Стадии eDiscovery: Preservation - Защита ESI

Если какое-либо лицо или организация ожидает судебного разбирательства или корпоративного расследования, связанного с конкретным событием или инцидентом, то такое лицо или организация имеет обязательство по защите и сохранению потенциально значимой информации - как печатных материалов, так и информации, хранимой в электронном виде (ESI, electronically storage information). Поскольку ESI обычно изменяется или удаляется в ходе нормальной работы компьютерной системы и сети, а пользователи могут изменять или удалять свои файлы на подконтрольных им системах, крайне важно уведомить соответствующих лиц в организации об их обязанности сохранять информацию, чтобы предотвратить потерю соответствующего ESI. 

В ситуации «здорового человека» как только компания получает информацию, подтверждающую, что в ближайшее время ее может ждать расследование или судебное разбирательство (это может быть судебная повестка, уведомление от регулятора, жалоба, или устное сообщение), она должны принять определение организационно-правовые меры по сохранению всех потенциально релевантных к кейсу данных и документов. Если с бумажными носителями все относительно понятно, то в в случае с цифровыми данными и перепиской их сохранение может стать той ещё задачкой. Но здесь, как говорится, лучше передбеть, чем недобдеть - защита и сохранение большого количества данных отнюдь не означает, что все они будут проанализированы или раскрыты. А вот если оппоненту в суде удастся доказать, что компания не смогла своевременно защитить ESI, ее могут ждать серьёзные санкции, вплоть до автоматического вынесения решения в пользу оппонента.

Итак, целью защиты данных является сохранение всех потенциально релевантных ESI от удаления или уничтожения. Первым шагом в защите ESI является идентификация их источников. Источники условно можно разделить на два типа:  

 1. хранящиеся у кастодианов, то есть у сотрудников (custodial sources);
 2. не хранящиеся у кастодианов (non-custodial sources).

К первому типу можно отнести:

 • данные коммуникаций: электронная почта, мессенджеры и др.;
 • документы офисного типа: Word, Excel, Power Point, PDF, и т.д.
 • содержимое носителей информации на аппаратных устройствах: корпоративные и личные компьютеры, флэш-накопители, смартфоны и планшеты;
 • содержимое облачных хранилищ;
 • социальные сети.

Ко второму типу могут относится любые данные (структурированные или неструктурированные), которые находятся под управлением непосредственно компании, а не конкретного сотрудника, например:

 • содержимое корпоративных информационных систем;
 • базы данных бухгалтерских программ;
 • содержимое файлового сервера
 • и т.д.

Процесс выявления источников ESI начинается с интервьюирования ключевого персонала компании, облагающего пониманием того, как данные двигаются, обрабатываются и хранятся в пределах корпоративной инфраструктуры компании. Опять же, в ситуации «здорового человека», если компания заблаговременно разработала карту данных (документ, описывающий ключевые источники данных) и регулярно ее обновляет, ее можно использовать для идентификации источников ESI в рамках проекта Electronic Discovery.

После того, как источники потенциально релевантной информации определены, наступает стадия определения места нахождения таких источников и круга лиц, ответственных за их хранение. В случае с источниками, которые находятся в распоряжении кастодианов, их форма и локации более менее понятны. В случае с базами данных и корпоративными системами все сложнее. Кроме понимания их физического нахождения требуется понять, как устроен и функционирует каждый источник ESI. Это важно, чтобы предоставить достаточные и подробные инструкции для сотрудников компании по сохранению потенциально значимых данных.

Обычно существует два типа сотрудников, чей вклад будет полезен при оценке non-custodial источников:

1. сотрудники, которые используют их в своей повседневной работе - например, бухгалтера, которые работают с 1С.Бухгалтерией;
2. сотрудники, которые поддерживают их работоспособность - то есть администратор базы данных 1С.

Каждая группа предоставит очень разную информацию об источнике. Например, в случае с 1С, сотрудники бухгалтерии будут иметь наиболее полное представление о конкретной информации, хранящейся в базе данных: список контрагентов, их реквизиты, детали финансовых проводок и т.д. Однако конечные пользователи могут мало или совсем не знать, о том как на самом деле устроена и работает база данных. Скорее всего, есть ИТ-сотрудники, ответственные за установку программного и аппаратного обеспечения 1С.Бухгалтерия, его обслуживание и резервное копирование данных. Такой персонал должен обладать детальным представлением о механике манипуляций и технической структуре базы данных, но как правило мало или совсем не понимает содержащихся в ней данных. Как легко понять, оба типа информации необходимы для оценки и реализации юридического удержания.

После того, как источники данных идентифицированы и определён круг лиц, ответственных за их хранение и управление, необходимо подготовить legal hold notice. По сути - это форма оповещения сотрудника компании о том, что он обязан защитить данные, хранящиеся под его ответственностью. На русский язык legal hold можно перевести как «юридическое удержание». Я не специалист по российскому праву, но в голову не приходит ничего похожего в отечественной правовой системе, разве что деятельность нотариусов по обеспечению доказательств.

Уведомление о юридическом удержании может быть представлено в любой форме, в том числе и устной, но наибольший эффект будут иметь письменные инструкции - в виде электронного письма или на бумажном носителе. Не существует законом урегулированной формы или структуры legal hold notice, однако существуют общепринятые лучшие практики, речь о которых пойдет ниже.


✅ 1. Укажите предмет спора или разбирательства

В уведомлении следует указать предмет спора или расследования, в связи с которым возникла или может возникнут обязанность защитить данные. Описание может быть кратким или  подробным, но главное, чтобы оно сообщало получателю, какая именно информация имеет отношение к делу.

✅ 2. Приведите пример места, где релевантные к делу данные могут хранится

Важно объяснить сотруднику, что данные, подлежащие защите, могут находиться в самых разных местах и формах: электронная почта, корпоративный лэптоп, портативные USB-устройства, сетевые папки, домашние компьютеры, социальные сети, смартфоны и т.ж.

✅ 3. Адресуйте уведомление только тем сотрудникам, кто может иметь релевантные данные или влиять на их целостность

Уведомление следует направить лицам, которые потенциально могут располагать важной для дела информацией.  Уведомления, отправленные большим группам людей или всей компании, с гораздо большей вероятностью будут проигнорированы или неправильно поняты.

✅ 4. Предоставьте четкие и ясные инструкции по тому, как защитить данные

Уведомление должно включать четкие и конкретные инструкции, предполагающие отсутствие специальных технических знаний со стороны получателя, относительно того, как механически защитить файлы от удаления или изменения.

✅ 5. Укажите контакты лица, с которым можно обсудить возможные вопросы или проблемы

В уведомлении должно быть четко указано контактное лицо, которому получатель может задать любые вопросы по поводу исполнения legal hold.


Комментарии

Популярные сообщения из этого блога

Через тернии к звездам или как я подготовился к получению сертификата ISACA CISM за две недели

Как судебному компьютерному эксперту подготовиться к выступлению в суде по арбитражному делу