пу необхідно залучати відповідних фахівців. Необхідно з'ясувати також місце зберігання інформації на машинних носіях, видобутої злочинцем в результаті неправомірного доступу до комп'ютерної системи або мережі.
Час несанкціонованого доступу можна визначити за допомогою програм загальносистемного призначення. У працюючому комп'ютері вони зазвичай фіксують поточний час. Якщо дана програма функціонує, то при несанкціонованому вході в систему або мережу час роботи на комп'ютері будь-якого користувача і виробництва конкретної операції автоматично фіксується в оперативній пам'яті. Тоді час несанкціонованого доступу можна визначити в ході слідчого огляду комп'ютера, його роздруківок або дискет, виробленого за участю фахівця, щоб інформація, що знаходиться в оперативній пам'яті ЕОМ або на дискеті, що не була випадково стерта. В якості фахівців можуть виступати, наприклад, співробітники інформаційних центрів МВС, ГУВС, УВС суб'єктів Російської Федерації. Час несанкціонованого доступу встановлюється і шляхом допиту свідків з числа співробітників даної комп'ютерної системи. З'ясовується, коли саме кожен з них працював на ЕОМ, якщо це не було зафіксовано в автоматичному режимі.
Способи злочинних маніпуляцій у сфері комп'ютерної інформації можуть бути розділені на дві великі групи. Перша група здійснюється без використання комп'ютерних пристроїв в якості інструменту для проникнення ззовні в інформаційні системи або впливу на них. Це можуть бути: розкрадання машинних носіїв інформації у вигляді блоків і елементів ЕОМ; використання візуальних, оптичних та акустичних засобів спостереження за ЕОМ; зчитування і розшифровка різних електромагнітних випромінювань комп'ютера і забезпечують систем; фотографування інформації в процесі її обробки; виготовлення паперових дублікатів вхідних і вихідних документів, копіювання роздруківок; використання оптичних і акустичних засобів спостереження за особами, що мають відношення до необхідної зловмисникові інформації, фіксація їх розмов; огляд і вивчення не повністю утилізованих відходів діяльності комп'ютерних систем; вступ в прямий контакт з особами, що мають відношення до необхідної зловмисникові інформації, отримання від них під різними приводами потрібних відомостей і ін Для таких дій, як правило, характерна досить локальна следовая картина. Вона визначається тим, що місце скоєння злочинних дій і дислокація об'єкта злочинного посягання розташовані поблизу один від одного або збігаються. Прийоми їх дослідження досить традиційні.
Друга група злочинних дій здійснюється з використанням комп'ютерних та комунікаційних пристроїв. Тоді несанкціонований доступ реалізується за допомогою різних способів: підбором пароля, використанням чужого імені, відшуканням і застосуванням прогалин у програмі, віддаленим використанням різних спеціалізованих програм, таких як «кей-логгер» - зчитує і передає всі натискання клавіш клавіатури, «ред-адмін»- дозволяє повний віддалений контроль над комп'ютером, а також інших заходів подолання захисту комп'ютерної інформації. Конкретний спосіб несанкціонованого доступу можна встановити шляхом допиту свідків з числа осіб, які обслуговують комп'ютерну систему, і її розробників. При цьому слід враховувати виявлену слідову картину. У них необхідно з'ясувати як злочинець міг проникнути в захищену систему, наприклад, дізнатися ідентифікаційний номер законного користувача, код, пароль для доступу, отримат...
