Ні в якому разі та ні під яким приводом не слід дозволяти підозру вальній особі торкатися комп’ютера. Можливо, що в комп’ютері передбачена можливість стирання інформації в разі натискання однієї клавіші. Бажано, щоб підозрюваний був присутній при огляді, оскільки саме він може надати найбільш важливу інформацію про систему – паролі, коди доступу, перелік інстальованих програм і місце знаходження окремих директорій (в тому числі прихованих). Однак його необхідно тримати на відстані від комп’ютера та джерела струму, щоб запобігти способам зміни або знищення комп’ютерних доказів.

Під час огляду в першу чергу слід звертати увагу на розміщення комп’ютерів у конкурентному приміщені якщо вони сполучені у мережу – розташування всіх комп’ютерів у мережі, призначення кожного з них, наявність виділеного серверу і його розташування, цілісність і місця прокладки кабелів, стан пристроїв телекомунікації (модемів, факсів-модемів) їхнє розташування і підключення до телефонних каналів. Дана інформація відображається у протоколі огляду, до якого додається схематичний план з’єднання пристроїв.

Під час огляду необхідно з’ясувати наявність захисту від несанкціонованого доступу до інформації, до яких можуть бути віднесені.

спеціальні електронні картки, у які записується інформація про власників, їх паролі і ведеться урахування всіх операцій виконуваних користувачем;

електронні ключі доступу до персонального комп’ютера, у яких знаходяться мікропроцесор, в запам’ятовуючий пристрій якого заноситься унікальна для кожного користувача інформація;

пристрої ідентифікації користувачів за відбитками пальців;

пристрій впізнання користувача за геометричними ознаками руки. При цьому користувач поміщає руку в масив фото чарунок, що визначає інформацію про довжину пальців та їх світло провідність, потім проводить порівняння з еталоном, що зберігається у персональному комп’ютері;

пристрої впізнання користувача за почерком, для чого використовується динамічні (швидкість, тиск та папір) і статичні (форма і розмір) характеристика процесу підпису;

пристрої впізнання користувача за голосом на основі впровадження спеціальних багатоканальних фільтрів [8;570]

При наявності подібних пристроїв підключених до комп’ютера, у них проводиться автоматична фіксація всіх незаконних спроб вторгнення. Наприклад, дані системи зчитують інформацію з магнітних карток незаконних власників записують їхній голос, відбитки пальців. Ці дані надалі можуть бути використані для ідентифікації особи злочинця.

Необхідно вжити заходів щодо встановлення місця перебування і цілісності ключів, журналів, блокнотів або інших об’єктів, у яких відображені паролі доступу та ідентифікаційні коди.

Об’єктами огляду також є всілякі журнали: облік робочого часу, доступу до обчислювальної техніки, збоїв і ремонту, реєстрації користувачів мережі, проведення регламентних робіт тощо.

При огляді засобів електронно-обчислювальної техніки рекомендується: описати в протоколі призначення, назву, комплектацію, наявність і тип підключення периферійних пристроїв (принтерів, сканерів, модемів тощо); положення всіх перемикачів на всіх блоках і пристроях обчислювальної техніки. У випадку виявлення включеної техніки необхідно визначити, яка програма використовується на даний момент, далі зафіксувати в протоколі стан індикаторних ламп (включена або її немає, яким світлом горить, мигає і з якою частотою), а також інформацію, що висвітлюється на всіляких індикаторах, табло і моніторі, за фотографувати їх або зробити відеозапис. Описати всі з’єднання на задній стінці системного блока.

Що стосується понятих, то їм необхідно роз’яснювати всі дії слідчого і спеціаліста в ході маніпуляцій з комп’ютером. Неприпустиме втручання в інформаційну базу без наочного і доступного коментарів своїх дій. Повинне бути пояснено будь-яке натискання на клавіатуру, пересування миші тощо. Якщо для пошуку інформації завіюються програмні продукти, що не знаходяться в комп’ютері а використовування слідчим, це необхідно відзначити в протоколі огляду. Такі програми мають бути стандартними. Необхідно забезпечити наочність контролю, тобто всі ключові етапи роботи програми зображаються на екрані дисплея. У випадку виявлення шуканої інформації поточне зображення екрана дисплея також потрібно сфотографувати, після чого стандартними засобами переписати інформацію на постійний носій (магнітний диск) або роздрукувати.

Комп’ютери та їх комплектуючі опечатуються магнітні носії упаковуються, зберігаються і перевозяться в спеціальних екранових контейнерах або в стандартних дискетних футлярах заводського виробництвах. У протоколі слідчої дії описуються основні фізичні характеристики пристроїв, що вилучаються, магнітних та інших носіїв інформації, серійні номери, їх видимі індивідуальні ознаки. Машинні роздруківки оформляються як додаток до протоколу.

З метою з’ясування підстав до порушення кримінальної справи можуть бути витребувані такі матеріали і документи:

журнали фіксації збоїв у роботі комп’ютерної мережі, виходу з ладу окремих комп’ютерів або технічних пристроїв;

журнал обліку робочого часу операторів ЕОМ або комп’ютерів мережі;

журнал передачі змін операторами ЕОМ;

копії проведених у продовж дня операцій результати антивірусних перевірок і перевірок контрольних сум файлів;

фізичний носій інформації (жорсткий диск вінчестер головного комп’ютера обчислювальної мережі, жорсткі диски з інших комп’ютерів, магнітні стрічки, дискети, лазерні диски, роздруківки, виконані на принтері, та ін.);

програмне забезпечення ЕОМ (це операція виконується за допомогою персонального комп’ютера або переносного накопичувача на жорсткому магнітному диску або на магнітній стрічці);

файл адміністратора мережі;

системний блок і виносні накопичувачі інформації;

технічні засоби впізнання користувачів (магнітні картки, ключі блокування тощо) з метою запобігання доступу користувачів до комп’ютерної інформації та інше.

2.3.Дослідження, аналіз і оцінка вилучення комп’ютерної інформації.

У загальному вигляді “електронні докази” – це сукупність інформації яка зберігається в електронному вигляду на всіх типах електронних носіїв і в електронних засобах.

Особливість цих доказів полягає в тому, що вони не можуть сприйматися безпосередньо а повинні бути інтерпретовані певним чином та проаналізовані спеціальних технічних засобів і програмного забезпечення [7;474].

Під розслідування злочинів у сфері