в обязательном порядке упакованы в алюминиевый материал (алюминиевую фольгу или специальный контейнер), предохраняющий МНИ и его содержимое от внешнего электромагнитного и магнитного воздействия.
Назначение экспертиз. При расследовании преступления в сфере компьютерной информации наиболее характерна компьютерно-техническая экспертиза. Ее проводят в целях: воспроизведения и распечатки всей или части компьютерной информации (по определенным темам, ключевым словам и т.д.), содержащейся на машинных носителях, в том числе находящейся в нетекстовой форме (в сложных форматах: в форме языков программирования, электронных таблиц, баз данных и т.д.); восстановления компьютерной информации, ранее содержавшейся на машинных носителях, но впоследствии стертой (уничтоженной) или измененной (модифицированной) по различным причинам; установления даты и времени создания, изменения (модификации), уничтожения, либо копирования информации (документов, файлов, программ); расшифровки закодированной информации, подбора паролей и раскрытия системы защиты от НСД; исследования СВТ и компьютерной информации на предмет наличия программно-аппаратных модулей и модификаций, приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети; установления авторства, места (средства) подготовки и способа изготовления документов (файлов, программ), находящихся на МНИ; выяснения возможных каналов утечки информации из компьютерной сети, конкретных СВТ и помещений; установления возможных несанкционированных способов доступа к охраняемой законом компьютерной информации и ее носителям; выяснения технического состояния, исправности СВТ, оценки их износа, а также индивидуальных признаков адаптации СВТ под конкретного пользователя; установления уровня профессиональной подготовки отдельных лиц, проходящих по делу, в области программирования и в качестве пользователя конкретного СВТ; установления конкретных лиц, нарушивших правила эксплуатации ЭВМ, системы ЭВМ или их сети; установления причин и условий, способствующих совершению преступления в сфере компьютерной информации.
До вынесения постановления о назначении экспертизы рекомендуется проконсультироваться со специалистом по поводу ее целей, формулировки вопросов, характера предоставляемых материалов.
Может быть назначена идентификационная и не идентификационная компьютерно-техническая экспертиза.
По делам рассматриваемой категории из криминалистических экспертиз наиболее часто назначают дактилоскопическую, одорологическую, трасологическую, почерковедческую, фоноскопическую, автороведческую, радиотехническую и технико-криминалистическую экспертизу документов, экспертизу полимерных материалов и изделий из них.
