Методы электронной судебной экспертизы для архивистов

Заметка Мими Дион (Mimi Dionne – на фото) была опубликована на сайте CMSWire 7 августа 2012 года.

Ежегодная встреча американских архивистов (Society of American Archivists, SAA) 2012 года в городе Сан-Диего (San Diego) под девизом «Без границ» (Beyond Borders), началась 6 августа с сильной предконференционной обучающей программы. Я посетила семинар «Методы электронной судебной экспертизы для архивистов», где речь шла о конкретных инструментах и сервисах, которые архивистам нужно использовать при работе с электронными архивными документами.

Это один из многих курсов, которые SAA предлагает в рамках своей программы сертификации специалистов электронных архивов (Digital Archives Specialist, DAS).

Я понимаю, что намечающееся партнерство между правоохранительной и архивной сферами деятельности некоторым кажется необычным. Но подумайте: у электронной судебной экспертизы имеются установившиеся принципы, технологии и методы извлечения данных и связанных с ними метаданных, которые очень похожи на передовую практику работы архивных хранилищ.

Иными словами, этот курс не для слабонервных.

Здесь появляется наш герой, инструктор д-р Кэл Ли (Cal Lee,), доцент Университета Северной Каролины в Чапел-Хилл. Перед началом занятий он раздал две иллюстративные статьи:

• Мэтью Киршенбаум (Matthew G. Kirschenbaum), Ричард Овенден (Richard Ovenden) и Габриэла Редвайн (Gabriela Redwine) при содействии Рейчел Донахью (Rachel Donahue) «Электронная судебная экспертиза и изначально-электронный контент в коллекциях, относящихся к культурному наследию» (Digital Forensics and Born-Digital Content in Cultural Heritage Collections), http://www.clir.org/pubs/reports/pub149/pub149.pdf ; и


• Свою собственную статью совместно с Кэм Вудз (Kam Wood) и Симсоном Гарфинкелем (Simson Garfinkel) «Расширение архитектур электронных хранилищ для поддержки сохранения образов дисков и доступа к ним» (Extending Digital Repository Architectures to Support Disk Image Preservation and Access), http://ils.unc.edu/callee/p57-woods.pdf .

которые мы добросовестно прочитали. Необходимость превратилась в удовольствие по мере чтения первой публикации, однако при объёме в 101 страницу это довольно приличный том. Вторая статья на десяти страницах суммирует содержание первой (из-за краткости можно выбрать её!). Я рекомендую прочитать обе публикации.

Мотивация и предметная область

Д-р Ли начал своё выступление с размышлений о мотивации. «Архивисты часто отвечают за принятие на хранение материалов на съемных носителях и за оказание помощи другим лицам в доступе к ним», сказал он. «Зачастую информация не упакована и не описана так, как хотелось бы. Специалисты по работе с информацией должны извлечь всю имеющуюся на носителе полезную информацию, одновременно избегая случайного изменения данных или метаданных».

Он определил электронную судебную экспертизу как «процесс выявления, обеспечения сохранности, анализа и представления электронных доказательств приемлемым с точки зрения права образом». На практике используется множество методов обнаружения электронных данных и восстановления удаленной, поврежденной или зашифрованной информации и файлов. Д-р Ли представил убедительные аргументы, объясняющие, почему архивисты должны обратить внимание на это направление:

«Очень многообещающими в плане влияния на  практику работы архивистов являются следующие два направления:

• Несколько осуществляемых учреждениями сферы культурного наследия инновационных проектов по изучению возможностей для применения электронной судебной экспертизы при приёме материалов на архивное хранение,  и


• Программы обучения методам и практике электронной судебной экспертизы, проводимые поставщиками и научно-исследовательскими учреждениями».

Д-р Ли с большим уважением отозвался о нескольких проектах в области электронной судебной экспертизы: проект SULAIR в Стэндфордском университете, проекты futureArch Бодлеанской библиотеки (Bodleian Library – это главная научная библиотека Оксфордского университета в Великобритании – Н.Х.) и Британской библиотеки в Лондоне.

Технические основы

Д-р Ли объяснил, что электронные объекты представляют собой набор инструкций для будущего взаимодействия. «Электронные объекты бесполезны, если никто не может с ними взаимодействовать. Взаимодействие зависят от многочисленных технических компонентов». Он рассказал о семи уровнях представления:

• Уровень 7: Набор (агрегация) объектов. Множество объектов образуют агрегацию, которую имеет смысл рассматривать как единое целое.


• Уровень 6: Объект или пакет. Объект состоит из нескольких файлов, с которыми  можно работать и по отдельности.


• Уровень 5: Отображение в программном приложении (in-application rendering). Как информация отображается и воспринимается в конкретном программном приложении.


• Уровень 4: Файл, воспринимаемый через файловую систему. Файлы рассматриваются как дискретные наборы элементов, с которыми ассоциированы пути и имена файлов.


• Уровень 3: Файл как поток битов. Поток битов представляет собой непрерывный ряд двоичных значений.


• Уровень 2: Структуры данных внутри файла. Дискретные «куски» данных, являющиеся частью файла.


• Уровень 1: Поток битов, воспринимаемый через устройства ввода-вывода. Последовательность нулей и единиц в том виде, в каком она считывается с носителя информации с использованием аппаратных и программных средств ввода-вывода.


• Уровень 0: Поток битов на физическом носителе. Набор физических свойств носителя информации, которые интерпретируются как потоки битов уровня 1.

Д-р Ли привел примеры взаимодействия на каждом из уровней. «Больше всего архивисты боятся трёх осложняющих факторов», отметил он. «Это сбой носителя / порча битов (bit rot), моральное устаревание и нестабильность (volatility)». Далее он подробное объяснил, где и как информация хранится в компьютере, рассмотрев иерархию памяти компьютера, сектора, кластеры, структуру магнитного диска и жесткого диска, кэширование, конфигурационные и журнальные файлы, всё более популярные твердотельные накопители, а также области хранения временных данных.

Описательную информацию (representation information) он определил в соответствии со стандартом OAIS. Меня особенно заинтриговали проблемы, возникающие при обеспечении согласованной визуализации шрифтов и кодировок. Мы ненадолго отвлеклись на упражнение, демонстрирующее порчу потока битов, а затем вернулись к основной теме, обсуждая, как компьютеры хранят файлы и управляют ими (иными словами, рассмотрели тома и логические разделы).

Разговор немного сдвинулся в сторону примеров, связанных с файловыми системами ПК и Mac. Ли перечислил файловые системы, с которыми архивные учреждения будут сталкиваться с наибольшей вероятностью (ext, ext2, ext3, FAT16, FAT32, HFS, HFS+, ISOFS и NTFS). Далее он рассказал о плюсах и минусах двух основных технических решений для курирования электронных данных во времени:

• Периодическое создание снимков (snapshot) полной информации о состоянии,


• Сохранение вносимых изменений и соответствующей контрольной информации (audit trail).

Он сделал следующий вывод:

«Техническая стратегия зависит от размера файлов, от частоты изменений, от того, насколько сложно обнаружить изменения, от структуры контента, от того, насколько тесно взаимосвязаны различные файлы, а также от того, что именно Вы пытаетесь задокументировать.

Посмотрите, как за последние десять лет изменились используемые нами программные приложения. Эти изменениям способствовала обратная связь от конечных пользователей к разработчикам программного обеспечения. Встроенный PID GUID исчез в Office 2000. «Быстрая смена» (fast change) была по умолчанию отключена в Word 2000. Нет больше дампов оперативной памяти. У нас есть должок перед процессом электронного розыска и выемки информации в ходе судебных разбирательств (e-discovery) и перед электронной судебной экспертизой.»

Заключение

Курс содержал ещё три раздела:

• Обеспечение полноты и доказательной силы собранных данных,


• Извлечение полезной информации из имеющихся материалов (работая на уровне файлов и нижележащих уровнях), и


• Обеспечение сохранности и доступа к данным на образах дисков, изготовленных для судебной экспертизы.

Мы даже провели во время занятия лабораторную работу по обработке неидентифицированных файлов!

Весь этот насыщенный материал мы прошли на большой скорости. Ассоциации американских архивистов, как мне кажется, стоит подумать о том, чтобы проводить этот курс в течение двух дней. Как на других курсах из программы DAS, которые я посетила в этом году, семинару не хватало наглядного высокоуровнего описания, показывающего, как содержание курса соответствует поставленным задачам. Это единственная критика с моей стороны. Коллеги, если Вам потребуется освежить свои знания и навыки, или если Вас волнуют вопросы обеспечения долговременной сохранности данных в Вышей информационной среде, зарегистрируйтесь и сходите на эти курсы.

Об авторе

Мими Дион (Mimi Dionne)  - менеджер проектов по управлению документами и информацией,  консультант и владелец фирмы Mimi Dionne Consulting. Она является сертифицированным специалистом по управлению документами (Certified Records Manager, CRM), сертифицированным архивистом (Certified Archivist) сертифицированным архитектором по работе с графическими образами документов (Certified Document Imaging Architect), сертифицированным специалистом по работе с информацией (Certified Information Professional) и профессиональным менеджером проектов (Project Management Professional). В настоящее время она живёт в Сиэтле.

Мими Дион (Mimi Dionne)

Источник: сайт CMSWire
http://www.cmswire.com/cms/information-management/digital-forensics-for-archivists-saa12-016841.php?pageNum=2