У ході огляду місця події можуть бути виявлені і вилучені документи, які згодом можуть бути визнані речовими доказами у справі:
· носять сліди скоєного злочину (шифровані, рукописні записи, паролі і коди доступу в мережі, щоденники зв'язку);
· містять сліди дії комп'ютерної техніки. У цьому зв'язку слід шукати в пристроях виводу паперові носії інформації, які могли залишитися всередині їх в результаті збою в роботі пристрою;
· описують апаратуру і програмне забезпечення;
· встановлюють правила роботи з комп'ютером, нормативні правові акти, що регламентують правила роботи з даним комп'ютером, системою, мережею;
· журнали обліку роботи на комп'ютері, лістинги, технічна, технологічна, кредитно-фінансова, бухгалтерська і т.п. документація.
При огляді документів особливу увагу слід звертати на підчистки і виправлення в тексті, додаткові записи; відсутність або порушення нумерації сторінок, а також вклеєні сторінки, листки, бланки; розпорядження на виконання певних робіт по зміні програм для ЕОМ, введенню додаткової інформації, не передбаченої технологічним процесом; невідповідності ведуться в системі форм реєстрації правилами, встановленими технічною та технологічною документацією.
В процесі огляду необхідно пам'ятати про дотримання елементарних правил поводження з обчислювальною технікою, а при вилученні окремих пристроїв обчислювальної техніки та носіїв комп'ютерної інформації дотримуватися правил їх упаковки та транспортування.
Особливо слід зупинитися на огляді лог-файлів. Список не є безпосереднім джерелом доказів. В якості посередника виступає думка фахівця, перетворюватись в законну процесуальну форму, або висновок експерта.
Доказательственная сила логів базується на коректності і незмінності. Ці дві властивості повинні дотримуватися при наступних подіях: коректності фіксації подій і генерації записів у генеруючу програму, незмінність при передачі записів від генеруючої до логірующей програмою, коректність обробки записів у логірующей програмою, незмінність при зберіганні логів до моменту вилучення, коректність процедури дослідження, незмінність при зберіганні після вилучення до огляду або передачі на експертизу, коректність інтерпретації логів. При недотриманні однієї дії, лог перестає бути доказом.
Процедура прилучення логів до доказів наступна: слідчий з фахівцем в присутності представника, обслуговуючого провайдер, та двох понятих проводить огляд вмісту сервера. При цьому використовуються штатні програмні і апаратні засоби. Складається протокол, в якому відбивається характеристика сервера, версія ОС, стан генеруючої і логірующей програми, наявність файлів з логами, їх тимчасові мітки, права доступу до лог-файлів, облікові записи користувачів, що мають права на запис в лог-файли. Потрібні записи з логів вибираються, роздруковуються на принтері, на диск копіюються всі оглянуті логи, який опечатується і відправляється на експертизу, і все це додається до протоколу огляду. Усі аркуші протоколу підписуються учасниками огляду.
Варто зауважити, що оператори зв'язку недбало ставляться до зберігання логів, хоча це їхній обов'язок. При виникненні інциденту багато з них посилаються на незнання правил заощадження логів. У зв'язку з цим необхідно ввести адміністративну відповідальність операторів зв'язку за неналежне виконання своїх обов'язків аж до відкликання ліцензії.
Обшук і виїмка на відміну від огляду місця події проводяться тільки у порушеній кримінальній справі. Крім того, якщо при огляді фіксується стан місця події з вилученням виявлених слідів і предметів, то при обшуку і виїмці йде пошук і вилучаються конкретні предмети і документи, що мають доказове значення у справі, а також цінності, здобуті злочинним шляхом (ст. Ст. 184 КПК КР).
Стосовно до ст. 290 КК КР обшук і виїмка провадяться, коли є відомості про осіб, причетних до скоєння злочину, способи, засоби або місці злочинного посягання з використанням комп'ютерних технологій і ймовірне місце знаходження доказів. Тактика проведення обшуку і виїмки при розслідуванні злочину має свої особливості. Це обумовлено не тільки умисним знищенням інформації, що має доказове значення, ще не виявленими співучасниками злочину або іншими зацікавленими особами серед персоналу за місцем роботи підозрюваного або його близьких за місцем проживання, а й ймовірністю необережного поведінки слідчого та інших членів слідчо-оперативної групи, які в результаті некваліфікованого поводження з програмно-апаратними засобами можуть пошкодити інформацію або знищити сліди.
При проведенні обшуку необхідно керуватися такими принципами:
під час вилучен...
