Как предоставить электронные свидетельства по первому требованию

Когда правоохранительные органы требуют предоставить для просмотра сообщения электронной почты, запрос должен быть удовлетворен безотлагательно. Необходимость соответствия законодательным актам наряду с ростом почтового трафика и потребностью в хранилищах электронной почты вынуждают компании тщательно анализировать процессы электронного обнаружения (e-discovery), чтобы успешно извлекать из архива нужные сообщения. В начале 2006 г. межотраслевой консорциум Electronic Discovery Reference Model (EDRM) Project (http://www.edrm.net) опубликовал рабочий документ, который устанавливает стандарт на проектирование продуктов и служб электронного обнаружения. EDRM состоит из нескольких разделов, в которых описаны требования к различным этапам процесса электронного обнаружения (рис. 1). В данной статье рассматриваются два раздела — идентификация и управление записями, а также некоторые идеи для администраторов Exchange по подготовке плана обнаружения в среде Exchange Server.

Рисунок 1. Этапы процесса обнаружения электронных документов

Идентификация

Уровень соответствия законодательным актам определяется способностью администратора предоставить свидетельства, например, согласно закону о свободе информации (Freedom of Information Act, FOIA), в рамках расследования комиссии по биржам и ценным бумагам или судебного иска. Первый шаг в поиске свидетельств — идентифицировать лиц, затронутых запросом (попечителей, на юридическом языке), наряду с любыми относящимися к делу обстоятельствами, временными рамками и событиями в компании. Затем нужно определить круг исследуемых данных.

Чтобы упростить задачу идентификации электронных свидетельств, администратору Exchange следует установить и поддерживать как текущую, так и исторические версии перечисленных ниже ведомостей Exchange.

Ведомости почтовых ящиков. Необходимо провести инвентаризацию и документировать всех пользователей, располагающих почтовыми ящиками. Можно использовать инструменты подготовки отчетов Exchange от независимого поставщика или утилиту CSVDE компании Microsoft, чтобы экспортировать информацию о пользователях Active Directory (AD) в файл с разделением запятыми (CSV). Дополнительные сведения о CSVDE и ее параметрах приведены по адресу http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ library/serverhelp/1050686f-3464-41af-b7e4016ab0c4db26.mspx. Ведомость должна содержать по крайней мере следующую информацию о каждом пользователе почтового ящика: отображаемое имя, учетная запись, организационная единица (OU), адрес электронной почты, имя сервера Exchange, Information Store (IS), подразделение, должность и город. По этой ведомости можно узнать историю или местоположение почтового ящика в определенный период времени, тем самым сэкономив время и силы, необходимые для поиска старых сообщений в почтовых файлах на резервных носителях.

Ведомости PST. Если администратор не заблокировал соответствующую функцию, то конечные пользователи могут создавать файлы персональных папок (PST). Если неизвестно, где находятся PST-файлы, можно запустить на файл-сервере команду Dir, которая сгенерирует список всех PST-файлов и их владельцев, и сохранить результаты в текстовом файле:

Dir *.pst /s /q

Огромное большинство PST-файлов обычно хранится в локальных рабочих станциях, поэтому необходимо проявить творческий подход к созданию сценариев регистрации (например, составить сценарий регистрации и передать список обнаруженных PST-файлов в центральный компьютер для анализа) или использовать инструмент управления системами, например компонент сбора инвентарной информации Microsoft Systems Management Server (SMS). Это позволит получить полную картину всех PST-файлов на предприятии.

Аппаратная инвентаризация. Большинство администраторов уже позаботились еще об одной необходимой ведомости — аппаратного оборудования, в том числе беспроводных устройств, таких как карманные BlackBerry и PDA, используемых всеми сотрудниками организации. Во многих устройствах предусмотрено хранилище электронной почты, поэтому в случае расследования может возникнуть потребность в их быстрой идентификации. Существует много способов отслеживания аппаратных устройств, от ручного по электронным таблицам Microsoft Excel до специальных программ отслеживания ресурсов, часть из которых приведена в табл. 1.

Архивирование и управление записями

Термины «архивирование» и «соответствие требованиям законодательных актов» часто ошибочно считают синонимами. Развертывание архива электронной почты — одна из важнейших задач обеспечения соответствия требованиям, но ее выполнение вовсе не гарантирует полного соответствия. В простейшей форме архив электронной почты представляет собой репозитарий записей. Большинство современных решений архивирования электронной почты располагает функциями управления записями, что позволяет хранить данные электронной почты в защищенной, готовой для извлечения, поиска и аудита форме. Среди ведущих продуктов архивирования электронной почты — Veritas Enterprise Vault компании Symantec, Archive Manager (в прошлом AfterMail) компании Quest Software, ZANTAZ EAS, LiveLink ECM компании Open Text и HP StorageWorks Reference Information Storage System (RISS).

Приобретение архива аналогично покупке несгораемого сейфа для дома. Он полезен, только если в нем содержатся сообщения, которые необходимо сохранить. Например, если требуется предъявить свидетельство собственности на дом и оно находится в сейфе, то процесс обнаружения будет несложным. Но если эти и другие важные документы хранятся в разных местах, придется потратить часы, а то и дни, просматривая груды бумаг в поисках нужных документов. Таким образом, настоящая ценность архива заключается в возможности упростить и централизовать хранение важных документов. Но простого наличия сейфа или архива недостаточно для обладателя большого количества бумаг или миллионов записей; в этом случае для быстрого обнаружения требуются развитые механизмы поиска и другие функции управления записями.

Электронная почта — динамичная коммуникационная среда. Согласно прогнозу на 2005-2009 годы, опубликованному в декабре 2005 г. компанией IDC, в 2006 г. объем почтовых сообщений, отправляемых компаниями во всем мире, превысит 3,5x10006 байт (приблизительно 10 млн. Тбайт ежедневно). Ни одна компания не может архивировать все свои записи электронной почты, поскольку данные очень динамичны. Данные, сохраненные как в архиве компании, так и вне его, подлежат электронному обнаружению, как показано на рис. 2. Перед администратором Exchange, ответственным за подготовку плана обнаружения почтовых сообщений в организации, встает двойная задача: переместить почтовые данные, которые должны быть архивированы согласно требованиям законодательных актов, в центральный архив, где ими удобнее управлять с помощью решений архивирования и управления записями, и управлять данными вне архивов с использованием инструментов электронного обнаружения. Инструменты архивирования электронной почты обеспечивают инфраструктуру для долгосрочного хранения, индексации и учета почтовых данных, а инструменты электронного обнаружения ориентированы на поиск и извлечение документов с жестких дисков, серверов и других носителей с целью обнаружения свидетельств, необходимых для расследований.

Рисунок 2. Типы почтовых данных, доступные с использованием методов электронного обнаружения

Данные вне архивов могут включать сообщения электронной почты в PST-файлах на локальных системах или файл-серверах, сообщения в мобильных устройствах, на резервных носителях и любых других устройствах или средствах хранения. Как правило, администраторы Exchange не занимаются отбором данных для архивирования; их работа состоит в реализации политик соответствия, установленных другими сотрудниками организации. Например, юридический отдел может назначить политики соответствия, в которых говорится, что «необходимо архивировать все сообщения, соответствующие критерию x». Затем специалисты ИТ-подразделения обеспечивают техническую реализацию этого указания.

Во всех крупных и средних компаниях управление записями электронной почты в течение всего цикла их существования в соответствии с требованиями законодательных актов — чрезвычайно обременительная задача. Перечисленные ниже меры помогут облегчить управление и идентификацию как архивных, так и внеархивных записей для электронного обнаружения.

  • Переход на Exchange 2000 Server Service Pack 3 (SP3) или более позднюю версию. Exchange 2000 SP3 и более поздние версии обеспечивают регистрацию конвертов (envelope journaling). Функции регистрации конвертов (для хранения метаданных расширений списка рассылки - Distribution List, DL) появились в Exchange 2003 SP1, но затем были перенесены в Exchange 2000 SP3. Прежде при отправке сообщения по такому списку рассылки, как all@worldofmen.com, в Exchange не было способа просмотреть записанные сообщения и определить, какие получатели входили в список рассылки до того, как он был раскрыт. Начиная с Exchange 2003 SP1 вместе с каждым элементом журнала сохраняются сведения о членстве в списке рассылки. В примере со списком all@worldofmen.com из DL-журнала можно узнать, что Peter и Susan Pevensie были в списке, а Edmund Pevensie не числился в нем. Это важно для подтверждения цепочки обладания (учета электронных свидетельств от момента их создания и до представления в качестве свидетельства), если почтовые сообщения будут затребованы правоохранительными органами. Дополнительные сведения о добавлении функций регистрации конвертов в версии, предшествующие Exchange 2003 SP1, приведены в статье Microsoft "An update rollup is available to enable the Envelope Journaling feature in Exchange 2000 Server" (http://support.microsoft.com/?kbid=834634).
  • Подготовка набора инструментов для электронного обнаружения. В набор инструментов для электронного обнаружения должны войти утилиты и программные продукты для поиска данных вне архива. В наборе обязательно должны быть как инструменты обнаружения PST, так и средства восстановления резервных копий, в частности приведенные в табл. 2 и 3.

С помощью инструментов обнаружения PST можно отыскать все PST-файлы на предприятии. Один из методов обнаружения PST — поиск PST-файлов в накопителях с использованием функции поиска Windows Explorer и копированием PST-файлов на локальной системе с последующим применением настольных поисковых механизмов, таких как модуль расширения Lookout для Microsoft Outlook, MSN Desktop Search или Google Desktop, для индексации и поиска. Эта процедура занимает весьма много времени. Другой способ — использовать специальные инструменты от независимых поставщиков для обнаружения PST и/или поиска PST по месту. Для этого подходит любой продукт из приведенных в табл. 2. Инструменты обнаружения резервных копий позволяют быстро извлечь сообщения электронной почты из резервных файлов и могут быть полезны в двух отношениях. Во-первых, с их помощью можно избежать смешения технологий восстановления Exchange — серверов восстановления Exchange, Recovery Storage Groups (RSG), инструмента ExMerge, Deleted Item Retention и Deleted Mailbox Retention, которые приходится попеременно использовать при поиске электронных свидетельств на большом числе архивных лент. Во-вторых, если архив размещен на предприятии, то такие инструменты помогут извлечь нужные почтовые записи из резервных копий и переместить их в архив, чтобы в будущем не отыскивать их на резервных носителях.

Работаем с данными

При подготовке плана обнаружения электронных документов для предприятия важно продумать подходы как к данным в архиве (если он есть), так и к почтовым сообщениям, которые хранятся в других местах. Цель — увеличить процент почтовых записей, хранящихся в архиве, относительно записей вне архива. Для этого необходимо постепенно переносить данные из резервных копий в архив и сократить время хранения почтовых сообщений на производственных серверах Exchange перед архивированием. Выполнив инвентаризацию почтовых ящиков и аппаратных средств, удачно подобрав инструменты для архивирования и извлечения почтовых записей, можно построить эффективную стратегию обнаружения электронных документов на предприятии.

Дэвид Сенгупта - Менеджер группы Infrastructure Management в компании Quest Software; имеет сертификат Microsoft Exchange MVP. Автор книг, журнальных статей и технических документов по Exchange. mailman@quest.com