Изъятие компьютерной техники и носителей информации при проведении обыска

Изъятие компьютерной техники и носителей информации при проведении обыска

В настоящее время судебным и экспертным подразделениям в своей работе все чаще приходиться сталкиваться с использованием компьютерных технологий при совершении правонарушений. В Уголовный Кодекс введены статьи (ст. ст. 272- 274), посвященные преступлениям в области информационных технологий. Однако, в реальной жизни компьютерная информация может сыграть значительную роль при расследовании уголовных дел по различным видам преступлений.

С помощью компьютера, например, можно получить информацию о бухгалтерских операциях проверяемых предприятий, учреждений, организаций, о подготовке каких-либо материалов и печатной продукции, о правомерности использования компьютеров в различные рода лотереях и аттракционах и мнoгих других вопросах.

Обобщая результаты работы, проделанной авторами данной статьи и их коллегами, можно говорить о перечне наиболее распространенных на сегодняшний день преступлении, при расследовании которых можно получить максимальную отдачу от исследования информации, хранимой на компьютерных носителях, и применяемых информационных технологий. К ним можно отнести преступления:

  • совершенные в связные с нарушением правил бухгалтерского учета, ау­дита и налогообложения (значительная доля бухгалтерских операций производится с помощью компьютера);
  • связанные с изготовлением различных документов, в том числе поли­графической продукции, денежных знаков, ценных бумаг и других. Это стало возможным благодаря быстрому росту вычислительных мощностей персональных компьютеров, при которых они могут конкурировать со специализированными профессиональными издательскими системами, адаптации издательских профессиональных пакетов программ к персональным компьютерам и появлению широкого спектра доступных по цене устройств ввода-вывода, по качеству приближающихся к используемым полиграфическим устройствам;
  • в сфере охраны авторских прав - введение данной нормы весьма акту­ально. так как стоимость широко растиражированной контрафактной продукции существенно ниже лицензионного программного обеспечения, при продаже которого осуществляются соответствующие налоговые отчисления в бюджет;
  • связанные с несанкционированным проникновением в компьютерные сети различных организаций с целью совершения преступных действий, а также созданием и распространением программ, служащих этим целям.

Даже при расследовании обычных уголовных дел информация, хранимая на дополнительных носителях и в памяти компьютера, может значительно помочь следователям в процессе расследования уголовных дел, так как на различных носителях информации могут храниться сведения о контактах конкретного лица или организации, их переписка и другие личные записи.

К сожалению, в следственных и экспертных учреждениях МВД России еще недостаточно специалистов, способных получать доступ к подобной информации, производить грамотное изъятие и осмотр компьютерной техники, ее дальнейшее исследование и проведение экспертиз в ходе расследования уголовных дел.

Поэтому в данной публикации внимание будет уделено прежде всего методическим вопросам подготовки к изъятию и изъятия компьютерной техники и носителей информации, что необходимо для исключения возможности утери информации, имеющей доказательственное значение и для эффективного производства экспертиз по данному направлению. Кроме того, будет приведен примерный перечень вопросов, которые целесообразно ставить на разрешение эксперту.

Практические рекомендации по изъятию компьютерной техники при проведении обыска

Подготовка к обыску

Помимо стандартных действий, которые необходимо выполнить при подготовке к проведению обыска, следует обязательно выяснить, имеется ли в данном помещении компьютерная техника. При наличии таковой необходимо установить:

  • какое количество компьютеров и какого типа находится в помещении;
  • имеются ли автономные источники питания;
  • какие носители информации используются;
  • имеется ли локальная сеть и выход в другие сети с помощью модема, или выделенных линий;
  • используются ли средства экстренного уничтожения компьютерной информации.

В случае проведения обыска на предприятии необходимо дополнительно выяснить:

  • количество компьютеров на предприятии и их распределение по служ­бам и помещениям;
  • объединены ли компьютеры в локальную сеть. Если такое объедине­ние существует, то необходимо установить;
  • кто на предприятии отвечает за сетевую систему и программное обес­печение, то есть является администратором системы;
  • количество и тип используемых серверов;
  • количество и тип рабочих мест;
  • тип используемых операционных сетевых систем;
  • какое прикладное программное обеспечение используется в сети (на­пример. сетевые базы данных, система документооборота и пр.);
  • имеются ли резервные копии серверных дисков и баз данных и где они хранятся;
  • имеется ли выход в другие, в том числе и глобальные сети;
  • используются ли распределенные сети или почтовые программы для связи с удаленными подразделениями организации или другими предприятиями;
  • используются ли системы шифрования и защиты информации и какие;
  • существуют ли другие средства компьютерной связи (например, моде­мы и радиомодемы, выделенные линии);
  • имеется ли выход в Интернет и система электронной почты.

Конечно, получить ответ на все перечисленные вопросы не всегда пред­ставляется возможным. Но выяснить расположение компьютеров и серверов на предприятии необходимо. При отсутствии полной информации по данным вопросам, целесообразно включить в групп), производящую обыск, эксперта по компьютерной технике.

Проведение обыска

При проведении обыска основной задачей руководителя следственной группы и специалистов применительно к компьютерным средствам является обеспечение сохранности информации, хранимой на компьютерах и компьютерных носителях информации. Для этого необходимо:

  • предотвратить отключение энергоснабжения предприятия, обеспечив охрану распределительного щита;
  • запретить сотрудникам предприятия и прочим лицам производить какие-либо манипуляции с компьютерами и носителями информации;
  • оградить работающие компьютеры от случайных нажатий на клавиши клавиатуры и кнопки системных блоков и устройств;
  • предупредить всех сотрудников следственной группы о недопустимости самостоятельной манипуляции с компьютерной техникой и носителями информации;
  • в случае использования телефонной линии для связи с другими сетями обеспечить отключение телефона;
  • удалить из помещений, в которых находятся компьютеры и носители информации, все взрывчатые, едкие и легковоспламеняющиеся материалы.

В дальнейшем следует точно определить местоположение компьютеров. Нельзя забывать, что портативные компьютеры типа "notebook" легко умещаются в небольшую сумку или дипломат.

При наличии в осматриваемом помещении локальной сети следует точно установить местоположение серверов. Помимо центральной серверной, в отделах могут находиться местные локальные сервера. Определить местоположение компьютеров при наличии локальной сети поможет проводка. Достаточно проследить трассы кабеля или коробов в случае, когда кабель спрятан в специальный короб.

Следует обратить внимание на не подключенные разъемы на коаксиальном кабеле и свободные розетки (розетки для подключения компьютеров в локальную сеть, использующие витую пару, имеют вид импортных телефонных розеток), так как в этих местах возможно находились компьютеры или подключались портативные компьютеры, которые в момент проведения обыска могут находиться в другом месте или быть спрятаны.

Особое внимание следует обратить на места хранения дискет и других носителей информации. Если при внешнем осмотре компьютеров в их составе обнаружены устройства типа стримера, магнитооптического накопителя и им подобные, то необходимо найти места хранения носителей информации к со­ответствующим накопителям.

На предприятиях, имеющих развитую локальную сеть, как правило, производится регулярное архивирование информации на какой-либо носитель. Следует определить место хранения данных копий.

Обязательно следует выявить администратора системы и провести его опрос, при котором необходимо выяснить:

  • какие операционные системы установлены на каждом из компьютеров;
  • какое программное обеспечение используется;
  • какие программы защиты и шифрования используются;
  • где хранятся общие файлы данных и резервные копии;
  • пароли супервизора и администраторов системы;
  • имена и пароли пользователей.

Далее специалист по компьютерам, участвующий в обыске, используя данные, полученные от администратора системы, может произвести копирование информации на заранее приготовленные носители. Это могут быть обычные дискеты, однако при большом объеме изымаемых файлов рекомендуется использовать более современные носители информации (например, магнитооптический диск или дополнительный жесткий диск). Носители, на которые была переписана информация, должны быть упакованы в пластиковые коробки (если это жесткий диск, то необходимо упаковать его в антистатический пакет и предотвратить его свободное перемещение в упаковке при транспортировке), которые необходимо опечатать в соответствии с требованиями УПК.

Изъятие компьютеров

В случае необходимости изъятия компьютеров следует произвести кор­ректный выход из системы для предотвращения порчи данных, находящихся в памяти компьютера.

При изъятии компьютеров необходимо:

  • путем опроса персонала порознь выяснить сетевые имена пользователей и их пароли;
  • изымать все компьютеры и магнитные носители;
  • при осмотре документов следует обращать особое внимание на рабочие записи сотрудников, в которых могут содержаться пароли и коды доступа;
  • составить список всех нештатных и временно работающих специали­стов фирмы с целью обнаружения программистов и других специалистов по вычислительной технике, работающих на данную фирму. По возможности установить личные данные, адреса и места постоянной работы.

Следует отметить, что при изъятии технических средств можно не про­изводить изъятие мониторов.

При осмотре должны быть установлены:

  • конфигурация компьютера с четким описанием всех устройств;
  • номера моделей и серийные номера каждого из устройств;
  • инвентарные номера, присваиваемые бухгалтерией при постановке оборудования на баланс предприятия;
  • прочая информация с фабричных ярлыков.

Кроме того, все изъятые системные блоки должны быть опечатаны таким образом, чтобы исключить возможность их включения в сеть и разборки.

Изъятие и опечатывание носителей информации

Все предметы и документы, обнаруженные в ходе обыска, выемки или осмотра, которые могут иметь значение для следствия, должны быть изъяты в строгом соответствии с требованиями закона, чтобы впоследствии они могли иметь доказательственное значение. В связи с этим, в протоколе обязательно должны быть точно отражены место, время и внешний вид изымаемых предметов и документов.

При изъятии компьютеров и магнитных носителей их следует опечатать.

Все системные блоки компьютеров должны быть пронумерованы, а все разъемы опечатаны. Все эти действия должны быть строго зафиксированы в протоколе (и по количеству, и по проставленным номерам).

При опечатывании компьютеров не следует пользоваться жидким клеем или другими веществами, которые могут испортить техническое средство. Наиболее просто опечатать компьютер можно так:

  • выключить компьютер;
  • отключить его от сети;
  • отсоединить все разъемы;
  • на длинную полосу бумаги следует поставить подписи следователя, специалиста, понятых, представителей персонала или администрации и номер. Такие полосы следует наложить на разъемы для подключения питания, а также на кнопки сетевого включения. В качестве клеящего средства можно использовать липкую ленту или густой клей. При использовании липкой ленты ее надо наносить так, чтобы любая попытка снять ее нарушала целостность бумажной ленты с подписями;
  • такой же бумажной лентой следует опечатать крышку корпуса таким образом, чтобы исключить возможность доступа к внутренним элементам системного блока без нарушения целостности ленты;
  • при составлении протокола обыска и изъятия в нем следует указывать серийные номера всех изымаемых блоков и их балансовые номера (по документации бухгалтерии предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый блок в соответствии с его индивидуальными признаками.

При подготовке к изъятию носителей информации по возможности на месте в присутствии понятых с них сразу же следует снять копию (желательно две). Затем все носители опечатываются. Если нет возможности скопировать информацию, то все носители информации следует опечатать.

Для опечатывания носителей информации необходимо:

  • упаковать их в жесткую коробку, опечатать ее;
  • на листе бумаги сделать описание упакованных носителей: тип каждого из них, их количество;
  • коробку с носителями и лист с описанием положить в полиэтиленовый пакет, который нужно заклеить.

При опечатывании носителей информации недопустимо производить какие- либо действия с ними.

Транспортировка и хранение компьютерной техники и носителей информации

Перед транспортировкой вычислительную технику и носители информации следует упаковать. Для этого можно использовать коробки из-под компьютеров, а при их отсутствии - большие мешки или куски ткани.

Каждый изымаемый блок должен быть упакован и еще раз опечатан. Изъятие должно производиться за один раз. При отсутствии грана юрта следует организовать строгую охрану изъятого оборудования в специальном помещении.

Если изъятые предметы хранятся на обыскиваемом объекте, следует ор­ганизовать охрану помещения таким образом, чтобы доступ посторонних лиц к ним был невозможен.

Недопустимо предоставление части изъятого оборудования в распоряжение предприятия по причинам "производственной необходимости", т. к. в процессе работы могут быть внесены изменения в файлы информации или программы. Такие действия могут повлечь за собой невозвратимую потерю имеющейся информации путем ее повреждения или уничтожения.

Изъятию подлежат вся вычислительная техника и компьютерные носители, находившиеся на момент следственных действий в данном помещении независимо от их юридической принадлежности.

Все изъятое имущество вывозится и передается на ответственное хранение в соответствии с нормами УПК.

Меры предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей

При перевозке компьютеров следует исключить их механические по­вреждения и взаимодействие с химически активными веществами.

Не допускать магнитных воздействий как на компьютеры, так и на магнитные носители информации, т. к. это может привести к порче или унич­тожению информации путем размагничивания.

Оградить изъятое от воздействия магнитосодержащих средств кри­миналистической техники (например, магнитных подъемников, магнитных кисточек для выявления следов рук и проч.).

Соблюдать установленные правила хранения и складирования технических средств.

Нельзя ставить компьютеры в штабель выше трех штук, а также ставить их на какие-либо другие вещи.

Помещение для хранения должно быть теплым, отапливаемым, без грызунов. Не рекомендуется курить, принимать пищу и содержать животных в помещениях, предназначенных для хранения компьютерной техники и магнитных носителей.

Вопросы назначения компьютерной экспертизы

Экспертиза

Совершенно естественно, что базовых знаний следователя недостаточно для использования фактических данных, содержащихся в памяти компьютеров и на носителях информации, и в компьютерной документации при расследовании преступлений.

Один из эффективных способов превращения изъятой компьютерной информации в доказательства по уголовному делу - привлечение специальных познаний. В соответствии с УПК это участие в проведении следственных действий специалиста и производство экспертиз.

Решая вопрос о назначении экспертизы, следователь акцентирует свое внимание на поиск, фиксацию, изъятие и представление эксперту необходимых материальных объектов - носителей информации. - а также на уяснение и формирование задач, стоящих перед следствием. Процедура анализа, исследования и интерпретации компьютерной информации, требующая специальных знаний, отдается в ведение эксперта.

Назначение экспертизы

Сделав вывод о необходимости назначения экспертизы, следователь должен решить, какие виды экспертных исследований нужно провести, выбрать экспертное учреждение (экспертов), определить круг объектов, представляемых на экспертизу, и сформулировать вопросы эксперту.

Объекты и задачи экспертизы компьютерных систем и компьютерной информации

На компьютерную экспертизу могут быть представлены следующие объекты:

  • любые документы, которые могли быть изготовлены (полностью или частично) с использованием компьютерных систем и средств копирования информации;
  • любая компьютерная информация, к которой можно отнести не только информацию на компьютерных носителях, но и информацию, содержащую тексты программ, баз данных и комментарии к ним на любых других носителях (бумага, видео- и аудиозаписи и т.п.);
  • компьютерные системы (компьютеры и их компоненты, периферий­ные устройства, средства связи, компьютерные сети);
  • сопроводительная документация к компьютерной и электронной тех­нике;
  • технические средства и носители информации, множительная техники средства связи и спецтехника.

Для исследования объектов применяются как традиционные методы исследований: системный анализ, математическое моделирование, метод экспертных оценок, так и специальные методы.

Типовые вопросы компьютерной экспертизы

Следы работы какого аппаратного комплекса присутствуют в программном обеспечении НЖМД представленного системного блока ПК?

Соответствует ли конфигурация аппаратных средств, зафиксированная в информационной среде на НЖМД системных блоков, содержимому представленных системных блоков?

Имеются ли на накопителе на жестких магнитных дисках экземпляры программы «Microsoft Office»? Если да, то какова версия этой программы и иные данные, позволяющие идентифицировать программу; каковы обстоятельства установки и использования обнаруженных экземпляров программы?

Применяются ли при установке и эксплуатации программы «Microsoft Office» технические средства защиты авторских прав? Если да, то какие именно средства?

Если экземпляры программы Microsoft Office обнаружены, то выполнялись ли в ходе их установки и/или использования действия, результатом которых стаю невозможным использование технических средств защиты авторских прав, либо эти технические средства перестали обеспечивать надлежащую защиту указанных прав? Какие именно действия такого рода выполнялись?

Если экземпляры программы Microsoft Office обнаружены, то установлены ли эти экземпляры программы способом, предусмотренным правообладателем?

Имеются ли на накопителе на жестких магнитных дисках, сведения о подключении и использовании сетевого оборудования для обеспечения работы пользователя в сети Интернет?

Какие логины и пароли пользователь использовал для подключения к оборудованию провайдера и работы в сети Интернет?

В какие временные интервалы пользователь был подключен к провайдеру и мог работать в сети Интернет?

Имеются ли в файлах на накопителе на жестких магнитных дисках, сведения о логинах и паролях иных пользователей?

Имеются ли на накопителе на жестких магнитных дисках, программы, детектируемые как вредоносные? Если да, то имеются ли следы использования указанных программ?

Имеются ли на накопителе на жестких магнитных дисках, программы обмена сообщениями? Если да, то каковы реквизиты отправителя и адресатов сообщений?

Имеются ли среди сообщений сообщения, относящиеся тематически к обсуждению проблем подготовки, осуществления несанкционированных подключений к сетевым компьютерам, использования логинов и паролей пользователей, осуществления иных действий деструктивного характера? Каковы реквизиты этих сообщений?

Присутствует ли в представленных базах данных сведения об изготовлении платежного поручения № от 01.01.2001г?

Каковы обстоятельства создания и изготовления документа?

Возможно ли изготовление представленного документа с использованием представленной компьютерной техники? Если «да», то присутствуют ли в памяти представленного компьютера следы изготовления документа?

Следователь также может дать указание на производство следующих действий:

Получить доступ к информации, хранящейся на представленных на экспертизу компьютерных носителях информации.

Определить имена пользователей, их пароли и права при работе на представленной на экспертизу системе.

Осуществить доступ к информации, хранящейся в представленных на экспертизу базах данных.

Перед назначением экспертизы следователю желательно согласовать вопросы с экспертом.

Оценка проведенных экспертиз компьютерных систем и компьютерной информации в сущности не отличается от оценки и использования экспертиз традиционных видов.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!