Слідчий огляд і вилучення комп'ютерної інформації

Після прибуття на місце події (огляду), необхідно перш за все «заморозити» ситуацію:

вивести всіх осіб із зони доступу до обладнання, забезпечити неможливість втручання до системи через лінії зв'язку (зокрема через модеми), не дозволяти нічого змінювати у роботі системи.

Ні в якому разі та ні під яким приводом не слід дозволяти підозрюваній особі торкатися комп'ютера. Можливо, що в комп'ютері передбачена можливість стирання інформації в разі натиснення однієї клавіші. Бажано, щоб підозрюваний був присутній при огляді, оскільки саме він може надати найбільш важливу інформацію про систему - паролі, коди доступу, перелік інстальованих програм і місцезнаходження окремих директорій (в тому числі прихованих). Однак його необхідно тримати на відстані від комп'ютерного обладнання та джерела струму, щоб запобігти спробам зміни або знищення комп'ютерних доказів.

477

Ретельно обстежити комп'ютерне обладнання і описати його в протоколі, обов'язково намалювати схему системи. Слід пам'ятати, що самовільне втручання до системи може внести зміни до доказової інформації або призвести до повної її втрати. Крім того, знищення даних або пошкодження обладнання в результаті некваліфікованих дій можуть спричинити до виникнення матеріальних претензій до організації, яка здійснює розслідування чи перевірку.

Доцільно також зробити огляд та детальну фотозйомку місця події, при можливості провести відеозапис. Трапляється, коли окремі компоненти системи можуть знаходитися в інших приміщеннях і навіть будівлях, або взагалі приховані. Схованки можуть бути зроблені в стінах будівель, стелях, горищних приміщеннях.

Як вже було зазначено, слід дотримуватися певних правил поводження з комп'ютерним обладнанням (саме тоді у повній мірі перевіряється ступінь підготовленості співробітників правоохоронних органів).

1. На будь-якому етапі роботи з комп'ютерним обладнанням та доказами комп'ютерного походження, якщо ви не впевнені в собі, дочекайтесь прибуття експерта або забезпечте участь фахівця.

2. Якщо участь експерта або фахівця неможлива, дотримуйтесь такої послідовності дій (невиконання цих вимог може призвести до втрати інформації або її доказової сили):

- не користуйтеся поблизу комп'ютерів радіотелефонами, оскільки вони можуть шкідливо діяти на комп'ютерну систему,

- при охороні комп'ютера не дозволяйте нікому вимикати напругу, торкатися клавіатури, змінювати положення комп'ютера або пов'язаного з ним обладнання. Ніколи не рухайте комп'ютер, коли він включений. Дозвольте принтеру закінчити друкування, якщо воно почалось;

- зафіксуйте, як кожні з частин комп'ютерної мережі з'єднані між собою та з іншим обладнанням.

При розбиранні відмічайте (маркіруйте) обидва кінці кабелів. Забезпечте фотографування загального інтер'єра кімнати та підготуйте план приміщення, де буде відображено місцезнаходження апаратури, її підключення та взаємне з'єднання.

На цій стадії не вимикайте і не вмикайте комп'ютер.

Вимикання живлення з метою вилучення обладнання призведе до втрати часової пам'яті комп'ютера (ВАМ), а також може викликати ускладнення з запуском системи у майбутньому, тому що вона може бути захищена паролями.

Коли екран монітора не світиться, це ще не означає, що комп'ютер обов'язково вимкнений. Можуть бути пошкоджені деякі деталі обладнання, не працювати вентилятор чи вимкнено тільки монітор:

- занотуйте у повному обсязі інформацію, яка є на екрані (екранах);

- забезпечте охорону комп'ютерної системи, після чого з'ясуйте такі питання:

478

а) Чи підключений комп'ютер до телефонної мережі за допомогою модему? Якщо це - телефонний роз'єм, то від'єднайте його. Якщо він підключений

через модем, то вимкніть живлення до цього пристрою (не комп'ютера). Запишіть номер використаного телефону.

б) Де знаходиться джерело живлення (батареї, акумулятори, джерело безперервного живлення та інше)?

Необхідно закрити активні програми, після чого можна вимкнути монітор, процесор та відключити напругу:

- установіть та відмітьте виробника, модель і серійний номер усіх вузлів та операційних систем;

- від'єднайте кабелі живлення клавіатури, монітора, модему та принтера;

- упакуйте процесор або СРІІ (якщо твердий диск змонтовано окремо) в опечатані пакети (паперові або спеціальні упаковки), та відмітьте номери печаток.

3. Переконайтеся, що всі перелічені нижче пункти виконані. Упакуйте в окремі опечатані пакети:

- СРІ) (кожний окремо);

- портативні комп'ютери;

- дискети;

- окремо змонтовані тверді диски;

- носії інформації, які можуть використовуватися разом з комп'ютерами (касети, дискети, лазерні диски).

Перевірте, чи були вилучені:

- монітор (за винятком, коли комп'ютер підключений до телевізора);

- клавіатура;

- принтер;

- модем;

- документація та інструкції з експлуатації;

- адаптери до портативних комп'ютерів;

- помічені кабелі та роз'єми;

- зразки фірмових та інших бланків комп'ютерного походження;

- роздруковані комп'ютерні тексти, які можуть мати відношення до злочину (вони могли бути знищені у комп'ютері);

- нотатки чи записи, якщо є підозра, що це - комп'ютерні паролі чи інструкції щодо доступу до мережі або програм.

Всі речі та документи повинні бути вилучені та описані відповідно до норм чинного кримінально-процесуального законодавства.

4. Опитайте підозрюваних і свідків, для чого використовувався комп'ютер, чи застосовувались і які паролі, де були придбані захисні програми. Необхідно визначити, чи є контракт на технічне обслуговування комп'ютерного обладнання, з ким він укладений, чи були збої під час експлуатації техніки та які саме.

5. Якнайшвидше передайте усе вилучене у розпорядження експерта або фахівця для подальшого вивчення.