я відповідності засобів захисту інформації від несанкціонованого доступу і т.п.
При виборі організації (серед цивільних), яка проводитиме КТЕ, перевага віддається досвіду роботи представників організації. Коли у слідчого є вибір між державним і цивільним експертною установою, то краще прийняти рішення на користь другого.
У залежності від об'єкта дослідження можна виділити чотири види КТЕ:
· апаратно-технічна (припускає проведення діагностичного дослідження технічних (апаратних) засобів комп'ютерної системи, визначення функціональних можливостей, фактичного і початкового стану, технології виготовлення, експлуатаційних режимів тощо);
· програмно-технічна (полягає у вивченні функціонального призначення, характеристик і реалізованих вимог, алгоритму та структурних особливостей, користувальницького (споживчого) стану представленого на дослідження системного, прикладного та авторського програмного забезпечення комп'ютерної системи як видових об'єктів експертизи );
· інформаційно-технічна (припускає дозвіл діагностичних та ідентифікаційних питань, пов'язаних з комп'ютерною інформацією);
· комп'ютерно-мережева (передбачає дослідження функціонального призначення комп'ютерних засобів, що реалізують яку-небудь мережеву інформаційну технологію).
Складність КТЕ полягає в її розумінні іншими учасниками процесу, оскільки особа, яка проводила експертизу, часом важко пояснити простими словами механізм події злочину і зроблені ним на основі дослідження висновки. Іноді буває складно перекласти той чи інший технічний термін на мову, доступний обивателю, а тим більше на юридичний. Деякі поняття взагалі не пояснити, не використовуючи технічний словник. У підсумку, коли йде стадія судового розгляду, тільки два учасники розуміють, про що йде мова на засіданні: це фахівець або експерт і, звичайно ж, підсудний.
Складність КТЕ полягає і в неоднозначності відповідей, які отримує слідчий, суддя, прокурор, адвокат на поставлені ними запитання перед експертом або фахівцем на стадії судового засідання. Наприклад, на питання, ідентифікує чи IP-адреса комп'ютер в мережі Інтернет однозначним чином, можна отримати два різних відповіді. Можна відповісти негативно, маючи на увазі абстрактний комп'ютер і будь IP-адресу, але можна відповісти ствердно стосовно до конкретного комп'ютера і конкретною адресою, якщо при цьому ознайомитися з матеріалами справи. Таким чином, експерти та фахівці тепер не тільки роз'яснюють питання, а й по суті роблять висновки про винність або невинність особи.
Слідчий повинен чітко уявляти можливості КТЕ для того, щоб коректно сформулювати питання і отримати на них очікувані відповіді. Як би це не звучало парадоксально, але щоб правильно поставити запитання, треба знати на нього більшу частину відповіді, а десь і повну відповідь. Одним словом, слідчий повинен мати базові знання з інформаційних технологій. Зрозуміло, що для формулювання питань для ТКЕ краще завжди залучати спеціаліста або експерта, який буде проводити дослідження.
При формулюванні питань слідчому не варто конкретизуєвать вигляд і зміст інформації, яку необхідно знайти, досліджувати і прикласти до справи, оскільки експерт сам вирішить, які відомості відносяться до справи. Для цього його треба ознайомити з кримінальною справою в тій частині, яка відноситься до предмету експертизи або фабулу справи можна викласти в постанові про призначення КТЕ. При дефіциті інформації експерт може клопотатися про надання додаткових матеріалів.
При пошуку цифрових слідів різного роду дій на комп'ютері, з якого імовірно був здійснений неправомірний доступ, краще формулювати питання не про сліди, а про дії. При цьому треба пам'ятати, що експерт може визначити, коли, яким чином здійснювався неправомірний доступ, а ось хто його вчинив, це можливо встановити тільки в рідкісних випадках, коли на досліджуваному комп'ютері є деякі відомості про користувача.
При дослідженні окремих файлів, дисків та інших носіїв слідчому має сенс поставити питання стосовно не тільки наявності на носії того чи іншого вмісту, а й виявлення і розшифрування прихованою, службової та іншої інформації, передбаченої відповідним форматом файлу ( за обставинами справи), а також відновлення стертих файлів, навіть якщо при цьому носій інформації був відформатований кілька разів. При цьому необхідно з'ясувати, яким шляхом інформація виявилася на носії. Коли файл неможливо відновити, то можна довести факт його присутності в минулому за інформацією про цей файл, яка може зберігатися в різних місцях.
При дослідженні програми, яка послужила інструментом для здійснення впровадження шкідливих програм, засобом подолання ТСЗАП * та інших технічних засобів, призначених...
