Rambler's Top100
Статьи
02 ноября 2010

Электронные адвокаты: сохранять и находить

Компьютерную сеть сегодняшней организации можно сравнить с кровеносной системой – от её работы и пропускной способности зависят возможности и скорость работы всех сотрудников компании. При условии, что объёмы информации экспотенциально растут из года в год, хранить и обеспечивать к ней оперативный доступ становится всё труднее.

Основной рост объёмов происходит в силу трёх причин: роста количества и объёма сообщений электронной почты, активного использования программ обмена мгновенными сообщениями (Instant Messengers, IM), а также резко возросшего количества документов, создаваемых и обрабатываемых через Интернет. Только в США, по данным компании Cohasset Associates, за период с 2005 по 2008 год количество e-mail сообщений выросло практически в три раза (с 2,8  до 7-10 миллиардов), и рост этот продолжается. Аналогичная картина наблюдается и во многих других странах мира, в том числе и в России. Пропорционально развитию сетевых транзакций  «цифровых доказательств». В результате – без специализированных систем оптимизации хранения этих данных, сегодня не обойтись многим компаниям. В США ещё в 2002 году был принят законодательный акт Sarbanes-Oxley (SOX), предписывающий организациям обеспечивать целостность, доступность и конфиденциальность (там, где необходимо) электронных записей. В России пока нет соответствующей законодательной базы, но есть множество предпосылок для её создания.

«На сегодняшний день закон регламентирует хранение архивов бухгалтерской отчетности, в том числе в электронном виде, а также в случае телеком-провайдеров - журналы сетевой активности клиентов - комментирует Александр Писемский, заместитель генерального директора Group-IB, компании, занимающейся расследованием обстоятельств инцидентов информационной безопасности и компьютерных преступлений. - На мой взгляд, за последние 5 лет роль цифровых доказательств выросла в десятки раз при расследовании преступлений, затрагивающих информационные технологии.  Заключения специалистов нашей Лаборатории компьютерной криминалистики и восстановления данных только за 2010 год были включены в состав доказательной базы по более чем  по 20 уголовным делам. Правильный сбор и качественное исследование электронных улик позволяет выявлять доказательства неправомерных действий, ни чем не уступающих "физическим" аналогам». При этом Александр отмечает, что государственное регулирование хранения цифровых доказательств жизненно необходимо для эффективной борьбы с киберпреступностью: «На законодательном уровне должны регламентироваться полнота и глубина хранения информации, которая может понадобиться в ходе расследований. Без четких правил сбора и хранения цифровых доказательств очень трудно проводить расследования инцидентов и компьютерных преступлений, потому что в большинстве случаев интересующая информация попросту отсутствует, и необходимо искать другие источники информации».

Хранить «с умом»

Старинная поговорка английских юристов гласит: «Если ты не можешь повлиять на факты, повлияй на процесс, который ими управляет». Точно так же, хотя мы не можем повлиять на появление громадного количества  юридически значимых электронных писем, данных и архивов, мы можем оптимизировать управление ими.

Исследование систем управления информацией, проведенное Symantec, показало, что хотя почти 90% предприятий признают, что внедрение подходящей стратегии хранения информации поможет им удалять ненужную информацию, лишь у менее половины опрошенных организаций есть официальный план хранения информации. Вместо этого, компании хранят информацию в течение неопределенного периода времени, так как они боятся удалять информацию, которая может быть важна для бизнеса или может быть востребована как часть будущих юридических запросов о предоставлении электронных данных. В результате, поиск информации становится все труднее, а затраты на хранение информации и поиск необходимых данных растут.

На индивидуальном (микро) уровне влиять на этот процесс можно за счёт применения простых правил обработки поступающей информации. Нужно всего лишь постоянно сокращать объемы сохраняемых данных – так, например, поступают консультанты компании «Организация Времени» Глеба Архангельского приводят следующий метод: «Любое письмо нужно видеть во «Входящих» только один раз. Если с ним нельзя работать – это спам и подлежит удалению. Если это справочная информация следует сохранить ее в справочной системе. Если на письмо можно ответить за 2 минуты нужно это сделать. Если работа с письмом займет больше двух минут, письмо превращается в задачу и выполняется в порядке очередности». Полезный совет.

Однако, на уровне большой компании, очевидно, такое управление организовать невозможно. Всегда найдутся люди, которые, в силу объективных или субъективных причин не будут реализовывать эти правила. Зачастую, если выделенный объем почтового пространства заканчивается, пользователи просто переносят данные в локальные папки (pst файлы Outlook) Но даже небольшие архивы почты, по умолчанию сохраняемые в формате *.pst, представляют собой лёгкую добычу для злоумышленников.  Комментирует Александр Писемский:  

«Основным риском при хранении переписки в pst-файлах является возможность несанкционированного доступа к ее содержимому в случае кражи ПК или получения неавторизованного доступа к профилю пользователя. Этот риск можно эффективно снизить путем применения средств криптографической защиты (Full Disk Encryption) и разграничения доступа (минимизация привилегии и разграничение обязанностей). Также в случае хранения переписки только в архиве локально без копии на сервере, существует риск ее утери в случае выхода из строя или утери носителя информации,  а также вредоносных действий третьих лиц».

Все вышеперечисленные факты приводят к выводам о необходимости создания и поддержки специальных систем управления архивами информации, где данные могли бы храниться  не в ограниченном и загруженном пространстве общих серверных дисков, занимали минимум пространства на носителе с применением технологий дедупликации, и в то же время были бы доступны для оперативного поиска и классификации. На международном рынке есть несколько компаний, которые предлагают решения для подобных случаев.  

Стратегии быстрого поиска и долгого хранения

«Стратегии управления хранением, поиском и удалением данных могут быть эффективными только при условии возможности охвата нескольких источников, – отмечает Роман Прытков, ведущий технический консультант компании Symantec,  – Организации, которые архивируют только один тип данных и игнорируют другой лишь из-за технологических ограничений, не могут максимально снизить затраты на ИТ и оперативно производить поиск данных. Используемые системы управления хранением данных должны обрабатывать информацию самых разных типов, например, находящуюся в электронной почте, средствах коллективной работы (SharePoint) и файловых системах.»

Например, тот же Enterprise Vault позволяет провести архивирование Microsoft Exchange путем переноса половины электронных сообщений в Enterprise Vault для длительного хранения, что позволяет существенно сэкономить время и затраты».

Поиск информации по юридическим причинам в российских компаниях описывает Александр Писемский: «Процесс сбора доказательств должен максимально соответствовать требованиям законодательства России, чтобы в дальнейшем цифровые доказательства можно было предоставить в правохранительные органы и суд. Исследование доказательств необходимо производить с копии носителя, чтобы избежать изменения или уничтожения данных в ходе анализа и случайной поломки оригинала носителя. На основе результатов расследований компания получит возможность скорректировать свой профиль рисков и принять меры по предотвращению подобных инцидентов в будущем, что окажет в итоге позитивный эффект на бизнес. Также будут идентифицированы виновники инцидента и сделаны соответствующие выводы. Корпоративные почтовые и файловые архивы хорошо дополняют другие источники доказательств в виде образов жёстких дисков, журналов сетевого доступа, журналов угроз информационной безопасности. Данные архивы наиболее полезны в ходе расследований инцидентов, связанных с почтовой перепиской, утечкой информации, саботажем и инсайдом. Информация, содержащаяся в этих архивах позволяет установить достоверность отправки электронных сообщений, факт создания документа, признаки утечки информации, доказательства работы сотрудника в интересах другой компании».

«Архивная система призвана быть «электронным адвокатом» для компании, позволяющим восстановить события давно минувших лет, разобраться в спорной ситуации, установить невидимый контроль и использовать имеющиеся данные на благо организации – комментирует Роман Прытков, ведущий технический консультант компании Symantec. – Cобранные таким образом доказательства не всегда могут быть приняты к производству российскими судами, однако учитывая нарастающую тенденцию информатизации государственных структур в России, это может измениться уже очень скоро».

Важность перемещения важных, но относительно «старых» данных в архивы подтверждают и западные специалисты: «Архивирование – это основа комплексной стратегии управления информацией, которая позволяет организациям с уверенностью удалять информацию, - утверждает Брайан Дай (Brian Dye), вице-президент по управлению продуктами группы IMG, Symantec, – Применяемые технологии дают возможность ИТ и юридическим департаментам совместно развивать и реализовывать политику хранения данных, сокращая разрыв между технологиями и внутренними правилами организаций с целью снижения рисков для организаций».

Исследования Gartner утверждают,  при стандартных процедурах архивирования около 70 процентов информации дублируется, и не используется в течение трёх месяцев, бесполезно занимая место в хранилищах данных. Поэтому в системах управления ахивацией данных должен быть предусмотрен эффективный алгоритм борьбы с дублирование информации – механизм дедупликации, позволяющий в разы сократить время поиска необходимой информации. Более того, в системе устанавливаются регламент окончательного удаления информации, после которого, вся информация за определённый период может автоматически удаляться, так что объём массива для поиска растёт медленней, чем количество новых данных. В результате управление жизненным циклом хранимых данных становится полностью автоматическим и максимально эффективным.

В России архивирование с использованием систем управления хранением данных уже приносит свои плоды, рассказывает начальник управления корпоративных разработок ОАО «Магнитогорский металлургический комбинат», Вадим Феоктистов: «Необходимость разделения всего массива корпоративной корреспонденции на оперативную часть, хранящуюся непосредственно в почтовой системе, и архивную составляющую, вызывает к жизни целый ряд задач, успешное решение которых и является показателем эффективности построения архива. Самая главная из них – это «бесшовное» соединение оперативной и архивной частей массива корреспонденции, то есть такая организация работы пользователя, при которой граница, существующая между этими частями, не будет доставлять ему каких-либо неудобств. Почтовые сообщения из архива по-прежнему находятся в зоне доступа, хотя открываются чуть дольше, работа с ними по-прежнему осуществляется через MS Outlook. «За сценой» остаются сложные механизмы системы архивирования, обеспечивающие 100% защиту почтовых сообщений от сбоев и искажений при перемещении в архив, средства оптимизации хранения, позволяющие сжимать данные и другими способами добиваться сокращения объема архива, развитые средства поиска в архиве, поддержка мобильных пользователей, управление авторизацией и доступом, и многое другое. В нашем случае был выбран Enterprise Vault для реализации архива и Storage Foundation/HA для обеспечения отказоустойчивости с помощью кластерной организации вычислительных ресурсов системы архивирования».

Материал подготовлен компанией Symantec

 

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!