Специфика обращения с машинными носителями компьютерной информации

Прежде чем приступить к осмотру места происшествия, следова­тель и участники следственно-оперативной группы должны знать и соб­людать общие правила обращения с вычислительной техникой и носите­лями информации. Несоблюдение этих правил может привести к потере важной для расследования информации и нанесению материального ущерба, вызванного этими действиями.

Общими правилами обращения с вычислительной техникой и носителями информации являются следующие:

- все включения (выключения) компьютеров и других технических средств производятся только специалистом или под его руководством;

- применение средств криминалистической техники - магнитных искателей, ультрафиолетового осветителя, инфракрасного преобразователя, во избежание разрушения носителей информации и микросхем памяти ЭВМ, должно быть согласовано со специалистом;

- необходимо исключить попадания мелких частиц и порошков на ра­бочие части компьютеров (разъемы, дисковод, вентилятор и др.);

- при работе с магнитными носителями информации запрещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (пакетов, коробок);

- диапазон допустимых температур при хранении и транспортировке должен варьироваться в температурных пределах от 0 до + 50 градусов Цельсия;

- со всеми непонятными вопросами, затрагивающими терминологию, устройство и функционирование вычислительной техники необходимо обращаться только к специалисту.

Для следственных действий, сопряженных с изъятием ЭВМ, машинных носителей и информации характерны ряд общих проблем, связанных со спецификой изымаемых технических средств.

Так, необходимо предвидеть меры безопасности, предпринимаемые преступниками с целью уничтожения вещественных доказательств. Ими может, например, использоваться специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал магнитное поле в дверном проеме такой силы, что оно уничтожало магнитные носители информации при выносе их из его комнаты. Преступник имеет возможность включить в состав программного обеспечения своей машины программу, которая заставит компьютер требовать пароль периодически и, если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся. Изобретательные владельцы компьютеров устанавливают иногда скрытые команды DOS, удаляющие или архивирующие с паролями важные данные, если некоторые процедуры запуска машины не сопровождаются специальными действиями, известными только им.

Следует иметь ввиду возможность возрастания в ходе обыска напряжения статического электричества, которое может повредить данные и магнитные носители. Желательно иметь с собой и использовать устройство для определения и измерения магнитных полей (например, компас). Вещественные доказательства в виде ЭВМ, машинных носителей требуют особой аккуратности при транспортировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность, задымленность (в том числе табачный дым) и запыленность. Все эти внешние факторы могут повлечь потерю данных, информации и свойств аппаратуры.

При проведении обысков и выемок и изъятии машинных носителей в протоколах следует детально фиксировать не только факт обнаружения и (или) изъятия того или иного объекта, но и описывать местонахождение этого объекта во взаимосвязи с другими найденными на месте обыска объектами по правилам фиксации результатов осмотра.

При невозможности изъятия носителей информации, требуется при­нять меры к исключению доступа к ним заинтересованных лиц. Идеальным средством обеспечения сохранности вычислительной техники является исключение доступа в помещение, в котором она установлена, с одновременным отключением источников электропитания. Если последнее не представляется возможным (компьютер является сервером или рабочей станцией в сети), с помощью специалиста создаются условия только для приема информации. В этом случае опечатываются все необходимые узлы, детали, части и механизмы компьютерной системы. Компьютеры и их комплектующие опечатываются путем наклеивания на разъемы листа бумаги и закрепления его краев на боковых стенках компьютера клеем или клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются, хранятся и перевозятся в специальных экранированных контейнерах или стандартных дискетных или иных алюминиевых футлярах, исключающих разрушающее воздействие ударов, различных электромагнитных и магнитных полей и наводок, направленных излучений. Пояснительные надписи могут наноситься только на специальные самоклеящиеся этикетки для дискет, причем сначала делается соответствующая надпись, а потом этикетка наклеивается на предназначенный для этого участок на дискете. Если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер, а пояснительные надписи под этим номером делаются на отдельном листе, который вкладывается в коробку.

Недопустимо приклеивать что-либо непосредственно к магнитным носителям, пропускать через них бечеву, пробивать отверстия, наносить подписи, пометки, печати, прикасаться пальцами или любым предметом к рабочей поверхности носителей, разбирать корпуса лент, винчестеров, дискет, сгибать носители, изменять состояние переключателей, подносить близко к источникам электромагнитного излучения, сильным осветительным и нагревательным приборам, подвергать воздействию воды и влаги.

Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, то до его включения следует проверить находятся ли все компьютеры и периферийные устройства в отключенном состоянии. Участие специалиста при производстве следственных действий в данном случае необходимо и потому, что для сокрытия информации на компьютерах могут быть установлены специальные защитные программы, которые при определенных условиях автоматически производят полное или частичное стирание информации.

Транспортировка и хранение компьютерной техники и информации должны осуществляться в условиях, исключающих ее повреждение, в том числе в результате воздействия металлодетекторов, используемых для проверки багажа в аэропортах. Хранят компьютеры и их комплектующие в сухом, отапливаемом помещении. Следует удостовериться, что в нем нет грызунов, которые часто являются причиной неисправности аппаратуры.

Учитывая нестандартность обстановки, в которой может произво­диться осмотр места происшествия, вопрос о возможности изъятия компьютерной техники и информации, способе упаковки, транспортировки и хранении изъятых объектов решается следователем в каждом конкретно случае совместно со специалистом. Процессуальный порядок изъятия объектов определяется общими требованиями Уголовно-процессуального кодекса Российской Федерации. В качестве понятых при производстве следственных действий рекомендуется привлекать лиц, обладающих специальными познаниями в области компьютерной техники и информатики.