Что неободимо знать об обыске с извлечением компьютерной информации

Сейчас компьютеры широко используются в целях обработки и хранения различного рода информации. Используются они и в преступной деятельности. В связи с этим при производстве обысков по различным категориям уголовных дел, и прежде всего при расследовании преступлений в сфере компьютерной информации, можно выделить принципиально новый объект исследования- средства компьютерной техники, а также объект поиска- информацию, хранящуюся в памяти компьютера или на внешних носителях- дисках, дискетах и т.п. Своеобразие тактики и технических средств, применяемых для обнаружения и изъятия информации, хранящейся в оперативной памяти компьютера или на физических носителях, позволяет выделить новый вид обыска- обыск средств компьютерной техники. Такой обыск может производиться по делам о неправомерном доступе к информации, о создании вредоносных программ, о нарушении работы вычислительных комплексов, а также по любым делам, где требуется просмотр и изъятие документов, хранящихся не только на бумажных, но и на компьютерных  носителях в виде файлов, подготовленных на данном компьютере,  полученных с другого компьютера или отсканированных с бумажного документа.
Перед обыском объекта, где по имеющейся информации находятся средства компьютерной техники, органами предварительного следствия, как правило, получают оперативную ориентировку по следующим вопросам.
1. Количество компьютерной техники на месте, где предполагается произвести обыск, наличие устройств бесперебойного питания. Сведения об используемых телекоммуникационных средствах: есть ли модем для связи компьютеров через телефонную сеть, объединены ли несколько компьютеров в локальную сеть внутри организации, имеется ли сервер- компьютер, который обслуживает остальные персональные компьютеры; есть ли подключение к региональной или глобальной сети. Часть этих сведений можно получить на основе предварительного анонимного посещения объекта, часть может сообщить провайдер- фирма- поставщик сетевых услуг. Наличие электронной связи в организации могут прояснить «шапки» бланков писем, реклама, прайс- листы и приглашения «посетить нашу Web-страницу в сети Internet».
2. Профессиональный уровень обслуживания компьютера в организации или уровень владельца- пользователя компьютера, в том числе его профессиональные навыки в области вычислительной техники.
Так же органы предварительного следствия могут привлечь при обыске к сотрудничеству лицо, ответственное за эксплуатацию компьютерной техники, а при наличии сети- сетевого администратора.
3. Есть ли на средствах компьютерной техники программные или программно-аппаратные средства защиты от несанкционированного доступа. Если на средства компьютерной техники имеются средства защиты, сотрудники правоохранительных органов могут попытаться установить код доступа.
Иногда органами предварительного следствия обеспечивается участие в обыске специалиста в компьютерной технике и информатике: программиста, системного аналитика, инженера по средствам связи или сетевому обслуживанию.
Сотрудники правоохранительных органов, как правило, приходят на объект обыска в момент максимального рабочего режима и срочно принимают меры по обеспечению сохранности  компьютерной техники и имеющихся на них данных. Персоналу предлагают покинуть рабочие места без прекращения работы техники и без завершения программ. Лицам, находящимся в помещении, запрещают прикасаться к включенным средствам компьютерной техники. Не разрешают выключать электроснабжение объекта.
В протоколе обыска, лицом осуществляющим обыск, фиксируется  названия программ, работавших в момент обыска, название и характер документов, с которыми шла работа.
При обыске могут быть изъяты (при наличии) документы регистрации включения информационной системы и подключения к ней, журнал оператора ЭВМ, иные записи, относящиеся к работе на средствах компьютерной техники. Так же возможно, что у Вас изымут планы или схемы, составленные в самой организации.
В протоколе обыска отражают порядок соединения между собой всех устройств, наличие либо отсутствие используемого канала связи (модемы, сеть), тип связи, используемая в этих целях аппаратура, абонентский номер. Отмечается серийный номер (если он доступен) компьютера и его индивидуальные признаки.  И это будет серьезной доказательной базой обвинения.
Исследуются, а при необходимости приобщаются к делу магнитные носители информации. В последнее время избранная информация может записываться по инициативе владельца на лазерный диск, поэтому при наличии таких дисков их тоже могут исследовать.
В отдельных случаях при обыске будут искать тайники, где могут храниться сменные компьютерные носители информации; с помощью специалиста вскрываются корпуса аппаратных средств компьютерной техники, чтобы обнаружить специально отключенные внутренние носители информации, например дополнительный жесткий диск.
Если обыск проходит по делу о разработке программ в преступных целях, усилия будут направлены на поиск и изъятие текстов программ с компьютера или его распечатку.
С другой стороны, в организациях при обыске могут определить по компьютеру перечень установленных программ и потребовать лицензию или другие документы, подтверждающие законность их использования. Установленной считается программа, которая извлечена из сжатого (архивного) состояния и после прохождения этапа предупреждения о необходимости лицензионного использования установлена (инсталлирована) в рабочий каталог.
После выполнения указанных мероприятий можно приступить к поиску информации на компьютере. Машинные носители информации не читаемы визуально. В связи с этим лицо проводящий обыск стоит перед дилеммой: изымать все средства компьютерной техники «вслепую» и разбираться, есть ли на них значимая для дела информация после завершения обыска, или изучить с помощью специалиста на месте обыска содержащуюся на компьютерной техники информацию, чтобы определить, что следует изъять.
В литературе встречаются рекомендации изымать все средства компьютерной техники, обнаруженные на месте обыска. Полностью согласиться с подобным предложением нельзя. Изымать все средства компьютерной техники не всегда возможно  и целесообразно.
Значительную, зачастую преимущественную долю данных на компьютере занимают программы, а документы составляют только часть. Кроме   технических сложностей существуют и экономические: в случае выхода из строя ЭВМ банк, как правило, может «продержаться» не более двух дней, оптовая фирма- 3-5, компания обрабатывающей промышленности- 4-8, страховая компания- 5-6 дней. В связи с этим, если у Вас произошло радикальное изъятие компьютерной техники просто необходимо незамедлительно обжаловать данные процессуальные действия.
Зачастую органами предварительного следствия изымается из системного блока жесткий диск.
Что и как ищут на компьютере? Надо сказать, что в современных средствах компьютерной техники объем хранимой информации огромен и разнообразен, поэтому выбор интересующих сведений становится трудоемкой задачей. Однако современные программные средства предоставляют высокий сервис не только пользователю, но, как это ни неожиданно, и пользователю, и следователю.
Лица, производящие обыск обращают в первую очередь на следующие моменты. Многие текстовые и финансовые программы сохраняют список документов  последних сеансов работы и могут их мгновенно вызвать, если, конечно, они не удалены или не перемещены в другое место. На диске компьютера пользователи обычно сохраняют документы в каталогах (в папках) со стандартными наименованиями: МОИ ДОКУМЕНТЫ, ДОКУМЕНТЫ, DOCS, АРХИВ, ПЕТРОВ, TXT, USER, (пользователь). Файлы документов имеют в названии характерное уточнение («расширение»), т.е. часть имени, которая стоит после точки в названии файла- письмо.txt, сведения.doc, платеж.xls, архив.zip, входящие.arj, счета.rar и т.п.
Значительный интерес при наличии могут составить базы данных или данные из программы- «ежедневника», которые являются компьютерным аналогом записной книжки с адресами. Все компьютерные файлы хранят дату последнего изменения, а после некоторых изменений и дату первоначальной записи файла под этим именем.
Мощные программы при сохранении файла приписывают к полезной информации дополнительную (служебные данные, которые удается выявить при необходимости специальными программами просмотра): сведения о зарегистрированном владельце или организации (если владелец ввел такие данные при установке программы), об установленном принтере. Иногда внутрь файла попадает «соседняя» информация из документа, который обрабатывался в памяти параллельно.
Автоматический поиск среди огромного объема информации на диске помогают вести программы поиска документов по имени файла или по дате, размеру и даже по словам в тексте документа. Часть информации хранится в сжатом виде, и ее прямой просмотр невозможен. Однако существуют программы поиска и в таких сжатых файлах. Ко многим шифровальным защитам документов и сжатым архивам известны программы подбора «забытых» паролей.
«Средний» пользователь обычно не догадывается, что фрагменты или целые файлы, которые программы создают как временную подсобную базу для работы, нередко остаются на диске и после окончания работы. Во всяком случае, такие хранилища обрывков временных файлов проверяются при обыске. Популярный программный пакет Microsoft Office после установки на компьютере ведет негласный файл-протокол, куда заносит дату и время всех включений компьютера.
Программы связи и работы с сетью запоминают адреса многих интернет-контактов пользователя, документы электронной почты с адресами отправителя.
Если пользователь не попросит иначе, то современные операционные системы удаляют файлы не «начисто», а сначала в «корзину», в некий чулан для хлама, просмотрев который, информацию можно восстановить. Но даже в случае удаления файла, минуя корзину, остается вероятность восстановления, поскольку место его на диске не очищается, а только помечается как неиспользованное.
Так что, делайте выводы.