Сайт находится на реконструкции. 

Извините за доставленные неудобства.

Центр по проведению судебных экспертиз и исследований
ООО «Эксперт Оценка Юг»

Компьютерно-техническая экспертиза - род судебной экспертизы, включающий в себя исследования компьютерных средств, в т.ч. электронных носителей информации, и систем, обеспечивающих реализацию информационных процессов, для установления фактических данных, имеющих доказательственное значение в ходе судопроизводства. (определение дано по «ГОСТ Р 71232-2024. Национальный стандарт Российской Федерации. Роды судебных экспертиз. Термины и определения» (утв. и введен в действие Приказом Росстандарта от 05.02.2024 N 193-ст)


«ГОСТ Р 57429-2017. Национальный стандарт Российской Федерации. Судебная компьютерно-техническая экспертиза. Термины и определения» (утв. и введен в действие Приказом Росстандарта от 28.03.2017 N 198-ст) установлены термины и определения понятий, применяемые в судебной компьютерно-технической экспертизе, которые  рекомендованы для применения во всех видах документации и литературы в области судебной компьютерно-технической экспертизы, входящих в сферу действия работ по стандартизации и (или) использующих результаты этих работ. Требования стандарта распространяются как на государственных судебных экспертов, так и на негосударственных судебных экспертов.


Объектами компьютерно-технической экспертизы являются различные устройства, программы, данные и другие элементы, относящиеся к информационным технологиям и компьютерной технике. Эти объекты подлежат исследованию с целью получения доказательственных материалов. Основные категории объектов включают:

  • Аппаратные средства: 
    • Персональные компьютеры, ноутбуки, серверы; 
    • Сетевое оборудование (маршрутизаторы, коммутаторы); 
    • Мобильные устройства (смартфоны, планшеты); 
    • Внешние накопители (жесткие диски, флешки, SSD-диски);  
    • Оборудование для записи и воспроизведения данных (видеокамеры, регистраторы).
  • Программное обеспечение:  
    • Операционные системы; 
    • Приложения (офисные пакеты, графические редакторы, антивирусные программы); 
    • Утилиты для управления системой; 
    • Вредоносные программы (вирусы, трояны, шпионское ПО).
  • Цифровые данные: 
    • Файлы любых форматов (документы, изображения, аудиозаписи, видеозаписи); 
    • Электронная почта, мессенджеры, социальные сети; 
    • Базы данных, архивы; 
    • Лог-файлы, журналы событий.
  • Интернет-ресурсы: 
    • Веб-сайты, форумы, блоги; 
    • Данные сетевого трафика (IP-адреса, маршруты передачи данных).
  • Документация и носители информации: 
    • Инструкции по эксплуатации оборудования; 
    • Контракты, соглашения, отчеты; 
    • Носители информации (оптические диски, магнитные ленты).
  • Специальные устройства и системы: 
    • Биометрическое оборудование (сканеры отпечатков пальцев, распознавание лиц);
    • Системы видеонаблюдения и охраны; 
    • POS-терминалы, банкоматы.
  • Электронные платежные системы:
    • Платежные карты, электронные кошельки; 
    • Транзакционные данные, выписки по счетам.

Эти объекты изучаются экспертами для выявления фактов нарушения законодательства, утечек данных, кибератак, мошенничества и других правонарушений, связанных с использованием информационных технологий.

Задачи компьютерно-технической экспертизы заключаются в исследовании аппаратных средств, программного обеспечения и цифровых данных с целью поиска и фиксации доказательств, а также установления обстоятельств, имеющих значение для расследования преступлений или разрешения споров. Основные задачи включают:

  • Установление факта наличия или отсутствия информации: 
    • Определение наличия или отсутствия конкретных файлов, документов, сообщений, фотографий, видеоматериалов и других данных на электронных устройствах.
    • Проверка подлинности данных, их целостности и соответствия заявленным параметрам.
  • Определение характеристик устройств и программного обеспечения:
    • Исследование технических характеристик компьютеров, мобильных устройств, сетевых устройств и другого оборудования. 
    • Анализ программного обеспечения, установленного на устройствах, включая операционные системы, приложения и утилиты.
  • Выявление вредоносного программного обеспечения:
    • Поиск вирусов, троянов, шпионских программ и других видов вредоносного ПО. 
    • Оценка последствий воздействия вредоносного ПО на систему и данные.
  • Реконструкция событий:
    • Восстановление хронологии действий пользователей на компьютере или мобильном устройстве. 
    • Реконструкция цепочки событий, приведших к утрате данных, несанкционированному доступу или другим инцидентам.
  • Анализ сетевой активности:
    • Изучение сетевого трафика, маршрутов передачи данных и взаимодействия между устройствами.
    • Выявление попыток несанкционированного доступа к сети или данным через сеть.
  • Поиск удаленных или скрытых данных:
    • Восстановление удаленных файлов, папок и данных. 
    • Обнаружение скрытых или зашифрованных данных.


Компьютерно-техническая экспертиза делится на несколько основных видов в зависимости от объектов исследования и целей экспертизы. Среди основных видов выделяются следующие:

  • Аппаратная экспертиза: направлена на изучение аппаратных компонентов компьютера, таких как жесткие диски, материнские платы, процессоры и другое оборудование. Экспертиза может включать анализ неисправностей, оценку состояния компонентов и выявление признаков вмешательства.
  • Программная экспертиза: фокусируется на анализе программного обеспечения, включая операционные системы, прикладные программы и файлы данных. Эксперты могут исследовать код программ, искать следы вредоносного ПО, восстанавливать удаленные данные и определять законность использования программного обеспечения.
  • Сетевая экспертиза: занимается исследованием сетевых протоколов, трафика и инфраструктуры. Эта экспертиза важна для выявления атак, взломов и других инцидентов, связанных с безопасностью сети.
  • Экспертиза мобильных устройств: сосредоточена на анализе смартфонов, планшетов и других мобильных гаджетов. Включает восстановление данных, анализ приложений и коммуникационных записей.

В рамках компьютерно-технической экспертизы в зависимости от конкретного дела и целей исследования перед экспертом могут быть поставлены такие вопросы как:

  1. Какие технические характеристики имеет данное устройство?
  2. Есть ли признаки физического повреждения устройства?
  3. Можно ли восстановить данные с поврежденного жесткого диска?
  4. Каковы причины неисправности оборудования?
  5. Какие программы установлены на данном устройстве?
  6. Имеются ли следы удаления программ или данных?
  7. Были ли внесены изменения в настройки операционной системы?
  8. Содержит ли программное обеспечение вирусы или другие вредоносные программы?
  9. Какие данные хранятся на данном устройстве?
  10. Возможно ли восстановление удаленных файлов?
  11. Когда были созданы, изменены или удалены конкретные файлы?
  12. Соответствуют ли данные на устройстве представленной информации?
  13. Какой был маршрут передачи данных?
  14. Кто имел доступ к данной сети или устройству?
  15. Были ли попытки несанкционированного доступа к системе? 
  16. Какие устройства подключались к данному компьютеру или сети?
  17. Нарушал ли пользователь лицензионные соглашения или законы?
  18. Использовались ли нелицензионные копии программного обеспечения?
  19. Возможен ли удаленный доступ к данному устройству?
  20. Была ли произведена модификация прошивки или BIOS?
  21. Работоспособно ли данное устройство после инцидента?
  22. Что стало причиной сбоя или поломки?
  23. К каким последствиям привели действия пользователя или стороннего лица?
  24. Существует ли возможность восстановления работоспособности устройства?
  25. Содержатся ли во внутренней памяти компьютера определенные документы или следы их создания и использования?
  26. Имеются ли в представленной на исследование базе данных сведения о дате ее использования, изменения?
  27. Какой из пользователей, с какой учетной записью, в какое время получал доступ к базе данных, какие действия совершал?
  28. Имеется ли возможность восстановления удаленной информации с представленного носителя?
totop