данных на случай аварийного восстановления и т. п. с указанием среды или носителя, где они хранятся. Важно, чтобы карта данных была исчерпывающей и охватывала все без исключения системы. Поскольку в процессуальных действиях часто фигурирует в качестве улик или доказа тельств переписка по электронной почте, карта данных должна описывать и порядок хранения, обработки использования и уничтожения e mail-переписки. Сопоставление бизнес-процессов со списком систем и документирование распределения ролей и привилегий также является необхо димым этапом документального отображения информационных потоков.

Процесс картирования данных позволяет еще раз убедиться в незаменимости метаданных как ценнейшего ресурса управления документами. Без метаданных отыскать что-либо крайне проблематично. Именно они позволяют осуществлять контекстный поиск электронных доку ментов, относящихся к конкретным событиям или содержащих протоколы, стенограммы, под тверждения и т. п., которые можно приобщить к делу.

В карте данных, представляемой по юридическому запросу электронных документов в рамках процедуры e-discovery, должно быть указано, какие записи готовы для предъявления по первому требованию, а какие в настоящее время в электронной форме недоступны. К двум этим категори ям затем применяются различные правила раскрытия электронных данных. В перечне выявлен ных недоступных данных должны быть детально зафиксированы причины невозможности по лучить доступ к ним. Для надлежащего ответа в рамках судопроизводства организация обязана представить полный инвентарный перечень записей, физически находящихся на хранении за ее пределами, включая опись данных в облачных хранилищах.

Что касается систем, то их инвентарные описи зачастую уже имеются, например, у специа листов по проектированию архитектуры данных, управлению метаданными или управлению ИТ-ресурсами. В этом случае юридическому и/или архивному подразделению достаточно опре делить, не требуют ли они дополнения какими-либо еще записями и документами с целью обес печения полноты раскрытия затребованных электронных данных.

5. РЕКОМЕНДАЦИИ ПО ВНЕДРЕНИЮ

Реализация управления корпоративным контентом (ECM) требует долгосрочных усилий и мо жет показаться слишком дорогостоящим начинанием. Как и всякое направление деятельности в масштабах всей организации, ECM требует заинтересованности и усилий от широкого круга лиц, а также адекватного финансирования из средств, выделяемых высшим руководством. В слу чае крупного проекта всегда есть риск срыва его реализации из-за урезания финансирования, резких изменений в политике или руководстве, да и просто в силу инерционности организации. Для минимизации рисков следите за тем, чтобы решения по реализации ECM фокусировались прежде всего на содержательной, а не технологической стороне управления данными и контен том. И выстраивайте рабочий процесс вокруг организационных нужд, чтобы всегда была видна

его ценность.

Оценка готовности организации к внедрению ECM нужна для выявления слабых мест в управ лении контентом и определения мер по изменению и совершенствованию управления запися ми и документами, необходимых для удовлетворения выявленных нужд. Для проведения такой оценки вполне подходит модель оценки зрелости управления данными (см. главу 15).

Ряд ключевых факторов успеха ECM совпадают с аналогичными факторами успеха ИТ-про ектов (поддержка высшим руководством, заинтересованность и участие пользователей, перепод готовка, управление изменениями, в том числе корпоративной культуры, обеспечение двусто ронней связи и взаимопонимания). Специфичные для ECM критические факторы успеха вклю чают учет, аудит и классификацию имеющегося контента, разработку архитектурных решений информационных систем управления контентом на протяжении его жизненного цикла, опреде ление тегов метаданных, обеспечение возможности гибкой настройки функций ECM-решения. По причине технической сложности ECM-решений и реализованных с их помощью рабочих про цессов организации нужно выделять достаточные ресурсы на поддержку реализации подобного проекта.

Риски при внедрении ECM могут быть обусловлены масштабностью проекта, сложностью интеграции с другими прикладными системами, административно-процедурными и организа ционными проблемами, сложностью и трудоемкостью переноса контента в новую электронную среду. Недостаточная подготовленность ключевых членов проектной группы и персонала, в це лом, могут привести к несогласованности действий и трактовок правил использования контента. Кроме того, всегда имеются риски неудачной или недостаточной проработки политик, правил, процессов и процедур, а также неспособности достигнуть взаимопонимания со всеми заинтере сованными лицами.

5.1.1 Оценка зрелости управления записями

Общепринятые принципы ведения записей (GARP), разработанные ассоциацией ARMA Inter national (см. раздел 1.2), помогают организации оценивать собственную политику и практику управления записями. Помимо GARP у ARMA International имеется Модель зрелости руководства информацией1, помогающая организации производить экспертную оценку своей програм мы и практик ведения и хранения записей. Модель описывает характерные признаки пяти уровней зрелости организационной среды руководства распоряжения информацией и ведения запи сей с учетом всех восьми принципов GARP.

Уровень 1 (не соответствующий стандартам): вопросы руководства информацией и учета записей вовсе не регулируются или решаются в минимальных объемах и/или спорадически.

Уровень 2 (в разработке): формируется понимание важности для организации высокоуров невого руководства информацией и упорядоченного ведения записей.

1 ARMA International, Information Governance Maturity Model.

Уровень 3 (базовый): обеспечено соблюдение минимальных требований, установленных за конодательством и/или надзорными органами.

Уровень 4 (опережающее развитие): реализована программа руководства информацией, ориентированная на непрерывное совершенствование процессов.

Уровень 5 (трансформационный): руководство информацией интегрировано в корпоратив ную инфраструктуру и бизнес-процессы.

Для технической экспертизы соответствия систем и приложений, используемых для управления записями, можно использовать различные отраслевые стандарты, спецификации или регламен ты, например:

DoD 5015.2, Electronic Records Management Software Applications Design Criteria Standard — «Стандарт критериев разработки ПО для управления электронными записями» МО США;

ISO 16175, Principles and Functional Requirements for Records in Electronic Office Environments — «Принципы и функциональные требования к записям в электронной офисной среде»;

The Model Requirements for the Management of Electronic Records — «Типовые требования к ав томатизированным системам электронного документооборота» Еврокомиссии (MoReq2);

Records Management Services (RMS) — «Службы управления записями», спецификации, раз работанные Object Management Group® (OMG)1

Выявленные по результатам оценки готовности организации недостатки и риски в сфере управ ления записями подлежат тщательному анализу на предмет оценки проистекающих от них потен циальных угроз благополучию организации. Несоблюдение установленных законами требований по надлежащему и безопасному хранению, ведению и уничтожению записей из-за отсутствия надлежащих систем их учета — само по себе представляет для организации серьезный риск, по скольку никто в ней не может с определенностью утверждать, что какие-то важные записи не были похищены или утеряны. Кроме того, при отсутствии реально функционирующей систе мы учета записей поиск нужных записей может обернуться неоправданно высокими затратами времени и средств. Несоблюдение законодательства и требований надзорных органов чревато крупными штрафами, а неспособность выявлять жизненно важные записи и обеспечивать их защиту — выбыванием компании из бизнеса.

5.1.2 Оценка программы электронному раскрытию информации

В рамках оценки готовности должна проводиться комплексная экспертиза имеющейся у орга низации программы поиска документов и записей, запрашиваемых судебными, арбитражны ми или надзорными инстанциями. В зрелой программе должны быть четко расписаны роли

1 OMG® — международная некоммерческая организация по «разработке единых технологических стандартов для вер тикально выстроенных отраслей» (см.: omg.org). — Примеч. пер.

иобязанности, протоколы сбора, хранения и раскрытия информации электронного хранения (ESI). И сама программа, и предусмотренные ею процессы и процедуры должны быть задокумен тированными, юридически весомыми и проверяемыми.

Воснове программы должно лежать понимание жизненного цикла информации в рамках ор ганизации. Обязательным ее компонентом является тщательно проработанная карта соотнесе ния всех категорий ESI с источниками данных (см раздел 2.1.3.4). Поскольку вся ответственность за обеспечение сохранности данных, обязательных к раскрытию, по закону возложена на орга низацию, политики ИБ должны регулярно и активно пересматриваться и обновляться с целью обеспечения постоянной готовности к раскрытию ESI любого рода по требованию компетентных органов. Также должен иметься четкий план оперативного взаимодействия со специалистами по ИТ на случай поступления судебного предписания о сохранении каких-либо данных ESI сверх установленного срока.

Риски, проистекающие от отсутствия заранее проработанных процедур реагирования на судебные запросы и предписания, подлежат выявлению и количественной оценке. Иногда орга низации озабочиваются подобными вопросами лишь по факту получения запроса или в пред дверии неизбежного судебного или арбитражного разбирательства, и в таких случаях поиск

иизучение релевантных документов и записей зачастую выливается в сущий переполох и не разбериху, что свидетельствует, как минимум, об одном из двух: либо в организации ведутся архивы явно избыточных данных (то есть хранится всё подряд), либо отсутствуют механизмы обеспечения соблюдения правил и сроков хранения архивных данных и их уничтожения по истечении срока хранения. Отсутствие утвержденного плана-графика хранения и ликвидации данных и информации по категориям к тому же чревато привлечением организации к юриди ческой ответственности как в случае выявления у нее сохраненных данных, которые по закону должны были быть уничтожены, так и за неспособность предоставить данные, которые долж ны были быть в сохранности.

5.2 Организационные и культурные изменения

С людьми нередко возникает больше сложностей, чем с технологиями. Возможны проблемы и с адаптацией к новым правилам управления текущей работой, и с выработкой привычки к элек тронному документообороту и управлению контентом (ECM). В некоторых случаях переход на ECM приводит к росту нагрузки и появлению дополнительных задач — например, по сканирова нию и оцифровке бумажных документов или определению обязательных метаданных.

Организации часто управляют информацией, включая электронные записи, на уровне отдель ных подразделений, что приводит к размежеванию и несогласованности, появлению изолиро ванных друг от друга «информационных бункеров» (information silos), мешающих надлежащему обмену и управлению данными. Целостный подход к управлению контентом и записями помо гает избавить пользователей от ложного представления о том, что они обязаны сохранять у себя копии всех без исключения документов или записей, которые через них проходят. Идеальным решением является единое хранилище данных под централизованным управлением, надежно