Информационно-компьютерная экспертиза
Информационно-компьютерная экспертиза представляет собой исследование, которое является видом компьютерно-технической экспертизы, производимое квалифицированным экспертом в области техники. Целью производства информационно-компьютерной экспертизы является исследование различного типа данных, которые содержатся в файловой системе компьютера.
Производство информационно-компьютерной экспертизы происходит в случаях, когда необходимо разрешение спорной ситуации, касающейся данных (информации), содержащихся на носителях информации ЭВМ.
Объектами информационно-компьютерной экспертизы являются:
- текстовые документы (например, документ формата .docx, содержащий сведения и факты, относящиеся к расследуемому делу)
- графические документы (например изображение, с помощью метаданных которого необходимо установить факт его изменения);
- системные файлы (содержат информацию об ОС, установленной на ЭВМ);
- фонограммы (например, сохраненное на ЭВМ голосовое сообщение, информацию из которого необходимо выявить в ходе исследования);
- базы данных, электронные таблицы (в них возможно содержание информации, установление которой будет являться конечной целью экспертизы);
- защищенные файлы (например, архив, защищенный паролем, который необходимо будет обойти для последующего исследования с помощью специализированного ПО (зачастую используют метод «Брут»);
- удаленные файлы (возможно их восстановление с помощью специализированного ПО для дальнейшего исследования);
- носитель информации (например, флеш-накопитель, информационное содержание которого необходимо установить).
Задачи информационно-компьютерной экспертизы:
- выявление специфических характеристик физического размещения информации на исследуемом накопителе данных;
- выявление специфических характеристик логического размещения информации на исследуемом накопителе данных;
- определение способа форматирования носителя информации и способа записи данных на него.
- определение информации о размере файлов, об общем объеме данных, именах и типах файлов, датах их создания и изменения;
- определение вида информации, которая размещена на исследуемом носителе информации – архив, удаленная, скрытая или явная информация;
- определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны;
- выявление наличия в исследуемой компьютерной системе средств защиты информации, которая в нем хранится;
- установление возможных путей взлома механизмов защиты данных, которые хранятся в компьютерной системе;
- выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа.
- установление содержания защищенной информации, которая содержится на носителе данных.
- установление предназначения данных и его пользовательских свойств.
- выявление присутствия в персональном компьютере (компьютерной системе) данных, содержащих сведения и факты, относящиеся к расследуемому делу.
Вопросы, которые могут быть поставлены перед экспертом / специалистом:
- Какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
- Когда был создан текстовый документ под названием «Х»?
- Когда был изменен текстовый документ под названием «Х»?
- Какого вида имеется информация на носителе?
- Присутствуют ли удаленные файлы на носителе информации? Если да, то каково их содержание?
- К какому типу относятся выявленные (определенные) данные и какими программными средствами они обеспечиваются?
- Каким образом организован доступ к данным на носителе информации?
- Имеются ли признаки преодоления защиты на носителе информации? Если да, то какова их дата и время?
- Каково содержание защищенных данных?
- Каково первоначальное состояние данных на носителе информации?
Заключение эксперта/специалиста информационно-компьютерной экспертизы включает в себя:
- Вводную часть (дата, время и место производства экспертизы; основание производства экспертизы, сведения об экспертном учреждении, а также фамилию, имя и отчество эксперта, его образование, специальность, стаж работы, ученую степень и (или) ученое звание, занимаемую должность; вопросы, поставленные перед экспертом, объекты исследований и материалы, представленные для производства экспертизы);
- Исследовательскую часть (исследуются свойства, признаки и свойства объектов и материалов, представленных на исследование, применяются различные средства, методы и приемы исследования);
- Синтезирующая часть (синтез и оценка, полученных промежуточных выводов по экспертизе сервера);
- Выводы (ответы на поставленные перед экспертом вопросы);
- Иллюстрационная таблица.
Обратившись в наш центр АНО ЭНЦ СЭИ «Созидание», вы получите бесплатную консультацию от нашего эксперта по интересующим Вас вопросам, а также узнаете точную стоимость и сроки выполнения экспертизы для того, чтобы вы смогли заказать информационно-компьютерную экспертизу. Срок производства информационно-компьютерной экспертизы составляет от 3 рабочих дней.