Как предоставить электронные свидетельства по первому требованию
Когда правоохранительные органы требуют предоставить для просмотра сообщения электронной почты, запрос должен быть удовлетворен безотлагательно. Необходимость соответствия законодательным актам наряду с ростом почтового трафика и потребностью в хранилищах электронной почты вынуждают компании тщательно анализировать процессы электронного обнаружения (e-discovery), чтобы успешно извлекать из архива нужные сообщения. В начале 2006 г. межотраслевой консорциум Electronic Discovery Reference Model (EDRM) Project (http://www.edrm.net) опубликовал рабочий документ, который устанавливает стандарт на проектирование продуктов и служб электронного обнаружения. EDRM состоит из нескольких разделов, в которых описаны требования к различным этапам процесса электронного обнаружения (рис. 1). В данной статье рассматриваются два раздела — идентификация и управление записями, а также некоторые идеи для администраторов Exchange по подготовке плана обнаружения в среде Exchange Server.
|
| Рисунок 1. Этапы процесса обнаружения электронных документов |
Идентификация
Уровень соответствия законодательным актам определяется способностью администратора предоставить свидетельства, например, согласно закону о свободе информации (Freedom of Information Act, FOIA), в рамках расследования комиссии по биржам и ценным бумагам или судебного иска. Первый шаг в поиске свидетельств — идентифицировать лиц, затронутых запросом (попечителей, на юридическом языке), наряду с любыми относящимися к делу обстоятельствами, временными рамками и событиями в компании. Затем нужно определить круг исследуемых данных.
Чтобы упростить задачу идентификации электронных свидетельств, администратору Exchange следует установить и поддерживать как текущую, так и исторические версии перечисленных ниже ведомостей Exchange.
Ведомости почтовых ящиков. Необходимо провести инвентаризацию и документировать всех пользователей, располагающих почтовыми ящиками. Можно использовать инструменты подготовки отчетов Exchange от независимого поставщика или утилиту CSVDE компании Microsoft, чтобы экспортировать информацию о пользователях Active Directory (AD) в файл с разделением запятыми (CSV). Дополнительные сведения о CSVDE и ее параметрах приведены по адресу http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ library/serverhelp/1050686f-3464-41af-b7e4016ab0c4db26.mspx. Ведомость должна содержать по крайней мере следующую информацию о каждом пользователе почтового ящика: отображаемое имя, учетная запись, организационная единица (OU), адрес электронной почты, имя сервера Exchange, Information Store (IS), подразделение, должность и город. По этой ведомости можно узнать историю или местоположение почтового ящика в определенный период времени, тем самым сэкономив время и силы, необходимые для поиска старых сообщений в почтовых файлах на резервных носителях.
Ведомости PST. Если администратор не заблокировал соответствующую функцию, то конечные пользователи могут создавать файлы персональных папок (PST). Если неизвестно, где находятся PST-файлы, можно запустить на файл-сервере команду Dir, которая сгенерирует список всех PST-файлов и их владельцев, и сохранить результаты в текстовом файле:
Dir *.pst /s /q
Огромное большинство PST-файлов обычно хранится в локальных рабочих станциях, поэтому необходимо проявить творческий подход к созданию сценариев регистрации (например, составить сценарий регистрации и передать список обнаруженных PST-файлов в центральный компьютер для анализа) или использовать инструмент управления системами, например компонент сбора инвентарной информации Microsoft Systems Management Server (SMS). Это позволит получить полную картину всех PST-файлов на предприятии.
Аппаратная инвентаризация. Большинство администраторов уже позаботились еще об одной необходимой ведомости — аппаратного оборудования, в том числе беспроводных устройств, таких как карманные BlackBerry и PDA, используемых всеми сотрудниками организации. Во многих устройствах предусмотрено хранилище электронной почты, поэтому в случае расследования может возникнуть потребность в их быстрой идентификации. Существует много способов отслеживания аппаратных устройств, от ручного по электронным таблицам Microsoft Excel до специальных программ отслеживания ресурсов, часть из которых приведена в табл. 1.
Архивирование и управление записями
Термины «архивирование» и «соответствие требованиям законодательных актов» часто ошибочно считают синонимами. Развертывание архива электронной почты — одна из важнейших задач обеспечения соответствия требованиям, но ее выполнение вовсе не гарантирует полного соответствия. В простейшей форме архив электронной почты представляет собой репозитарий записей. Большинство современных решений архивирования электронной почты располагает функциями управления записями, что позволяет хранить данные электронной почты в защищенной, готовой для извлечения, поиска и аудита форме. Среди ведущих продуктов архивирования электронной почты — Veritas Enterprise Vault компании Symantec, Archive Manager (в прошлом AfterMail) компании Quest Software, ZANTAZ EAS, LiveLink ECM компании Open Text и HP StorageWorks Reference Information Storage System (RISS).
Приобретение архива аналогично покупке несгораемого сейфа для дома. Он полезен, только если в нем содержатся сообщения, которые необходимо сохранить. Например, если требуется предъявить свидетельство собственности на дом и оно находится в сейфе, то процесс обнаружения будет несложным. Но если эти и другие важные документы хранятся в разных местах, придется потратить часы, а то и дни, просматривая груды бумаг в поисках нужных документов. Таким образом, настоящая ценность архива заключается в возможности упростить и централизовать хранение важных документов. Но простого наличия сейфа или архива недостаточно для обладателя большого количества бумаг или миллионов записей; в этом случае для быстрого обнаружения требуются развитые механизмы поиска и другие функции управления записями.
Электронная почта — динамичная коммуникационная среда. Согласно прогнозу на 2005-2009 годы, опубликованному в декабре 2005 г. компанией IDC, в 2006 г. объем почтовых сообщений, отправляемых компаниями во всем мире, превысит 3,5x1000∧6 байт (приблизительно 10 млн. Тбайт ежедневно). Ни одна компания не может архивировать все свои записи электронной почты, поскольку данные очень динамичны. Данные, сохраненные как в архиве компании, так и вне его, подлежат электронному обнаружению, как показано на рис. 2. Перед администратором Exchange, ответственным за подготовку плана обнаружения почтовых сообщений в организации, встает двойная задача: переместить почтовые данные, которые должны быть архивированы согласно требованиям законодательных актов, в центральный архив, где ими удобнее управлять с помощью решений архивирования и управления записями, и управлять данными вне архивов с использованием инструментов электронного обнаружения. Инструменты архивирования электронной почты обеспечивают инфраструктуру для долгосрочного хранения, индексации и учета почтовых данных, а инструменты электронного обнаружения ориентированы на поиск и извлечение документов с жестких дисков, серверов и других носителей с целью обнаружения свидетельств, необходимых для расследований.
|
| Рисунок 2. Типы почтовых данных, доступные с использованием методов электронного обнаружения |
Данные вне архивов могут включать сообщения электронной почты в PST-файлах на локальных системах или файл-серверах, сообщения в мобильных устройствах, на резервных носителях и любых других устройствах или средствах хранения. Как правило, администраторы Exchange не занимаются отбором данных для архивирования; их работа состоит в реализации политик соответствия, установленных другими сотрудниками организации. Например, юридический отдел может назначить политики соответствия, в которых говорится, что «необходимо архивировать все сообщения, соответствующие критерию x». Затем специалисты ИТ-подразделения обеспечивают техническую реализацию этого указания.
Во всех крупных и средних компаниях управление записями электронной почты в течение всего цикла их существования в соответствии с требованиями законодательных актов — чрезвычайно обременительная задача. Перечисленные ниже меры помогут облегчить управление и идентификацию как архивных, так и внеархивных записей для электронного обнаружения.
- Переход на Exchange 2000 Server Service Pack 3 (SP3) или более позднюю версию. Exchange 2000 SP3 и более поздние версии обеспечивают регистрацию конвертов (envelope journaling). Функции регистрации конвертов (для хранения метаданных расширений списка рассылки - Distribution List, DL) появились в Exchange 2003 SP1, но затем были перенесены в Exchange 2000 SP3. Прежде при отправке сообщения по такому списку рассылки, как all@worldofmen.com, в Exchange не было способа просмотреть записанные сообщения и определить, какие получатели входили в список рассылки до того, как он был раскрыт. Начиная с Exchange 2003 SP1 вместе с каждым элементом журнала сохраняются сведения о членстве в списке рассылки. В примере со списком all@worldofmen.com из DL-журнала можно узнать, что Peter и Susan Pevensie были в списке, а Edmund Pevensie не числился в нем. Это важно для подтверждения цепочки обладания (учета электронных свидетельств от момента их создания и до представления в качестве свидетельства), если почтовые сообщения будут затребованы правоохранительными органами. Дополнительные сведения о добавлении функций регистрации конвертов в версии, предшествующие Exchange 2003 SP1, приведены в статье Microsoft "An update rollup is available to enable the Envelope Journaling feature in Exchange 2000 Server" (http://support.microsoft.com/?kbid=834634).
- Подготовка набора инструментов для электронного обнаружения. В набор инструментов для электронного обнаружения должны войти утилиты и программные продукты для поиска данных вне архива. В наборе обязательно должны быть как инструменты обнаружения PST, так и средства восстановления резервных копий, в частности приведенные в табл. 2 и 3.
С помощью инструментов обнаружения PST можно отыскать все PST-файлы на предприятии. Один из методов обнаружения PST — поиск PST-файлов в накопителях с использованием функции поиска Windows Explorer и копированием PST-файлов на локальной системе с последующим применением настольных поисковых механизмов, таких как модуль расширения Lookout для Microsoft Outlook, MSN Desktop Search или Google Desktop, для индексации и поиска. Эта процедура занимает весьма много времени. Другой способ — использовать специальные инструменты от независимых поставщиков для обнаружения PST и/или поиска PST по месту. Для этого подходит любой продукт из приведенных в табл. 2. Инструменты обнаружения резервных копий позволяют быстро извлечь сообщения электронной почты из резервных файлов и могут быть полезны в двух отношениях. Во-первых, с их помощью можно избежать смешения технологий восстановления Exchange — серверов восстановления Exchange, Recovery Storage Groups (RSG), инструмента ExMerge, Deleted Item Retention и Deleted Mailbox Retention, которые приходится попеременно использовать при поиске электронных свидетельств на большом числе архивных лент. Во-вторых, если архив размещен на предприятии, то такие инструменты помогут извлечь нужные почтовые записи из резервных копий и переместить их в архив, чтобы в будущем не отыскивать их на резервных носителях.
Работаем с данными
При подготовке плана обнаружения электронных документов для предприятия важно продумать подходы как к данным в архиве (если он есть), так и к почтовым сообщениям, которые хранятся в других местах. Цель — увеличить процент почтовых записей, хранящихся в архиве, относительно записей вне архива. Для этого необходимо постепенно переносить данные из резервных копий в архив и сократить время хранения почтовых сообщений на производственных серверах Exchange перед архивированием. Выполнив инвентаризацию почтовых ящиков и аппаратных средств, удачно подобрав инструменты для архивирования и извлечения почтовых записей, можно построить эффективную стратегию обнаружения электронных документов на предприятии.
Дэвид Сенгупта - Менеджер группы Infrastructure Management в компании Quest Software; имеет сертификат Microsoft Exchange MVP. Автор книг, журнальных статей и технических документов по Exchange. mailman@quest.com