Информационно техническая экспертиза

Рубрики Статьи

Содержание:

Саратовское бюро судебных экспертиз

ПРИМЕРНЫЙ СПИСОК ВОПРОСОВ ПО НАЗНАЧЕНИЮ КОМПЬЮТЕРНО-ТЕХНИЧЕСКОЙ (ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКОЙ) ЭКСПЕРТИЗЫ.

По аппаратным средствам (компьютерные системы и их части):

1. Компьютер какой архитектуры представлен на исследование?
2. Каковы технические характеристики его системного блока и периферийных устройств и соответствуют ли они представленной технической документации?
3. Где и когда изготовлен компьютер и его комплектующие?
4. Вносились ли в конструкцию какие-либо изменения, если да, как могут эти изменения охарактеризовать пользователя? (На данный вопрос эксперт может ответить при наличии документом, описывающих первоначальную конфигурацию системы.)
5. Исправен ли компьютер и его комплектующие, если нет то каковы причины неисправности?
6. Каковы технические характеристики представленной локальной вычислительной сети и соответствует ли ее конфигурация и технические характеристики представленной технической документации?
7. Каковы технические характеристики представленных объектов (электронной записной книжки, контрольно-кассовой машины, сотового телефона и т.д.)?

По программному обеспечению (программные системы и данные):
1. Какие операционные системы установлены на представленном жестком диске?
2. Имеется ли какая-нибудь логическая структура (файловая система) на представленных на исследование носителях информации, если да, то возможно ли восстановить содержание информации?
3. Какое программное обеспечение установлено на представленном на исследование жестком диске каково их назначение, каков алгоритм их функционирования, способы ввода и вывода информации, когда производилась их инсталляция?
4. Являются ли данные программные продукты объектами авторскою права и содержат ли они защиту от нелицензионною использования, если да то в чем она заключается?
5. Вносились ли в программы изменения, если да, какие именно и как они видоизменили программу?
6. Вносились ли изменения, направленные на преодоление ограничений, налагаемых системой на доступ к информации?
7. Содержит ли рассматриваемая система, систему ограничения доступа к информации?
8. Каково содержание скрытой информации?
9. Содержит ли система данные о попытках неправомерного доступа к информации, если да, какие именно?
10. Возможно ли восстановление удаленных файлов, если да, то каково их содержание?
11. Возможно ли установить, каким способом могла произойти утечка информации из системы и если это возможно то установить способ утечки информации?
12. Не вызваны ли сбои в работе компьютера неисправностями аппаратных компонентов, ошибками в программном обеспечении, действиями вредоносной программы?

По носителям информации (диски, ленты):
1. Каков тип представленного магнитного носителя и его технические характеристики (в случае исследования жесткого диска), исправен ли носитель?
2. Какая информация записана на носителе?
3. Имеется ли скрытая информация и каково ее содержание?
4. Имеются ли механические повреждения?
5. Возможно ли восстановление информации, если да, каково ее содержание?
6. Возможно ли изменение информации на носителе?

По информации:
1. Имеется ли па представленных носителях информация, если да, каково её функциональное назначение?
2. Каково содержание информации, хранящейся на внутренних и внешних магнитных носителях?
3. Имеется ли на представленных носителях информация, соответствующая данному образцу?
4. Возможно ли восстановление стертых файлов, если да, каково их содержание?
5. Каково представление информации, содержащаяся на носителях, в читаемой человеком форме?
6. Каким образом организована база данных, какая информация содержится в базе данных, когда она обновлялась в последний раз, имеется ли в ней запись конкретного содержания?
7. Возможно ли внести в базу данных новую информацию, если да, то каким образом?
8. Когда производилась последняя корректировка файла?
9. Возможно ли внести изменения в информацию на представленном носителе?

По документам:
1. Является ли представленный документ распечаткой информации, содержащейся на машинных постелях?
2. Какие аппаратные средства и программное обеспечение использованы для изготовления представленного документа?
3. Каков способ изготовления представленного документа?
4. На представленном ли компьютерном устройстве изготовлен данный документ?

(вернуться к перечню видов экспертиз)

Информационно-техническая экспертиза к омпьютерно-техническая экспертиза.

Наша организация специализируется на проведении компьютерно-технических экспертиз (информационно-техническая экспертиза, информационно-технологическая экспертиза), а также досудебных исследований.

Заключения наших специалистов могут использоваться как при проведении аудита, расследовании инцидента информационной безопасности, при обращении с заявлением в правоохранительные органы или в судебном процессе, например в арбитражном суде.

Заключение по результатам проведения компьютерно-технической (а также информационно-технической или комиссионной экспертизы) может поставить точку в большинстве спорных ситуаций связанных с информационными технологиями.

Компьютерная экспертиза или информационно-техническая экспертиза осуществляемая в процессе судопроизводства (арбитражный суд, уголовное судопроизводство) производится с целью оказания содействия судам, судьям, органам дознания и следователям в установлении обстоятельств, подлежащих доказыванию по конкретному делу.

Компьютерно-техническая экспертиза необходима для исследования информационно-технологических процессов сбора и обработки информации посредством компьютерной техники, сетей и программного обеспечения.

Выделяют информационно-технологическую и информационно-техническую экспертизы.

Объектом информационно-технологической экспертизы является установленный порядок обработки информации, осуществляемый по заданным алгоритмам, или информационная технология, основанная на применении современной информационно-вычислительной техники, средств связи и телекоммуникаций, составляющих основу информатизации общества.

Примеры предметов информационно-технологической экспертизы:

  • проектная документация на разработку и эксплуатацию компьютерных систем и сетей, включающая процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
  • документы в электронном виде, то есть в виде компьютерной информации, с реквизитами, позволяющими их идентифицировать, в том числе конфиденциальная информация;
  • приказы, должностные инструкции, распоряжения, схемы, инструкции, протоколы, договоры, положения, и другие документы, касающиеся эксплуатации компьютерных систем и сетей, отражающие порядок формирования информационных массивов и доступа к ним;

Для расследования компьютерных преступлений и инцидентов информационной безопасности большое значение имеют журналы, лог-файлы и другие виды учета и регистрации ситуаций и обращений в компьютерную систему, сеть или базу данных. Такие данные также изучаются в процессе информационно-технологической экспертизы.

Объектом информационно-технической экспертизы является техническое обеспечение информационной безопасности компьютерных систем и сетей.

Предметы информационно-технической экспертизы у словно их можно разделить на три основные группы:

  • технические средства обработки информации;
  • машинные носители информации (носители компьютерной информации);
  • программные средства и базы данных.

Предметами компьютерно-технической экспертизы являются:

  • технические средства обработки информации (компьютеры — системные блоки, ноутбуки, сетевые устройства, мобильные телефоны),
  • носители компьютерной информации (накопители на жестких дисках («винчестеры»), оптические диски, пластиковые карты),
  • программные средства и базы данных.

Для более подробной консультации по проведению независимой компьютерно-технической экспертизы Вы можете обратиться к нашим экспертам.

Для чего и когда необходима компьютерная (информационно-техническая) экспертиза?

Развитие и совершенствование компьютерных технологий и сферы их применения, внедрение информационных систем во все сферы жизнедеятельности человека кроме упрощения и оптимизации процессов, способствуют появлению новых видов преступных посягательств, объектами которых являются информация и денежные средства.

С каждым годом возрастает количество преступлений, совершаемых с использованием компьютерных технологий, которые задевают как физических так и юридических лиц.

Под прицелом находится неприкосновенность частной жизни, тайны переписки и телефонных переговоров, авторские и смежные права, коммерческая и банковская тайны, денежные средства.

Для эффективности расследований преступлений в сфере компьютерной информации и судебного рассмотрения таких дел требуется проведение независимых и объективных исследований и экспертиз.

Независимая судебная информационно-техническая экспертиза – является видом инженерно-технических экспертиз и может быть назначена в рамках материала проверки по заявлению потерпевшего, постановлением следователя в рамках расследуемого уголовного дела или судьей в ходе судебного разбирательства.

Эксперты и технические специалисты нашей организации имеют большой опыт подготовки заключений для арбитражный судов.

Что содержит информационно-техническая экспертиза?

Компьютерная экспертиза или информационно-техническая экспертиза осуществляется в процессе судопроизводства с целью оказания содействия судам, судьям, органам дознания и следователям в установлении обстоятельств, подлежащих доказыванию по конкретному делу.

Экспертиза содержит исследовательскую часть и выводы эксперта по вопросам, требующим специальных знаний в области компьютерной техники, программного обеспечения и компьютерной информации.

Читайте так же:  Севостьянов адвокат

Эксперт дает заключение, основываясь на результатах проведенных исследований в соответствии со своими специальными знаниями.

Результатом проведения экспертизы является заключение эксперта — письменный документ, отражающий ход и результаты исследований, проведенных экспертом.

Компьютерно-техническая экспертиза со стороны закона

В соответствии со ст. 41 Федерального закона от 31 мая 2001 г. № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» (с изменениями и дополнениями) судебная экспертиза, с соблюдением норм процессуального законодательства Российской Федерации, может производиться вне государственных судебно-экспертных учреждений лицами, обладающими специальными знаниями в определенной области (науки, техники, искусства или ремесла).

На судебно-экспертную деятельность наших экспертов, как негосударственных экспертов, также распространяется действие Федерального закона «О государственной судебно-экспертной деятельности в Российской Федерации».

Эксперты нашей организации проводят независимое полное исследование представленных объектов и материалов, подготавливают и предоставляют обоснованное и объективное заключение по поставленным перед ними вопросами.

При проведении информационно-технической экспертизы обеспечивается сохранность представленных объектов исследований и материалов.

В соответствии с действующим законодательством РФ наши эксперты не имеют права разглашать сведения, которые стали им известны в связи с производством судебной экспертизы, в том числе сведения, которые могут ограничить конституционные права граждан, а также сведения, составляющие государственную, коммерческую или иную охраняемую законом тайну.

Значимость информационно-технической и информационно-технологической экспертиз

Независимая компьютерно-техническая экспертиза является одним из основных доказательств, которые могут указывать на причастность (или непричастность!) и стать основанием при определении виновности (или невиновности!), а также установления истинных причин и обстоятельств произошедшего инцидента информационной безопасности или совершенного компьютерного преступления.

При расследовании компьютерных преступлений должны проводиться специальные судебные экспертизы – информационно-технологическая и информационно-техническая экспертиза.

Проведение указанных судебных экспертиз необходимо для исследования собственно информационно-технологических процессов сбора (накопления, хранения, поиска, актуализации, распространения) информации и представления ее потребителю в условиях функционирования автоматизированных информационных систем и сетей и отдельно взятых технических и иных средств обеспечения этих процессов.

К подобным техническим средствам относятся компьютерные устройства, включающие в себя системный блок, устройство внешней памяти, устройства ввода и вывода информации, периферийные устройства, а также средства связи и телекоммуникации.

Перечень вопросов, которые ставятся перед экспертом зависит от конкретной ситуации (инцидента ИБ) и часто согласовывается с экспертами. Согласование вопросов полезно для получения максимально возможны данных, находящихся на предоставляемых для экспертизы объектах. Например, при хищении денежных средств посредством ДБО есть свой список рекомендуемых вопросов , которые следует включать в постановление о назначении компьютерно-технической экспертизы.

Наши специалисты имеют большой опыт проведения компьютерно-технических экспертиз и во всех нюансах знакомы с требованиями судов, органов следствия и дознания, предъявляемыми к судебным заключениям экспертов и специалистов.

Экспертиза согласно 44 ФЗ

  • Проверка предоставленных поставщиком, подрядчиком или исполнителем результатов, предусмотренных государственным контрактом.
  • Определение соответствия представленного товара или выполненной работы, оказанной услуги условиям государственного контракта.

Эксперты АНО «ЦИБЭС» проводят:

  • исследование услуг по разработке и обслуживанию компьютерных программ (включая СУБД, web-приложения, мобильные приложения, сайты);
  • изучение сетевого и серверного оборудования (коммутаторы, маршрутизаторы, система хранения данных (СХД), дисковые массивы);
  • рабочие станции (системный блок, ноутбук, и пр.) и комплектующих;

Эксперты осуществляют экспертизу в отношении оказания информационно-коммуникационных услуг, программного обеспечения, компьютерного оборудования. Подробнее о проведении экспертизы по 44 ФЗ

Заказать экспертизу

Заказать экспертизу,
получить консультацию:

Компьютерно-техническая экспертиза

Компьютерно-техническая экспертиза — род судебных экспертиз, производимых с целью получения фактических данных путем исследования компьютерных средств, электронных носителей информации, систем, обеспечивающих реализацию информационных процессов.

Компьютерно-техническая экспертиза относится к категории инженерно-технических экспертиз. Она является важным звеном в ряду компьютерных экспертиз, поскольку позволяет комплексно построить целостную систему доказательств. Значимость компьютерно-технической экспертизы объясняется возросшей ролью компьютера в современном мире. Огромное количество правонарушений и преступлений совершается именно с помощью компьютерной техники. Особую актуальность компьютерно-техническая экспертиза и экспертиза компьютерной техники приобретает в уголовных и гражданских делах. Экспертиза компьютеров, аппаратно-технических средств, ПО, баз данных вследствие постоянного совершенствования компьютерной техники и программного обеспечения являются одним из самых сложных видов исследований.

Что исследует эксперт в области компьютерной техники?

Объектом компьютерно-технической экспертизы служат аппаратные объекты:

  • Системные блоки персональных компьютеров и переносные устройства (ноутбуки, нетбуки, планшетные устройства);
  • Периферийные устройства (модем, принтер, сканер, дисплей, дисковод);
  • Компьютерные комплектующие;
  • Сетевые аппаратные средства (сетевые кабели, рабочие станции, серверы);
  • Системное и прикладное программное обеспечение;
  • Информация с компьютерных баз данных;
  • Классификаторы.

Компьютерно-техническая экспертиза рассматривает следующие информационные объекты:

  • Документацию, изготовленную с применением компьютерных средств;
  • Данные в мультимедийном формате;
  • Информацию в базе данных и других приложениях.

В каких случаях необходимо проведение компьютерно-технической экспертизы?

Проведение компьютерно-технической экспертизы необходимо в тех случаях, когда преступление или правонарушение было осуществлено с использованием компьютерных средств или информационных данных, и для установления следов преступления и иной криминалистически значимой информации требуются специальные знания в области компьютерной техники. В частности, компьютерно-техническая экспертиза обеспечивает решение следующих экспертных задач:

  • выявление свойств, качеств, статуса и особенностей использования технических компьютерных систем;
  • установление особенностей разработки и использования программных продуктов (при установлении фактов использования программного обеспечения с нарушением авторских прав его разработчика);
  • установление фактов использования того или иного оборудования при создании документов или совершении иных действий, имеющих отношение к преступлению;
  • получение доступа к информации на носителях;
  • исследования информации, созданной пользователем или программой для реализации информационных процессов;
  • установление особенностей функционирования компьютерных средств, реализующих сетевую информационную технологию.

Какие вопросы ставятся перед экспертом в области компьютерной техники?

При установлении обстоятельств использования компьютерных средств:

  1. Производилось ли подключение внешних носителей информации к представленному компьютеру? Производились ли какие-либо операции с файлами, имеющимися на внешнем носителе в момент подключения? Производилось ли копирование/удаление информации?
  2. Использовался ли представленный компьютер в указанный период времени? Если да, то какие операции с компьютером были проведены в указанный период?
  3. Изменялось ли системное время компьютера в указанный период?

При установлении фактов разработки и использования программного обеспечения:

  1. Содержится ли на представленном компьютере программное обеспечение «…»? Если да, то каковы время и источник его установки, какова версия программного обеспечения, является ли оно работоспособным?
  2. Применялись ли при установке и использовании указанной программы средства защиты авторских прав? Если да, то какие именно средства?
  3. Выполнялись ли в ходе установки представленного программного обеспечения действия, направленные на нейтрализацию средств защиты авторского права?
  4. Соответствует ли разработанное программное обеспечение требованиям технического задания, а также иным нормативным и техническим документам?
  5. Какова дата начала использования системы/оборудования?

При установлении обстоятельств создания и использования документов и баз данных:

  1. Имеются ли признаки того, что документ «…» был изготовлен при помощи компьютерных средств, представленных на исследование?
  2. Содержатся ли в памяти компьютерных средств, представленных на исследование, следы изготовления документа «…»?
  3. Имеются ли на представленных носителях информации сведения о создании документа «. »? Если да, то когда данный документ был создан, когда и какие изменения в него вносились, производилась ли печать документа?
  4. Имеются ли в представленной базе данных сведения о документе «. »? Удалялся ли данный документ из базы данных?
  5. Посредством какой учетной записи было проведено создание или удаление документа и когда?
  6. Возможно ли восстановить информацию с представленного носителя/накопителя информации?

При установлении фактов использования сетевых технологий:

  1. Осуществлялось ли посредством представленной компьютерной техники подключение к сети Интернет?
  2. Какие логины и пароли использовались для подключения и работы в сети Интернет?
  3. В какие временные периоды пользователь был подключен к сети Интернет?
  4. Осуществлялись ли при помощи представленного оборудования вход на почтовый сервер «. » или переписка при помощи программ мгновенного обмена сообщениями? Если да, то каковы реквизиты отправителя и адресатов сообщений? Какие сообщения были приняты или отправлены, когда, от кого и кому?
  5. Осуществлялся ли вход в банк-клиент в период с «…» по «…»? Если да, то сохранилась ли информация о создании и отправке платежного поручения № «…»?

Есть круг вопросов, которые НЕ решаются в рамках компьютерно-технической экспертизы. В сферу компетенции эксперта НЕ входит:

  • определение стоимости компьютерной техники;
  • указание на правомерность/неправомерность действий, которые были произведены с помощью анализируемых объектов;
  • переводы программ, текстов, обнаруженных при анализе.
Читайте так же:  Увольнение без отработки по уходу за ребенком до 3 лет

Эксперт в области компьютерно-технической экспертизы должен обладать специальными знаниями в области автоматизации, информационных систем и процессов, программировании, электротехники, радиотехники. Наличие таких системных знаний позволит специалисту провести качественную экспертизу. Хотя внешне алгоритм компьютерно-технической экспертизы сводится к поиску улик, их анализу и фиксированию в заключении. Кроме того, необходимо обладать лабораторией для проведения компьютерно-технической экспертизы. Наш центр имеет в наличии всю необходимую аппаратуру для проведения компьютерно-технической экспертизы любой сложности. Специалисты в области компьютерно-технической экспертизы не только с высоким качеством проведут исследование, но и представят права заказчика на различных этапах судебных разбирательств.

§ 4. Виды и задачи компьютерно-технической экспертизы

Предмет КТЭ — факты и обстоятельства, устанавливаемые на основе специальных знаний о технологиях разработки и эксплуатации компьютерных средств для реализации информационных процессов. Видовая классификация КТЭ организуется на основе обеспечивающих компонентов любого компьютерного средства (аппаратного (технического), программного и информационного обеспечения). Соответственно этому в КТЭ выделяются: аппаратно-компьютерная экспертиза; программно-компьютерная экспертиза; информационно-компьютерная экспертиза. Кроме того, достаточно оправданным представляется введение еще одного вида КТЭ — компьютерно-сетевой экспертизы. Такое деление на виды КТЭ наиболее полно охватывает технологические особенности, эксплуатационные свойства объектов экспертизы, предъявляемых для исследо-

вания. Данная классификация позволяет уже на ранних этапах становления экспертизы дифференцированно подойти к разработкам методов и методик экспертного исследования. Кратко рассмотрим каждый из видов КТЭ.
Сущность аппаратно-компьютерной экспертизы заключается в проведении исследования технических (аппаратных) средств компьютерной системы. Предметом данного вида КТЭ являются факты и обстоятельства, устанавливаемые на основе исследования закономерностей эксплуатации аппаратных средств компьютерной системы — материальных носителей информации о факте или событии уголовного либо гражданского дела.
Для проведения экспертного исследования программного обеспечения предназначен такой вид КТЭ, как программно-компьютерная экспертиза. Ее видовым предметом являются закономерности разработки (создания) и применения (использования) программного обеспечения компьютерной системы, представленной на исследование в целях установления истины по уголовному или гражданскому делу. Целью программно-компьютерной экспертизы является изучение функционального предназначения, характеристик и реализуемых требований, алгоритма и структурных особенностей, текущего состояния представленного на исследование программного средства компьютерной системы.
Информационно-компьютерная экспертиза (данных) является ключевым видом КТЭ, так как позволяет завершить целостное построение доказательственной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Целью этого вида является поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.
Отдельный вид КТЭ — компьютерно-сетевая экспертиза, в отличие от предыдущих, основывается, прежде всего, на функциональном предназначении компьютерных средств, реализующих какую-либо сетевую информационную технологию. Поэтому исследование фактов и обстоятельств, связанных с использованием сетевых и телекоммуникационных технологий, по заданию следственных и судебных органов в целях установления истины по уголовному или гражданскому делу составляет видовой предмет компьютерно-сетевой экспертизы. Выделение этого вида экспертизы обусловлено тем, что лишь использование специальных познаний в области сетевых технологий позволяет объединить полученные объекты, сведения о них и эффективно решить поставленные экспертные задачи.

Особое место в компьютерно-сетевой экспертизе занимают экспертные исследования по уголовным и гражданским делам, связанным с Интернет-технологиями. Объект применения специальных познаний КТЭ может быть довольно разным — от компьютеров пользователей, подключенных к Интернету, до различных ресурсов поставщика сетевых услуг (провайдера Интернет) и предоставляемых им информационных услуг (электронная почта, служба электронных объявлений, телеконференции, WWW-сервис и пр.). В связи со стремительным развитием современных телекоммуникаций и связи, обособлением предмета исследований в компьютерно-сетевой экспертизе можно выделить телема-

тическую экспертизу. Предметом телематической экспертизы являются фактические данные, устанавливаемые на основе применения специальных научных познаний при исследовании средств телекоммуникаций и подвижной связи как материальных носителей информации о факте или событии какого-либо уголовного либо гражданского дела.
Практический опыт показывает, что рассмотренные выше основные виды КТЭ при производстве большинства экспертных исследований применяются комплексно и, чаще всего, последовательно. Поэтому в настоящее время в постановлении на производство судебной экспертизы целесообразно указывать родовое наименование экспертизы, т. е. «произвести судебную компьютерно-техническую экспертизу». Кроме того, в ходе ряда пограничных исследований иногда возникает потребность в специальных познаниях и из других научных областей. Так, например, обстоит дело с решением задач снятия парольной защиты, получения доступа к закодированным данным, обнаруженным в ходе проведения экспертного исследования, расшифровки информации с поврежденной структурой данных, всестороннего анализа различных криптографических алгоритмов, программ и аппаратных средств. Это направление экспертной деятельности тесно связано с самостоятельной областью исследований — криптографией и защитой информации.
Представляется, что приведенная классификация видов и задач КТЭ повышает объективность получения сведений о фактах дела и эффективность установления обстоятельств, значимых для расследования и судебного рассмотрения. Важно, что при экспертном решении задач исследуются не только свойства и состояние объекта КТЭ, но и механизм, процессы и действия по результатам применения (использования) компьютерного средства.
Рассмотренные выше задачи КТЭ могут быть детализированы также и для каждого этапа экспертного исследования (стадии экспертизы). Экспертные задачи КТЭ конкретизируются при производстве определенной экспертизы. Они не тождественны вопросам, сформулированным в постановлении (определении). Иногда несколько вопросов, поставленных перед экспертом, направлены, по существу, к решению одной экспертной задачи. И наоборот, один вопрос может требовать решения двух и более самостоятельных задач. Особо следует обратить внимание на то, что на современном методическом и организационном уровне КТЭ практически только небольшой ряд указанных задач может быть разрешен. Большинство же экспертных задач могут разрешаться пока только в частных случаях либо при условии развития экспертных методов и средств в перспективе. В каждой конкретной следственной ситуации рекомендуется предварительно согласовать круг задач и вопросов, ставящихся на разрешение эксперта.

Информационно-компьютерная экспертиза

Информационно-компьютерная экспертиза – представляет собой один из видов судебных компьютерно-технических исследований. Предметом данного анализа являются цифровые данные – то есть информация, содержащаяся в компьютерной системе. Информационно-компьютерная экспертиза по праву считается ключевым исследованием в данной группе, так как дает возможность подытожить следственные мероприятия, так как окончательно отвечает на большинство вопросов, связанных с цифровыми данными. В процессе осуществления этой экспертизы специалист ставит перед собой цели поиска, сбора, исследования и экспертной оценки обнаруженной информации. Данная информация была собрана и сохранена пользователем или порождена действиями специального программного обеспечения для сопровождения рабочих процессов в исследуемой компьютерной системе.

Изучение информационного содержимого дает весьма разнообразные результаты, так как исследует совершенно разные данные. Анализ информации позволяет выявить следы работы программ и приложений, определить транзакции, совершенные посредством информационных сетей, а также отследить деятельность и намерения пользователя компьютера на основании сохраненных (или даже удаленных) им файлов в персональном компьютере.

Для оценки содержания обнаруженной информации и ее квалификации как относящейся к определенной группе могут быть привлечены соответствующие специалисты – лингвисты, культурологи, психологи и так далее. Например, на исследуемом носителе могут содержаться данные, которые можно рассматривать как порнографические, разжигающие межнациональную рознь, содержащие высказывания, унижающие чьи-либо честь и достоинство и так далее.

Тем не менее, работа с информацией требует глубоких познаний в сфере информационных технологий и способов компьютерного хранения данных, так как содержимое накопителей информации необходимо сначала обнаружить и извлечь, то есть перевести в формат, доступный для восприятия специалистов. Опыт сотрудника организации, проводящей информационно-компьютерную экспертизу, а также уровень его профессиональной компетенции играет важнейшую роль в получении исчерпывающего и достоверного исследования и достижении целей, которые преследует инициатор проведения анализа.

Задачи, решаемые при производстве информационно-компьютерной экспертизы

Информационно-компьютерная экспертиза предназначения для исследования весьма широкого круга проблем, основывающегося на разнообразии изучаемых данных. Кроме того, эксперт выполняет большой объем мероприятий, связанных с получением и обработкой информации, а не только с анализом извлеченных данных. Экспертиза способна решать следующие задачи:

  • Определение способа форматирования носителя информации и способа записи данных на него.
  • Выявление специфических характеристик физического размещения информации на исследуемом накопителе данных.
  • Выявление специфических характеристик логического размещения информации на исследуемом накопителе данных.
  • Выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики.
  • Определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация.
  • Определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны.
  • Установление способа организации доступа к имеющимся на носителе данным, а также его характеристик.
  • Выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов.
  • Выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа.
  • Установление содержания защищенной информации, хранящейся на носителе.
  • Установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях.
  • Выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее.
  • Установление предназначения данных и его пользовательских свойств.
  • Выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач.
  • Выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу.
  • Поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы) имеются на представленных для исследования накопителях информации.
  • Установление совпадений данных в компьютере и в представленных на экспертизу документах.
  • Установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий.
Читайте так же:  Развод по мужски спектакль отзывы

Процедура проведения информационно-компьютерной экспертизы

Информационно компьютерная экспертиза представляет собой довольно сложный вид исследования, так как собственно анализ информации предваряется кропотливой и, зачастую, продолжительной работой по извлечению данных из имеющихся носителей. Подобная экспертиза может быть проведена по постановлению следствия, судебных органов, а также по инициативе физического или юридического лица. Судебная информационно-компьютерная экспертиза проводится как в государственных экспертных бюро, так и в негосударственных экспертных центрах.

Для того, чтобы инициировать проведение информационно-компьютерной экспертизы, необходимо заключить договор с экспертным центром на оказание услуги по осуществлению исследования. Договор заключается после предварительной консультации, в течение которой определяется разновидность требующегося исследования, объем предстоящей работы, цели экспертизы, поставленные перед экспертом сроки проведения и стоимость исследования. Все эти данные в обязательном порядке вносятся в договор, подписываемый перед началом работы эксперта.

После оформления договора, инициатор экспертизы представляет для анализа имеющийся у него материал для исследования:

  • Персональный компьютер или компьютерную систему.
  • Накопители информации.
  • Документы, имеющие отношение к делу.

Получив все необходимые материалы, специалист приступает к выполнению требующихся экспертных мероприятий. На этом этапе данные извлекаются и тщательно изучаются. Кроме того, изучается техническая сторона вопроса – особенности хранения данных, хронология изменения файлов, способ организации хранения информации и так далее.

По окончании работы специалист формулирует экспертное заключение. Оно представляет собой результат проделанной исследователем работы, а также основной смысл проведения анализа. Экспертное заключение обладает доказательной силой и может быть предъявлено в ходе судебного заседания в качестве аргумента одной из сторон. Экспертное заключение содержит описание всех произведенных экспертом действий, описание представленных на анализ материалов (при необходимости – с фотографиями объектов), копии изученных документов. Кроме этого, в заключение вносятся выводы эксперта и ответы на поставленные перед ним в начале исследования вопросы.

Случаи, в которых необходимо проведение информационно-компьютерной экспертизы

Данный вид исследования требуется в различных случаях, связанных со спорными ситуациями, в которых информационное содержимое персонального компьютера (компьютерной системы или накопителя данных) является предметом спора или заключает в себе возможные доказательства. Информационно-компьютерная экспертиза производится в следующих случаях:

  • На накопителе данных содержится информация, способная нанести урон жизни или правам человека.
  • Компьютер (компьютерная система, накопитель данных) принадлежит человеку, совершившему преступление, для раскрытия которого необходима информация из данного компьютера (компьютерной системы, накопителя данных).
  • Информационное содержимое компьютера представляет собой предмет спора сторон – например, данные, защищенные авторским правом, патентными свидетельствами и пр.
  • Если человек покончил жизнь самоубийством и предполагается. Что в его компьютере (или ином вместилище данных) содержится информация о причинах подобного поступка.
  • Расследование преступлений. Совершенных посредством применения компьютерных систем.
  • Если необходимо отследить хронологию манипуляций, совершавшихся с данными на данном персональном компьютере (данной компьютерной системе).
  • Если требуется извлечь информацию и установить ее содержимое.

Правовая база для проведения информационно-компьютерной экспертизы

Эксперт, проводящий исследование, несет за полученный результат личную ответственность, так как ставит свою подпись под экспертным заключением. Кроме того, специалист по осуществлению информационно-компьютерной экспертизе может быть привлечен к даче показаний в суде с целью разъяснения сделанных им выводов. Любой эксперт несет уголовную ответственность за обнародование в процессе суда заведомо ложной информации, равно как и за составление заведомо ложного экспертного заключения. Данная ответственность эксперта закреплена в статье 307 Уголовного кодекса РФ.

Вопросы, которые ставятся перед экспертом, осуществляющим информационно-компьютерную экспертизу

Список вопросов напрямую зависит от характера представленных для проведения экспертизы объектов, а также от предмета и цели исследования. Вследствие чего, перечень вопросов формируется индивидуально для каждого случая проведения исследования на этапе предварительной консультации и подготовки договора на осуществление экспертизы. В общем случае, вопросы, адресованные специалисту по выполнению информационно-компьютерной экспертизы, формулируются следующим образом:

  1. Какова степень совпадения действий пользователя и специальных правил эксплуатации данного персонального компьютера (компьютерной системе)?
  2. Содержит ли данный носитель информации какие-либо данные?
  3. В каком формате содержатся данные на носителе?
  4. Файлы какого типа содержатся на представленном для анализа носителе данных?
  5. Имеются ли на данном накопителе данных какие-либо средства защиты от копирования или несанкционированного доступа?
  6. Присутствуют ли на анализируемых носителях зашифрованные, скрытые, защищенные паролем или удаленные данные?
  7. Какова хронология действий пользователя относительно определенного процесса?
  8. Какие программные продукты, предназначенные для решения определенной задачи, присутствуют в представленном персональном компьютере (компьютерной системе)?
  9. Имеется ли связь между определенными операциями с данными (удаление, изменение, ввод данных) и произошедшим событием, например, сбои в работе компьютерной системы, отключение электричества и пр.?
  10. Каким образом механизм выполнения данной задачи отображен в зафиксированных на носителе данных?
  11. Каково было первоначальное состояние данных?
  12. Какие данные, содержащиеся в представленных для проведения экспертизы документах, находятся в компьютерной системе?
  13. Каковы потребительские свойства данных, обнаруженных в представленных накопителях информации?
  14. Каково их функциональное предназначение?
  15. Присутствуют ли признаки имевших место попыток преодоления защитной системы компьютера?
  16. Каково содержание закодированных (защищенных паролем) файлов?
  17. Каким образом организован механизм доступа к содержащимся на носителе данным?
  18. Каков перечень имеющихся в исследуемом компьютере (компьютерной системе) файлов?