Chain of Custody

• Физическая цепочка. Применяется к вещественным доказательствам (оружие, биологические образцы, наличные деньги и т. д.) и опирается на традиционные процедуры упаковки и опечатывания^[4].
• Цифровая цепочка. Ориентирована на электронные данные (жёсткие диски, мобильные устройства, облачные логи). Для защиты неизменности обязательны криминалистические образы носителей и контрольные хэш-значения^[5].

1. Сбор и идентификация — обнаружение доказательств и их маркировка.
2. Документация — ведение подробных журналов, включающих дату, время, место, участвующих лиц и цели взаимодействия.
3. Сохранение и защита — создание побитовых копий либо надёжная упаковка оригиналов, исключающая изменения.
4. Транспортировка — контролируемое перемещение с обязательной фиксацией каждой передачи^[6].
5. Анализ — исследование копий или образов с подробным описанием использованных инструментов^[7].
6. Хранение — размещение доказательств в защищённом хранилище с ограниченным доступом^[8].
7. Контроль доступа — авторизация и аудит всех обращений к материалам^[9].
8. Отчётность и представление — подготовка выводов и подтверждающих документов для суда^[10].

Процесс CoC разворачивается циклически и включает пять ключевых стадий.

На этом этапе формулируются цели расследования, распределяются роли между участниками, подготавливаются необходимые инструменты и процедуры. Особое внимание уделяется минимизации риска утраты или изменения данных, а также определению стандартов документирования для последующих шагов^[11].

Включает изъятие физических носителей или копирование информации с применением write-blocker’ов и побитового дублирования. На этом этапе также проводится удаление дубликатов, нормализация форматов данных, маркировка и первичная регистрация доказательств. Все действия фиксируются в журнале CoC^[12].

Проводится криминалистическое исследование собранных артефактов: восстановление временных линей, расчёт хэш-сумм для проверки целостности, формирование гипотез о произошедших событиях. Используются специализированные инструменты и программное обеспечение, а все действия и результаты подробно документируются.

На этом этапе готовятся технические отчёты, уведомления и презентации для следователей, юристов или руководства. Вся отчётность сопровождается ссылками на исходные данные и подтверждающими документами, что обеспечивает прозрачность и воспроизводимость результатов.

Проводится оценка полезности предоставленных данных, анализируются замечания и предложения от участников расследования. На основе полученной обратной связи корректируются методики и обновляются процедуры CoC для повышения эффективности будущих расследований.

• Оперативно-технические сведения фиксируют фактические данные, полученные в ходе негласных мероприятий (аудио-, видеозапись, перехват сообщений);
• Тактико-технические данные описывают характеристики самого объекта (модель устройства, параметры памяти и т. д.)^[13].

Обе категории входят в документацию CoC, но отвечают на разные вопросы: «что за объект?» и «что за события были зафиксированы?». Структурные элементы CoC формируют инфраструктуру процесса, тогда как этапы работы описывают его хронологию^[14].

• Гарантия подлинности и целостности доказательств.
• Юридическая допустимость цифровых данных в суде.
• Предотвращение оспаривания доказательств защитой.
• Повышение доверия к расследованию и прозрачность аудита.
• Полное отслеживание всех изменений и действий с данными^[15].

• Высокая сложность и трудоёмкость документирования^[16].
• Риск человеческих ошибок при заполнении журналов.
• Необходимость дорогостоящих инструментов и квалифицированных специалистов.
• Сложность аутентификации и проверки целостности больших объёмов данных.
• Дополнительная нагрузка на судебную систему при проверке цифровых улик.

• Судебная экспертиза — подтверждение подлинности вещественных и электронных улик^[17].
• Цифровая криминалистика — расследование инцидентов, связанных с компьютерными системами и мобильными устройствами^[18].
• Информационная безопасность — документирование событий в рамках реагирования на инциденты и управления рисками.
• Корпоративные расследования — внутренние проверки утечек данных, мошенничества и нарушений политики^[19].

• Write-blocker — устройство «только для чтения», исключающее изменение оригинальных носителей^[20].
• Криминалистические дубликаторы (Forensic Imagers) — побитовое копирование с автоматическим хэшированием.
• Экранирующие чехлы Фарадея для мобильных устройств.
• Комплексы восстановления данных (например, PC-3000 Portable III)^[21].

• Системы управления цифровыми доказательствами (DEMS) — Axon Evidence, Hytera DEM, Diamante DEMS^[22].
• Платформы с неизменяемой журнализацией (CustodyChain на блокчейне)^[23].
• Криминалистические наборы анализа — EnCase, FTK, X-Ways Forensics, Magnet AXIOM, Belkasoft.
• Инструменты создания образов (FTK Imager), утилиты хэширования SHA-256.

• Tracker Products SAFE, Cellebrite Guardian, Omnigo Digital Evidence, Cado Security Platform^[24][25][26].
• Использование неизменяемого хранилища в Microsoft Azure Blob Storage или Amazon S3 для сохранения образов дисков^[27].

Платформы CoC соединяются с SIEM, LIMS и системами управления делами через REST API, вебхуки и готовые коннекторы; для повышения прозрачности применяются неизменяемые журналирующие механизмы на блокчейне^[28][29].