Актуальные проблемы проведения экспертизы информационных технологий

(Хажевскас А., Гражялис К., Горбатков А.) («Эксперт-криминалист», 2013, N 3)

АКТУАЛЬНЫЕ ПРОБЛЕМЫ ПРОВЕДЕНИЯ ЭКСПЕРТИЗЫ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ <*>

А. ХАЖЕВСКАС, К. ГРАЖЯЛИС, А. ГОРБАТКОВ

——————————— <*> Khazhevskas A., Grazhalis K., Gorbatkov A. Topical problems of carrying out of expert evaluation of informational technologies.

Хажевскас Андрюс, старший эксперт отдела экспертизы цифровой информации Центра судебной экспертизы Литвы.

Гражялис Кястутис, заведующий отделом экспертизы цифровой информации Центра судебной экспертизы Литвы.

Горбатков Андрей, заведующий учебно-криминалистической лабораторией юридического факультета Вильнюсского университета, доктор социальных наук правового направления.

Основываясь на анализе экспертно-практической деятельности Центра судебной экспертизы Литвы, в данной статье выделяются и рассматриваются классификации объектов и методов (процедур) исследования информационных технологий на стандартные и нестандартные, а также классификация элементов, влияющих на исследование информационных технологий, на типичные и нетипичные. Вышеупомянутые классификации представляются важными, так как они непосредственно влияют на сроки проведения экспертизы информационных технологий, предъявляемые экспертам квалификационные требования и требования, предъявляемые к представляемому для исследования материалу. Типичное исследование стандартных объектов проводится быстрее. Если хоть на одном из этапов исследования информационных технологий проявляется нетипичный элемент — исследование усложняется, соответственно, увеличивается срок его проведения и для исследования требуются более глубокие специальные познания, высокая квалификация и компетентность судебных экспертов.

Ключевые слова: экспертиза информационных технологий, экспертная практика информационных технологий, типичное и нетипичное исследование, стандартный и нестандартный метод исследования.

<1>, <2>, Dr. A. Gorbatkov <3> ——————————— <1> Forensic Science Centre of Lithuania, senior expert of Department of Examination of Digital Information, Lvovo str. 19A, Vilnius LT-09313, Lithuania. <2> Forensic Science Centre of Lithuania, Head of Department of Examination of Digital Information, Lvovo str. 19A, Vilnius LT-09313, Lithuania. <3> Vilnius University, Faculty of Law, Head of Criminalistics laboratory, av. 9, Vilnius, Lithuania.

The classifications are based upon practise of Forensic Science Centre of Lithuania and they are the classification of examination into typical and non-typical (ordinary and not ordinary), the classification of objects into standard and not-standard and classification of examination methods (procedures) into standard and not standard. The defined classifications are important because they influence terms of examinations, qualification and competence requirements for forensic experts and requirements for examination materials. Forensic practise shows that typical examinations of standard objects are performed faster than non typical examinations, i. e. such examinations where at least one stage of IT examination may be recognised as nontypical. The performance of nontypical examinations is very complicated, long term investigation demanding deep special knowledge in the sphere and high competence and qualification of expert.

Key words: forensic examination of Information Technologies, IT forensic practise, typical and nontypical examination, standard and notstandard procedures (methods).

Исследования информационных технологий (далее — ИТ) в Центре судебной экспертизы Литвы (далее — ЦСЭЛ) проводятся с 1995 г. Семнадцатилетняя практика экспертной работы позволяет утверждать, что стремительное развитие новых технологий привело к значительному увеличению таких исследований, а сами они усложняются. Данные факторы предопределяют необходимость решения совершенно новых задач, проблемы и вопросы, возникающие в экспертной практике. В связи с этим в экспертных учреждениях Литвы и других стран Европы решается вопрос о возможности определения стандартных задач (рамок) и процедур исследований ИТ, внедрения таких методов и методик в жизнь. 1. Современное состояние экспертизы (исследований) <4> информационных технологий. ——————————— <4> В Литовской Республике экспертиза и исследование объектов — самостоятельные процессуальные действия, формы использования специальных знаний. Их основные процессуальные положения закреплены в различных главах XIV раздела (Действия досудебного расследования) Уголовно-процессуального кодекса Литовской Республики, соответственно в 6 главе (Экспертиза) и 5 главе (Исследование объектов и осмотр). Безусловно, различаются их процессуальные формы, порядок назначения, отчасти — субъекты проведения и некоторое другое. Но вместе с тем необходимо отметить и то, что с точки зрения криминалистики и теории доказывания упомянутые действия имеют очень много общего. Их реальное (фактическое) содержание и технология проведения почти идентичны, результаты обладают равноценным доказательственным значением (Lietuvos Respublikos proceso kodekso komentaras (1 knyga) / Gintaras Goda, Marcelis Kazlauskas, Pranas Kuconis… [et al.]. Vilnius, 2003. P. 228). А потому в контексте данного научного исследования авторы, абстрагируясь, не будут различать и временно отождествят экспертизу и исследование объектов.

Информационные технологии, их молниеносное развитие и все более широкий диапазон применения — одна из самых ярких и значимых особенностей современного общества. С одной стороны, влияние информационных технологий на различные сферы человеческой деятельности очевидно и полезно. А с другой стороны, они стали инструментом совершения как «традиционных» (например, вымогательства, присвоения имущества, мошенничества), так и сравнительно недавно криминализированных (например, незаконное влияние на информационную систему, электронные данные, несанкционированный доступ к информационным системам) преступных деяний. Поэтому при раскрытии и расследовании преступлений все чаще возникает необходимость в проведении исследований (экспертиз <5>) ИТ, позволяющих установить важную доказательственную информацию об использованном компьютерном оборудовании (аппаратных средствах, программном обеспечении, информации, хранящейся и собранной с носителей компьютерных данных, компьютерной системе и обстоятельствах ее функционирования). ——————————— <5> Экспертизы, базу которых составляют знания информационных технологий, могут называться и по-другому. Например, в Российской Федерации такие экспертизы обычно называют компьютерно-техническими, которые, в свою очередь, подразделяют на различные виды (подвиды): аппаратно-компьютерную, программно-компьютерную, информационно-компьютерную (данных), компьютерно-сетевую и телематическую (см.: Россинская Е. Р., Усов А. И. Классификация компьютерно-технической экспертизы // Уголовный процесс и криминалистика на рубеже веков. М., 2000; Россинская Е. Р., Усов А. И. Судебная компьютерно-техническая экспертиза. М., 2001; Зинин А. М., Майлис Н. П. Судебная экспертиза: Учебник. М., 2002). Некоторые ученые еще называют их экспертизами компьютерных средств (см.: Аверьянова Т. В. Назначение экспертизы и стадии ее производства // Эксперт: руководство для экспертов органов внутренних дел и юстиции / Под ред. Т. В. Аверьяновой, В. Ф. Статкуса. М., 2003).

В Правилах проведения экспертиз (исследований) в Центре судебной экспертизы Литвы, утвержденных 4 сентября 2007 г. Указом министра юстиции Литовской Республики N 1R-327, возможности исследований (экспертизы) ИТ сформулированы следующим образом: «Экспертиза информационных технологий — устанавливает, восстанавливает, находит данные, связанные с исследуемым событием и находящиеся в устройствах памяти компьютерной техники, устанавливает условия эксплуатации компьютерного оборудования и программного обеспечения и их влияния на расследуемое событие» <6>. Указанные возможности экспертизы СТ выявляют задачи, решаемые судебными экспертами этой области, определяют пределы (границы) исследований СТ, но не решают вопрос о возможности стандартизации (унификации) таких задач. ——————————— <6> , 2007. N 96-3902.

В теории и практике судебной экспертизы задачи экспертных исследований чаще всего делят на три группы: идентификационные, диагностические и классификационные. Решая идентификационные задачи, отождествляя объект по оставленным им следам, можно идентифицировать человека по почерку, голосу и т. д. Решение диагностических задач позволяет определить происхождение объекта, условия (область) его применения, способ работы, состояние и свойства объекта, причины появившихся изменений, механизм образования следов, механизм происшествия, пригодности оборудования для выполнения конкретных действий и т. п. Решая классификационные задачи, определяют известные или неизвестные характеристики, признаки объекта, чтобы отнести его к конкретному классу или группе объектов. Практика исследований СТ показывает, что чаще всего они связаны с решением диагностических задач, результаты которых позволяют ответить на некоторые вопросы классификационного характера (например, причислить объект к определенной группе объектов, сохраняющих информацию). Вместе с тем необходимо отметить, что уже упомянутое стремительное развитие СТ, расширение спектра и возможностей их применения затрудняет определение четких пределов (границ, рамок) исследований СТ. Это подтверждает и предпринятый нами анализ. Исследования СТ в ЦСЭЛ проводят 12 экспертов отдела экспертиз цифровой информации (далее — ОЭЦИ), которые работают в Вильнюсе и Клайпеде. Экспертная практика показывает, что в общем контексте проводимых ЦСЭЛ исследований (экспертиз) исследования ИТ становятся все более востребованными, возрастает их число и количество представляемых для исследования объектов (илл. 1 и 2). Следует отметить и то, что сами исследования становятся сложнее, отнимают больше времени и сил, возрастает значение результатов исследований ИТ, особенно с учетом того, что такие исследования обычно проводятся при расследовании тяжких и особо тяжких преступлений, резонансных случаев. Так или иначе, данные обстоятельства оказывают влияние на увеличение сроков проведения исследований ИТ и возникновение так называемых «очередей», что зачастую вызывает недовольство со стороны сотрудников правоохранительных органов и судов.

200

185

180 . . . . 160 160 . . . . . . . 140 . . . . 130 . . . . . 120 . . . Количество 113 . . . . проведенных 103 . . . исследований . . . . ИТ в год 100 . 97 . . . . Очередь на . 94 . . . . проведение 91 . . . . . . исследований . . . . . . . ИТ (в месяц) 80 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 . . . . . . . . 18 . . . . . . . 16 . . 14 . . . . . . . . . . . . . . . . . 12 . . . . 12 . . . . . . . 10 . . . . . . 9 . . . . . . . . . 8 . . . . . . . . . . . . 0 2005 2006 2007 2008 2009 2010 2011 2012

Илл. 1. Динамика проведенных в ЦСЭЛ исследований ИТ

400000

350000

300000

250000

Количество 200000 исследованных объектов в год

150000

100000

50000

0 2005 2006 2007 2008 2009 2010 2011 2012

Илл. 2. Рост числа объектов исследований

Анализ экспертной практики ЦСЭЛ позволяет утверждать, что некоторые вопросы можно было бы решить, сужая задачи исследования, конкретизируя их, уточняя момент назначения исследования, его актуальность и т. п. Непосредственно с этим связан и Указ Генерального прокурора Литовской Республики от 18 января 2011 г. N I-14 «Об утверждении Рекомендаций по поводу поручения задач специалистам и экспертам» <7>, в котором говорится: ——————————— <7> , 2011-01-20. N 8-379.

«82. Прежде чем назначить исследование информационных технологий, необходимо решить, какая информация, возможно, находящаяся в компьютерных средствах, необходима для: 82.1 всестороннего раскрытия преступного деяния; 82.2 квалификации преступного деяния; 82.3 установления конкретных обстоятельств дела, подлежащих доказыванию. 83. Формулируемые в поручении исследования вопросы должны быть связаны с получением информации, указанной в пункте 82 данных Рекомендаций, и с конкретными обстоятельствами дела». Важно отметить и то обстоятельство, что оперативность проведения исследований (экспертиз) ИТ во многом предопределяет продуктивное сотрудничество экспертов и лиц, назначивших экспертизу (исследование объектов), а точнее — их методико-предметное, деловое сотрудничество, которое на данный момент, к сожалению, оставляет желать лучшего. Так, в экспертной практике ЦСЭЛ бывали случаи, когда экспертиза поручается эксперту, некомпетентному решить поставленную задачу, то есть не правильно определяется область необходимых специальных знаний. Например, был случай, когда эксперту по исследованию видеозаписей на экспертизу был представлен системный блок компьютера и поручено ответить на вопрос, была ли удалена информация с видеокамер. Представляется очевидным, что в соответствии с критериями объекта исследования (в этом случае это не видеозапись) и необходимых для исследования специальных знаний такая задача не входит в компетенцию эксперта упомянутой области и может быть решена исключительно экспертом исследований ИТ <8>. ——————————— <8> tyrimo ir ribos // Kriminalistika ir teismo : mokslas, studijos, praktika VI. Vilnius. 2009. P. 270 — 281.

Кроме того, достаточно часто экспертам исследований ИТ ставятся абстрактные, неконкретные задачи, а также задачи, решение которых требует наличия юридических знаний (например, выполнить компьютерное исследование и определить относящиеся к делу обстоятельства) <9>. ——————————— <9> LTEC specialisto . N 11-523(09).

2. Объекты экспертизы информационных технологий и особенности ее проведения. Анализ практики исследований ИТ в ЦСЭЛ и, в частности, основных признаков представляемых для исследования объектов (жестких дисков, ноутбуков, мобильных телефонов, другого сохраняющего в памяти информацию оборудования и устройств) позволяет утверждать, что все исследования ИТ условно могут быть разделены на типичные и нетипичные. Для того чтобы определить основания этой классификации и особенности выполнения исследований, прежде всего необходимо рассмотреть технологию (этапы) исследования ИТ и выявить элементы, влияющие на ход его проведения. Экспертная практика ЦСЭЛ и подобных учреждений других стран мира показывает, что независимо от представленных для исследования объектов и характера сформулированных эксперту вопросов исследования ИТ традиционно состоят из 4 этапов (стадий): 1) идентификация представляемых для исследования ИТ объектов; 2) установление возможности получения (считывания) информации с представляемых для исследования ИТ объектов; 3) анализ полученной информации; 4) систематизирование информации и предоставление результатов исследования. Что касается идентификации представляемых для исследования ИТ объектов и установления возможности получения (считывания) с них информации, эксперты ОЭЦИ ЦСЭЛ исследуют оборудование самого различного назначения: системные блоки компьютера, ноутбуки, телефоны мобильной связи (далее — ТМС), жесткие диски, устройства цифровой системы наблюдения (далее — DVR-устройства), GPS-приемники и другое оборудование, которое сохраняет информацию в памяти (илл. 3).

Илл. 3. Некоторые представленные для исследования в ОЭЦИ ЦСЭЛ объекты (объект 1 — жесткий диск, объект 2 — ТМС, объект 3 — ноутбук)

Среди вышеперечисленных объектов особого внимания требуют ТМС, так как они довольно часто направляются на исследование. В зависимости от программных, аппаратурных и функциональных особенностей их можно классифицировать определенным образом (см. табл. 1). Данная классификация довольно условна, так как исследуемые ТМС могут обладать особенностями различных классов.

Таблица 1

Классификация ТМС

Базовый класс Средний (эконом) Высший класс (элементарный класс (ТМС, («разумный» ТМС) ТМС) обладающий дополнительными функциями)

Процессор Ограниченная Повышенная Большая скорость скорость скорость

Память Внутренняя Внутренняя Внутренняя память ограниченная ограниченная большого объема с память память с возможностью возможностью использования внешней использования памяти большого объема внешней памяти

Гнезда Отсутствуют Mini SD, MMC Micro SD, MMC mobile внешней mobile памяти

Экран Черно-белый Цветной Цветной — 16 и более битов

Фотокамера Отсутствует Фотографирование, Фотографирование и видеозапись видеозапись высокого качества

Набор Использование Кроме физической Может использоваться текста физической клавиатуры физическая или программная клавиатуры (кнопок) может клавиатура, сенсорный (кнопок) использоваться и экран программная

Беспровод — IrDA IrDA, Bluetooth IrDA, Bluetooth, Wi-Fi ные технологии

Операцион — Фирмы — Фирмы — Linux, Windows Mobile, ная производителя производителя RIM OS, Symbian, Android OS система

Дополни — Отсутствуют MP3 проигрыватель, Проигрыватель файлов. MP3, тельные диктофон. MP4,.MOV, программы программы изменения и просмотра текста, эл. почта, программы общения в интернете и др.

Все указанные в табл. 1 объекты исследования СТ по возможности их идентификации и получения (считывания) информации можно разделить на две основные группы: стандартные и нестандартные. К стандартным объектам относятся такие объекты, идентификация которых не представляет сложности, а использование имеющегося в распоряжении эксперта программного обеспечения и аппаратного оборудования позволяет без особых трудностей получить (считать) необходимую информацию. Нестандартные объекты — поврежденные, сломанные, трудно идентифицируемые ТМС, переделанные (самодельные, кустарные) мобильные устройства слежения, самодельные считыватели карт, устанавливаемые на банкоматы (известные как скиммеры, которые часто бывают инкапсулированы эпоксидной смолой, из-за чего практически не поддаются разборке и трудно идентифицируются) и другое нестандартное оборудование (устройства), которое сохраняет информацию в памяти (илл. 4 — 6).

Илл. 4. Поврежденные, сломанные ТМС, представленные на исследование

Илл. 5. Предназначенное для прослушивания самодельное устройство

Илл. 6. Устанавливаемый на банкоматы самодельный считыватель карт (скиммер)

Важно подчеркнуть, что показанные на иллюстрациях нестандартные объекты не только трудно идентифицируемы, повреждены или сломаны, но и сама возможность получения (считывания) с них необходимой информации ограничена, значительно осложнена. К примеру, производители низшего класса (самых дешевых, давно произведенных и т. п.) ТМС вообще не предоставляют никакой возможности даже обычному потребителю записать или считать (переписать) с памяти таких устройств какую-либо информацию. Исследование таких объектов является нетипичным, так как в каждом конкретном случае требует применения необычных специальных знаний, разнообразных способов поиска и получения (считывания) информации, специализированного оборудования либо нетрадиционного использования специализированного (специального) стандартного оборудования. На илл. 7 — 10 показано специальное оборудование для исследования ТМС (пакет фирмы-производителя Guidance software (англ. Neutrino Wave Shield Bag), действующий по принципу клетки Фарадея, позволяющий проводить исследования с включенным ТМС).

Илл. 7. Аппаратное оборудование, предназначенное для считывания информации с ТМС (кабельный комплект передачи данных фирмы-производителя Paraben (с COM и USB разъемами); устройство фирмы-производителя Guidance Neutrino с кабельным комплектом передачи данных (с USB и RJ45 разъемами); оригинальные кабели передачи данных фирм — производителей телефонов)

Илл. 8. Используемые устройства/блоки фирм-производителей Twister, Tornado, HWK для считывания информации с flash-памяти вместе с кабельным комплектом (с разъемом RJ45)

Илл. 9 Устройство. XRY фирмы Micro Systemation вместе с кабельным комплектом передачи данных (с USB и RJ45 разъемами)

Илл. 10. Устройство UFED Touch Ultimate фирмы Cellebrite вместе с кабельным комплектом передачи данных (с USB и RJ45 разъемами)

Кроме того, обратим внимание на то, что в практической деятельности ОЭЦИ ЦСЭЛ встречаются случаи, когда нестандартные объекты хорошо известны экспертам и легко идентифицируемы, но на рынке отсутствует (просто не создано) специализированное программное обеспечение либо аппаратура, предназначенные для получения (считывания) информации с исследуемых объектов. Так, например, экспертам был предоставлен ноутбук «MacBook Air» с нестандартным разъемом жесткого диска от производителя «Apple» (илл. 11). Ни фирма-производитель, ни какие-либо другие компании не создали никакого специального разъема (адаптера), через который можно было бы считывать информацию с жесткого диска полученного ноутбука, в связи с чем экспертам ЦСЭЛ пришлось потратить довольно много времени и приложить массу усилий для того, чтобы все-таки выполнить задачу и считать необходимую информацию с жесткого диска ноутбука.

Илл. 11. Ноутбук «MacBook Air»

Как упомянутый пример, так и опыт практической деятельности позволяет утверждать, что в целом для получения (считывания) информации с нестандартных объектов (по сравнению со стандартными объектами) и ее анализа требуется не только затратить достаточно много сил, времени, труда, но и обладать терпением, изобретательностью, высокой квалификацией. Вместе с тем надо признать, что стандартные объекты пока представляются для исследования гораздо чаще, чем нестандартные. Также здесь необходимо отметить, что идентификация DVR-устройств и считывание информации с них обычно не создают дополнительных технических трудностей, но при этом считанная информация, алгоритм кодирования записанных видеоданных, структура/система файлов чаще всего не унифицированы (связаны (совместимы) со структурами файлов известных операционных систем и популярными алгоритмами кодирования видеоданных). При этом достаточно часто компания — производитель DVR-устройства отказывается сотрудничать с экспертами, предоставить необходимую им информацию, прикрываясь коммерческой тайной, что, в свою очередь, приводит к невозможности проведения всестороннего и полного исследования. Самым важным этапом, влияющим на сложность и сроки проведения исследований СТ в ОЭЦИ, можно назвать именно анализ считанной с полученных для исследования объектов информации. На начальной стадии этого этапа обычно проводится типичное исследование, то есть эксперт действует в полном соответствии с установленными и общепризнанными в экспертной практике стандартными процедурами и методами исследования. Примерами таких исследований являются поиск документов и рисунков (изображений) по расширениям файлов, информации по ключевым словам отправленных или полученных электронных писем, обнаружение и предоставление программ для общения по интернету в реальном времени, историй чата пользователя и др. Естественно, что если бы этим все заканчивалось и на рассматриваемом этапе проводились бы только типичные исследования, то это бы существенно сократило сроки проведения экспертизы СТ, исключило создание очередей, упростило сам процесс исследования. Но в действительности все, к нашему большому сожалению, обстоит иначе. Практика свидетельствует, что «заказчику» чаще всего не хватает типичного исследования информации. В связи с чем эксперты ОЭЦИ, решая поставленные перед ними задачи, вынуждены проводить дополнительно новые, ранее не проводившиеся, технологически необычные, нетипичные исследования, при которых сложно, а иногда просто невозможно применять стандартные методы. Заметим, что для данной стадии исследования в первую очередь характерны нетрадиционное применение имеющейся аппаратуры, оборудования, программного обеспечения, непрерывный поиск способов решений поставленных перед экспертом задач. Примерами таких исследований могут послужить: установление факта «взлома» программного обеспечения, исследование информации баз данных, установление паролей, обстоятельств события после перезапуска (перезагрузки) компьютера, восстановление удаленной информации, анализ и интерпретация считанной физической информации ТМС и др. Не менее важным этапом исследования ИТ являются оформление и предоставление результатов «заказчику». Ранее, когда объемы исследуемой информации не были такими внушительными, обнаруженные в процессе исследования документы распечатывались и прилагались к акту экспертизы (выводам специалистов). Позднее, да и в настоящее время, в связи со значительным ростом исследуемой и выявляемой информации стандартно обнаруженные данные обычно записываются на оптические носители. Вместе с тем опыт авторов позволяет утверждать, что иногда предоставить информацию подобным образом нет возможности. Например, когда система управления данными программно «привязана» к исследуемому компьютеру и активируется только на нем, а других вариантов просмотра информации нет. Заметим, что извлечение информации из базы данных и подготовка отчетов не входят в компетенцию эксперта ИТ. В таком случае работающую систему необходимо передать соответствующему специалисту для дальнейшего исследования и обеспечить, чтобы объект исследования не изменился в будущем и вся информация была бы передана (сохранена). Другим подобным примером является ситуация, когда информация может быть просмотрена только при помощи специализированного программного обеспечения, которое не может экспортировать или распечатывать данные. В таком случае необходимо тесное сотрудничество производителя специализированного оборудования и «заказчика» исследования ИТ. Результаты предпринятого соавторами анализа позволяют подчеркнуть, что при проведении исследования ИТ важны несколько элементов, которые могут быть сгруппированы следующим образом: типичные или нетипичные стадии процесса исследования, стандартный или нестандартный объект исследования, стандартный или нестандартный метод (процедура) исследования. Выделенные элементы между собою тесно переплетены и друг на друга влияют. Данное обстоятельство подтверждается и представленными ниже определениями: типичное исследование — исследование, в процессе которого со стандартных объектов (легко идентифицируемых, ранее исследованных, технически исправных) в полном соответствии с установленными и общепризнанными в экспертной практике стандартными процедурами исследования получается (считывается), анализируется, систематизируется и предоставляется необходимая «заказчику» информация; нетипичное исследование — исследование, при котором хотя бы один из его этапов (идентификации объектов, считывания, анализа, систематизирования и предоставления информации) является новым, технологически необычным, ранее не проводившимся, требующим применения нестандартных методов исследования, нетрадиционного использования имеющейся аппаратуры, оборудования, программного обеспечения. В заключение необходимо отметить, что реалии сегодняшнего дня выявляют тенденцию увеличения количества нетипичных исследований ИТ, которые по сравнению с типичными, конечно же, являются более сложными, трудоемкими, длительными, требующими не только постоянного повышения квалификации экспертов ИТ, совершенствования их навыков, но и подготовки новых квалифицированных кадров, непрерывного обновления имеющегося в распоряжении экспертов оборудования и программного обеспечения, повышения квалификации должностных лиц, представляющих материалы для исследования. Отмеченная тенденция не опровергается тем, что в настоящее время для исследований ИТ в ОЭЦИ ЦСЭЛ чаще предоставляются стандартные объекты, так как для работы с ними (особенно — для анализа информации) наряду со стандартными широко применяются нестандартные методы и процедуры исследования.

——————————————————————