При расследовании преступлений в данной сфере можно выделить (как и по другим категориям) три типичные следственные ситуации. Преступление, связанное с движением компьютерной, информации произошло:
в условиях очевидности — характер и его обстоятельства известны (например, какой вирус и каким способом введен в компьютерную сеть) и выявлены потерпевшим собственными силами, преступник известен и задержан (явился с повинной);
известен способ совершения, но механизм преступления в полном объеме неясен, например произошел несанкционированный доступ к файлам законного пользователя через Интернет, через слабые места в защите компьютерной системы, преступник известен, но скрылся;
налицо только преступный результат, например дезорганизация компьютерной сети банка, механизм преступления и преступник неизвестны.
Остановимся подробнее на особенностях тактики отдельных следственных действий, в ходе которых, производится обнаружение, фиксация, изъятие компьютерной информации, а именно: осмотра места происшествия (местности, помещений, предметов, документов), обыска (в том числе личного, на местности и в помещении), выемки (предметов, документов, почтово-телеграфной корреспонденции, документов, содержащих государственную тайну), прослушивания телефонных и других переговоров. При производстве этих следственных действий необходимо тактически правильно производить поиск информации в компьютере.
Часто решающее значение имеет внезапность обыска.Обязательное участие специалиста.
Не следует ограничиваться поиском информации только в компьютере; необходимо внимательно осмотреть имеющуюся документацию, вплоть до записей на клочках бумаги.
О высокой степени защищенности компьютера может свидетельствовать наличие специальных систем защиты информации.
Далее допрос.