← Законность доступа и приват…Документирование и заметки … →

Цепочка хранения (chain of custody)

Этот урок объясняет цепочку хранения — документальную историю улики, без которой доказательство теряет силу.

Цепочка хранения (chain of custody) — непрерывная документированная история доказательства: кто, когда, где и как им владел, передавал и обрабатывал с момента изъятия.

Допустим, вы нашли на изъятом диске убедительную улику. Первый вопрос юриста или оппонента: «А откуда мы знаем, что этот диск — тот самый, и что его никто не подменил и не изменил?» Ответ даёт цепочка хранения. Если в ней есть разрыв — период, когда непонятно, где была улика и кто имел к ней доступ, — доказательство можно оспорить.

Полезно понять, какую именно дыру закрывает цепочка хранения. Хеш доказывает, что данные не менялись, но он бессилен против другого возражения: «а это вообще тот самый носитель, который вы изъяли, а не подменённый по дороге?» Между моментом изъятия и моментом анализа улика проходит через руки, помещения, сейфы, транспорт. На каждом из этих участков теоретически возможна подмена, повреждение или несанкционированный доступ. Цепочка хранения — это сплошной документальный «маршрутный лист», который не оставляет в этой истории ни одного неучтённого промежутка. Её цель — сделать так, чтобы на вопрос «где была улика в любой произвольный момент?» всегда был письменный ответ.

Что фиксируется

  • Идентификация улики — что именно изъято: модель, серийный номер, ёмкость, фото, уникальный идентификатор дела.
  • Кто изъял — ФИО, должность, дата и время, место.
  • Хеш — криптографический отпечаток сразу после изъятия/снятия образа.
  • Каждая передача — от кого, кому, когда, зачем, под подпись.
  • Хранение — где и как хранилась улика (сейф, опечатанный пакет), кто имел доступ.

Подробная идентификация нужна не ради бюрократии, а чтобы улику нельзя было спутать или подменить «похожей». Серийный номер, ёмкость, фотографии с видимыми особенностями, уникальный номер дела — всё это превращает «какой-то жёсткий диск» в конкретный, опознаваемый объект. Если в деле фигурируют три одинаковые с виду флешки, именно эти атрибуты не дают перепутать, на какой из них была найдена улика. А хеш, снятый сразу при изъятии, привязывает к этому физическому объекту его цифровое содержимое в исходном состоянии: с этого момента любое изменение данных станет заметным.

Как выглядит запись

ДЕЛО: INC-2026-014   УЛИКА: E-01 (HDD 500GB, S/N WX21A7)
--------------------------------------------------------
Изъято:   2026-06-22 09:40, серверная, отв. Петров А.
SHA-256:  9f2c... (снят сразу при изъятии)
Образ:    E-01.img снят 10:05, SHA-256 совпал
--------------------------------------------------------
Передачи:
  09:40 -> опечатан пакет #0042, в сейф (Петров)
  11:20 Петров -> Иванова (анализ), подпись ____
  18:00 Иванова -> сейф, пакет переопечатан
--------------------------------------------------------
Целостность: хеш проверяется при каждой выдаче/возврате

Разберём, что делает эту запись убедительной. У улики есть уникальный идентификатор (E-01) и привязка к делу (INC-2026-014) — её ни с чем не спутать. Зафиксированы момент и место изъятия с ответственным лицом. Хеш снят сразу, а затем подтверждено, что образ для анализа ему идентичен, — значит, работать будут с копией, не трогая оригинал. Каждая передача снабжена временем, участниками и подписью, а между передачами улика лежит в опечатанном пакете с номером пломбы. Если на любом этапе кто-то вскроет пакет, номер пломбы перестанет совпадать — это видимый сигнал вмешательства, дополняющий невидимую проверку хешем.

Как работает под капотом

Цепочка хранения работает в связке с хешированием и опечатыванием. Хеш доказывает, что данные не менялись; опечатанный пакет и журнал передач доказывают, что физически к улике не было неучтённого доступа. Вместе это закрывает вопрос подмены и фальсификации. На практике каждую выдачу и возврат сопровождают сверкой хеша: если он совпал — за время хранения данные не тронуты.

Получается двухконтурная защита, где каждый контур закрывает слабость другого. Пломба и журнал отвечают за физический мир: они показывают, что к носителю никто не подбирался незаметно. Хеш отвечает за цифровой мир: даже если кто-то сумел получить физический доступ, любое изменение байтов будет немедленно обнаружено при сверке. Обойти нужно сразу оба контура — и так, чтобы это нигде не оставило следа, что на практике крайне сложно. Именно поэтому связка «опечатывание + журнал + хеш» считается надёжной: возражение «улику подменили или подправили» разбивается о то, что любое такое вмешательство оставило бы заметный разрыв либо в физической, либо в цифровой защите.

Важно держать в голове, что цепочка хранения — это процесс, а не разовый акт оформления. Она начинается в первую секунду изъятия и не прерывается до тех пор, пока дело живо: даже когда улика просто лежит в сейфе и с ней ничего не происходит, журнал должен подтверждать, что в этот период доступа к ней не было. Молчание в записях недопустимо: для каждого отрезка времени нужен либо акт передачи, либо отметка о хранении. Любой неучтённый промежуток — это та самая трещина, в которую упрётся оппонент, спросив «а где гарантия, что в эти сутки с диском ничего не делали?».

Минимизация числа рук

Из логики непрерывности вытекает практическое правило: чем меньше людей касается улики, тем короче и убедительнее цепочка. Каждая лишняя передача — это новая запись, новая подпись и новая точка, которую теоретически можно оспорить. Поэтому доступ к доказательствам ограничивают узким кругом, а саму улику без нужды «из рук в руки» не гоняют. Там, где это возможно, работают не с оригиналом, а с его проверенной копией: оригинал один раз помещают в сейф и больше не тревожат, а все аналитики получают идентичные по хешу образы. Так физический носитель проходит минимальный путь, а значит, и поводов усомниться в его сохранности остаётся минимум.

Когда цепочка рвётся

Стоит честно понимать, что разрыв цепочки не всегда означает, что улику действительно подменили, — он означает, что вы не можете доказать обратное. Это ключевое различие. Суду или регулятору не нужно устанавливать факт фальсификации; достаточно того, что существует период, в который она была возможна и не исключена документами. Бремя доказывания целостности лежит на той стороне, что предъявляет улику. Поэтому опытный специалист относится к журналу не как к формальности «для галочки», а как к щиту: безупречная, без единого пробела история — это то, что превращает находку в доказательство, которое выдержит самый придирчивый разбор.

Изъятие --опечатано+хеш--> Хранение --журнал--> Анализ(копия)
   |                          |                     |
  фото, S/N               кто имел доступ        хеш сверен
   \__________ непрерывная документация __________/

Частые ошибки

  • Разрыв в журнале. «Диск пару дней полежал на столе» — это потенциально недопустимое доказательство.
  • Нет хеша при изъятии. Без раннего хеша нельзя доказать, что данные не менялись с самого начала.
  • Передача без подписи. Каждая смена владельца должна быть зафиксирована.
  • Анализ оригинала. Цепочка хранения и работа с оригиналом несовместимы; анализируют копию, оригинал — в сейфе.
  • Неопознаваемая улика. Без серийного номера, фото и идентификатора дела доказать, что это «тот самый» носитель, трудно.

Итоги

  • Chain of custody — непрерывная документированная история улики от изъятия до суда.
  • Фиксируют идентификацию, хеш, каждую передачу и условия хранения.
  • Физический контур (пломба, журнал) и цифровой (хеш) дополняют друг друга и вместе закрывают вопрос подмены.
  • Разрыв в цепочке или отсутствие хеша обесценивают доказательство.
Проверьте себя
1. Что такое цепочка хранения (chain of custody)?
AАлгоритм шифрования улик
BНепрерывная документированная история владения и обработки доказательства
CСписок инструментов криминалиста
DСпособ сжатия образа диска
2. Чем грозит разрыв в цепочке хранения?
AЗамедлением анализа
BВозможностью оспорить и признать доказательство недопустимым
CПотерей хеша
DНеобходимостью пересчитать образ
3. Зачем хеш сверяют при каждой выдаче и возврате улики?
AЧтобы ускорить анализ
BЧтобы подтвердить, что данные не менялись за время хранения
CЧтобы зашифровать диск
DЧтобы уменьшить образ