Проводится в тех помещениях, где находилась комп информация. В ситуациях, когда был удаленный доступ, осмотру могут подвергаться участки местности, которые прилегают к данным правонарушениям.
Осмотр должен быть своевременным.
Подготовка к осмотру - должно быть обеспечено участие специалиста, технических средств, переферийного оборудования, программных средств, фото и видео техники, подбор понятых.
Все средства работы с компьютерной информации должны быть сертифицированы и иметь лицензии. Они не должны изменять содержание, получаемой компьютерной информации. Должна быть защита от несанкциониуремых компьютерных преступлений. По прибытии мы должны получить информацию о лицах, которые совершили правонарушения, о действиях, которые они предприняли.
Важными составляющими являются компьютеры, соединение их со средствами связи, дополнительное оборудование, хранилище съемных носителей информации, хранилище инфорамции регламентирующей работу с компьютерами и со средствами связи. Фиксация узлов должна быть полной в Протоколе, чтобы избежать любых нестыковок.
Если в организации существует сеть, то необходимо зафиксировать топологии данной сети.
Осмотр компьютера - внешний осмотр и осмотр находящихся в компьютере информации.
Осмотр информации в компьютере зависит от того, возможно ли обеспечить сохранность и неизменность информации. Исследование информации возможно в том случае, если следователь уверен, что это не приведет к изменению самой информации.
Когда осуществляется оперативно-розыскная работа, то когда преступник проникает в компьютер, можно выявить, где он находится с помощью его IP адреса.
Внешний осмотр включает как описание родовых признаков, так и индивидуальных.
Нежелательно использовать порошки при изъятии отпечатков пальцев. Это может привести к тому, что технику нельзя будет использовать.
Особенности получения информации: при осмотре компьютера мы хотим получить как можно более полную инфу. Наиболее рациональным было бы изъятие всей информации. Мы здесь стремимся найти некий серединный путь: сделать определенную копию и оставить её провайдеру, чтобы он работал с ней. Можно получить информацию на электронных и бумажных носителях.
В дальнейшем компьютерная информация хранится в неизменном виде. Все операции производятся с копией информации.
Наиболее часто изымают носители, находящиеся в архивах пользователей. Это могут быть электронные журналы регистрации соединений с другими компьютерами, протоколы.
Это могут быть документы, регламентирующие работу со средствами связи: должностные инструкции, трудовые договоры, образцы, характеризующие работу оборудования, сведения о системе защиты, применяемые потерпевшим (например, списки, коды, пароли). Важно, чтобы соответствующие документы были описаны таким образом, чтобы исключить их неоднозначное толкование. Должны быть зафиксированы их индивидуализированные и родовые признаки.
Не должно быть силы магнитных источников при транспортировке такой информации.