рекомендациям.
Идентификация. Этот этап заключается в определении перечня мест, где теоретически могут находиться искомые цифровые доказательства. После чего – поиск в этих местах, распознавание и документирование потенциальных доказательств, представленных в цифровой форме.
Посмотрев на пример с пересылкой документов по электронной почте (см. стр. 20) мы видим, что искать цифровые следы в системе контроля доступа в помещение или в системе электронной бухгалтерии вряд ли стоит. На локальном компьютере пользователя можно, но в описанных условиях высока вероятность нулевого результата (даже если исследовать компьютеры обеих сторон спора). А вот направление провайдеру соответствующих услуг запрос о предоставлении информации будет куда более действенно с точки зрения получения доказательств.
В случае же, когда в похожей ситуации стороны использовали собственные почтовые сервера, исследовать нужно именно их. Полученные данные об отправке и получении электронных сообщений стали бы основой для доказывания.
К этой ситуации мы еще вернемся в разделе про электронную переписку – ведь это одна из самых «популярных» тем.
Сбор. Процесс сбора объектов, которые потенциально содержат цифровые следы. Поскольку надежнее и безопаснее все действия по «доставанию» информации проводить в экспертной лаборатории, речь идет именно о самих объектах, содержащих информацию. Однако в значительном количестве случаев это невозможно. Например, когда речь о каком-то IT-оборудовании, обеспечивающем непрерывный производственный или бизнес-процесс. Или когда интересующие нас цифровые следы находятся в облачном хранилище, которое физически не получится «изъять» и доставить в лабораторию.
Извлечение и сохранение. Для того, чтобы цифровые следы имели шансы стать доказательствами, важно соблюсти требования к их относимости и полноте. Получение доступа к цифровым следам ни в коем случае не должно привести к нарушению их целостности, искажению и утрате. Поэтому перед началом основной работы эксперт с использованием специального оборудования или софта10 – блокиратора записи создает криминалистическую копию – «образ» носителя информации (например, накопителя ноутбука). А далее работает только с этой копией. Это действие обеспечит сохранность и неизменность цифровых следов на оригинальном носителе. Если об этом этапе забыть, все дальнейшие действия приведут к изменению первоначального следа, а значит – к утрате доказательства.
На сегодняшний день создание криминалистического образа и работа с ним, а не с самой хранящей в себе цифровые следы системой – это «стандарт отрасли». Отступление от него допускается только в очень редких, исключительных случаях.
Когда копирование завершено, важно убедиться, что копия не отличается от оригинала. Для этого рассчитываются и сравниваются значения криптографической хэш-функции. Если значения
Популярны аппаратные блокираторы записи, например компаний Tableau и EPOS.
