Цифровые доказательства в арбитражном суде - страница 6

Что будет делать этот специалист? Его действия по работе с цифровыми следами имеют четкую структуру. Существуют стандарты и руководства, которые регламентируют общий порядок работы. Например, ГОСТ Р ИСО/МЭК 27037—2014. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме9. Хотя этот документ относится к тематике расследования инцидентов информационной безопасности, а не к арбитражным судебным разбирательствам, он дает хорошее представление об общем алгоритме работы, основных его этапах. Пройдемся по его рекомендациям.

Идентификация. Этот этап заключается в определении перечня мест, где теоретически могут находиться искомые цифровые доказательства. После чего – поиск в этих местах, распознавание и документирование потенциальных доказательств, представленных в цифровой форме.

Посмотрев на пример с пересылкой документов по электронной почте (см. стр. 20) мы видим, что искать цифровые следы в системе контроля доступа в помещение или в системе электронной бухгалтерии вряд ли стоит. На локальном компьютере пользователя можно, но в описанных условиях высока вероятность нулевого результата (даже если исследовать компьютеры обеих сторон спора). А вот направление провайдеру соответствующих услуг запрос о предоставлении информации будет куда более действенно с точки зрения получения доказательств.

В случае же, когда в похожей ситуации стороны использовали собственные почтовые сервера, исследовать нужно именно их. Полученные данные об отправке и получении электронных сообщений стали бы основой для доказывания.

К этой ситуации мы еще вернемся в разделе про электронную переписку – ведь это одна из самых «популярных» тем.

Сбор. Процесс сбора объектов, которые потенциально содержат цифровые следы. Поскольку надежнее и безопаснее все действия по «доставанию» информации проводить в экспертной лаборатории, речь идет именно о самих объектах, содержащих информацию. Однако в значительном количестве случаев это невозможно. Например, когда речь о каком-то IT-оборудовании, обеспечивающем непрерывный производственный или бизнес-процесс. Или когда интересующие нас цифровые следы находятся в облачном хранилище, которое физически не получится «изъять» и доставить в лабораторию.

Извлечение и сохранение. Для того, чтобы цифровые следы имели шансы стать доказательствами, важно соблюсти требования к их относимости и полноте. Получение доступа к цифровым следам ни в коем случае не должно привести к нарушению их целостности, искажению и утрате. Поэтому перед началом основной работы эксперт с использованием специального оборудования или софта10 – блокиратора записи создает криминалистическую копию – «образ» носителя информации (например, накопителя ноутбука). А далее работает только с этой копией. Это действие обеспечит сохранность и неизменность цифровых следов на оригинальном носителе. Если об этом этапе забыть, все дальнейшие действия приведут к изменению первоначального следа, а значит – к утрате доказательства.

На сегодняшний день создание криминалистического образа и работа с ним, а не с самой хранящей в себе цифровые следы системой – это «стандарт отрасли». Отступление от него допускается только в очень редких, исключительных случаях.

Когда копирование завершено, важно убедиться, что копия не отличается от оригинала. Для этого рассчитываются и сравниваются значения криптографической