Рекомендации по осмотру

Осмотр места происшествия должен начинаться с тщательной подго­товки, заключающейся в уточнении его границ, выборе необходимых специалистов, технических средств и четком определении его объек­тов. Целесообразно обратиться к помощи службы безопасности той организации, в которой обнаружено правонарушение'.

По прибытии на место происшествия следует принять меры к обес­печению сохранности информации в находящихся здесь компьютерах и на магнитных носителях, для чего необходимо:

а) не разрешать кому бы то ни было из лиц, работающих в это время или находящихся здесь по другим причинам, прикасаться к компью­терному оборудованию;

6) не разрешать кому бы то ни было из персонала выключать электроснабжение объекта;

в) не производить самому никаких манипуляций с компьютерной техникой, если результат этих манипуляций заранее не известен.

* Согласно п. 4 ст. 21 Федерального закона «Об информации, информатизации и защите информации», организации, обрабатывающие информацию с ограниченным до­ступом, которая является собственностью государства, должны создавать специальные' службы, обеспечивающие ее защиту.

При проведении осмотра необходимо принять во внимание следую­щие неблагоприятные факторы:

а) возможные попытки уничтожить информацию и ценные данные лицами из числа персонала, заинтересованными в сокрытии преступ­ления;

б) наличие в ЭВМ специальных средств защиты от несанкциониро­ванного доступа, которые, не получив в установленное время специаль­ный код, автоматически уничтожают всю информацию;

в) возможное наличие в ЭВМ иных средств защиты информации от несанкционированного доступа и прочие неожиданности.

В связи с изложенным крайне важно участие специалистов на самом первом этапе производства осмотра места происшествия. Они не только помогут разобраться в особенностях компьютерного оборудова- • ния и машинных носителей информации, но и указать, что подлежит^ изъятию. Профиль нужного специалиста определяется в зависимости;

от целей и задач осмотра с учетом первоначальных данных о характере преступления. Чаще всего может потребоваться помощь нескольких;

специалистов, в том числе программиста по операционным системам и, прикладным программам, электронщика, хорошо знающего компью-;

терную технику, специалиста по средствам связи, а также техника-кри- ' миналиста. Последний необходим для обнаружения и сбора традици­онных доказательств, например скрытых отпечатков пальцев рук на клавиатуре, «мыши», выключателях и тумблерах и др., шифрованных рукописных записях и пр.

Осмотру подлежат все устройства конкретной ЭВМ. Этот осмотр при анализе его результатов с участием специалистов поможет воссо­здать картину действий злоумышленников и получить важные доказа­тельства.

В ходе общего осмотра необходимо наметить план детальных дей­ствий. Объекты, подлежащие осмотру, можно условно подразделить на четыре основные группы:

1) служебное помещение;

2) средства вычислительнойтехники;

3) носители информации;

4)документы.

Осмотр служебного помещения.Он необходим для об­щего обзора, определения границ осмотра места происшествия, коли­чества и схемы расположения рабочих мест, уточнения порядка разме­щения компьютерного оборудования и мест хранения машинных носи­телей информации. Это позволит в дальнейшем изучить возможность несанкционированного проникновения посторонних лиц в помещение,

где находится ЭВМ, а также установить место создания, использования либо распространения вредоносной программы для ЭВМ и место на­рушения правил эксплуатации ЭВМ, системы ЭВМ или их сети. В про­цессе осмотра необходимо отразить в протоколе месторасположение данного помещения в здании учреждения, наличие охранной сигнали­зации, состояние оконных и дверных проемов (повреждения, техничес­кое состояние), запорных устройств, экранирующих средств защиты;

микроклиматические условия эксплуатации ЭВМ на момент осмотра (температура, влажность воздуха). Целесообразно начертить схему ос­матриваемого помещения с обозначением на ней мест расположения оборудования. Кроме того, осматриваемое помещение должно быть сфотографировано по правилам судебной фотографии — сначала общий вид его, затем по правилам узловой фотосъемки зафиксировать отдельные компьютеры и подключенные к ним устройства, а в случае вскрытия системного блока — по правилам детальной съемки отдель­ные его узлы, особенно те, которые согласно инструкции по эксплуата­ции не должны устанавливаться на материнской плате или в корпусе блока (это определит специалист).

Осмотр средств вычислительной техники. Непо­средственными объектами осмотра могут быть: отдельные компьюте­ры, не являющиеся составной частью локальных или глобальных сетей;

рабочие станции (компьютеры), входящие в сеть; файл-сервер, т.е. центральные компьютеры сетей; сетевые линии связи; соединительные кабели; принтеры; модемы; сканеры и пр. Приих осмотре в протоколе следует отразить:

1. Положение переключателей на блоках и устройствах вычисли­тельной техники.

2. Состояние индикаторных ламп.

3. Содержание информации, высвечиваемой на мониторе, и свето­вых сигналов на различных индикаторах и табло.

4. Состояние кабельных соединений (их целостность и отсутствие следов подключения нештатной аппаратуры).

5. Наличие и содержание всех пометок, специальных знаков, пломб и наклеек на корпусах и устройствах компьютерного оборудования.

6. Механические повреждения.

7. Наличие внутри компьютерной техники нештатной аппаратуры и различных устройств.

8. Следы нарушения аппаратной системы защиты информации и другие признаки воздействия на вычислительную технику.

Помимо этих общих положений необходимо отметить особенности осмотра работающего и неработающего компьютера.

При осмотре работающего компьютера следует с участием, специ­алиста:

1) установить, какая программа выполняется, для чего осмотреть изображение на экране дисплея и детально описать его (а проще про­извести фотографирование или видеозапись);

2) по мере необходимости остановить исполнение программы и ус­тановить, какая информация получена после окончания ее работы;

3) определить и восстановить наименование вызывавшейся послед­ней раз программы;

4) установить наличие в компьютере накопителей информации (винчестеры, дисководы для дискет, стриммеры, оптические диски), их тип (вид) и количество;

5) скопировать информацию (программы, файлы данных), имею­щуюся в компьютере (особенно это важно для информации, находя­щейся в ОЗУ и виртуальном диске, так как после выключения компью­тера она уничтожается).

Если компьютер подключен к локальной сети, то необходимо'.

1. Установить количество подключенных к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети.

2. По возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложен­ной схеме осмотра работающего компьютера). Если же такая возмож­ность отсутствует, то надо обеспечить их остановку и далее произво­дить осмотр в режиме неработающего компьютера.

Осматривая с участием специалиста неработающий компьютер, нужно:

1. Определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и пр.) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них.

2. Установить порядок соединения между собой вышеуказанных устройств^ количество соединительных разъемов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключен ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения.

3. Проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.

Надо иметь в виду, что в отличие от работающего компьютера нера­ботающий лишен таких признаков, как светящееся изображение на

экране дисплея, свечение индикаторов на передних панелях системно­го блока, шум внутренних вентиляторов.

В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой, в част­ности:

1. Все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руковод­ством.

2. Не производить разъединения или соединения кабельных линий, прежде чем не будут выяснены их назначение, чтобы не допустить ущерба компьютерной системе.

3. Вскрытие и демонтаж компьютерного оборудования производить только с участием специалиста.

4. Не допускать попадания мелких частиц и порошков на рабочие части устройств ввода-вывода компьютеров.

5. Применение магнитных искателей, ультрафиолетовых осветите­лей, инфракрасных преобразователей и других подобных приборов для осмотра вычислительной техники должно быть согласовано со специ­алистом, чтобы избежать разрушения носителей информации и мик­росхем памяти ЭВМ.

Осмотр носителей машинной информации. Он про­изводится с целью установления содержания самой компьютерной ин­формации и обнаружения внешних следов, в том числе следов пальцев рук. Последние могут быть выявлены на упаковках и местах хранения машинной информации. Осмотру подлежат: жесткие магнитные диски (винчестеры), оптические диски, дискеты, магнитные ленты, оператив­ные запоминающие устройства (ОЗУ), постоянно запоминающие уст­ройства (ПЗУ), виртуальные диски, бумажные носители информации (листинги, журналы и иные документы, составляемые с помощью ЭВМ).

При осмотре необходимо указать в протоколе:

1. Место обнаружения каждого носителя информации (стол, шкаф, сейф), температуру воздуха, при которой он хранился.

2. Характер его упаковки (конверт, специальный футляр-бокс для хранения дискет, коробка, фольга и пр.), надписи на упаковке, наклей­ки на носителях информации с соответствующими пометками, цвет материала упаковки и наклейки, наличие штрихового кода и прочие особенности.

3. Тип и размер носителя (в дюймах).

4. Изготовитель, плотность записи и номер (если они обозначены на дискете), состояние средств записи от стирания (открытые или от­ломанные шторки на дискетах и кассетах).

5. Особые приметы на машинных носителях (царапины, иные по­вреждения, гравировки и пр.).

6. Тип компьютера, для которого предназначен обнаруженный но­ситель (его марка, фирма-изготовитель).

Нужно помнить о наличии дискет, принесенных со стороны, кото­рые могут содержать вредоносные программы (компьютерные вирусы) либо незаконно скопированную информацию.

Обращаться с магнитными носителями информации следует осто­рожно — не прикасаться руками к рабочей поверхности дисков, не под­вергать их электромагнитному воздействию, не сгибать диски, не хра­нить их без специальной упаковки, не допускать резких перепадов тем­пературы при хранении и транспортировке.

Осмотр документов. Это могут быть: журналы учета работы на компьютере (если они ведутся), листинги, техническая, технологи­ческая, кредитно-финансовая, бухгалтерская и прочая документация (инструкции, положения, правила, уставы, технорабочие проекты на автоматизированную информационную систему (АИС), договоры, контракты, соглашения и т.д.).

Особое внимание нужно обратить на: подчистки, исправления; до­полнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы, листки, бланки; письменные распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологи­ческим процессом; соответствие ведущихся в системе форм регистра­ции информации правилам, установленным технической и технологи­ческой документацией.

Вопрос об изъятии документов надлежит согласовать со специалис­том, а в протоколе указать наименование, количество экземпляров, число страниц, место обнаружения.

В случае изъятия отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия, рекомендуется соблюдать следующие правила упаковки и транспортировки:

1. Упаковку желательно производить в специальную тару, в которой данную технику поставляет предприятие-изготовитель (если она со­хранилась).

2. Сменные носители компьютерной информации (дискеты, лазер­ные диски, магнитные ленты стримеров и др.) должны быть упакованы каждый в свой конверт (бумажный, пластмассовый или полиэтилено­вый), при их отсутствии можно просто завернуть в плотную бумагу, а для ослабления электромагнитного воздействия целесообразно маг­

нитный носитель информации поверх конвертов обернуть в бытовую алюминиевую фольгу.

3. Технические устройства при отсутствии заводской тары упаковы­ваются в деревянные ящики, используя для внутренних перегородок прокладки из упругого материала (гофрированного картона, пеноплас­та, толстого слоя бумаги).

4. Опечатать упаковку и снабдить ее удостоверительными надпи­сями. '

Вопросы упаковки компьютерной техники желательно уточнить со специалистом.

Что касается транспортировки, то ее необходимо осуществлять так, чтобы не допустить:

1) механического воздействия на аппаратуру;

2) влияния атмосферных факторов (дождя, снега, повышенной влажности);

3) воздействия электромагнитных излучений;

4) влияния слишком высоких и низких температур, помня, что для аппаратуры, содержащей в себе магнитные носители информации, они должны храниться в диапазоне температуры от 0 до 50°С.

Типичные ошибки при осмотре места происшествия по делам о преступлениях в сфере компьютерной информации:

1. Несоблюдение правил обращения с вычислительной техникой и но­сителями компьютерной информации.

2. Отсутствие чистой дискеты для неотложного копирования ин­формации, содержащейся в оперативном запоминающем устройстве и там, где она может быть быстро уничтожена при отключении электропитания компьютерного оборудования или по другим при­чинам.

3. Употребление в тексте протокола осмотра непонятных техничес­ких и профессиональных терминов, используемых в информатике, без доступного пояснения.

4. Необоснованное изъятие отдельных технических средств и ком­пьютерного оборудования, так сказать «на всякий случай».

5. Использование вместо копий подлинных носителей машинной информации для пробного включения компьютеров в процессе осмот­ра места происшествия (особенно программ для ЭВМ).

6. Нарушение правил упаковки и транспортировки компьютерной техники и машинных носителей информации.