Поиск информации и фиксация ее наличия на компьютерных носителях (жесткие диски, съемные носители)

Информационно-компьютерная экспертиза – представляет собой один из видов судебных компьютерно-технических исследований. Предметом данного анализа являются цифровые данные – то есть информация, содержащаяся в компьютерной системе. Информационно-компьютерная экспертиза по праву считается ключевым исследованием в данной группе, так как дает возможность подытожить следственные мероприятия, так как окончательно отвечает на большинство вопросов, связанных с цифровыми данными. В процессе осуществления этой экспертизы специалист ставит перед собой цели поиска, сбора, исследования и экспертной оценки обнаруженной информации. Данная информация была собрана и сохранена пользователем или порождена действиями специального программного обеспечения для сопровождения рабочих процессов в исследуемой компьютерной системе.

Изучение информационного содержимого дает весьма разнообразные результаты, так как исследует совершенно разные данные. Анализ информации позволяет выявить следы работы программ и приложений, определить транзакции, совершенные посредством информационных сетей, а также отследить деятельность и намерения пользователя компьютера на основании сохраненных (или даже удаленных) им файлов в персональном компьютере.

Для оценки содержания обнаруженной информации и ее квалификации как относящейся к определенной группе могут быть привлечены соответствующие специалисты – лингвисты, культурологи, психологи  и так далее. Например, на исследуемом носителе могут содержаться данные, которые можно рассматривать как порнографические, разжигающие межнациональную рознь, содержащие высказывания, унижающие чьи-либо честь и достоинство и так далее.

Тем не менее, работа с информацией требует глубоких познаний в сфере информационных технологий и способов компьютерного хранения данных, так как содержимое накопителей информации необходимо сначала обнаружить и извлечь, то есть перевести в формат, доступный для восприятия специалистов. Опыт сотрудника организации, проводящей информационно-компьютерную экспертизу, а также уровень его профессиональной компетенции играет важнейшую роль в получении исчерпывающего и достоверного исследования и достижении целей, которые преследует инициатор проведения анализа.

ЗАДАЧИ, РЕШАЕМЫЕ ПРИ ПРОИЗВОДСТВЕ ИНФОРМАЦИОННО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ

Информационно-компьютерная экспертиза предназначения для исследования весьма широкого круга проблем, основывающегося на разнообразии изучаемых данных. Кроме того, эксперт выполняет большой объем мероприятий, связанных с получением и обработкой информации, а не только с анализом извлеченных данных. Экспертиза способна решать следующие задачи:

  • Определение способа форматирования носителя информации и способа записи данных на него.
  • Выявление специфических характеристик физического размещения информации на исследуемом накопителе данных.
  • Выявление специфических характеристик логического размещения информации на исследуемом накопителе данных.
  • Выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики.
  • Определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация.
  • Определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны.
  • Установление способа организации доступа к имеющимся на носителе данным, а также его характеристик.
  • Выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов.
  • Выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа.
  • Установление содержания защищенной информации, хранящейся на носителе.
  • Установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях.
  • Выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее.
  • Установление предназначения данных и его пользовательских свойств.
  • Выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач.
  • Выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу.
  • Поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы) имеются на представленных для исследования накопителях информации.
  • Установление совпадений данных в компьютере и в представленных на экспертизу документах.
  • Установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий.

ПРОЦЕДУРА ПРОВЕДЕНИЯ ИНФОРМАЦИОННО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ

Информационно компьютерная экспертиза представляет собой довольно сложный вид исследования, так как собственно анализ информации предваряется кропотливой и, зачастую, продолжительной работой по извлечению данных из имеющихся носителей. Подобная экспертиза может быть проведена по постановлению следствия, судебных органов, а также по инициативе физического или юридического лица. Судебная информационно-компьютерная экспертиза проводится как в государственных экспертных бюро, так и в негосударственных экспертных центрах.

Для того, чтобы инициировать проведение информационно-компьютерной экспертизы, необходимо заключить договор с экспертным центром на оказание услуги по осуществлению исследования. Договор заключается после предварительной консультации, в течение которой определяется разновидность требующегося исследования, объем предстоящей работы, цели экспертизы, поставленные перед экспертом сроки проведения и стоимость исследования. Все эти данные в обязательном порядке вносятся в договор, подписываемый перед началом работы эксперта.

После оформления договора, инициатор экспертизы представляет для анализа имеющийся у него материал для исследования:

  • Персональный компьютер или компьютерную систему.
  • Накопители информации.
  • Документы, имеющие отношение к делу.

Получив все необходимые материалы, специалист приступает к выполнению требующихся экспертных мероприятий. На этом этапе данные извлекаются и тщательно изучаются. Кроме того, изучается техническая сторона вопроса – особенности хранения данных, хронология изменения файлов, способ организации хранения информации и так далее.

По окончании работы специалист формулирует экспертное заключение. Оно представляет собой результат проделанной исследователем работы, а также основной смысл проведения анализа. Экспертное заключение обладает доказательной силой и может быть предъявлено в ходе судебного заседания в качестве аргумента одной из сторон. Экспертное заключение содержит описание всех произведенных экспертом действий, описание представленных на анализ материалов (при необходимости – с фотографиями объектов), копии изученных документов. Кроме этого, в заключение вносятся выводы эксперта и ответы на поставленные перед ним в начале исследования вопросы.

СЛУЧАИ, В КОТОРЫХ НЕОБХОДИМО ПРОВЕДЕНИЕ ИНФОРМАЦИОННО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ

Данный вид исследования требуется в различных случаях, связанных со спорными ситуациями, в которых информационное содержимое персонального компьютера (компьютерной системы или накопителя данных) является предметом спора или заключает в себе возможные доказательства. Информационно-компьютерная экспертиза производится в следующих случаях:

  • На накопителе данных содержится информация, способная нанести урон жизни или правам человека.
  • Компьютер (компьютерная система, накопитель данных) принадлежит человеку, совершившему преступление, для раскрытия которого необходима информация из данного компьютера (компьютерной системы, накопителя данных).
  • Информационное содержимое компьютера представляет собой предмет спора сторон – например, данные, защищенные авторским правом, патентными свидетельствами и пр.
  • Если человек покончил жизнь самоубийством и предполагается. Что в его компьютере (или ином вместилище данных) содержится информация о причинах подобного поступка.
  • Расследование преступлений. Совершенных посредством применения компьютерных систем.
  • Если необходимо отследить хронологию манипуляций, совершавшихся с данными на данном персональном компьютере (данной компьютерной системе).
  • Если требуется извлечь информацию и установить ее содержимое.

ПРАВОВАЯ БАЗА ДЛЯ ПРОВЕДЕНИЯ ИНФОРМАЦИОННО-КОМПЬЮТЕРНОЙ ЭКСПЕРТИЗЫ

Эксперт, проводящий исследование, несет за полученный результат личную ответственность, так как ставит свою подпись под экспертным заключением. Кроме того, специалист по осуществлению информационно-компьютерной экспертизе может быть привлечен к даче показаний в суде с целью разъяснения сделанных им выводов. Любой эксперт несет уголовную ответственность за обнародование в процессе суда заведомо ложной информации, равно как и за составление заведомо ложного экспертного заключения. Данная ответственность эксперта закреплена в статье 307 Уголовного кодекса РФ.

ВОПРОСЫ, КОТОРЫЕ СТАВЯТСЯ ПЕРЕД ЭКСПЕРТОМ, ОСУЩЕСТВЛЯЮЩИМ ИНФОРМАЦИОННО-КОМПЬЮТЕРНУЮ ЭКСПЕРТИЗУ

Список вопросов напрямую зависит от характера представленных для проведения экспертизы объектов, а также от предмета и цели исследования. Вследствие чего, перечень вопросов формируется индивидуально для каждого случая проведения исследования на этапе предварительной консультации и подготовки договора на осуществление экспертизы. В общем случае, вопросы, адресованные специалисту по выполнению информационно-компьютерной экспертизы, формулируются следующим образом:

  1. Какова степень совпадения действий пользователя и специальных правил эксплуатации данного персонального компьютера (компьютерной системе)?
  2. Содержит ли данный носитель информации какие-либо данные?
  3. В каком формате содержатся данные на носителе?
  4. Файлы какого типа содержатся на представленном для анализа носителе данных?
  5. Имеются ли на данном накопителе данных какие-либо средства защиты от копирования или несанкционированного доступа?
  6. Присутствуют ли на анализируемых носителях зашифрованные, скрытые, защищенные паролем или удаленные данные?
  7. Какова хронология действий пользователя относительно определенного процесса?
  8. Какие программные продукты, предназначенные для решения определенной задачи, присутствуют в представленном персональном компьютере (компьютерной системе)?
  9. Имеется ли связь между определенными операциями с данными (удаление, изменение, ввод данных) и произошедшим событием, например, сбои в работе компьютерной системы, отключение электричества и пр.?
  10. Каким образом механизм выполнения данной задачи отображен в зафиксированных на носителе данных?
  11. Каково было первоначальное состояние данных?
  12. Какие данные, содержащиеся в представленных для проведения экспертизы документах, находятся в компьютерной системе?
  13. Каковы потребительские свойства данных, обнаруженных в представленных накопителях информации?
  14. Каково их функциональное предназначение?
  15. Присутствуют ли признаки имевших место попыток преодоления защитной системы компьютера?
  16. Каково содержание закодированных (защищенных паролем) файлов?
  17. Каким образом организован механизм доступа к содержащимся на носителе данным?
  18. Каков перечень имеющихся в исследуемом компьютере (компьютерной системе) файлов?

Связаться с нами: