Некоторые основные принципы работы с цифровыми уликами на месте преступления:

• Обеспечение сохранности следов. 1 Для этого исключают посторонних лиц и контролируют бесперебойную работу компьютерного оборудования. 1
• Участие специалиста. 13 Не допускается поиск файлов и работа с ними на включённом компьютерном устройстве без участия профильного специалиста. 1
• Правильное завершение работы оборудования. 1 Если нужно изъять компьютер, его работу правильно завершают, отключают роутер или модем. 1
• Экстренное отключение компьютера. 1 Если есть угроза уничтожения цифровых следов преступления вредоносным программным обеспечением, компьютер экстренно отключают от сети электропитания. 1
• Контроль за упаковкой и транспортировкой изъятого оборудования. 1 Упаковка должна исключать возможность повреждения изъятых предметов. 1
• Фотофиксация. 1 Осмотр компьютера сопровождается фотофиксацией его внешнего вида, отображения экрана монитора и подключённых к нему устройств. 1
• Индивидуальная маркировка объектов. 1 Каждый изымаемый объект (кабель, накопитель и т. п.) подлежит индивидуальной маркировке. 1
• Изъятие документации. 1 Подлежит обязательному изъятию любая документация на изымаемое оборудование, например, записи с логинами (паролями) и иная криминалистически значимая информация. 1
• Недопустимость выключения экрана. 1 При работе с включённым мобильным телефоном или планшетом недопустимо выключать или блокировать экран. 1
• Детальное документирование действий. 1 Все произведённые действия фиксируются в протоколе осмотра места происшествия. 1

Тактические особенности осмотра места происшествия, сопряжённого с работой с цифровыми устройствами и данными, зависят от конкретных обстоятельств дела. 2