Компьютерно-техническая / Красноярская лаборатория судебной экспертизы

Судебная компьютерно-техническая экспертиза

в рамках специальности 21.1 «Исследование информационных компьютерных средств»

21.1 «Исследование информационных компьютерных средств»

Судебная компьютерно-техничекая экспертиза (СКТЭ) это самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимых в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним её исследованием.

Родовой предмет: факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов.

Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией.

Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе, а именно:

определение способа форматирования носителя информации и способа записи данных на него;
выявление специфических характеристик физического размещения информации на исследуемом накопителе данных;
выявление специфических характеристик логического размещения информации на исследуемом накопителе данных;
выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики;
определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация;
определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны;
установление способа организации доступа к имеющимся на носителе данным, а также его характеристик;
выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов;
выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа;
установление содержания защищенной информации, хранящейся на носителе;
установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях;
выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее;
установление предназначения данных и его пользовательских свойств;
выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач;
выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу;
поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы), имеющихся на представленных для исследования накопителях информации;
установление совпадений данных в компьютере и в представленных на экспертизу документах;
установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий.

Проведение информационно-компьютерной экспертизы необходимо в следующих случаях:

на накопителе данных содержится информация, способная нанести урон жизни или правам человека;
компьютер (компьютерная система, накопитель данных) принадлежит человеку, совершившему преступление, для раскрытия которого необходима информация из данного компьютера (компьютерной системы, накопителя данных);
информационное содержимое компьютера представляет собой предмет спора сторон – например, данные, защищенные авторским правом, патентными свидетельствами и пр.;
если человек покончил жизнь самоубийством и предполагается, что в его компьютере (или ином вместилище данных) содержится информация о причинах подобного поступка;
проводится расследование преступлений, совершенных посредством применения компьютерных систем;
если необходимо отследить хронологию манипуляций, совершавшихся с данными на персональном компьютере (в компьютерной системе);
если требуется извлечь информацию и установить её содержимое.

Типовые вопросы, которые ставятся перед экспертом:

Какова степень совпадения действий пользователя и специальных правил эксплуатации данного персонального компьютера (компьютерной системы)?
Содержит ли данный носитель информации какие-либо данные?
В каком формате содержатся данные на носителе?
Файлы какого типа содержатся на представленном для анализа носителе данных?
Имеются ли на данном накопителе данных какие-либо средства защиты от копирования или несанкционированного доступа?
Присутствуют ли на анализируемых носителях зашифрованные, скрытые, защищенные паролем или удаленные данные?
Какова хронология действий пользователя относительно определенного процесса?
Какие программные продукты, предназначенные для решения определенной задачи, присутствуют в представленном персональном компьютере (компьютерной системе)?
Имеется ли связь между определенными операциями с данными (удаление, изменение, ввод данных) и произошедшим событием, например, сбои в работе компьютерной системы, отключение электричества и пр.?
Каким образом механизм выполнения данной задачи отображен в зафиксированных на носителе данных?
Каково было первоначальное состояние данных?
Какие данные, содержащиеся в представленных для проведения экспертизы документах, находятся в компьютерной системе?
Каковы потребительские свойства данных, обнаруженных в представленных накопителях информации?
Каково их функциональное предназначение?
Присутствуют ли признаки имевших место попыток преодоления защитной системы компьютера?
Каково содержание закодированных (защищенных паролем) файлов?
Каким образом организован механизм доступа к содержащимся на носителе данным?
Каков перечень имеющихся в исследуемом компьютере (компьютерной системе) файлов?

Типовые вопросы, ставящиеся перед экспертами при исследовании мобильных телефонов сотовой сети информационно-компьютерной экспертизы

Какая пользовательская информация имеется на представленных мобильных телефонах?
Какое программное обеспечение установлено в представленных на исследование мобильных телефонах?
Какие сообщения, созданные в программах обмена мгновенными сообщениями, имеются в памяти представленных на исследование мобильных телефонов?
Какие сведения о соединениях между абонентами (звонки, sms-сообщения) имеются в памяти представленных на исследование мобильных телефонов и СИМ-карт?
Какие почтовые сообщения имеются в памяти представленных на исследование мобильных телефонов?
Какие сведения о посещении Интернет-ресурсов имеются в памяти представленных на исследование мобильных телефонов?
Какая иная пользовательская информация (геолокации, пользовательские графические файлы и видеозаписи) имеются в памяти представленных на исследование мобильных телефонов?
Какие данные о пользователях (имена, учетные записи) представленных на исследования мобильных телефонов имеются в их памяти?
Имеются ли в памяти устройств пользовательская информация или файлы, созданные или измененные после ________ года?
Имеется ли среди программного обеспечения, программное обеспечение с признаками вредоносности? Если да, то какие функциональные особенности имеются у выявленного программного обеспечения?
Имеются ли в телефоне «___» дефекты, заявленные истцом? Если да, то какова причина их возникновения?
Имеются ли в указанном телефоне другие дефекты, помимо заявленных истцом, и какова причина их возникновения?
Установленные дефекты являются малозначительными, значительными или критическими?
Устранимы ли выявленные дефекты?
В каком техническом состоянии находится телефон, и пригоден ли он для дальнейшей эксплуатации?

Помимо уголовного судопроизводства, возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в том числе в арбитражных судах).

		Федеральное бюджетное учреждение Красноярская лаборатория судебной экспертизы Министерства юстиции Российской Федерации
	О лаборатории История Экспертизы Почерковедческая Техническая экспертиза документов Трасологическая Видео и звукозаписей Баллистическая Криминалистическая экспертиза материалов, веществ и изделий Биологическая Автотехническая Строительно-техническая Финансово-экономическая и бухгалтерская Товароведческая Лингвистическая Стоимость экспертиз Нормативные документы Специальная оценка условий труда Контактная информация Объявления Это интересно	Судебная компьютерно-техническая экспертиза в рамках специальности 21.1 «Исследование информационных компьютерных средств» 21.1 «Исследование информационных компьютерных средств» Судебная компьютерно-техничекая экспертиза (СКТЭ) это самостоятельный род судебных экспертиз, относящийся к классу инженерно-технических экспертиз, проводимых в целях определения статуса объекта как компьютерного средства, выявления и изучения его роли в расследуемом преступлении, а также получения доступа к информации на электронных носителях с последующим всесторонним её исследованием. Родовой предмет: факты (обстоятельства), имеющие значение для уголовного либо гражданского дела и устанавливаемые на основе исследования закономерностей разработки и эксплуатации компьютерных средств и систем, обеспечивающих реализацию информационных процессов. Информационно-компьютерная экспертиза (данных) является ключевым видом СКТЭ, так как позволяет завершить целостное построение доказательной базы путем окончательного разрешения большинства диагностических и идентификационных вопросов, связанных с компьютерной информацией. Задачами этого вида являются поиск, обнаружение, анализ и оценка информации, подготовленной пользователем или порожденной (созданной) программами для организации информационных процессов в компьютерной системе, а именно: определение способа форматирования носителя информации и способа записи данных на него; выявление специфических характеристик физического размещения информации на исследуемом накопителе данных; выявление специфических характеристик логического размещения информации на исследуемом накопителе данных; выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики; определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация; определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны; установление способа организации доступа к имеющимся на носителе данным, а также его характеристик; выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов; выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа; установление содержания защищенной информации, хранящейся на носителе; установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях; выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее; установление предназначения данных и его пользовательских свойств; выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач; выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу; поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы), имеющихся на представленных для исследования накопителях информации; установление совпадений данных в компьютере и в представленных на экспертизу документах; установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий. Проведение информационно-компьютерной экспертизы необходимо в следующих случаях: на накопителе данных содержится информация, способная нанести урон жизни или правам человека; компьютер (компьютерная система, накопитель данных) принадлежит человеку, совершившему преступление, для раскрытия которого необходима информация из данного компьютера (компьютерной системы, накопителя данных); информационное содержимое компьютера представляет собой предмет спора сторон – например, данные, защищенные авторским правом, патентными свидетельствами и пр.; если человек покончил жизнь самоубийством и предполагается, что в его компьютере (или ином вместилище данных) содержится информация о причинах подобного поступка; проводится расследование преступлений, совершенных посредством применения компьютерных систем; если необходимо отследить хронологию манипуляций, совершавшихся с данными на персональном компьютере (в компьютерной системе); если требуется извлечь информацию и установить её содержимое. Типовые вопросы, которые ставятся перед экспертом: Какова степень совпадения действий пользователя и специальных правил эксплуатации данного персонального компьютера (компьютерной системы)? Содержит ли данный носитель информации какие-либо данные? В каком формате содержатся данные на носителе? Файлы какого типа содержатся на представленном для анализа носителе данных? Имеются ли на данном накопителе данных какие-либо средства защиты от копирования или несанкционированного доступа? Присутствуют ли на анализируемых носителях зашифрованные, скрытые, защищенные паролем или удаленные данные? Какова хронология действий пользователя относительно определенного процесса? Какие программные продукты, предназначенные для решения определенной задачи, присутствуют в представленном персональном компьютере (компьютерной системе)? Имеется ли связь между определенными операциями с данными (удаление, изменение, ввод данных) и произошедшим событием, например, сбои в работе компьютерной системы, отключение электричества и пр.? Каким образом механизм выполнения данной задачи отображен в зафиксированных на носителе данных? Каково было первоначальное состояние данных? Какие данные, содержащиеся в представленных для проведения экспертизы документах, находятся в компьютерной системе? Каковы потребительские свойства данных, обнаруженных в представленных накопителях информации? Каково их функциональное предназначение? Присутствуют ли признаки имевших место попыток преодоления защитной системы компьютера? Каково содержание закодированных (защищенных паролем) файлов? Каким образом организован механизм доступа к содержащимся на носителе данным? Каков перечень имеющихся в исследуемом компьютере (компьютерной системе) файлов? Типовые вопросы, ставящиеся перед экспертами при исследовании мобильных телефонов сотовой сети информационно-компьютерной экспертизы Какая пользовательская информация имеется на представленных мобильных телефонах? Какое программное обеспечение установлено в представленных на исследование мобильных телефонах? Какие сообщения, созданные в программах обмена мгновенными сообщениями, имеются в памяти представленных на исследование мобильных телефонов? Какие сведения о соединениях между абонентами (звонки, sms-сообщения) имеются в памяти представленных на исследование мобильных телефонов и СИМ-карт? Какие почтовые сообщения имеются в памяти представленных на исследование мобильных телефонов? Какие сведения о посещении Интернет-ресурсов имеются в памяти представленных на исследование мобильных телефонов? Какая иная пользовательская информация (геолокации, пользовательские графические файлы и видеозаписи) имеются в памяти представленных на исследование мобильных телефонов? Какие данные о пользователях (имена, учетные записи) представленных на исследования мобильных телефонов имеются в их памяти? Имеются ли в памяти устройств пользовательская информация или файлы, созданные или измененные после ________ года? Имеется ли среди программного обеспечения, программное обеспечение с признаками вредоносности? Если да, то какие функциональные особенности имеются у выявленного программного обеспечения? Имеются ли в телефоне «___» дефекты, заявленные истцом? Если да, то какова причина их возникновения? Имеются ли в указанном телефоне другие дефекты, помимо заявленных истцом, и какова причина их возникновения? Установленные дефекты являются малозначительными, значительными или критическими? Устранимы ли выявленные дефекты? В каком техническом состоянии находится телефон, и пригоден ли он для дальнейшей эксплуатации? Помимо уголовного судопроизводства, возрастают потребности в СКТЭ и в других видах судопроизводства. Так, в настоящее время, в связи с глобальной компьютеризацией коммерческой деятельности, возникает большое количество гражданских споров (в том числе в арбитражных судах). Более подробно . . .
		660049 г. Красноярск, ул. Сурикова, 20а тел./факс: (391) 2-730-851 эл. почта: lab-expert@mail.ru maximkolosov.ru

Судебная компьютерно-техническая экспертиза

в рамках специальности 21.1 «Исследование информационных компьютерных средств»

21.1 «Исследование информационных компьютерных средств»

Более подробно . . .