В некоторых аспектах функционирование российской правоохранительной системы весьма существенно отличается от иностранных. Если за рубежом основное расследование осуществляется непосредственно в процессе судебного разбирательства, то в нашей стране приоритет отдается досудебному следствию. Именно на этой стадии выясняются ключевые особенности дела, которые затем лишь проверяются на стадии судебного следствия.

Вследствие этого многие зарубежные руководства по расследованию инцидентов информационной безопасности рекомендуют организовывать немедленную «экспертизу» скомпрометированных систем силами ИТ-подразделения пострадавшей компании или привлеченных специалистов. Результаты исследований затем передаются в полицию или непосредственно в суд, где используются для доказательства вины конкретных злоумышленников. Такой подход полностью соответствует законодательству США и ряда стран, принадлежащих к англо-саксонской правовой системе. Одним из главных его преимуществ является минимальная задержка между выявлением компрометации системы и проведением квалифицированного исследования, а также общее ускорение последнего.

Однако действующее в России процессуальное законодательство прямо запрещает подобные методы. Экспертиза в нашей стране может быть проведена либо по мотивированному постановлению следователя (по уголовному делу), либо по решению суда (по гражданскому делу). Любые исследования, выполненные какими бы то ни было специалистами без такого правового «оформления», в дальнейшем не могут служить доказательствами по делу, поскольку не имеют юридической силы. Проводить исследование, которое в дальнейшем может быть положено в основу обвинения, возможно только после начала уголовного следствия по делу.

< ... >