8 (495) 766 06 78

expertiza@ceae-ocenka.ru

Судебная информационно-компьютерная экспертиза данных

Судебная информационно-компьютерная экспертиза (дан­ных) является ключевым видом СКТЭ, так как позволяет завер­шить целостное построение доказательственной базы путем окончательного разрешения большинства вопросов, связанных с компьютерной информацией. Целью этого вида является по­иск, обнаружение, анализ и оценка информации, подготовлен­ной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе.

Судебная информационно-компьютерная экспертиза (дан­ных) производится для разрешения следующих вопросов.

  1. Как отформатирован носитель информации и в каком ви­де на него записаны данные?
  2. Каковы характеристики физического размещения данных на носителе информации?
  3. Каковы характеристики логического размещения данных на носителе информации?
  4. Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
  5. Какого вида (явный, скрытый, удаленный, архив) инфор­мация имеется на носителе?
  6. К какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таб­лица, мультимедиа, запись пластиковой карты, данные посто­янного запоминающего устройства и др.) и какими программ­ными средствами они обеспечиваются?
  7. Каким образом организован доступ (свободный, ограни­ченный и проч.) к данным на носителе информации и каковы его характеристики?
  8. Какие свойства, характеристики имеют выявленные сред­ства защиты данных и какие пути ее преодоления возможны?
  9. Какие признаки преодоления защиты (либо попыток не­санкционированного доступа) имеются на носителе информа­ции?
  10. Каково содержание защищенных данных?
  11. Каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
  12. Какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и проч.)?
  13. Каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
  14. Какие данные для решения определенной функциональ­ной (потребительской) задачи имеются на носителе информа­ции?
  15. Какие данные с фактами и обстоятельствами конкретно­го дела находятся на представленном носителе информации?
  16. Какие данные о собственнике (пользователе) компью­терной системы (в том числе имена, пароли, права доступа и проч.) имеются на носителях информации?
  17. Какие данные с представленных на экспертизу докумен­тов (образцов) и в каком виде (целостном, фрагментарном) на­ходятся на носителе информации?
  18. Каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристика­ми, атрибутами находились определенные данные до их удале­ния или модификации)?
  19. Каким способом и при каких обстоятельствах произведе­ны действия, или операции (блокирование, модификация, ко­пирование, удаление определенных данных), на носителе ин­формации?
  20. Какой механизм (последовательность действий) по ре­шению конкретной задачи отражен в определенных данных на носителе информации?
  21. Какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовки изображений денеж­ных знаков, ценных бумаг, оттисков печатей и т. п.)?
  22. Какая причинная связь имеется между действиями (вво­дом, модификацией, удалением и проч.) с данными и произо­шедшим событием (например, нарушением в работе компью­терной системы, в том числе сбоями в программном и аппарат­ном обеспечении)?
  23. Какова степень соответствия (или несоответствия) дейст­вий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?

Объектами судебной информационно-компьютерной эксперти­зы (данных) являются файлы, подготовленные с использовани­ем указанных выше и других программных средств: с расшире­ниями текстовых форматов (.txt, .doc...), графических форматов (.bmp, .jpg, .tif, .cdr...), форматов баз данных (.dbf, .mdb...), электронных таблиц (.xls, .cal...) и др.

Примером судебной информационно-компьютерной является экс­пертиза по выявлению фактов и обстоятельств образования недостачи в одной крупной торговой компьютерной фирме. На разрешение экс­пертизы был поставлен вопрос: «Какая информация по реализации то­варно-материальных ценностей за период с марта по август 200... г. имеется на представленных компьютерах?»

В ходе предварительно проведенного допроса сетевого администра­тора данной фирмы было установлено, что информация по реализа­ции товарно-материальных ценностей представлена следующими рек­визитами: номер товарного чека, наименование товара, цена в долла­рах США и рублях, количество, сумма по чеку, менеджер, дата и хранится в сводных таблицах помесячно. При производстве эксперти­зы эксперт СКТЭ исследовал все файлы, имеющиеся на жестких дис­ках представленных компьютеров, на предмет наличия в них вышепе­речисленной информации за указанный период. Все найденные фай­лы оказались электронными таблицами, подготовленными средствами Microsoft Excel, что соответствовало показаниям сетевого администра­тора. Для дальнейшего анализа реализации товарно-материальных ценностей полученная информация была распечатана и передана экс­перту судебно-бухгалтерской экспертизы, участвующему в данной ком­плексной экспертизе.