§3. Специфика обращения с машинными носителями компьютерной информации

В ходе расследования преступлений в сфере компьютерной информации, а также иных преступлений, при которых следователю приходится обращаться к операциям с машинными носителями информации необходимо учи­тывать специфику обращения с машинными носителями компьютерной информации. Данные рекомендации, по­зволяющие учесть существующий опыт, и весьма совре­менные сегодня, носят главным образом методический характер и со временем могут стать банальными, так как это произошло, например, с методами изъятия отпечатков пальцев на месте происшествия.

Специфика обращения с машинными носителями ком­пьютерной информации заключается в соблюдении общих правил обращения с вычислительной техникой и носите­лями информации. Несоблюдение этих правил может привести к потере важной для расследования информации и нанесению материального ущерба.

Общими правилами обращения с вычислительной тех­никой и носителями информации являются следующие:

• все включения (выключения) компьютеров и других тех­нических средств производятся только специалистом или под его руководством;

• применение средств криминалистической техники — магнитных искателей, ультрафиолетового осветителя, инфракрасного преобразователя, во избежание разруше­ния носителей информации и микросхем памяти ЭВМ, должно быть согласовано со специалистом;

• необходимо исключить попадания мелких частиц и по­рошков на рабочие части компьютеров (разъемы, диско­вод, вентилятор и др.);

• при работе с магнитными носителями информации за­прещается прикасаться руками к рабочей поверхности дисков, подвергать их электромагнитному воздействию, сгибать диски, хранить без специальных конвертов (па­кетов, коробок);

• диапазон допустимых температур при хранении и транс­портировке должен варьироваться в температурных пре­делах от 0 до + 50°;

• со всеми непонятными вопросами, затрагивающими терминологию, устройство и функционирование вычис­лительной техники необходимо обращаться только к специалисту.

Для следственных действий, сопряженных с изъятием ЭВМ, машинных носителей и информации характерны некоторые общие проблемы, связанные со спецификой изымаемых технических средств.

Так, необходимо предвидеть меры безопасности, пред­принимаемые преступниками с целью уничтожения веще­ственных доказательств. Ими может, например, использо­ваться специальное оборудование, в критических случаях создающее сильное магнитное поле, стирающее магнитные записи. Известна легенда о хакере, который создал маг­нитное поле в дверном проеме такой силы, что оно унич­тожало магнитные носители информации при выносе их из его комнаты. Преступник имеет возможность включить в состав программного обеспечения своей машины програм­му, которая заставит компьютер требовать пароль периоди­чески, и если несколько секунд правильный пароль не введен, данные в компьютере автоматически уничтожатся.

Изобретательные владельцы компьютеров устанавливают иногда скрытые команды DOS, удаляющие или архиви­рующие с паролями важные данные, если некоторые про­цедуры запуска машины не сопровождаются специальны­ми действиями, известными только им.

Следует иметь в виду возможность возрастания в ходе обыска напряжения статического электричества, которое может повредить данные и магнитные носители. Жела­тельно иметь с собой и использовать устройство для опре­деления и измерения магнитных полей (например, ком­пас). Вещественные доказательства в виде ЭВМ, машин­ных носителей требуют особой аккуратности при транспор­тировке и хранении. Им противопоказаны резкие броски, удары, повышенные температуры, влажность, задымлен-ность (в том числе табачный дым) и запыленность. Все эти внешние факторы могут повлечь потерю данных, ин­формации и свойств аппаратуры.

При проведении обысков и выемок и изъятии машин­ных носителей в протоколах следует детально фиксировать не только факт обнаружения и (или) изъятия того или иного объекта, но и описывать местонахождение этого объекта во взаимосвязи с другими найденными на месте обыска объектами по правилам фиксации результатов ос­мотра.

При невозможности изъятия носителей информации, требуется принять меры к исключению доступа к ним заинтересованных лиц. Идеальным средством обеспечения сохранности вычислительной техники является исключе­ние доступа в помещение, в котором она установлена, с одновременным отключением источников электропита­ния. Если последнее не представляется возможным (ком­пьютер является сервером или рабочей станцией в сети), с помощью специалиста создаются условия только для при­ема информации. В этом случае опечатываются все необ­ходимые узлы, детали, части и механизмы компьютерной системы. Компьютеры и их комплектующие опечатывают­ся путем наклеивания на разъемы листа бумаги и закрепле­ния его краев на боковых стенках компьютера клеем или

клейкой лентой, чтобы исключить возможность работы с ними в отсутствие владельца или эксперта. Магнитные носители упаковываются, хранятся и перевозятся в специ­альных экранированных контейнерах или стандартных дис-кетных или иных алюминиевых футлярах, исключающих разрушающее воздействие ударов, различных электромаг­нитных и магнитных полей и наводок, направленных излу­чений. Пояснительные надписи могут наноситься только на специальные самоклеящиеся этикетки для дискет, при­чем сначала делается соответствующая надпись, а потом этикетка наклеивается на предназначенный для этого учас­ток на дискете. Если на дискете уже имеется этикетка с какой-либо надписью, проставляется только порядковый номер, а пояснительные надписи под этим номером дела­ются на отдельном листе, который вкладывается в коробку.

Недопустимо приклеивать что-либо непосредственно к магнитным носителям, пропускать через них бечеву, про­бивать отверстия, наносить подписи, пометки, печати, прикасаться пальцами или любым предметом к рабочей поверхности носителей, разбирать корпуса лент, винчесте­ров, дискет, сгибать носители, изменять состояние пере­ключателей, подносить близко к источникам электромаг­нитного излучения, сильным осветительным и нагрева­тельным приборам, подвергать воздействию воды и влаги.

Если на объекте было отключено электроснабжение, например, в связи с пожаром или взрывом, то до его включения следует проверить находятся ли все компьютеры и периферийные устройства в отключенном состоянии. Участие специалиста при производстве следственных дей­ствий в данном случае необходимо и потому, что для сокрытия информации на компьютерах могут быть установ­лены специальные защитные программы, которые при оп­ределенных условиях автоматически производят полное или частичное стирание информации.

Транспортировка и хранение компьютерной техники и информации должны осуществляться в условиях, исключа­ющих ее повреждение, в том числе в результате воздейст­вия металлодетекторов, используемых для проверки багажа

в аэропортах. Хранят компьютеры и их комплектующие в сухом, отапливаемом помещении. Следует удостоверить­ся, что в нем нет грызунов, которые иногда являются причиной неисправности аппаратуры.

Учитывая нестандартность обстановки, в которой может производиться осмотр места происшествия, вопрос о воз­можности изъятия компьютерной техники и информации, способе упаковки, транспортировки и хранении изъятых объектов решаются следователем в каждом конкретном случае совместно со специалистом. Процессуальный поря­док изъятия объектов определяется общими требованиями УПК. В качестве понятых при производстве следственных действий рекомендуется привлекать лиц, обладающих спе­циальными познаниями в области компьютерной техники и информатики.