Если компьютер подключен к локальной сети, то необходимо'
1. Установить количество подключенных к файл-серверу рабочих станций или компьютеров, вид связи сети, количество файл-серверов в сети.
2. По возможности организовать параллельный осмотр включенных в локальную сеть рабочих станций и компьютеров (по вышеизложенной схеме осмотра работающего компьютера). Если же такая возможность отсутствует, то надо обеспечить их остановку и далее производить осмотр в режиме неработающего компьютера.
Осматривая с участием специалиста неработающий компьютер, нужно:
1. Определить местонахождение компьютера и его периферийных устройств (печатающего устройства, дисплея, клавиатуры, дисководов и пр.) с обязательным указанием в протоколе наименования, номера, модели, формы, цвета каждого из них.
2. Установить порядок соединения между собой вышеуказанных устройств, количество соединительных разъемов, их спецификации, виды проводов и кабелей, их цвет и количество, выяснить, подключен ли данный компьютер в сеть, и если да, то в какую именно и каковы способ и средства его подключения.
3. Проверить красящую ленту матричного принтера, на которой могут быть обнаружены следы текста.
Надо иметь в виду, что в отличие от работающего компьютера неработающий лишен таких признаков, как светящееся изображение на экране дисплея, свечение индикаторов на передних панелях системного блока, шум внутренних вентиляторов.
В процессе осмотра нельзя забывать о необходимости соблюдения элементарных правил обращения с вычислительной техникой, в частности:
1. Все включения и выключения компьютерного оборудования должны осуществляться только специалистами либо под их руководством.
2. Не производить разъединения или соединения кабельных линий, прежде чем не будут выяснены их назначение, чтобы не допустить ущерба компьютерной системе.
3. Вскрытие и демонтаж компьютерного оборудования производить только с участием специалиста.
4. Не допускать попадания мелких частиц и порошков на рабочие части устройств ввода-вывода компьютеров.
5. Применение магнитных искателей, ультрафиолетовых осветителей, инфракрасных преобразователей и других подобных приборов для осмотра вычислительной техники должно быть согласовано со специалистом, чтобы избежать разрушения носителей информации и микросхем памяти ЭВМ.
Осмотр носителей машинной информации.
Он производится с целью установления содержания самой компьютерной информации и обнаружения внешних следов, в том числе следов пальцев рук. Последние могут быть выявлены на упаковках и местах хранения машинной информации. Осмотру подлежат: жесткие магнитные диски (винчестеры), оптические диски, дискеты, магнитные ленты, оперативные запоминающие устройства (ОЗУ), постоянно запоминающие устройства (ПЗУ), виртуальные диски, бумажные носители информации (листинги, журналы и иные документы, составляемые с помощью ЭВМ).
При осмотре необходимо указать в протоколе:
1. Место обнаружения каждого носителя информации (стол, шкаф, сейф), температуру воздуха, при которой он хранился.
2. Характер его упаковки (конверт, специальный футляр-бокс для хранения дискет, коробка, фольга и пр.), надписи на упаковке, наклейки на носителях информации с соответствующими пометками, цвет материала упаковки и наклейки, наличие штрихового кода и прочие особенности.
3. Тип и размер носителя (в дюймах).
4. Изготовитель, плотность записи и номер (если они обозначены на дискете), состояние средств записи от стирания (открытые или отломанные шторки на дискетах и кассетах).
5. Особые приметы на машинных носителях (царапины, иные повреждения, гравировки и пр.).
6. Тип компьютера, для которого предназначен обнаруженный носитель (его марка, фирма-изготовитель).
Нужно помнить о наличии дискет, принесенных со стороны, которые могут содержать вредоносные программы (компьютерные вирусы) либо незаконно скопированную информацию.
Обращаться с магнитными носителями информации следует осторожно — не прикасаться руками к рабочей поверхности дисков, не подвергать их электромагнитному воздействию, не сгибать диски, не хранить их без специальной упаковки, не допускать резких перепадов температуры при хранении и транспортировке.
Осмотр документов.
Это могут быть: журналы учета работы на компьютере (если они ведутся), листинги, техническая, технологическая, кредитно-финансовая, бухгалтерская и прочая документация (инструкции, положения, правила, уставы, технорабочие проекты на автоматизированную информационную систему (АИС), договоры, контракты, соглашения и т.д.).
Особое внимание нужно обратить на: подчистки, исправления; дополнительные записи; отсутствие нумерации страниц; дополнительно вклеенные страницы, листки, бланки; письменные распоряжения на исполнение определенных работ по изменению программ для ЭВМ, вводу дополнительной информации, не предусмотренной технологическим процессом; соответствие ведущихся в системе форм регистрации информации правилам, установленным технической и технологической документацией.
Вопрос об изъятии документов надлежит согласовать со специалистом, а в протоколе указать наименование, количество экземпляров, число страниц, место обнаружения.
В случае изъятия отдельных устройств вычислительной техники и машинных носителей информации, обнаруженных в процессе осмотра места происшествия, рекомендуется соблюдать следующие правила упаковки и транспортировки: