Что такое анализ цифровых данных, содержащихся в компьютерной системе, каковы его цели?

Предметом информационно-компьютерной экспертизы являются данные компьютерной системы (КС). Они были собраны и сохранены пользователем или появились благодаря действиям программного обеспечения (ПО), сопровождающего работу.

Информационный анализ выявляет результат работы программ и приложений, определяет транзакции, совершенные с помощью информационных сетей, отслеживает действия и намерения пользователя через сохраненные и удаленные файлы на ПК.

Задачи

Информационно-компьютерная экспертиза устанавливает:

1. Способ форматирования информационного носителя и способ записи данных.
2. Специфические характеристики данных, размещенных на накопителе, по физическому и логическому размещению и их атрибутику: размеры, общий объем информации, имена, даты сохранения и другие характеристики.
3. Скрытую, удаленную и явную информацию.
4. Тип файлов и программ их создания, обработки и просмотра.
5. Способ организации доступа и его характеристики.
6. Средства защиты, пути взлома.
7. Содержание защищенных данных.
8. Состояние данных и соответствие состоянию на персональном компьютере.
9. Несоответствия, нарушена ли целостность, есть ли вредоносные включения и так далее.
10. Есть ли данные для решения конкретных пользовательских задач и документация, имеющая отношение к расследованию.
11. Совпадения между документацией на ПК и тех, что прислали на экспертизу.

Когда необходима экспертиза?

Исследование проводится в нескольких случаях:

1. Накопитель содержит контент, способный нанести урон жизни и здоровью.
2. Компьютер принадлежит преступнику, и данные нужны для расследования.
3. Информация на ПК предмет споров, например, при установлении авторских прав.
4. Когда владелец ПК совершил суицид и, возможно, информация на носителе поможет раскрыть причину.
5. При необходимости отслеживания хронологии манипуляций в системе.
6. Для извлечения файлов и установления содержимого.

Рассматриваемые вопросы

Задача исследования – установить:

1. Перечень имеющихся данных, их формат и тип и средства их защиты.
2. Есть ли скрытая, защищенная, зашифрованная информация.
3. Хронологию действий при выполнении работы
4. Программные продукты на ПК.
5. Взаимосвязь между удалением, копированием или другими действиями с файлами и происходящими событиями.
6. В каком состоянии данные находились изначально, и какие из отправленных на экспертизу есть в КС.
7. Содержание защищенных файлов и организацию доступа к ним.

Специалист, который проводит экспертизу, несет ответственность за то, что написано в заключении, и может быть вызван в суд. За дачу ложной информации он может понести уголовную ответственность согласно статье 307 УК РФ. К расследованию могут быть подключены другие специалисты, в том числе психологи и лингвисты.