7 Разработка стратегии долговременной сохранности
7.1 Политика обеспечения долговременной сохранности
Хранители информации, стремящиеся обеспечить долговременную сохранность аутентичных и пригодных к использованию электронных документов, должны подготовить документацию, описывающую их политику и процедуры. Такая документация послужит дополнительным подтверждением аутентичности электронных документов при их использовании в качестве свидетельств (доказательств) и поможет обеспечить согласованность и единообразие их обработки. Кроме того, такая документация поможет хранителю информации давать ответы на вопросы о достоверности документов, которые обычно поднимаются в ходе судебных разбирательств.
Политика, направленная на реализацию стратегии долговременной сохранности, должна включать:
- раздел, содержащий положение о том, что обеспечение долговременной сохранности аутентичных и пригодных к использованию документов является целью хранителя информации, а также перечень других целей и обязанностей хранителя;
- описание вида ответственности за хранение (custody), которую хранитель информации берет на себя в отношении электронных документов, например законное попечение (legal custody) или ответственное физическое хранение (physical custody);
- описание хорошей практики управления электронными документами, которой придерживается хранитель информации;
- указание обстоятельств, при которых будут проводиться действия по миграции, а также соответствующие методы и обоснования этих действий;
- описание видов аудита, которые предполагается проводить, на соответствие установленным требованиям;
- разъяснение ролей, исполняемых персоналом хранителя информации, и описание всех обязанностей, передаваемых на аутсорсинг.
7.2 Контроль качества
Аутентичность электронных документов, сохраняемых в соответствии с установленными правилами и процедурами, обычно более доказуема, и такие документы вызывают большее доверие в случае судебных разбирательств и расследований.
Исходя из этого, хранителям информации следует внедрить политики и хорошие практики для каждого осуществляемого ими вида деятельности.
Свидетельства, показывающие, каким образом осуществлялось управление электронными документами, могут оказаться ключевыми в случае судебных разбирательств, поэтому к ним следует относиться так же бережно, как и к переданным под ответственность хранителя информации электронным документам. К числу таких свидетельств принадлежат все соответствующие политики и процедуры, документация, отражающая любые потери данных в ходе миграции, и результаты периодически проводимых аудитов в области контроля качества, целью которых является обеспечение исполнения этих политик и процедур.
7.3 Безопасность
7.3.1 Общие положения
Защита электронных документов от модификации, внесения изменений и от утраты является важнейшей задачей хранителя информации, обязанностью которого является обеспечение долговременного доступа к аутентичным и пригодным к использованию электронным документам. В связи с этим хранителям информации для исполнения своих обязательств следует применять меры, описанные в 6.2.2.3.
7.3.2 Управление доступом при помощи программных средств
Хранители информации должны использовать описанные ниже автоматизированные процедуры для контроля над операциями модификации и/или уничтожения электронной информации.
Сведения о модификации/уничтожении каких-либо электронных документов, включающие имя сотрудника и причину модификации/уничтожения, должны автоматически протоколироваться прикладной программой/программным обеспечением.
В целях предотвращения несанкционированного доступа к электронным документам доступ к ним должен осуществляться только посредством использования документированного программного обеспечения/программных приложений, прошедших тщательное тестирование и проверку.
По завершении каждой операции модификации/уничтожения вся соответствующая контрольная информация (history and logging information) должна сохраняться на защищенных от внесения изменений носителях однократной записи.
7.3.3 Управление физическим доступом
Хранители информации должны применять следующие меры для контроля над физическим доступом к электронным документным системам:
- доступ в помещение хранилища должен разрешаться только авторизованному персоналу;
- должен вестись журнал прибытия/убытия, в котором должны регистрироваться дата, время и фамилия каждого лица, входящего в охраняемое помещение хранилища;
- в случае изъятия авторизованным персоналом носителей информации должен быть составлен документ, содержащий дату, время и краткое описание причины изъятия;
- руководители, на которых возложены контрольные функции, должны периодически проверять журналы, для того чтобы убедиться в исполнении персоналом установленных требований. Сами журналы должны сохраняться в качестве доказательства того, что организация соблюдает требования собственных политик.
7.3.4 Защита от утраты
Хранители информации должны применять следующие меры для защиты электронных документов от утраты:
- хранилище информации должно располагаться в таком месте, где угроза природных катастроф (например, наводнения, пожара, землетрясения или падения метеорита) минимальна;
- хранилище информации должно быть оборудовано системами обнаружения и тушения пожара;
- должен иметься полномасштабный план восстановления деятельности после катастроф, включающий категоризацию электронных документов, чтобы была возможность устанавливать приоритеты при спасении и восстановлении носителей информации;
- хранитель информации, использующий магнитные носители, должен располагать помещения своих хранилищ вдали от неэкранированных мощных электромоторов (используемых, например, в системах кондиционирования воздуха), генераторов, трансформаторов и высоковольтных линий электропередач.
7.3.5 Политика обеспечения безопасности
Хранители информации должны разработать документированные процедуры обеспечения безопасности, в которых должны быть описаны:
- меры безопасности, применяемые при передаче электронных документов хранителю информации;
- процедуры управления доступом и порядок контроля выполнения этих процедур;
- местоположение помещения хранилища, выбранное таким образом, чтобы минимизировать угрозу утраты информации вследствие природных катастроф;
- план по восстановлению деятельности после катастроф;
- заявление о соблюдении общепризнанных стандартов, касающихся порядка обращения с носителями информации;
- меры по созданию вспомогательного (резервного) хранилища для хранения резервных копий носителей информации и для выполнения процедур, связанных с восстановлением деятельности в организации в случае катастроф.
7.4 Контроль и мониторинг климатических условий
"Хрупкость" электронных носителей информации создает риск для их читаемости и продолжительности срока службы. В связи с этим хранителям информации следует внедрить программу контроля и мониторинга климатических условий, которая должна включать следующие меры:
- создание среды хранения, в которой температура и относительная влажность поддерживаются в соответствующем диапазоне, установленном общепризнанными стандартами и/или по результатам авторитетных исследований;
- использование системы фильтрации воздуха, удаляющей из среды хранения частицы пыли и газообразные загрязнения;
- запрет на курение и употребление пищи и напитков в зоне хранения;
- реализация программы, в рамках которой ежегодно проводится проверка на читаемость статистической выборки из общего числа электронных документов с целью выявления имеющей место или возможной потери информации.