В-третьих, важно все сделать правильно не только технически, но и юридически. Знать и соблюдать процессуальные требования к сбору и фиксации цифровой информации. Иначе магия помещения цифровых следов в относимые и допустимые доказательства может не произойти.

Как же юристу, зная обо всех этих правилах и условиях, наиболее оптимально выстроить работу с цифровыми следами так, чтобы результат этой работы помог прийти к победе? Мы выделяем в такой задаче три блока:

1. Поиск и сохранение цифровых следов.

2. Анализ цифровых следов на предмет их доказательного потенциала.

3. Представление цифровых следов в качестве доказательств.

Исходная точка в доказывании определенных фактов на основе цифровых следов – это поиск и сохранение этих самых следов. Как мы уже говорили, крайне важно сделать это способами, обеспечивающими относимость, допустимость и полноту доказательств. Поэтому этот этап в большинстве случаев неразрывно связан с использованием компетенций в сфере форензики – важно понимать, что, как и где искать, а также уметь пользоваться соответствующим инструментарием. Поэтому без обладающего необходимыми знаниями, навыками и опытом специалиста будет непросто.

Что будет делать этот специалист? Его действия по работе с цифровыми следами имеют четкую структуру. Существуют стандарты и руководства, которые регламентируют общий порядок работы. Например, ГОСТ Р ИСО/МЭК 27037—2014. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме9. Хотя этот документ относится к тематике расследования инцидентов информационной безопасности, а не к арбитражным судебным разбирательствам, он дает хорошее представление об общем алгоритме работы, основных его этапах. Пройдемся по его рекомендациям.

Идентификация. Этот этап заключается в определении перечня мест, где теоретически могут находиться искомые цифровые доказательства. После чего – поиск в этих местах, распознавание и документирование потенциальных доказательств, представленных в цифровой форме.

Посмотрев на пример с пересылкой документов по электронной почте (см. стр. 20) мы видим, что искать цифровые следы в системе контроля доступа в помещение или в системе электронной бухгалтерии вряд ли стоит. На локальном компьютере пользователя можно, но в описанных условиях высока вероятность нулевого результата (даже если исследовать компьютеры обеих сторон спора). А вот направление провайдеру соответствующих услуг запрос о предоставлении информации будет куда более действенно с точки зрения получения доказательств.

В случае же, когда в похожей ситуации стороны использовали собственные почтовые сервера, исследовать нужно именно их. Полученные данные об отправке и получении электронных сообщений стали бы основой для доказывания.

К этой ситуации мы еще вернемся в разделе про электронную переписку – ведь это одна из самых «популярных» тем.

Сбор. Процесс сбора объектов, которые потенциально содержат цифровые следы. Поскольку надежнее и безопаснее все действия по «доставанию» информации проводить в экспертной лаборатории, речь идет именно о самих объектах, содержащих информацию. Однако в значительном количестве случаев это невозможно. Например, когда речь о каком-то IT-оборудовании, обеспечивающем непрерывный производственный или бизнес-процесс. Или когда интересующие нас цифровые следы находятся в облачном хранилище, которое физически не получится «изъять» и доставить в лабораторию.

Извлечение и сохранение. Для того, чтобы цифровые следы имели шансы стать доказательствами, важно соблюсти требования к их относимости и полноте. Получение доступа к цифровым следам ни в коем случае не должно привести к нарушению их целостности, искажению и утрате. Поэтому перед началом основной работы эксперт с использованием специального оборудования или софта