необходимо принять меры к установлению пароля доступа в защищенные программы;
при активном вмешательстве сотрудников предприятия, пытающихся оказать противодействие следственной группе, нужно отключить питание всех компьютеров на объекте, опечатать их и изъять вместе с магнитными носителями для изучения информации в спокойной обстановке;
при необходимости консультаций у персонала предприятия, следует получать их у разных лиц путем опроса порознь или допроса. Такой метод позволит получить максимально правдивую информацию и избежать преднамеренного вредительства;
при изъятии технических средств не всегда целесообразно изымать не только системные блоки, но и дополнительные периферийные устройства (принтеры, стриммеры, модемы, сканеры и т. д.), учитывая совместимость техники;
при наличии локальной вычислительной сети необходимо иметь бригаду специалистов для быстрого реагирования на дви-жение информации по сети;
изымать следует все компьютеры (системные блоки) и магнитные носители;
нужно осмотреть документы, обращая особое внимание на рабочие записи операторов ЭВМ, так как часто именно в этих записях неопытных пользователей можно обнаружить коды, пароли и другую очень ценную для следствия информацию;
следует составить список всех нештатных и временно работающих специалистов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму. Желательно установить их паспортные данные, адреса и место постоянной работы;
нужно записать данные всех людей, находящихся в помещении в момент прихода следственной группы, независимо от объяснения причины нахождения их в данном помещении;
следует составить список всех сотрудников предприятия, имеющих доступ к компьютерной технике либо часто приходящих в помещение, где находятся ЭВМ.
Если непосредственный доступ к компьютеру возможен и все нежелательные ситуации исключены, приступают к осмотру, причем следователь и специалист должны четко объяснять все совершаемые ими действия понятым.
При осмотре должны быть установлены:
конфигурация компьютера с четким описанием всех устройств;
номера моделей и серийные номера каждого из устройств;
инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;
прочая информация с фабричных ярлыков (на клавиатуре ярлык обычно находится на обратной стороне, а на мониторе и процессоре — на задней стенке). Такая информация, занесенная в протокол осмотра вычислительной техники, может оказаться важной для следствия.
Осмотр дискет
Обычно дискеты хранятся в рабочих столах и личных вещах сотрудников, несгораемых коробках или сейфах, шкафах.
Изучать следует все дискеты, даже те, которые являются собственностью сотрудников предприятия. По возможности осмотр дискет производится в первую очередь. Дискеты, содержащие информацию, не имеющую значения для следствия, нужно пометить и вернуть владельцам. Если же у специалиста имеются хотя бы малейшие подозрения относительно информации, находящейся на дискете, то информация должна быть скопирована, а сама дискета опечатана и изъята для проведения тщательной экспертизы.
При осмотре дискет с выходной информацией следует просить предоставления соответствующих бумажных аналогов информации. Если такие документы не предоставляются добровольно, необходимо обратить особое внимание на их поиск. Встречаются случаи несоответствия реальных показателей тем, что выдаются на печать и затем используются в качестве документов. Существуют различные возможности внесения “поправок” в выходной документ, что превращается затем в основание для подлогов и прочих хозяйственных преступлений.
6. ФИКСАЦИЯ РЕЗУЛЬТАТОВ
ИЗЪЯТИЯ ИНФОРМАЦИИ
Все предметы и документы, обнаруженные в ходе обыска, выемки или осмотра и имеющие значение для дела, должны быть изъяты в строгом соответствии с требованиями закона, чтобы впоследствии они могли быть признаны доказательствами. В связи с этим в протоколе обязательно должно быть точно отражено, где именно и в каком виде находились данные предметы и документы. Все обратившие на себя внимание предметы в ходе следственного действия откладываются в охраняемое место для исследования по окончании поисков или для немедленного изучения лицом, специально для этого выделенным из следственной группы. Как уже отмечалось, при изъятии компьютерной информации такую работу по просмотру файлов должен осуществлять специалист в области информатики и вычислительной техники.
Изъятию подлежит вся вычислительная техника и компьютерные носители, находившиеся на момент следственных действий в данном помещении, независимо от их юридической принадлежности, при этом факт изъятия должен найти отражение в соответствующих протоколах.
Все сведения, сообщенные персоналом предприятия дополнительно, должны быть занесены в протокол обыска в виде отдельных заявлений.
По окончании следственного действия руководитель группы приходит к выводу о том, какие предметы и документы и в каком именно виде (целиком, по частям, отдельные фрагменты) будут изыматься.
Весь процесс и результаты следственного действия должны быть тщательно зафиксированы в протоколе, который должен содержать вводную, описательную и заключительную части.
Вводная часть содержит сведения:
о месте и времени проведения следственного действия;
о лицах, производящих обыск, выемку, осмотр;
о лицах, присутствующих при этом;
об основаниях для данных следственных действий.
В описательной части протокола отражаются все действия, производимые следственной группой, а также обстановка, местонахождение и состояние предметов и документов. Следует охарактеризовать и индивидуализировать предмет (указать его номер, марку, форму, цвет, размер и прочие признаки, чтобы можно было отличить его от сходных предметов). Наиболее тщательно описываются те признаки и особенности, которые могут быть со временем утрачены, изменяющиеся свойства (влажность, напыление, помарки и т. д.).
Следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия). Если номера полностью отсутствуют нужно подробно описать каждый блок в соответствии с его индивидуальными признаками.
При изъятии компьютеров все блоки должны быть пронумерованы, все разъемы — опечатаны. На них следует проставить номера, чтобы не было путаницы при сборке. Аналогично нужно пронумеровать все изымаемые дискеты, пакеты, в которые они запакованы, проставить соответствующие опознавательные знаки на бумажных аналогах информации (при наличии таковых). Все эти действия должны быть строго зафиксированы в протоколе (и по количеству, и по проставленным номерам).
В заключительной части протокола перечисляются изъятые предметы и документы, указываются способы их упаковки и опечатки; фиксируется, какие именно предметы и документы и кому переданы на хранение (это лицо предупреждается об уголовной ответственности по ст. 312 УК РФ за растрату, уничтожение и повреждение вверенного имущества, о чем у него отбирается расписка в соответствии со ст. 175 УПК РСФСР). Образцы протоколов приводятся в приложениях 2—5.
7. ОПЕЧАТЫВАНИЕ КОМПЬЮТЕРОВ
И МАГНИТНЫХ НОСИТЕЛЕЙ
Наиболее просто опечатать компьютер можно следующим образом:
1) выключить компьютер;
2) отключить его от сети;
3) отсоединить все разъемы (при этом каждый из них должен быть опечатан);
4) на длинную полосу бумаги поставить подписи следователя, специалиста, понятых, представителя персонала или администрации и номер; эту полосу наложить на разъем и приклеить. В качестве клеящего средства нужно использовать липкую ленту или густой клей. Липкую ленту наносят так, чтобы любая попытка снять ее нарушала целостность бумажной ленты с подписями. Если бумажная лента достаточно длинная, ее можно крепить к боковым поверхностям блоков компьютера, либо к поверхности стенки, но так, чтобы не задевать другие детали. (При опечатывании компьютеров нельзя пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство.);
5) аналогично опечатать разъем шины (соединительного провода). При этом номер на разъемах блока компьютера и шины должен быть одинаковым. Для облегчения операции сборки и в дальнейшем подключения компьютера на бумажной полосе, опечатывающей шину, можно указать, к какому блоку должен подключаться разъем (например: “1 — системный блок”; на другом конце той же шины может стоять надпись “2 — монитор”);
6) опечатать корпус системного блока для предотвращения несанкционированного доступа к устройствам компьютера;
7) отдельно опечатать кнопку (клавишу) включения ПЭВМ.
При подготовке к изъятию магнитных носителей по возможности на месте в присутствии понятых следует снять копию (желательно две) содержащейся на них информации. Затем все изымаемые носители опечатываются. Если же такой возможности нет, то все дискеты следует опечатать. Если при осмотре специалист отметил дискеты, не имеющие прямого отношения к цели обыска и изъятия, с них тоже следует снять копии, изъять оригиналы, а одну из копий оставить на предприятии.
Для опечатывания дискет необходимо:
упаковать их в жесткую коробку, опечатать ее;
на листе бумаги сделать описание упакованных дискет, отметив общее количество, тип каждой из них (указано на бирках);
коробку с дискетами и лист с описанием положить в полиэтиленовый пакет, который заклеивается лентой аналогично разъемам компьютера.
При опечатывании дискет недопустимо производить какие-либо действия с самими дискетами. Аналогично следует опечатать копии, снятые на месте.
Опечатать периферийные устройства нужно даже в том случае, если в данный момент нет видимой необходимости их изъятия.
8. ТРАНСПОРТИРОВКА И ХРАНЕНИЕ
КОМПЬЮТЕРНОЙ ТЕХНИКИ
И МАГНИТНЫХ НОСИТЕЛЕЙ
Изъятую вычислительную технику и магнитные носители следует упаковать. Для этого можно использовать коробки из-под компьютеров, а при их отсутствии — большие мешки или куски материала. Именно на этом этапе часто происходит потеря значимой для следствия информации. Причина кроется в том, что операциям упаковки, транспортировки и хранения не придается должное значение. Возможно, такое положение дел связано с недостатком знаний у тех, кому поручены эти функции, либо это просто халатность. Все члены следственной группы должны помнить о том, что компьютерные доказательства очень хрупкие.
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
