АЛМАТИНСКАЯ АКАДЕМИЯ МВД РЕСПУБЛИКИ КАЗАХСТАН

ИМЕНИ МАКАНА ЕСБУЛАТОВА

«Документирование обнаружения и изъятия электронных носителей

информации»

Магистрант 2 курса Алматинской

академии им М.Есбулатова
майор полиции Алишев А.С.

Документирование — это непрерывный процесс, который должен

осуществляться на протяжении всей процедуры обыска и выемки. Очень
важно подготовить детальное описание, в котором будут отображены
месторасположение и состояние компьютеров, носителей информации и
других электронных и традиционных устройств. В данном разделе описаны
общие принципы документирования процесса.
При описании места обнаружения и изъятия электронных носителей
информации необходимо зафиксировать следующую информацию (на
стадии сбора доказательств могут появиться дополнительные данные):
 Физическое расположение объектов:
 Сделать зарисовку системы, т.е. расположения ее составных частей
(мыши, клавиатуры и т.д.);
 Сделать фото- и видеосъемку помещения (по возможности, круговую);
 Обозначить местонахождение систем и электронных
компонентов/устройств/оборудования и описать, каким образом они
связаны между собой;
 Зафиксировать:
 Подробную информацию обо всех обнаруженных устройствах,
которые имеют отношение к расследованию. Указать их марку, модель
и серийный номер;
 Данные о состоянии и расположении всех компьютерных систем,
которые содержат или представляют собой электронные
доказательства, включая информацию о том, в каком состоянии
находится компьютер (включен, выключен, в спящем режиме);
 Информацию о кабельном и беспроводном подключении
компьютерных систем и прочих устройств;
  Обозначить все порты и кабели, а также соединения с периферийными
устройствами: в дальнейшем это поможет восстановить точную
конфигурацию системы. Пометить неиспользуемые порты;
 Для определения носителей данных найти стыковочные узлы ноутбука;
 Указать характеристики монитора;
 Сфотографировать переднюю часть компьютера, монитор и другие
комплектующие;
 Описать, изображение экрана монитора;
 Снять включенные программы на видео или сделать подробное
описание изображения на экране;
 Описать электронные устройства и компоненты, имеющие отношение
к расследованию, но не подлежащие выемке;
 Информацию о лицах, находящихся в месте проведения обыска, выемки,
осмотра;
 Опросить лиц, находящихся в месте проведения обыска, и внести их
ответы в соответствующие формы;
 Задокументировать:
 Персональные данные всех лиц, находящихся в месте обнаружения и
изъятия электронных носителей информации;
 Персональные данные всех лиц, использовавших компьютерные
системы и оборудование;
 Информацию и комментарии, предоставленные свидетелями и
пользователями/владельцами компьютерных устройств;
 Описание всех действий, осуществленных на месте проведения обыска;
 Сделать протокол соответствующего следственного действия с
описанием всех действий и времени их осуществления;

Несколько примеров того, с чем может столкнуться следователь на месте

обыска и как это можно задокументировать:
Обзорные снимки:
[Перевод подписей на фотоснимке]
Hard Disk — Жесткий диск
Running Laptop — Включенный ноутбук
Notes — Записи пользователя
Connected USB — Подключение через USB-порт

[Перевод подписей на фотоснимке]

Tower PC — Стационарный компьютер с вертикальным системным блоком
Desktop PC — Стационарный компьютер с горизонтальным системным
блоком
[Перевод подписей на фотоснимке]
Hub — Концентратор
HTPC — Мультимедийный компьютер
Network Cable — Сетевой кабель

[Перевод подписей на фотоснимке]

Connected network cables — Подключенные сетевые кабели
Access Point— Точка беспроводного доступа
Hub — Концентратор
Switch — Коммутатор

Детальные снимки:

Детальный снимок подключений стационарного компьютера:

[Перевод подписей на фотоснимке]

Power Supply —Кабель питания
USB — USB-порт
Monitor —Разъем для монитора
Network —Сетевой кабель
Speaker — Разъем для наушников
Microphone — Разъем для микрофона

Электронные (впрочем, как и любые другие) доказательства требуют

бережного отношения — иначе они могут утратить доказательную силу. А
значит, следователь должен обеспечить сохранность не только самих
предметов и устройств, но и электронных данных, которые они содержат.
Для некоторых видов электронных доказательств необходим специальный
порядок изъятия, упаковки и транспортировки. Электронные доказательства
могут повредиться или измениться под воздействием электромагнитных
полей (статического электричества, магнитов, радиопередатчиков и т.д.),
поэтому нужно предпринять необходимые меры для их защиты.
Традиционные неэлектронные доказательства могут также иметь
больше значение для расследования дела, поэтому их необходимо изъять и
обеспечить их сохранность. Объекты, которые представляют интерес для
следствия, зачастую находятся прямо возле компьютера и других
электронных устройств и тоже подлежат изъятию. По общему правилу,
любые доказательства должны быть идентифицированы, изъяты, упакованы
и отправлены на хранение в соответствии с ведомственными инструкциями и
действующим законодательством.
 Список использованных источников

1. «Руководство по работе с электронными доказательствами. Базовое

руководство для сотрудников полиции, прокуратуры и судов. Версия 2.0»
выпущенный Отделом по защите данных и борьбе с компьютерными
преступлениями Генеральный директорат по правам человека и верховенству
права Совета Европы от 2014 года;
2. «Всестороннее исследование проблемы киберпреступности и
ответных мер со стороны государств-членов, международного сообщества и
частного сектора» выпущенный Управлением Организации Объединенных
Наций по наркотикам и преступности от 2013 года;
3. «Всестороннее исследование проблемы киберпреступности»
выпущен-ный Управлением Организации Объединенных Наций по
наркотикам и преступности от 2013 года;
4. «Интернет: прецедентная практика Европейского Суда по правам
человека» выпущенный Отделом по проведению исследований Канцелярии
Европейского суда от 2011 года;
5. «Практическое руководство по порядку запроса электронных
доказательств из других стран» выпущенный Управлением Организации
Объединенных Наций по наркотикам и преступности от 2019 года;