Дзвоніть нам:

+38 (067) 477 3041Пн-Пт з 9 до 20

Комп’ютерно-технічна експертиза

Комп’ютерно-технічна експертиза

Комп’ютерно-технічна експертиза

Огляд і вилучення об’єктів для комп’ютерно-технічної експертизи

Найважливішими інструментами встановлення обставин розслідуваної події по справах даної категорії на початковому етапі розслідування є обшук і виїмка, допит свідків і підозрюваних. Особливості здійснення названих слідчих дій визначаються самою специфікою використання, накопичення і зберігання комп’ютерної інформації на різних носіях.

Місць вчинення злочину, пов’язаних з використанням засобів комп’ютерної техніки може бути декілька, а саме:
  • місце безпосередньої обробки і постійного зберігання інформації, яка стала предметом злочинного посягання;
  • місце безпосереднього використання технічних засобів для неправомірного доступу до комп’ютерної інформації, яка знаходиться в іншому віддаленому місці (попередньо орендовані приміщення, спеціально обладнані автомобілі тощо);
  • місце зберігання інформації на машинних носіях, отриманої в результаті несанкціонованого доступу до комп’ютерної системи чи мережі, яка знаходиться в інших місцях;
  • місце безпосереднього використання результатів несанкціонованого доступу до комп’ютерної інформації.

Доцільним є формування двох груп типових слідів, пов’язаних з комп’ютерними злочинами, а саме – матеріальних (речових) і інформаційних.

До матеріальних можна віднести:
  • сліди, які залишаються на засобах комп’ютерної техніки (сліди пальців рук, мікрочастинки – на клавіатурі, дисководах, принтері тощо);
  • сліди, які залишаються на робочому місці злочинця, а саме рукописні записи, які безпосередньо пов’язані зі злочинною діяльністю;
  • сліди, які залишаються на засобах захисту інформації (спеціальних електронних картках, електронних ключів доступу до персонального комп’ютера, пристроях упізнання користувача).

До інформаційних слідів належать:

  • сліди, які вказують на зміни заданої файловій структурі.

Організація та проведення огляду по справах про комп’ютерні злочини відрізняються від огляду традиційних злочинів. Це обумовлено не тільки небезпекою умисного знищення інформації, яка має доказове значення, з боку ще не встановлених учасників вчинення злочину, інших зацікавлених осіб, але і необережною поведінкою слідчого та інших учасників слідчо-оперативної групи, які можуть пошкодити інформацію, знищити сліди у результаті неправильного, некваліфікованого поводження з програмно-апаратними засобами.

Однією з найважливіших умов проведення огляду є суворе дотримання встановлених правил поводження з комп’ютерною технікою і носіями інформації, технічно грамотне проведення пошуку доказів, потрібної інформації.

Підготовчий етап проведення огляду

Особливості підготовчого етапу проведення огляду полягають у виконанні заходів, які стосуються:

1) забезпечення цілісності та охорони місця проведення огляду (відмова від допомоги осіб з числа співробітників постраждалої організації, блокування та охорона приміщень тощо);

2) отримання інформації про комп’ютерну систему, яка підлягає огляду (комп’ютер, робоча станція, сервер; вид (тип) програмного забезпечення, яке використовується), в т.ч.:

а) способу використання комп’ютерної техніки при вчиненні злочину (знаряддя, засоби вчинення злочину або об’єкта злочинного посягання);

б) програмного забезпечення та носіїв інформації, які необхідно вилучати;

в) особи (осіб), підозрюваних у скоєнні злочину, його (їх) професійних навичок володіння комп’ютерною технікою, з урахуванням засобів вчинення злочину і способів подолання інформаційного захисту, можливих дій по знищенню інформації та приховування слідів злочину;

г) кількості та розташування приміщень, наявності мережі, в місці, де повинен бути проведений огляд;

д) видів електронної інформації, що зберігається, та її місцезнаходження;

3) запрошення спеціалістів – фахівців з експлуатації програмних засобів, фахівців зі створення програм для ЕОМ, інженерів з технічної експлуатації та ремонту ЕОМ;

4) запрошення понятих (як понятих слід запрошувати людей, які розуміють в комп’ютерній техніці);

5) підготовки відповідної комп’ютерної техніки, яка буде використовуватися для зчитування і зберігання вилученої інформації;

6) проведення інструктажу учасників слідчо-оперативної групи;

7) спостереження за поведінкою всіх осіб, які знаходяться в приміщенні, де проводиться огляд;

8) прояви особливої обережності при поводженні з комп’ютерною технікою, створення умов фахівцеві для роботи з нею.

Особливість початкового етапу огляду полягає в тому, що на цьому етапі проводиться:

  • перевірка ефективності блокування та охорони приміщень, виведення сторонніх осіб;
  • з’ясування кількості приміщень з комп’ютерною технікою, розташування і розподіл її в різних приміщеннях;
  • опитування очевидців, осіб, які виявили наслідки комп’ютерного злочину, або працівників служби комп’ютерної безпеки (якщо такі є);
  • планування огляду (визначення послідовності та порядку власних дій і дій учасників огляду).
Робочий етап
Характеризується такими особливостями:
  1. Усі дії з комп’ютерною технікою проводяться фахівцем в області інформаційних технологій.
  2. В першу чергу огляду підлягає комп’ютерна техніка, яка знаходиться в робочому (увімкненому) стані. Приступаючи до огляду комп’ютера, слідчий і фахівець, який безпосередньо виконує всі дії на комп’ютері, повинні дотримуватися наступних вимог:
  • перед вимиканням комп’ютера, при можливості, закрити всі запущені на комп’ютері програми (необхідно пам’ятати, що некоректний вихід з деяких програм може викликати знищення інформації або зіпсувати саму програму);
  • вжити заходів щодо встановлення пароля доступу до захищених програм;
  • відключити електроживлення всіх комп’ютерів, опечатати їх і вилучити разом з магнітними носіями для дослідження інформації в лабораторних умовах;
  • при необхідності, консультації варто отримувати у різних осіб персоналу підприємства шляхом опитування або допиту, який дозволить отримати максимально правдиву інформацію і уникнути нанесення умисної шкоди;
  • при вилученні технічних засобів додаткові периферійні пристрої (принтери, стримери, модеми, сканери тощо) доцільно вилучати тільки в тому випадку, якщо на них працювали підозрювані, або якщо у слідства є питання щодо їх працездатності. Якщо ж для слідства важливою є тільки інформація, то вилучати периферійні пристрої не обов’язково;
  • при наявності локальної обчислювальної мережі необхідно мати значну кількість фахівців для додаткового дослідження цієї мережі;
  • слід вилучати всі комп’ютери (системні блоки) і магнітні носії (накопичувачі на жорстких і гнучких магнітних дисках, компакт-диски, DVD-диски, ZIP, дискети тощо);
  • провести ретельний огляд документації, звертаючи особливу увагу на робочі записи операторів, тому що часто саме в цих записах недосвідчених користувачів можна знайти коди, паролі і іншу дуже корисну інформацію;
  • скласти список всіх позаштатних і тимчасово працюючих фахівців організації (підприємства), з метою виявлення програмістів і інших фахівців у галузі інформаційних технологій, які працюють у даній установі. Бажано встановити їх паспортні дані, адреси і місце постійної роботи;
  • записати дані всіх людей, які знаходяться в приміщенні на момент приходу слідчої групи, незалежно від пояснення причини перебування їх у даному приміщенні;
  • скласти список усіх співробітників підприємства, що мають доступ до комп’ютерної техніки або часто перебувають у приміщенні, де знаходяться комп’ютери.

При наявності можливості безпосереднього доступу до комп’ютера і при відсутності всіх небажаних ситуацій, слідчий і фахівець приступають до огляду, до того ж вони повинні чітко пояснювати всі свої дії понятим.

  1. Необхідно встановити наявність у комп’ютера зовнішніх пристроїв віддаленого доступу до системи (підключення до локальної мережі, наявність модему).
  2. По можливості необхідно зробити точну інформаційну копію машинного носія.
  3. Використовувати в протоколі слідчої дії тільки комп’ютерну термінологію.
  4. Всі дії на комп’ютерній техніці фіксуються за допомогою фото та відеотехніки.
До особливостей огляду та попереднього дослідження носіїв комп’ютерної інформації слід віднести наступні:
  1. Всі виявлені носії інформації вилучаються, упаковуються і спрямовуються на комп’ютерно-технічне дослідження.
  2. У протоколі фіксуються назви, серії і номери пристроїв, які вилучаються, наявні на них сліди впливу, дефекти, інші індивідуальні ознаки. При цьому повинні бути встановлені:
  • конфігурація комп’ютера з чітким описом всіх комплектуючих (при наявності такої можливості) і пристроїв;
  • назви моделей і серійні номери кожного з пристроїв, якщо вони нанесені на ці пристрої, де відмітками чітко зазначено, що це серійний номер – “Serial Number”, “Serial N” або “S/N” та інша інформація з заводських наклейок;
  • інвентарні номери, які присвоюються бухгалтерією при постановці обладнання на баланс підприємства.
  1. У разі необхідності безперервного функціонування комп’ютерної системи (наприклад, для керування виробництвом, здійснення банківських операцій), якщо його зупинка на час проведення розслідування може спричинити значні збитки, інформація, яка піддалася впливу, копіювання на резервний носій (носії).

Типові помилки при проведенні слідчих дій та рекомендації для їх запобігання.

Можна виділити деякі правила роботи з комп’ютерами, вилученими при розслідуванні злочинів у сфері комп’ютерної інформації, а також запропонувати загальні рекомендації, які можуть бути корисні при обробці комп’ютерних доказів в операційних системах DOS чи Wіndows.

Помилка 1. Робота на комп’ютері.

Головне правило, що неухильно повинне виконуватися, полягає в тому, щоб ніколи і ні при яких умовах не працювати на вилученому комп’ютері. Це правило встановлює, що вилучений комп’ютер-насамперед об’єкт дослідження фахівців, речовий доказ. Тому його бажано навіть не включати до передачі експертам, оскільки категорично заборонено виконувати будь-які програми на вилученому комп’ютері без вживання необхідних заходів безпеки (наприклад, захисту від модифікації або створення резервної копії). Якщо на комп’ютері встановлена система захисту (наприклад, пароль), то його включення може викликати знищення інформації, що знаходиться на жорсткому диску. Не допускається завантаження такого комп’ютера з використанням його власної операційної системи.

Таке застереження пояснюється досить просто: злочинцеві зовсім неважко встановити на своєму комп’ютері програму для знищення інформації на жорсткому чи гнучкому магнітному диску, записавши спеціальні програми-“пастки” в операційну систему.

Після того, як сама програма знищила дані, ніхто не зможе з певністю сказати, чи був “підозрюваний” комп’ютер спеціально оснащений такими програмами, або це результат недбалості при дослідженні комп’ютерних доказів.

Помилка 2. Допуск до комп’ютера власника або користувача комп’ютера.

Серйозною помилкою є допуск до досліджуваного комп’ютера власника для отримання допомоги при його експлуатації. У багатьох зарубіжних літературних джерелах описуються випадки, коли підозрюваному на допитах, пов’язаних з комп’ютерними злочинами, був наданий доступ до вилученого комп’ютера. Пізніше він розповідав своїм знайомим, як шифрував файли прямо під носом у поліцейських”, а ті про це навіть не здогадувалися. Враховуючи такі наслідки, фахівці з комп’ютерних досліджень почали робити резервні копії комп’ютерної інформації перед тим, як надавати до них доступ.

Інша проблема пов’язана з можливістю спростування в суді ідентичності пред’явленого на процесі програмного забезпечення, яке перебувало на даному комп’ютері до вилучення. Щоб уникнути таких ситуацій комп’ютер потрібно не включаючи, опечатати у присутності понятих. Якщо ж співробітник правоохоронних органів приймає рішення оглянути комп’ютер на місці, перше, що варто зробити – це зняти копію жорсткого магнітного диска і всіх носіїв інформації, які будуть вилучатися як речові докази. Це означає, що до проведення будь-яких операцій з комп’ютером необхідно зафіксувати його стан на момент проведення слідчих дій.

Помилка 3. Відсутність перевірки комп’ютера на наявність вірусів і програмних закладок.

Для перевірки комп’ютера на наявність вірусів і програмних закладок необхідно проводити завантаження комп’ютера не з операційної системи, яка знаходиться на ньому, а зі своєю попередньо підготовленої дискети, або зі стендового жорсткого диска. Перевірці підлягають усі носії інформації – дискети, компакт-диски, жорсткі диски та інші носії. Цю роботу варто робити залученим для участі в слідчих діях фахівця з допомогою спеціального програмного забезпечення.

Не можна допустити, щоб у суді з’явилася можливість звинуватити слідство у навмисному зараженні комп’ютера вірусами, в некомпетентності при проведенні слідчих дій або просто в недбалості, оскільки довести, що вірус був у комп’ютері до початку дослідження, навряд чи можливо, а подібне звинувачення поставить під сумнів всю працю експерта та достовірність його висновків.

Це найбільш типові помилки, які часто зустрічаються при дослідженні комп’ютерів у справах, пов’язаних з розслідуванням комп’ютерних злочинів.

Для запобігання помилок при проведенні слідчих дій на початковому етапі розслідування, які можуть привести до втрати або руйнування комп’ютерної інформації, потрібно дотримуватися заходів безпеки.

Рекомендація 1. Резервне копіювання інформації.

При обшуках і виїмках, пов’язаних з вилученням комп’ютерів, магнітних носіїв інформації, виникає ряд загальних проблем, пов’язаних зі специфікою технічних засобів, що вилучаються. Необхідно передбачати заходи безпеки, що здійснюються злочинцями з метою знищення комп’ютерної інформації. Наприклад, вони можуть використати спеціальне обладнання, в критичних випадках утворює сильне магнітне поле, яке знищує магнітні записи. Подібне обладнання під назвою «Утилізатор інформації ЛАВИНА» було розроблено ТОВ «ЕПОС» і на даний час проходить сертифікаційні випробування. Для повного знищення інформації на одному носії «ЛАВИНИ» потрібно всього 0,1 секунди.

Під час обшуку всі електронні докази, які знаходяться у комп’ютері чи комп’ютерній системі повинні бути зібрані таким чином, щоб потім були визнані судом. Світова практика свідчить, що у великій кількості випадків під тиском представників захисту в суді електронні докази не приймаються до уваги. Для того, щоб гарантувати їх визнання як доказів, необхідно суворо дотримуватися вимог процесуального законодавства.

Як правило, перед проведенням будь-яких досліджень комп’ютерних носіїв створюються точні копії. Але робити копії комп’ютерних файлів, використовуючи тільки стандартні програми резервного копіювання, недостатньо. Речові докази можуть існувати у формі знищених або прихованих файлів, а дані, пов’язані з цими файлами, можна зберегти тільки за допомогою спеціального програмного забезпечення (у найпростішому вигляді це можуть бути програми типу SafeBack, а для дискет буває достатньо програми DOS Dіskcopy).

Магнітні носії, на які планується проводити копіювання інформації, повинні бути попередньо підготовлені (необхідно впевнитись, що на них відсутня будь-яка інформація). Бажано використовувати нові носії. Носії потрібно зберігати у спеціальних упаковках або загортати у чистий папір. Слід пам’ятати, що інформація може бути зіпсована вологістю, температурним впливом або електростатичними і магнітними полями.

Рекомендація 2. Виявлення та копіювання тимчасових файлів.

Переважна більшість текстових редакторів і систем управління базами даних створюють тимчасові файли як побічний продукт нормальної роботи програмного забезпечення. Користувачі комп’ютерів зазвичай не усвідомлюють важливості створення цих файлів тому, що вони, як правило, знищуються програмою в кінці сеансу роботи. Однак дані, що містять ці знищені файли, які можуть опинитися найціннішими. Особливо, якщо вихідний файл зашифрований або документ з текстом був роздрукований без збереження на диску, такі файли можуть бути відновлені.

Рекомендація 3. Перевірка файлу підкачки Swap Fіle.

Популярність Mіcrosoft Wіndows привнесла деякі додаткові кошти щодо дослідження комп’ютерної інформації. Файл підкачки Swap Fіle працює як дискова пам’ять або величезна база даних та багато тимчасових фрагментів інформації або навіть весь текст документа може бути знайдений в цьому Swap файлі.

Рекомендація 4. Порівняння копій текстових документів.

Копії текстових файлів часто можна знайти на жорсткому або гнучкому магнітному диску. Вони можуть містити незначні зміни між версіями одного документа, які можуть мати доказову цінність. Ці розбіжності можна легко ідентифікувати за допомогою найбільш сучасних текстових редакторів.

Рекомендація 5. Перевірка та аналіз роботи комп’ютерної мережі.

Комп’ютери можуть бути з’єднані між собою в комп’ютерну мережу (наприклад, локальну), яка, в свою чергу, може бути з’єднана з іншою мережею через глобальні комп’ютерні мережі (наприклад, Інтернет). Тому не виключається ситуація, коли певна інформація (яка може бути використана як доказ) буде передана через мережу на інший комп’ютер. Не виключено також випадок, що це місце буде перебувати за кордоном або на території декількох країн. У такому разі необхідно використовувати всі можливості (вивчення документації, опитування, технічні можливості системи) для встановлення місцезнаходження іншої комп’ютерної системи, куди була передана інформація. Як тільки це буде зроблено, необхідно терміново надіслати запит з дотриманням встановлених вимог про надання допомоги (або правової допомоги, якщо така необхідна для вирішення поставлених питань) до компетентного правоохоронного органу відповідної країни (за встановленим офіційним каналам, наприклад, Інтерпол). Саме на цьому етапі виникають найбільші труднощі в організації роботи щодо розслідування злочину, яке було вчинене з допомогою комп’ютерних технологій.

Особливу цінність при розслідуванні комп’ютерних мережах відіграють так звані «логи», тобто, інформація, яка міститься в текстових файлах з розширенням log. «Логи» можуть зберігатися в комп’ютерних системах на різному рівні: операційній системі, спеціально встановленому програмному забезпеченні (наприклад, програмний аудит безпеки), окремих модулях баз даних, і, навіть, в деяких прикладних програмах. Фізично ця інформація може знаходитися в різних місцях – від робочої станції і серверу мережі до віддаленого сервера.

Підсумовуючи вищевикладене, слід зауважити, що при будь-яких діях, пов’язаних з розслідуванням злочинів у сфері використання комп’ютерних технологій (особливо – вилучення інформації та комп’ютерного обладнання), з метою недопущення вищенаведених помилок є доцільним залучення спеціаліста (спеціалістів) у галузі інформаційних технологій, найбільші труднощі в організації роботи щодо розслідування злочину, яке було вчинене з допомогою комп’ютерних технологій.

Комп’ютерно-технічна експертиза об’єкти :
  • Системні блоки комп’ютерів та їх комплектуючі, ноутбуки;
  • Периферійні пристрої (принтери, сканери, дисководи, модеми тощо), комунікаційні пристрої комп’ютерів та обчислювальних мереж;
  • Магнітні носії інформації (накопичувачі на жорстких і гнучких магнітних дисках, оптичні диски, карти флеш-пам’яті);
  • Електронні записні книжки, пейджери, мобільні телефони та інші електронні носії текстової та цифрової інформації.
Вимоги до об’єктів, які направляються на комп’ютерно-технічну експертизу:
  • Системні блоки комп’ютерів та інші пристрої повинні бути упаковані та опечатані таким чином, щоб виключити будь-яку можливість їх пошкодження, включення в мережу і розбирання;
  • У протоколі повинно бути зазначено місце, час вилучення, а також зовнішній вигляд предметів і документів, які направляються на експертизу;
  • При вилученні комп’ютерів і електронних носіїв інформації, їх варто упаковувати в поліетиленовий (або полотняний) пакет і далі опечатувати вже сам пакет. Носії інформації також можна упакувати в картонну або пластмасову коробку і потім її опечатати. Варто зробити на окремому аркуші паперу докладний опис упакованих носіїв (тип кожного з них, їх кількість). Коробку з носіями і опис помістити в поліетиленовий пакет, який потім заклеїти;
  • під час перевезення комп’ютерних засобів необхідно вжити заходів щодо запобігання їх ушкодженню та взаємодії з хімічно активними речовинами.

Порядок надання об’єктів для комп’ютерно-технічна експертиза детально регламентований науково методичними рекомендаціями з питань підготовки та призначення судових експертиз, затверджених наказом Міністерства юстиції України № 53/5 від 08.10.1998 (із змінами, внесеними згідно з Наказами Міністерства юстиції № 144/5 від 30.12.2004 та № 59/5 від 10.06.2005). Так, п. 119 встановлює, що для дослідження інформації, яка міститься на комп’ютерних носіях, експертові надається сам комп’ютерний носій, а також комп’ютерний комплекс, до складу якого входить досліджуваний носій. У деяких випадках можна обмежитися наданням тільки комп’ютерного носія. Про можливість проведення такого дослідження слід попередньо проконсультуватися з експертом (спеціалістом).

Для встановлення відповідності програмних продуктів певним параметрам експертові надається носій з копією досліджуваного програмного продукту і еталонна (дистрибутивна) копія програмного продукту.

Для дослідження технічного стану комп’ютерної техніки експертові надається сама комп’ютерна техніка, а також технічна документація до неї.

Щоб визначити, які саме об’єкти слід надавати експертові в кожному конкретному випадку, доцільно отримати консультацію експерта (спеціаліста) в галузі комп’ютерної техніки.

Орієнтовний перелік питань, які може вирішувати комп’ютерно – технічна експертиза:

1) технічних засобів:

  • Чи відноситься наданий на дослідження пристрій до апаратних комп’ютерних засобів?
  • До якого типу (марки, моделі) належить апаратний засіб? Вказати його параметри і дати характеристику?
  • Яке функціональне призначення наданого на дослідження апаратного засобу?
  • Яка роль та функціональні можливості даного апаратного засобу в конкретній комп’ютерній системі?
  • Чи відноситься даний апаратний засіб до наданої на дослідження комп’ютерної системи?
  • Чи використовується даний апаратний засіб для вирішення конкретного функціонального завдання?
  • Який фактичний стан (справний, несправний) наданого на дослідження апаратного засобу?
  • Чи є наданий на дослідження апаратний засіб носієм інформації?
  • Який вид (тип, модель, марка) має наданий на дослідження носій інформації?
  • Який пристрій використовується для роботи з даними носієм інформації?
  • Чи входить до складу наданої на дослідження комп’ютерної системи пристрій для роботи з вказаним носієм інформації?
  • Які параметри (об’єм, середній час читання даних, швидкість передачі даних, тощо) має носій інформації?
  • Чи можливо прочитати інформацію з даного носія інформації?

2) програмних продуктів:

  • Яка загальна характеристика наданого на дослідження програмного забезпечення, з яких компонентів (програмних засобів) воно складається?
  • Яку класифікацію мають конкретні програмні засоби (системи або прикладну) наданого на дослідження програмного забезпечення?
  • Які найменування, тип, версію, вид подання (явний, прихований, віддалений), має програмний засіб?
  • Який зміст файлів програмного забезпечення, які їх параметри (обсяг, дата створення, атрибути)?
  • Яке загальне функціональне призначення має програмний засіб?
  • Чи є на цих носіях інформації окремі програмні засоби для реалізації певного функціонального завдання?
  • Які вимоги має даний програмний засіб до апаратних засобів комп’ютерної системи?
  • Чи можливо використання даного програмного засобу для вирішення конкретної функціональної задачі?
  • Який фактичний стан програмного засобу та його працездатність щодо реалізації окремих функцій?
  • Яким шляхом організований ввід вхідних даних і виведення результатів роботи в наданому на дослідження програмному засобі?
  • Чи має програмний засіб захисні можливості (програмні, апаратно-програмні) від несанкціонованого доступу і копіювання?
  • Яким шляхом організовані захисні можливості програмного засобу?

3) інформація, що зберігається та обробляється за допомогою програмно-технічних засобів:

  • Містить цей носій якусь інформацію, і якщо так, то яке її цільове призначення? (Для дослідження інформації, яка міститься на комп’ютерних носіях, експертові надається сам комп’ютерний носій, а також комп’ютерний комплекс, до складу якого входить досліджуваний носій. У деяких випадках можна обмежитися наданням тільки комп’ютерного носія. Про можливість проведення такого дослідження слід попередньо проконсультуватися з експертом (спеціалістом));
  • Які властивості, характеристики та параметри (обсяг, дата створення і редагування, атрибути, тощо), мають дані на носії інформації?
  • У якому вигляді (явному, прихованому, віддаленому) міститься інформація на носії?
  • До якого типу відносяться виявлені дані (текстові, графічні, бази даних, електронні таблиці, мультимедійні, записи пластикової карти тощо) і які програмні засоби для їх обробки присутні на носії інформації?
  • Яким чином організований доступ (вільний, обмежений, тощо) до даних на носії інформації і які його характеристики?
  • Які властивості і характеристики мають виявлені засоби захисту даних та які можливі шляхи їх подолання?
  • Які ознаки подолання захисту (або спроб несанкціонованого доступу) містить носій інформації?
  • Який зміст захищених даних?
  • Які дані для рішення конкретної функціональної задачі містить носій інформації?
  • Які дані з фактами і обставинами конкретної справи містить наданий на дослідження носій інформації?
  • Які дані про власника (користувача) комп’ютерної системи (в т.ч. Імена, паролі, права доступу тощо подібне) містить носій інформації?
  • Чи містить носій інформацію, яка була видалена та чи можливо її відновити?
  • В якому вигляді, якого змісту і з якими характеристиками і атрибутами перебували конкретні дані на даному носії інформації до їх видалення або модифікації?

4) комп’ютерних мереж:

  • Чи є наданий на дослідження обладнання комп’ютерною мережею?
  • Надане на дослідження обладнання є цілісною комп’ютерною мережею або є якоюсь її частиною?
  • До якого типу відноситься комп’ютерна мережа?
  • Який склад і характеристики має комп’ютерна мережа?
  • Чи знаходиться комп’ютерна мережа в робочому стані?
  • Яка система захисту інформації реалізована в даній комп’ютерній мережі?
  • Які характеристики цієї системи захисту? Чи існують можливості для її подолання?
Наведений вище список питань на комп’ютерно-технічна експертиза не є остаточним і може бути розширений, виходячи з обставин конкретної кримінальної справи. При цьому в ситуаціях, які викликають труднощі при формулюванні питань необхідно проконсультуватися з експертом.
swan
Permalink
No comments

Оставить комментарий