1. Возьмите под контроль помещение, где установлена техника, а также электрощит. Не позволяйте никому, кроме вашего специалиста, дотрагиваться до техники и устройств электропитания. В крайнем случае, если отстранить местный персонал от техники невозможно, фиксируйте все их действия.
В тех редких случаях, когда есть основания полагать, что о проведении обыска известно расторопным сообщникам, находящимся вне вашего контроля, то как можно скорее следует отключить сетевые соединения компьютеров. Для этого вытащить из компьютеров кабели локальной сети и отключить модемы. За те несколько минут, пока фотографируют и подготавливают к выключению технику, сообщник, в принципе, может успеть соединиться по сети с компьютером и уничтожить на нем существенную информацию.
2. Выключенные устройства не включайте.
3. Сфотографируйте или снимите на видео компьютерную технику. В крайнем случае, можно зарисовать схему. Уделите внимание кабелям – какой куда подключен. Подключение кабелей также желательно сфотографировать или снабдить их ярлыками для идентификации мест подключения. Всю подключенную к компьютеру периферию следует сфотографировать и/или описать в протоколе, чтобы было ясно, как все было соединено.
4. Если на момент обыска компьютер включен, сфотографируйте или иным образом зафиксируйте изображение на мониторе.
С включенным, но «спящим» компьютером можно поступить двояко: либо сразу, не трогая его, выключить, как описано ниже, либо сначала активизировать, слегка сдвинув мышь, сфотографировать содержимое экрана, а уже затем выключить. Выбор варианта остается за руководителем операции. При «пробуждении» или активизации компьютера может оказаться, что выход из «спящего» режима или из скринсейвера защищен паролем. Тогда после сдвигания мыши вместо содержимого экрана вы увидите запрос пароля. В таком случае компьютер надо выключить описанным ниже способом.
5. Найдите и соберите листочки, на которых могут быть записаны пароли, сетевые адреса и другие данные, – часто такие записи лежат на рабочем месте, приклеены к монитору, висят на стене.
6. Если принтер что то печатает, дождитесь окончания печати. Все, что находится в выходном лотке принтера, описывается и изымается наряду с другими носителями компьютерной информации.
7. После этого компьютеры надо выключить. Это должен сделать компетентный специалист. Не позволяйте делать это местному персоналу или владельцу изымаемой техники, не принимайте их советов. Если с вами нет специалиста, выключение настольного компьютера следует производить вытаскиванием шнура питания из корпуса компьютера (не из стенной розетки). Выключение ноутбука следует производить вытаскиванием электрического шнура и извлечением его аккумулятора без закрывания крышки.
Иногда можно ошибиться, приняв включенный компьютер за выключенный. При гибернации («засыпании») экран гаснет, приостанавливаются некоторые функции компьютера. Могут погаснуть или изменить цвет светодиодные индикаторы. Тем не менее у включенного, хотя и «заснувшего» компьютера обязательно горит индикатор питания на системном блоке. У выключенного, напротив, все индикаторы на системном блоке погашены, хотя может гореть индикатор на мониторе.
8. Техника опечатывается таким образом, чтобы исключить как физический доступ внутрь корпуса, так и подключение электропитания. Это обстоятельство отражается в протоколе.
9. Изъятая техника упаковывается сообразно с хрупкостью и чувствительностью к внешним воздействиям. Особо чувствительны к вибрации жесткие магнитные диски (НЖМД); их механическое повреждение (например, из-за перевозки в багажнике) приводит к полной недоступности данных.
10. Опросите всех пользователей на предмет паролей. Надо постараться узнать у каждого сотрудника все известные ему пароли (точнее, пары логин-пароль), имеющие отношение к изъятой технике. Пароли не следует воспринимать на слух. Их надо записать по символам, обращая внимание на алфавит и регистр каждого символа и выверить у источника. Пароли допустимо не вносить в протокол допроса или объяснение, а записать просто на бумажке. Их доказательное значение от этого не снижается.