Соблюдение всех требований УПК: ст. 208-212 (постановление, согласие/ санкция + понятые, специалист, протокол).
Применительно к компьютерным преступлениям обыск и выемка производятся чаще всего, когда имеются сведения о лицах, причастных к их совершению, способах, средствах или месте преступного посягательства с использованием компьютерных технологий и вероятном местонахождении доказательств. При проведении обыска и выемки (в отличие от осмотра места происшествия) круг поиска доказательств сужен не только до конкретного помещения, где находится компьютерная техника, но зачастую до отдельного компьютера или устройства, содержащего конкретную информацию и иные следы преступления.
Обыск (выемка) производятся:
- на рабочем месте конкретного лица (лиц) в организации, на предприятии, где находится компьютерное оборудование, с помощью которого совершено преступное посягательство на информационные базы данных этих же организаций, предприятий;
- в служебных помещениях организаций, предприятий, с использованием компьютерного оборудования которых конкретным или еще не установленным лицом (лицами) совершено преступное посягательство на информационные базы данных сторонних организаций и предприятий;
- по месту постоянного или временного жительства подозреваемого или лиц из ближайшего его окружения, где установлено компьютерное оборудование, использовавшееся при совершении преступления;
- в любом месте нахождения компьютерного оборудования (например, Notebook);
Главным объектом внимания в помещениях, где производится обыск (выемка), является находящееся в них компьютерное оборудование, которое может быть:
- автономным (при наличии компьютера, не подсоединенного напрямую к другому или другим компьютерам), при этом доказательства локализованы и их можно обнаружить в одном, ограниченном месте;
- в составе сети: локальной или распределенной (при наличии нескольких или многих компьютеров, соединенных между собой), при этом нужная следствию информация может быть обнаружена в любом ее месте.
При обыске (выемке) следует учитывать, каким образом при совершении преступления была использована компьютерная техника.
Компьютеры и их устройства могут сами являться непосредственными объектами преступного посягательства или быть орудием (средством) совершения преступления. Наряду с этим компьютерная техника является хранилищем доказательств совершенного преступления, его следов и информации о фактических обстоятельствах содеянного.
При обыске доказательства преступной деятельности (следы и соответствующую информацию) можно обнаружить в компьютере (в его системном блоке на жестком диске «винчестере»), машинных носителях информации (гибких дискетах, магнитно-оптических дисках, магнитных лентах).
Следами преступной деятельности, в зависимости от их характера, в компьютере и на машинных носителях являются:
Изменения в оперативном запоминающем устройстве ОЗУ (фиксируются только при задержании подозреваемого с поличным, в момент работы на компьютере, когда он совершил неправомерный доступ в компьютерную систему).
Следы в файловой системе:
- копии чужих файлов (при неправомерном доступе);
- файлы, где зафиксировано обращение к сайтам Интернета (при мошенничестве с использованием услуг Интернет-магазинов и т.д.);
- файлы с вредоносными программами;
- программное обеспечение подбора паролей для неправомерного доступа в Интернет, либо иного проникновения в компьютерные сети, а также содержащее функции по уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети;
- признаки, свидетельствующие о применении специальной программы для незаконного проникновения в данную компьютерную сеть (внесение в программу изменений, направленных на преодоление информационной защиты и т.д.).
Изменение конфигурации компьютерного оборудования:
- несоответствие внутреннего устройства компьютера технической документации на него (внесение в конструкцию компьютера встроенных устройств, дополнительных жестких дисков, устройств для расширения оперативной памяти, считывания оптических дисков и т.д.);
- наличие дополнительных блоков с враждебными функциями;
- нестандартные периферийные устройства и т.д.
Особую ценность для следователя в качестве доказательств представляет информация, находящаяся в компьютере и на машинных носителях. Изъятие ее и предотвращение попыток уничтожения – важнейшая задача следователя при проведении обыска.
На жестких дисках и съемных носителях информации могут содержаться такие важные данные, как:
- информация о незаконных бухгалтерских и финансовых операциях, произведенных в кредитно-финансовой сфере;
- программы, отвечающие за проведение электронных платежей по сети Интернет с использованием услуг Интернет-магазинов и виртуальных фирм, а также списки произведенных перечислений с чужих счетов и кредитных карт;
- переписка соучастников, касающаяся организации и исполнения преступления;
- сведения, составляющие государственную, коммерческую, банковскую тайну, а также нарушающие авторские и смежные права;
- личная информация граждан (переписка);
- порнографические изображения;
- вредоносные программы;
- файлы, содержащие информацию о конфиденциальных реквизитах доступа к системным ресурсам персональных компьютеров и нелегального доступа в сеть Интернет и т.д.
Немаловажное значение имеет обнаружение и изъятие (выемка) в помещении, где установлено компьютерное оборудование, традиционных вещественных доказательств.
При совершении компьютерных преступлений таковыми могут быть:
- бумажные носители информации (распечатки с принтера, в том числе оставшиеся внутри его), рукописные записи, содержащие коды и пароли доступа, тексты программ, черновые записи и записные книжки с именами, адресами и номерами телефонов лиц, причастных к преступлению, номерами счетов в банках и кредитных карточек и т.д.;
- кредитные карточки соучастников и третьих лиц, с помощью которых обналичивались и изымались денежные средства, похищенные с использованием компьютерных технологий;
- вещи и ценности, приобретенные на похищенные деньги;
- счета АТС, свидетельствующие о наборе большого числа абонентских номеров;
- специальные устройства доступа в телефонные сети и сети ЭВМ (модем и другие);
- описание программного обеспечения;
- документы, должностные инструкции, регламентирующие правила работы с данной компьютерной системой, сетью (что может свидетельствовать о том, что они были известны и преднамеренно нарушались);
- личные документы подозреваемого (обвиняемого) и т.д.
Процесс обыска (выемки) можно условно разделить на четыре этапа: подготовка, начало обыска (выемки), непосредственное проведение, а также заключительная стадия. = аналог ОМП
На заключительной стадии обыска (выемки) следует:
1. Определить с помощью специалиста (с учетом использования компьютера как орудия преступления или источника доказательств), какие носители информации следует изъять (а если это выемка – подлежат выемке). Изымаются те носители, которые содержат или с наибольшей вероятностью могут содержать доказательства совершенного преступления. Таковыми являются:
- системные блоки компьютера, в которых установлены жесткие диски, изымать которые отдельно от системного блока нецелесообразно, переносные компьютеры (notebook);
- клавиатура (некоторые их типы могут самостоятельно выступать в качестве терминала и имеют дисковые накопители);
- принтеры (имеющие платы памяти, в которых хранятся задания на печать), а также, при необходимости, и иные компоненты компьютера;
- съемные машинные носители информации (дискеты, лазерные компакт-диски, магнитные ленты).
Изымаются и все остальные указанные выше вещественные доказательства совершенного преступления, а также техническая и иная документация, имеющая отношение к подлежащему изъятию (выемке) оборудованию и носителям информации.
2. Подготовить для изъятия (выемки) намеченные аппаратные средства.
3. Оформить протокол = ОМП
