Производство осмотра места происшествия

Осмотр места происшествия следует начать с запрещения доступа к средствам вычислительной техники всем лицам, работающим на объек­те.

Принять меры к выявлению и изъятию следов рук, оставшихся на защелках дисководов, кнопках включения питания, участках корпуса около винтов крепления крышки корпуса, клавишах клавиатуры и мыши, разъемах портов и сетевых плат, а также на кнопках печатных уст­ройств. В этих местах обычно остаются следы рук преступников. Кроме того, нельзя исключать возможности доступа в помещение, где нахо­дится компьютерная техника и информация посторонними лицами путем взлома, подбора ключей, в т.ч. паролей к электронным замкам, на ко-

торых также могут остаться следы. При осмотре кабельных соединений

ЛВС требуется убедиться в их целостности, отсутствии следов подклю­чения нештатной аппаратуры.

В связи с возможностью совершения преступлений по сетям теле­коммуникации и локальным вычислительным сетям (ЛВС) необходимо ус­тановить и зафиксировать в протоколе осмотра расположение всех компьютеров в сети, конкретное назначение каждого компьютера, нали­чие сервера, места прокладки кабелей, устройств телекоммуникации (модемов, факс-модемов), их расположение и подключение к каналам телефонной связи. Требуется также выяснить наличие специальных средств защиты от несанкционированного доступа к информации, при­нять меры к установлению ключей (паролей).

При непосредственном осмотре средств вычислительной техники необходимо отразить их размещение в помещении, предназначение, наз­вание (обычно указывается на лицевой стороне), серийный номер, комплектацию (наличие и тип дисководов, сетевых карт, разъемов и др.), наличие и тип подключенных периферийных устройств (принтеров, сканеров, модемов и т.д.), наличие соединения с ЛВС и (или) сетями телекоммуникации, состояние устройств (целое или со следами вскры­тия).

Описывая внешнее состояние вычислительной техники, нужно обра­щать внимание на места подключения (например, соединительный кабель между коммуникационными портами принтера и системным блоком компь­ютера) периферийных устройств, винты крепления крышек корпуса, по­верхности под системным блоком, монитором и другими устройствами. Обычно в этих местах происходит скопление пыли, а значит могут ос­таться следы, характер или отсутствие которых должно быть отражено в протоколе. Также, должны быть отмечены наличие и состояние всех пометок, пломб, специальных знаков и наклеек (инвентарных номеров, записей на память, контрольных маркеров фирм-продавцов и др.), на­несенных на корпуса и устройства компьютеров, наличие загрязнений, механических повреждений и их локализация.

При осмотре средств электронно-вычислительной техники рекомен­дуется независимо от того, включен компьютер или нет, описать в протоколе положение всех переключателей на всех блоках и устройс­твах. При наличии включенной техники зафиксировать в протоколе ос­мотра состояние индикаторных ламп (включены или нет, каким цветом горят, мигают и с какой частотой), а также информацию, высвечивае-

мую на всевозможных индикаторах и табло. Описать информацию, высве­чиваемую на мониторе, при этом необходимо учитывать, что для пре­дотвращения выгорания экрана в большинстве компьютеров используют специальные заставки - хранители экрана, которые могут быть защище­ны паролем. В протоколе также должен быть зафиксирован вид этого хранителя. В дополнение к протоколу, кроме составления схемы распо­ложения компьютеров и периферийных устройств в помещении и соедине­ния компьютеров в сети, с помощью видео- или фотосъемки рекоменду­ется зафиксировать информацию на экране монитора, индикаторных па­нелях, положение переключателей и состояние индикаторных ламп всех устройств компьютерной системы, о чем сделать соответствующие запи­си в протоколе.

Перед выключением питания требуется корректно завершить все исполняемые в данный момент программы, по возможности сохранить всю промежуточную информацию (тексты, информацию состояния, содержание буферов обмена и др.) в специальных файлах, если возможно - на от­дельных дискетах, в противном случае на жестком диске компьютера. В протоколе указать имена этих файлов, вид информации, сохраняемой в каждом, расположение файлов (наименование дискет и их маркировку или логический диск и каталог на винчестере компьютера); выключить компьютер, который подвергся воздействию, а при наличии сети требу­ется выключить все компьютеры в сети. Если из-за особенностей функ­ционирования системы это невозможно, то следует принять все меры для исключения доступа к информации данного компьютера, по возмож­ности снять с нее копию и принять меры для фиксации всех изменений информации, которые будут происходить впоследствии.

В ходе осмотра внутреннего устройства компьютера необходимо с помощью специалиста установить наличие внутри компьютера нештатной аппаратуры, следов противодействия аппаратной системы защиты - раз­рушение или временное изъятие микросхем, отключение внутреннего ис­точника питания (аккумулятора).

При осмотре места происшествия, также следует обращать особое внимание на записи, относящиеся к работе компьютерной техники. В них могут оказаться сведения о процедурах входа-выхода с компьютер­ной системой, пароли доступа и т.п.