На разрешение информационно-компьютерной экспертизы ставятся следующие вопросы:
— какие свойства, характеристики и параметры (объемы, даты создания-изменения, атрибуты и др.) имеют данные на носителе информации?
— какого вида (явный, скрытый, удаленный, архив) имеется информация на носителе?
— к какому типу относятся выявленные (определенные) данные (текстовые, графические, база данных, электронная таблица, мульти медиа, запись пластиковой карты, данные ПЗУ и др.) и какими программными средствами они обеспечиваются?
— каким образом организован доступ (свободный, ограниченный и пр.) к данным на носителе информации, каковы его характеристики?
— какие признаки преодоления защиты (либо попыток несанкционированного доступа) имеются на носителе информации?
— каково содержание защищенных данных?
— каково фактическое состояние выявленных данных и соответствует ли оно типовому состоянию на соответствующих носителях данных?
— какие несоответствия типовому представлению имеются в выявленных данных (нарушение целостности, несоответствие формата, вредоносные включения и т.д.)?
— каковы пользовательские (потребительские) свойства и предназначение данных на носителе информации?
— какие данные для решения определенной функциональной (потребительской) задачи имеются на носителе информации?
— какие данные с фактами и обстоятельствами конкретного дела находятся на представленном носителе информации?
— какие данные о собственнике (пользователе) компьютерной системы (в том числе имена, пароли, права доступа и т.д.) имеются на носителях информации?
— какие данные с представленных на экспертизу документов (образцов) и в каком виде (целостном, фрагментарном) находятся на носителе информации?
— каково первоначальное состояние данных на носителе (в каком виде, какого содержания и с какими характеристиками, атрибутами находились определенные данные до их удаления или модификации)?
— какой механизм (последовательность действий) по решению конкретной задачи отражен в определенных данных на носителе информации?
— какая хронологическая последовательность действий (операций) с выявленными данными имела место при решении конкретной задачи (например, подготовка изображений денежных знаков, ценных бумаг, оттисков печатей т.п.);
— какая имеется причинная связь между действиями (вводом, модификацией, удалением и пр.) с данными и имевшим место событием (например, нарушением в работе компьютерной системы, в том числе сбои в программном и аппаратном обеспечении)?
— какова степень соответствия (или несоответствия) действий с конкретной информацией специальному регламенту или правилам эксплуатации определенной компьютерной системы?