✅ Введение: ценность цифровых следов и критичность их своевременного сохранения

• В современной практике расследования инцидентов кибербезопасности, включая судебные и досудебные DFIR-экспертизы (Digital Forensics and Incident Response), ключевым условием получения достоверного, полного и юридически значимого заключения является надлежащее сохранение исходных цифровых материалов, содержащих следы противоправных действий. Цифровые следы обладают свойством высокой изменчивости (volatility): данные оперативной памяти теряются при выключении питания, логи перезаписываются в соответствии с политиками ротации, временные файлы автоматически удаляются, а злоумышленник может целенаправленно уничтожать улики.
• В отличие от традиционных вещественных доказательств (оружие, отпечатки пальцев), цифровые доказательства не только могут быть легко модифицированы, но и часто не имеют физического носителя, доступного для изъятия. Их сохранение требует не только технической грамотности, но и строгого соблюдения процессуальных норм, обеспечивающих допустимость доказательств в суде. Ошибки, допущенные на этапе сбора (например, выключение компьютера без создания RAM-дампа, запуск антивирусной проверки, изменение временных меток файлов), могут привести к безвозвратной утрате доказательств, что делает невозможным установление виновного, причин инцидента и размера ущерба.
• Настоящая консультация представляет собой систематизированное руководство по видам и категориям цифровых следов, подлежащих сохранению, методам их фиксации (с учетом российского законодательства, включая УПК РФ, ст. 164.1), требованиям к цепочке хранения (Chain of Custody), а также типовым ошибкам при сборе. В консультации приведены три практических кейса из экспертной деятельности, иллюстрирующих последствия правильного и неправильного сохранения следов.

✅ Раздел 1. Правовые основы сохранения цифровых доказательств в Российской Федерации

Прежде чем переходить к техническому перечню следов, необходимо понимать нормативные требования к их изъятию, упаковке, хранению и передаче эксперту. Нарушение этих требований влечет признание доказательств недопустимыми (ст. 75 УПК РФ, ст. 55 ГПК РФ).

🔴 1.1. Уголовно-процессуальный кодекс (ст. 164.1 УПК РФ — «Особенности изъятия электронных носителей информации»)

Статья 164.1 УПК РФ устанавливает следующие императивные правила:

Изъятие электронных носителей (жестких дисков, SSD, флеш-накопителей, мобильных устройств) производится с участием специалиста (эксперта в области компьютерной техники) или понятых. На практике рекомендуется участие специалиста, так как понятые не обладают технической квалификацией.

При изъятии составляется протокол, в котором указываются: тип носителя, его идентификационные признаки (серийный номер, модель, объем), наличие повреждений, способ упаковки.

Носители упаковываются и опечатываются с обеспечением невозможности несанкционированного доступа (например, в антистатические пакеты, которые затем помещаются в конверты с печатями).

Если носитель используется в организации и его изъятие невозможно (например, сервер непрерывного действия), допускается копирование информации с участием специалиста, при этом в протоколе фиксируются хэш-суммы (MD5, SHA-256) скопированных данных.

Для целей DFIR-экспертизы наиболее предпочтительным является создание криминалистических образов (bit-by-bit copy), а не простое копирование файлов, так как образ сохраняет служебные области, удаленные файлы и метаданные файловой системы.

🔴 1.2. Гражданский и арбитражный процесс: обеспечение доказательств

В гражданском и арбитражном судопроизводстве нет специальной статьи об изъятии носителей, но действуют общие правила об обеспечении доказательств (ст. 72–73 ГПК РФ, ст. 72–73 АПК РФ). Суд вправе истребовать у сторон электронные носители. Допустимым признается образ диска, снятый с соблюдением методических рекомендаций и заверенный нотариусом (протокол осмотра письменных доказательств — ст. 102 Основ законодательства о нотариате). Нотариальный осмотр веб-страниц, логов в облачных панелях — распространенная практика.

🔴 1.3. Требования к цепочке хранения (Chain of Custody)

Цепочка хранения — это документированная хронология всех перемещений, доступов и модификаций цифрового доказательства от момента его изъятия до момента представления в суд. Обязательные элементы:

Уникальный идентификатор носителя (например, «Образ диска № 1/2025»).

Хэш-сумма (контрольная сумма) образа, вычисленная в момент изъятия (до начала экспертизы) и повторно в момент передачи эксперту.

Акт приема-передачи с подписями следователя, эксперта, заказчика.

Запись о каждом факте доступа к носителю (кто, когда, с какой целью, на каком оборудовании).

Нарушение цепочки хранения (например, хранение образа на незащищенном сервере с возможностью редактирования) делает доказательство недопустимым.

✅ Раздел 2. Полный перечень цифровых следов и материалов для DFIR-экспертизы (классификация по источникам)

Ниже представлена детализированная классификация цифровых следов, которые должны быть сохранены при обнаружении инцидента. Для каждой категории указаны: типовые форматы, криминалистическая ценность, критичность (обязательно/желательно) и типичные ошибки при сохранении.

🔴 2.1. Логи (журналы событий) — наиболее массовый и ценный источник

2.1.1. Системные логи операционных систем

Важное процессуальное требование: Логи должны быть сохранены не только за период инцидента, но и за 30–90 дней до него (для выявления подготовительных действий, движения по сети) и за несколько дней после (для фиксации попыток сокрытия следов). Не удаляйте логи ротацией до завершения экспертизы.

2.1.2. Логи прикладного программного обеспечения

🔴 Веб-серверов (access.log, error.log для Apache, Nginx, IIS): фиксируют IP-адреса, URI запросы, временные метки, User-Agent. Позволяют выявить SQL-инъекции, эксплуатацию уязвимостей, брутфорс.

Баз данных (MySQL binlog, PostgreSQL pg_log, MS SQL Server Error Log, журналы транзакций 1С): фиксируют все запросы (SELECT, UPDATE, DELETE), включая те, которые вели к утечке или уничтожению данных.

Почтовых серверов (Exchange, Postfix, Exim): логи отправки/получения, заголовки писем, вложения (по возможности).

Прокси-серверов и шлюзов (Squid, Kerio Control, UserGate, ideco): URL-запросы, объем переданных данных, что критично для выявления эксфильтрации.

2.1.3. Логи систем безопасности

🔴 DLP-систем (InfoWatch Traffic Monitor, Solar Dozor, SearchInform): записи о копировании файлов на USB, отправке по электронной почте, печати, мессенджерах.

Антивирусных решений (Kaspersky, Dr.Web, ESET): логи обнаружения вредоносного ПО, карантина.

IDS/IPS (Suricata, Snort, MaxPatrol): алерты о подозрительном трафике.

SIEM-систем (ArcSight, QRadar, MaxPatrol SIEM, ELK Stack): агрегированные и коррелированные события — наиболее полный источник.

2.2. Образы жестких дисков и иных накопителей (криминалистические копии)

Образ диска (bit-by-bit image) — это побитовая копия всего носителя, включая:

Основную файловую систему и пользовательские файлы.

Удаленные файлы (пока не перезаписаны).

Служебные области (MFT, LogFile,LogFile,USNJrnl, суперблоки).

Разделы, не отображаемые в операционной системе (скрытые HPA, DCO).

🔴 Как правильно создать образ (для экспертизы, а не для внутреннего аудита):

Подключить носитель к write-blocker (аппаратный или программный, например, Tableau, Atola, или Linux с опцией -ro).

Использовать специализированное ПО: FTK Imager, dd, Guymager, X-Ways.

После создания вычислить хэш-суммы (MD5, SHA-1, SHA-256) и указать их в протоколе.

Образ (контейнер.E01,.AFF,.RAW) записать на защищенный носитель (еще один внешний диск с контролем доступа).

Ошибки, которые делают образ недопустимым:

Снятие образа без write-blocker (запись на оригинальный диск меняет временные метки).

Снятие образа на рабочем месте подозреваемого с использованием его же ОС (возможность подмены).

Отсутствие хэш-сумм в акте.

🔴 2.3. Дампы оперативной памяти (RAM)

Оперативная память (RAM) содержит волатильные данные, исчезающие при выключении питания. Это единственный источник:

Активных сетевых соединений (включая скрытые, с использованием шифрования).

Запущенных процессов и их дочерних потоков (в том числе вредоносных без файлового присутствия).

Ключей шифрования дисков (BitLocker, VeraCrypt, LUKS) — позволяют расшифровать образ диска.

Паролей в открытом виде (кешированные авторизации, сессии браузеров).

Методы создания дампа:

Windows: WinPmem, DumpIt, FTK Imager (с выгрузкой в файл.raw или.mem).

Linux: dd из /dev/mem или fmem, LiME.

Виртуальные машины: снапшот с сохранением файла.vmss (VMware) или сохранение памяти через гипервизор.

Критическое правило: Дамп RAM создается ДО выключения компьютера. Если компьютер уже выключен, доказательства утрачены безвозвратно (за исключением файла гибернации hiberfil.sys, который частично сохраняет состояние RAM, но не полностью).

🔴 2.4. Сетевой трафик (PCAP-файлы)

Сохранение сетевого трафика (пакетов) в формате PCAP (или PCAPng) позволяет:

Установить IP-адреса источника атаки (C2-серверов, IP злоумышленника).

Восстановить передаваемые файлы (например, эксфильтрованные данные, загруженные вредоносные программы).

Проанализировать команды, передаваемые по протоколам HTTP, DNS, ICMP (туннелирование).

Выявить использование анонимных сетей (Tor, I2P) или VPN.

Требования к сбору:

Трафик должен собираться на пограничном маршрутизаторе или через SPAN-порт коммутатора.

Размер файлов PCAP может достигать десятков терабайт — для хранения используются специализированные системы (Security Onion, Arkime).

Важно сохранять трафик за весь период инцидента плюс минимум 2 недели до (так как атака может развиваться weeks).

🔴 2.5. Артефакты файловой системы и ОС (помимо образов дисков)

Даже при наличии полного образа диска эксперты обращают особое внимание на следующие артефакты (которые могут быть запрошены отдельно для ускорения поиска):

🔴 2.6. Данные облачных провайдеров и внешних сервисов

Если инфраструктура частично или полностью находится у облачного провайдера (IaaS, PaaS, SaaS), необходимо запросить:

Snapshot’ы виртуальных машин (криминалистические образы через API провайдера).

CloudTrail/Audit Logs (для AWS — CloudTrail, для Azure — Activity Log, для VK Cloud — журналы аудита).

Логи управления доступом (кто создал ключи API, изменял правила брандмауэра).

Биллинг-логи (внезапное увеличение исходящего трафика указывает на эксфильтрацию).

Юридический механизм: официальный запрос к провайдеру (с определением суда или письменным согласием клиента). Без этого получить данные невозможно.

🔴 2.7. Вспомогательные материалы (нецифровые, но обязательные)

Для полноты исследования эксперт должен получить:

Описание инцидента: кем обнаружен, когда (точная дата, время с часовым поясом), какие первичные признаки (сообщение антивируса, заблокированный экран, жалоба пользователя).

Сведения об инфраструктуре: схема сети, список IP-адресов и MAC-адресов, версии ОС и приложений.

Документы о допусках: список сотрудников с уровнями доступа к скомпрометированным системам.

Политики безопасности (парольная политика, регламент использования USB, запрет облачных хранилищ).

Протоколы действий после инцидента: что было сделано силами IT-отдела (перезагрузки, запуск антивируса, блокировка учетных записей).

✅ Раздел 3. Типовые ошибки при сохранении цифровых следов и их последствия

На основе анализа сотен экспертных заключений можно выделить следующие наиболее частые ошибки, ведущие к утрате доказательств:

Выключение компьютера без создания RAM-дампа.

Последствия: утрата активных сетевых соединений, паролей в памяти, вредоносных процессов без файлового присутствия.

Как избежать: при обнаружении инцидента немедленно блокировать клавиатуру и мышь, но не выключать ПК. Запустить создание дампа памяти удаленно или локально.

Запуск антивирусной проверки пострадавшего компьютера.

Последствия: антивирус удаляет или помещает в карантин вредоносные файлы, которые являются уликами. Изменяются временные метки.

Как избежать: не запускать никакое ПО на скомпрометированной системе. Исследовать ее через образ.

Использование обычного копирования файлов (Ctrl+C/Ctrl+V) вместо криминалистического образа.

Последствия: не копируются удаленные файлы, журналы, MFT, теневые копии. Утрачивается возможность установить хронологию.

Как избежать: применять только специализированные средства для создания образа (FTK Imager, dd, Guymager).

Отсутствие регистрации хэш-сумм.

Последствия: в суде противоположная сторона заявляет, что данные были изменены. Суд исключает доказательство из-за невозможности верификации целостности.

Как избежать: вычислять MD5/SHA-256 до и после копирования, фиксировать в акте.

Хранение образов и логов на тех же серверах, которые подверглись атаке.

Последствия: злоумышленник может удалить или изменить доказательства, продолжая иметь доступ.

Как избежать: копировать образы на изолированные, не связанные с сетью организации носители (внешние диски с шифрованием).

Несвоевременный запрос логов у провайдера.

Последствия: провайдер по политике ротации удаляет логи через 7–30 дней. Данные утрачены навсегда.

Как избежать: направлять запрос (Legal Hold) в течение 24–48 часов после инцидента, даже до назначения экспертизы.

✅ Раздел 4. Практические кейсы: правильное и неправильное сохранение цифровых следов

Кейс № 1 (корпоративный инцидент, правильное сохранение позволило доказать вину).

• Ситуация: В АО «НПО Высокие технологии» системный администратор Тихонов Н.В., увольняясь, скопировал на внешний SSD чертежи опытного образца (коммерческая тайна). Служба безопасности обнаружила аномальное копирование через систему DLP (Signal) и вызвала эксперта DFIR до выключения его компьютера. Эксперт прибыл в течение 4 часов. Процедура:
• Без отключения питания создан RAM-дамп (WinPmem) — в дампе обнаружен открытый SSH-туннель на сервер конкурента.
• Снят криминалистический образ жесткого диска через write-blocker (Tableau T8) — хэш SHA-256 записан в протоколе.
• Изъят внешний SSD (со следами свежих файлов чертежей, даты модификации совпадают с временем копирования из логов).
• Выгружены логи файлового сервера (доступ SMB) за 60 дней.
• В итоге: DFIR-отчет содержал полную временную линию с точностью до секунды, идентификацию USB-устройства, серийный номер которого совпал с изъятым SSD. Суд признал доказательства допустимыми, Тихонов осужден по ст. 183 УК РФ.
• Вывод: Правильное сохранение (RAM -> образ диска -> изъятие носителей -> логи) дало полную и неопровержимую доказательственную базу.

Кейс № 2 (неправильное сохранение — доказательства утрачены, уголовное дело прекращено).

• Ситуация: В ООО «СтройИнжиниринг» произошла атака программы-вымогателя (CryLock). Генеральный директор дал указание IT-отделу «срочно восстановить работу». IT-специалисты выключили все зараженные серверы, переустановили Windows и восстановили данные из бэкапов. Только через неделю было принято решение обратиться в полицию. При заявлении о преступлении потерпевший передал следователю только файлы бэкапов (уже восстановленные данные) и журналы действий, которые велись после переустановки.
• Экспертиза (назначенная судом) установила:
• Оригинальные жесткие диски серверов были многократно перезаписаны в процессе переустановки ОС. Все криминалистически значимые артефакты (MFT, Prefetch, USBSTOR, оригинальные временные метки) утрачены безвозвратно.
• На диск с бэкапом были скопированы только «живые» файлы, без журналов, без RAM-дампов.
• IP-адрес злоумышленника, зафиксированный в firewall (изначально был), не сохранился, так как логи firewall ротируются ежедневно, а заявка на их сохранение направлена не была.
• Результат: Эксперт дал заключение: «Установить факт и обстоятельства несанкционированного доступа не представляется возможным ввиду уничтожения оригинальных носителей и логов. Имеющиеся материалы (бэкапы) не содержат криминалистически значимых следов». Уголовное дело прекращено за отсутствием события преступления (п. 1 ч. 1 ст. 24 УПК РФ). Ущерб в 8 млн руб. остался не возмещенным.
• Вывод: Несвоевременные и неквалифицированные действия (выключение, переустановка) привели к полной утрате доказательств.

Кейс № 3 (облачный инцидент — своевременный запрос к провайдеру через суд спас доказательства).

• Ситуация: Организация-клиент использовала облачного провайдера VPS (виртуальный выделенный сервер) в дата-центре в г. Москва. Обнаружена утечка персональных данных клиентов (1 200 записей). Организация не имела доступа к логам гипервизора и дампам памяти виртуальной машины (предоставляется только по запросу с судебным определением). Руководство, несмотря на срочность, не обратилось в суд в течение первых 5 дней, а пыталось договориться с провайдером «по-хорошему». Провайдер ответил, что политика ротации логов — 14 дней, и если не будет официального требования — данные удалятся.
• На 8-й день организация подала в арбитражный суд заявление об обеспечении доказательств (ст. 72 АПК РФ). Суд вынес определение о предоставлении провайдером: (1) копии логов гипервизора за 30 дней до инцидента; (2) снапшота виртуальной машины на момент за 1 час до инцидента; (3) дампа оперативной памяти (через механизм VM snapshot with memory). Провайдер, получив определение на 10-й день, предоставил запрошенные данные. Хотя часть логов за первые 7 дней была перезаписана, основные доказательства (снэпшот, логи доступа к API панели управления) сохранились.
• Результат: DFIR-экспертиза по восстановленным данным установила, что доступ был совершен с использованием скомпрометированного API-ключа партнера, который не был отозван. Установлен виновный (сотрудник партнера). Привлечен к ответственности.
• Вывод: Своевременное (в течение 3-5 дней) обращение в суд за определением об истребовании доказательств критически важно при работе с облачными провайдерами. Каждый день промедления уменьшает объем сохраняемых данных.

✅ Раздел 5. Пошаговая инструкция для заказчика (работодателя, юриста, частного лица) при обнаружении инцидента

Ниже представлен алгоритм действий, минимизирующий риск утраты цифровых следов до прибытия эксперта DFIR:

Шаг 1 (немедленно — 0-15 минут).

Не выключайте и не перезагружайте компьютер/сервер, где обнаружены подозрительные действия.

Отключите сетевой кабель (Wi-Fi выключить программно) — чтобы прервать возможное удаленное уничтожение следов, но сохранить память.

Заблокируйте клавиатуру и мышь (если есть физический доступ) — чтобы сотрудник не продолжил действия.

Шаг 2 (15-60 минут).

Изолируйте место: не допускайте посторонних, включая других IT-специалистов (кроме специально обученных).

Сделайте фотографии экрана, фотографии системного блока, кабелей, меток.

Если есть возможность — запустите создание RAM-дампа удаленно (через штатные средства системного администрирования, но с осторожностью). Лучше дождаться эксперта.

Шаг 3 (1-2 часа).

Задокументируйте все действия: кто, когда, что сделал, с какого компьютера, с использованием каких программ. Журнал действий должен быть передан эксперту.

Подготовьте запрос к облачному провайдеру (если применимо) о сохранении всех данных (Legal Hold). Если есть юристы — параллельно готовьте заявление в суд об обеспечении доказательств.

Шаг 4 (2-12 часов).

Вызовите эксперта DFIR (или экспертную организацию) для производства выемки и создания криминалистических копий. Не пытайтесь сделать образ самостоятельно, если нет соответствующего оборудования (write-blocker) и опыта.

Подготовьте все документы, которые могут понадобиться эксперту: договоры, схемы сети, список пользователей, копии приказов о допуске.

Шаг 5 (после завершения экспертом сбора).

Получите акт приема-передачи материалов (с указанием хэш-сумм образов, списка изъятых носителей).

Обеспечьте физическое хранение оригиналов носителей в сейфе или изолированном помещении.

✅ Раздел 6. Взаимодействие с экспертной организацией: что нужно предоставить для старта работ

При обращении в нашу организацию для проведения DFIR-экспертизы необходимо передать следующий минимальный комплект (детали уточняются в зависимости от типа инцидента):

Правовое основание:

Для судебной экспертизы: копия определения суда или постановления следователя.

Для внесудебного исследования: договор на оказание услуг и письменное заявление-заказ с перечнем вопросов.

🔴 Исходные цифровые материалы (по возможности в порядке приоритета):

Криминалистические образы дисков (битовые копии) в форматах.E01,.RAW,.AFF. Если образы не сняты — обеспечить доступ эксперта к исходным носителям.

Дампы оперативной памяти (если сохранены).

Файлы PCAP (сетевой трафик) за период инцидента и предшествующие периоды.

Выгрузки логов из SIEM, DLP, прокси, антивируса, веб-серверов (в структурированном виде —.csv,.json,.evtx,.log).

Текстовая информация о конфигурации (IP-адреса, версии ОС, приложений).

Сопроводительная документация:

Описание инцидента (меморандум).

Журнал действий персонала после обнаружения.

Копии договоров с облачными провайдерами (если применимо).

Политики безопасности (для установления нормативной базы).

Список подозреваемых сотрудников (если инцидент внутренний).

🔴 Четко сформулированные вопросы к эксперту (не более 10–15, конкретных, не требующих правовой оценки). Примеры:

«Каковы временные метки (UTC) первого и последнего несанкционированного доступа к серверу с IP 192.168.1.10 15.03.2025?»

«Какие файлы были скопированы с файлового сервера \FS02\Confidential в период с 01.02.2025 по 20.02.2025 и на какие носители?»

✅ Раздел 7. Риски и ограничения при сохранении цифровых следов для различных платформ

SSD-накопители и команда TRIM.
Современные твердотельные накопители (SSD) автоматически запускают команду TRIM, которая физически удаляет (зануляет) ячейки памяти, содержащие удаленные файлы. Через 10-30 минут после удаления файла на SSD восстановить его без специального лабораторного оборудования невозможно. Поэтому при инциденте на SSD необходимо максимально быстро (в идеале — выключение питания и изъятие накопителя) обеспечить создание образа, иначе данные утрачены.

Шифрование дисков (BitLocker, VeraCrypt).
Если диск зашифрован, а ключ расшифровки хранится в оперативной памяти (введен при загрузке), необходимо в первую очередь сделать RAM-дамп, чтобы извлечь ключ. Без этого образ диска будет представлять собой нечитаемый поток байтов. Эксперт должен иметь доступ к паролю восстановления.

Виртуальные среды (VMware, Hyper-V, KVM).
Преимущество: можно снять снапшот виртуальной машины с сохранением памяти. Недостаток: логи хостового гипервизора (к которым нет доступа у клиента) часто критичны. В таких случаях необходимо через суд запрашивать данные у облачного провайдера.

Контейнеры (Docker, Kubernetes).
Данные внутри контейнера эфемерны и не сохраняются после перезапуска контейнера. Для расследования инцидента в среде оркестрации необходимо сохранить: (1) образы контейнеров (docker save); (2) логи оркестратора (kubectl logs); (3) дампы etcd (хранит состояние кластера). Это сложная область, требующая глубокой специализации.

✅ Раздел 8. Стоимость и сроки сохранения материалов и производства экспертизы

Сама процедура сохранения (выезд эксперта на место, создание образов, изъятие носителей) оплачивается отдельно от основной экспертизы, поскольку требует срочности и специального оборудования.

Выезд эксперта в пределах региона (Москва, Санкт-Петербург, крупные города): от 20 000 до 50 000 руб. (в зависимости от срочности — в течение 2 часов, 4 часов, 12 часов).

Создание криминалистических образов (за один носитель до 2 ТБ): от 5 000 до 12 000 руб.

RAM-дамп одного компьютера: от 8 000 руб.

✅ Сбор и структурирование логов из SIEM/DLP: от 30 000 руб. за систему (трудоемко).

После того как материалы сохранены и переданы в лабораторию, сроки производства полноценной DFIR-экспертизы:

Анализ одного-двух компьютеров + логов файлового сервера: 7–10 рабочих дней, от 150 000 руб.

Анализ сложной среды с несколькими серверами, облаком, восстановлением удаленных файлов: 15–30 рабочих дней, от 500 000 руб. до 1 500 000 руб.

Экспертиза, требующая судебного статуса (с вызовом в суд, подготовкой заключения по ст. 204 УПК РФ) — дополнительно 30–50% к стоимости.

✅ Заключение и итоговые рекомендации

Успешное расследование инцидента кибербезопасности и последующее использование его результатов в суде, прокуратуре или для внутренних дисциплинарных действий на 80% определяется тем, насколько правильно и своевременно были сохранены цифровые следы. Не существует «второго шанса» для восстановления удаленных логов, перезаписанных дисков или утраченной оперативной памяти. Каждое действие, предпринятое после обнаружения инцидента, должно быть выверено с точки зрения принципов компьютерной криминалистики: не навреди, не измени, задокументируй.

Настоящая консультация содержит исчерпывающий перечень категорий следов (логи, образы дисков, RAM-дампы, сетевой трафик, артефакты файловых систем, данные облачных провайдеров), процессуальные требования к их изъятию (ст. 164.1 УПК РФ, цепочка хранения), практические кейсы успешного и неудачного сохранения, а также пошаговый алгоритм действий. Рекомендуем сохранить данный документ в качестве внутреннего регламента для службы безопасности и IT-отдела.

Помните: вызов эксперта DFIR должен происходить в первые часы после обнаружения инцидента, а не после того, как все попытки «починить самостоятельно» провалились. В большинстве случаев цена сохраненных доказательств в десятки и сотни раз ниже стоимости ущерба от недоказанного инцидента.

✅ Для оперативного вызова эксперта на место, получения детальной консультации по сбору материалов в вашей конкретной инфраструктуре, а также для расчета стоимости срочных работ, обращайтесь через официальный сайт: https://tehexp.ru/