Я выработка единых следственных действий, обязательных при расследований преступлений против информационной безопасности

е) скопировать программы и файлы данных, хранимые на виртуальном диске, на магнитный носитель. Копирование осуществляется стандартными средствами ЭВМ или командой DOS COPY;

ж) выключить подачу энергии в компьютер и далее действовать по схеме «компьютер не работает.

2) если компьютер не  работает, следует:

а) точно отразить в протоколе и на прилагаемой к нему схеме местонахождение компьютера и его периферийных устройств (печатающее устройство, дисководы, дисплей, клавиатуру и т. п.);

б) точно описать порядок соединения между собой этих устройств с указанием особенностей (цвет, количество соединительных разъемов, их спецификация) соединительных проводов и кабелей; перед разъединением любых кабелей полезно осуществить видеозапись или фотографирование мест соединения. Удачным решением является точная маркировка каждого кабеля и устройства, а также портов, с которым кабель соединяется перед разъединением. Следует маркировать каждый незанятый порт как «незанятый»;

в) с соблюдением всех возможных мер предосторожности разъединить устройства компьютера, предварительно обесточив его. Следует помнить, что матричные принтеры оставляют следы на красящей ленте, которая может быть восстановлена в ходе ее дальнейшего экспертного исследования;

г) упаковать раздельно (с указанием в протоколе и на конверте места обнаружения) носители на дискетах и магнитных лентах (индивидуально или группами) и поместить их в оболочки, не несущие заряда статического электричества;

д) упаковать каждое устройство и соединительные кабели, провода, имея в виду необходимость аккуратной транспортировки компьютерной техники;

е) защитить дисководы гибких дисков согласно рекомендациям изготовителя. Некоторые из них предлагают вставлять новую дискету или часть картона в щель дисковода;

ж) Особенной осторожности требует транспортировка винчестера. Некоторые системы  безопасной  остановки  («парковки»)  винчестера  автоматически срабатывают каждый раз, когда машина выключается пользователем, но в некоторых системах может требоваться специальная команда компьютеру

При изъятии компьютера, если он работает, нужно выполнить:

 

 

В целях недопущения вредных последствий следователь может придерживаться следующих рекомендаций:

1. Перед выключением питания  по возможности корректно закрыть  все используемые программы, а  в сомнительных случаях просто  отключить компьютер (в некоторых  случаях некорректное отключение  компьютера – путем перезагрузки  или выключения питания без  предварительного выхода из программы  и записи информации на постоянный  носитель – приводит к потере  информации в оперативной памяти  и даже к стиранию информационных  ресурсов на данном компьютере) .

2. При наличии средств  защиты средств компьютерной  техники от несанкционированного  доступа принять меры к установлению  ключей доступа (паролей, алгоритмов  и т. д.).

3. Корректно выключить  питание всех средств компьютерной  техники, находящихся на объекте (в помещении).

4. Не пытаться на месте  просматривать информацию, содержащуюся  на средствах компьютерной техники.

5. В затруднительных случаях  не обращаться за консультацией (помощью) к персоналу, а вызывать  специалиста, не заинтересованного  в исходе дела,

6. Следует изъять все  средства компьютерной техники, обнаруженные на объекте.

7. При обыске не подносить  ближе 1 м к средствам компьютерной  техники металлоискатели и другие  источники магнитного поля, в  т.ч. сильные осветительные приборы  и некоторую спецаппаратуру.

8. Поскольку многие, особенно  неквалифицированные, пользователи  записывают процедуру входа-выхода, работы с компьютерной системой, а также пароли доступа на  отдельных бумажных листках, следует  изъять также все записи, относящиеся  к работе средства компьютерной  техники.

9. Так как многие коммерческие  и государственные структуры  прибегают к услугам нештатных  и временно работающих специалистов  по обслуживанию средств компьютерной  техники, следует записать паспортные  данные у всех лиц, находящихся  на объекте, независимо от их  объяснений цели пребывания на  объекте.

 

Традиционных полномочий может быть недостаточно для того, чтобы попытаться обеспечить защиту данных для проведения конкретных расследований по таким причинам как:

1) проблемы, связанные с  получением доступа к компьютерной  системе;

2) нематериальный характер  данных;

3) тот факт, что данные  могут храниться в соединенной  системе, размещенной за пределами  помещений, подвергаемых обыску, осмотру  и т.д.

 

 

Наиболее просто опечатать компьютер можно так:

1. Выключить компьютер.

2. Отключить его от  сети.

3. Отсоединить все разъемы. При этом каждый из них должен  быть опечатан.

4. На длинную полосу  бумаги следует поставить подписи  следователя, специалиста, понятых, представителя  персонала или администрации  и номер. Эту полосу наложить  на разъем и приклеить. В качестве  клеящего средства использовать  липкую ленту или густой клей. При использовании липкой ленты, ее надо наносить так, чтобы  любая попытка снять ее нарушала  бы целостность бумажной ленты  с подписями.

5. Аналогично должен быть  опечатан разъем шины (соединительного  провода). При этом номера на  разъемах блока компьютера и  шины должны быть одинаковыми. Для облегчения операции сборки  и подключения компьютера в  дальнейшем на бумажной полосе, опечатывающей шину, можно указать, к какому блоку должен подключаться  разъем. Например: «1 – системный  блок». На другом конце той  же шины может стоять надпись  «2 – монитор».

6. Если бумажная лента  достаточно длинная, ее можно  крепить к боковым поверхностям  блоков компьютера, либо к поверхности  стенки, но так, чтобы не задевать  другие детали.

7. При составлении протокола  обыска и изъятия, в нем следует  указывать серийные номера всех  изымаемых блоков и их балансовые  номера (по документации бухгалтерии  предприятия), если таковые имеются. Если номера полностью отсутствуют, следует подробно описать каждый  блок в соответствии с его  индивидуальными признаками.

Меры предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей:

1. При перевозке компьютеров  следует исключить механические  или химические повреждения.

2. Не допускать магнитных  воздействий как на компьютеры, так и на магнитные носители  информации, так как это может  привести к порче или уничтожению  информации путем размагничивания.

3. Оградить изъятое от  воздействия магнитосодержащих  средств криминалистической техники (например; магнитных подъемников, магнитных  кисточек для выявления следов  рук и проч.).

4. Соблюдать правила хранения  и складирования технических  средств.

5. Нельзя ставить компьютеры  в штабель выше трех штук, а  также ставить их на какие-либо  другие вещи.

6. Помещение для хранения  должно быть теплым, отапливаемым, без грызунов.

7. Компьютеры нельзя держать  в одном помещении со взрывчатыми, легко воспламеняющимися, огнеопасными, едкими, легко испаряющимися химическими  препаратами, а также с предметами, которые могут создавать магнитные  поля.

8. Не рекомендуется курить, принимать пищу и содержать  животных в помещениях, предназначенных  для хранения компьютерной техники  и магнитных носителей.

Меры предосторожности при транспортировке и хранении изъятых технических средств и магнитных носителей:

В приведенных ниже списках есть несколько ссылок на упаковку оборудования или носителей информации в пластик. Прежде чем сделать это, убедитесь, что вы обесточили все оборудование, и его температура не отличается от комнатной. Удостоверьтесь также, что вы используете пластик с антистатическими свойствами.

I. АППАРАТНЫЕ СРЕДСТВА 

А. Персональный компьютер/центральный процессор

1. Определите, имеется ли  в системе внутренний накопитель  на жестких дисках. Если можно, обеспечьте защиту головок считывания  и записи этого накопителя  с помощью соответствующей программной  команды. Не удаляйте внутренний  накопитель на жестких дисках  из компьютера.

2. Обеспечьте защиту головок  считывания и записи накопителей  на гибких магнитных дисках  с помощью чистой дискеты.

3. Промаркируйте кабели  и порты.

4. Проставьте инициалы  и дату на центральном процессоре, как этого требует система  охраны вещественных доказательств  при их передаче на хранение  в вашем ведомстве.

5. Упакуйте аппаратное  средство в пластик и поместите  его в коробку для перевозки  в лабораторию.

В. Монитор

1. Промаркируйте кабели.

2. Проставьте инициалы  и дату на мониторе, как этого  требует система охраны вещественных  доказательств при их передаче  на хранение в вашем ведомстве.

3. Упакуйте монитор в  пластик и поместите его в  коробку для перевозки в лабораторию.

С. Клавиатура

1. Промаркируйте кабели.

2. Проставьте инициалы  и дату на клавиатуре, как этого  требует система охраны вещественных  доказательств при их передаче  на хранение в вашем ведомстве.

3. Упакуйте клавиатуру  в пластик и поместите ее  в коробку для перевозки в  лабораторию.

D. Внешние/съемные накопители  на жестких дисках

1. Если можно, обеспечьте  защиту головок считывания и  записи накопителя. В некоторых  случаях такая защита обеспечивается  с помощью программных команд, в остальных – автоматически.

2. Промаркируйте кабели.

3. Проставьте инициалы  и дату на накопителе, как этого  требует система охраны вещественных  доказательств при их передаче  на хранение в вашем ведомстве.

4. Упакуйте накопитель  на жестких дисках в пластик  и поместите его в коробку  для перевозки в лабораторию.

Е. Внешние накопители на гибких магнитных дисках

1. Удалите гибкие дискеты  из накопителей.

2. Если можно, обеспечьте  защиту головок считывания и  записи накопителя с помощью  чистой дискеты.

3. Промаркируйте кабели.

4. Проставьте инициалы  и дату на накопителе, как этого  требует система охраны вещественных  доказательств при их передаче  на хранение в вашем ведомстве.

5. Упакуйте накопитель  на гибких магнитных дисках  в пластик и поместите его  в коробку для перевозки в  лабораторию.

F. Внешний накопитель  на магнитной ленте

1. Проверьте и запишите  положение двухпозиционных переключателей.

2. Удалите из накопителя  картридж (кассету) с магнитной лентой.

3. Промаркируйте кабели.

4. Проставьте инициалы  и дату на накопителе на  магнитной ленте, как этого требует  система охраны вещественных  доказательств при их передаче  на хранение в вашем ведомстве.

5. Упакуйте накопитель  на магнитной ленте в пластик  и поместите его в коробку  для перевозки в лабораторию.

G. Печатающие устройства (принтеры) и графопостроители (плоттеры)

1. Проверьте и запишите  положение двухпозиционных переключателей.

2. Удалите ленту. Проставьте  инициалы и дату на картридже  с лентой. (Некоторые красящие  ленты могут оказаться читаемыми, это поможет вам получить в  свое распоряжение последний  текст, распечатанный на данном  устройстве.)

3. Промаркируйте кабели.

4. Проставьте инициалы  и дату на принтере/плоттере, как  этого требует система охраны  вещественных доказательств при  их передаче на хранение в  вашем ведомстве.

5. Упакуйте принтер/плоттер  в пластик и поместите его  в коробку для перевозки в  лабораторию.

Н. Модемы/акустические соединители

1. Отсоедините от телефона.

2. Промаркируйте кабели  и порты.

3. Проставьте инициалы  и дату на модеме/акустическом  соединителе, как этого требует  система охраны вещественных  доказательств при их передаче  на хранение в вашем ведомстве.

4. Упакуйте модем/акустический  соединитель в пластик и поместите  его в коробку для перевозки  в лабораторию.

I. Кабели

1. Промаркируйте все концы  каждого кабеля, подписывая разъемы  для подсоединения к компьютеру, принтеру и т. д.

2. Поместите кабели в  соответствующие контейнеры для  доказательств.

3. Упакуйте эти кабели  в коробку для перевозки в  лабораторию.

II. МАГНИТНЫЕ НОСИТЕЛИ

А. Гибкие дискеты

1. Берегите дискеты от  воздействия магнитных полей.

2. Проставьте на них  инициалы и дату с помощью  фломастера, как этого требует  система охраны вещественных  доказательств при их передаче  на хранение в вашем ведомстве.