1. Компьютеризированные системы, связанные с проведением исследований, предназначенных для представления в уполномоченный орган, имеет соответствующую конструкцию, достаточную мощность и подходить для реализации их предназначения. Системы разрабатываются, валидируются и эксплуатируются в соответствии с принципами Стандарта, кроме того, устанавливаются соответствующие процедуры контроля и технического обслуживания данных систем. Подтверждение того, что компьютеризированная система соответствует своему назначению, имеет фундаментальное значение и называется "компьютерная валидация".
2. Процесс валидации обеспечивает высокую степень уверенности в соответствии компьютеризированной системы заранее заданным техническим требованиям. Валидация осуществляется до начала эксплуатации системы и проводиться надлежащим образом только с помощью разработанного плана валидации.
3. При применении принципов Стандарта к вышеописанным компьютеризированным системам принимаются во внимание следующие требования:
1) руководство испытательной лаборатории отвечает за соблюдение принципов Стандарта, включая назначение на должность и эффективную организацию достаточного числа квалифицированных и опытных сотрудников, а также обязано обеспечивать, чтобы помещения, оборудование и процедуры обработки данных находились на соответствующем уровне.
Руководство испытательной лаборатории отвечает за обеспечение соответствия компьютеризированных систем предполагаемому назначению. Оно устанавливает принципы организации и процедуры в области автоматизации, гарантирующие разработку, валидацию, эксплуатацию и обслуживание систем в соответствии с принципами Стандарта.
Руководство испытательной лаборатории обеспечивает ясность и соблюдение данных принципов организации и процедур, а также эффективный контроль выполнения данных требований.
Руководство испытательной лаборатории назначает сотрудников, несущих конкретную уполномоченность за разработку, валидацию, эксплуатацию и обслуживание компьютеризированных систем. Данный персонал имеет соответствующую квалификацию, опыт и достаточную подготовку для выполнения своих функций в соответствии с принципами Стандарта.
2) руководители исследования согласно принципам Стандарта отвечает за общее проведение исследований.
Поскольку для проведения многих подобных исследований будут использоваться компьютеризированные системы, важно, чтобы руководители исследования в полной мере их использовали в исследовании для достижения определенной цели.
Уполномоченность руководителя исследования относительно данных, полученных в электронном виде, идентична при работе с данными, хранящимися на бумажном носителе. Кроме того, в исследованиях следует использовать только системы, прошедшие процедуру валидации.
3) весь персонал, использующий компьютеризированные системы, отвечает за эксплуатацию данных систем в соответствии с принципами Стандарта. Сотрудники, которые разрабатывают, валидируют, эксплуатируют и обслуживают компьютеризированные системы, отвечают за выполнение вышеперечисленных мероприятий в соответствии с принципами Стандарта и установленными техническими нормами;
4) обязательства и уполномоченность СОК в отношении компьютеризированных систем определяется руководством испытательной лаборатории и описываться служебными инструкциями и процедурами. Программа обеспечения качества включает в себя процедуры и методы, гарантирующие соответствие всех этапов валидации, эксплуатации и технического обслуживания компьютеризированных систем установленным стандартам. Кроме того, программа включает в себя процедуры и методы установки приобретенных систем и процесс разработки компьютеризированных систем внутренними силами организации.
Персонал СОК призван контролировать соответствие компьютеризированных систем принципам Стандарта, и обучен специальным (профильным) техническим навыкам. Сотрудники СОК ознакомляются с такими системами в достаточной степени, чтобы давать в отношении них объективные замечания; в некоторых случаях при необходимости назначаются профильный аудитор.
Для обзора данных персонал СОК имеет прямой доступ "только для чтения" к данным, хранящимся в компьютеризированной системе.
4. Принципы Стандарта требуют, чтобы испытательная лаборатория имела квалифицированный и опытный персонал надлежащего уровня, документированные учебные программы как для обучения на рабочем месте, так и, при необходимости, на внешних учебных курсах. Записи о подобном обучении сохраняются.
Вышеуказанные положения применяет весь персонал, использующий компьютеризированные системы.
5. Для проведения исследований в соответствии с требованиями принципов Стандарта требуется наличие соответствующих помещений и оборудования. Рассматривая компьютеризированные системы, следует принять во внимание ряд конкретных положений:
1) необходимо уделять соответствующее внимание физическому расположению компьютерного аппаратного обеспечения, периферийных компонентов, коммуникационного оборудования и электронных носителей информации. Следует избегать экстремальных температур и влажности, пыли, электромагнитных помех и близости к кабелям высокого напряжения, кроме случаев, когда оборудование специально предназначено для работы в подобных условиях.
Также следует уделять внимание электропитанию компьютерного оборудования и, при необходимости, резервному копированию или бесперебойному питанию компьютеризированных систем, неисправность которых повлияет на результаты исследования.
Необходимо иметь соответствующие помещения для безопасного хранения электронных носителей информации;
2) компьютеризированная система определяется как группа аппаратных компонентов и соответствующего программного обеспечения, разработанная и собранная для выполнения определенной функции или группы функций.
К аппаратному обеспечению относятся физические компоненты компьютеризированной системы, состоящие из самого компьютера и периферийных компонентов.
Программное обеспечение представляет собой программу, управляющую функционированием компьютеризированной системы.
Все принципы Стандарта, применяемые к оборудованию, в равной степени применимы и к аппаратному, и программному обеспечению.
Коммуникации, относящиеся к компьютеризированным системам, делятся на две основные категории: коммуникации между компьютерами или между компьютерами и периферийными компонентами.
Все коммуникационные линии являются потенциальными источниками ошибок, которые приводят к потере или повреждению данных. Для обеспечения безопасности и целостности системы устанавливается соответствующий контроль процессов разработки, валидации, эксплуатации и технического обслуживания компьютеризированных систем.
6. Все компьютеризированные системы следует устанавливать и обслуживать таким образом, чтобы обеспечивать непрерывность работы:
1) техническое обслуживание. Обязательно наличие документированных процедур, охватывающих как плановое профилактическое обслуживание, так и устранение неисправностей. В этих процедурах четко определяется роль и уполномоченность вовлеченного в процесс технического обслуживания персонала. В случаях, когда такие операции по сопровождению требуют изменений аппаратного и (или) программного обеспечения, возникает необходимость повторной валидации системы. В течение повседневной работы записывается информация о любых проблемах и несоответствиях в системе и любые предпринятые действия по исправлению положения;
2) аварийное восстановление. Имеется место процедуры, описывающие меры, которые следует предпринять в случае частичного или полного отказа компьютеризированной системы. Меры варьируются от запланированного сокращения аппаратного оборудования до перехода в систему с бумажными носителями информации. Все планы действия в аварийных ситуациях тщательно документируются, валидированы; кроме того, они обеспечивают непрерывную целостность данных и не могут каким-либо образом угрожать исследованию. Персонал, вовлеченный в проведение исследования в соответствии с принципами Стандарта, осведомлен о наличии данных планов действия в аварийных ситуациях.
Процедуры восстановления компьютеризированной системы будут зависеть от критичности системы, поэтому так важно иметь в наличии резервные копии всех программ. Если процедуры восстановления влекут за собой изменения аппаратного или программного обеспечения, требуется повторная валидация системы.
7. Принципы Стандарта определяют первичные данные как оригиналы записей и документации, включая данные, напрямую введенные в компьютер через интерфейс прибора, которые являются результатами оригинальных наблюдений и действий в ходе исследования и нужны для формирования и оценки отчета о данном исследовании.
Компьютеризированные системы, работающие в соответствии с принципами Стандарта, связаны с первичными данными с использованием различных форм, таких как, например, электронных носителей информации, распечаток с компьютера или приборов, а также копий микрофильмов, микрофиш. Следует, чтобы первичные данные были определены для каждой компьютеризированной системы.
Если компьютеризированные системы используют для сбора, обработки, представления или хранения первичных данных в электронном виде, то конфигурация системы всегда обеспечивает сохранение аудиторских данных в полном объеме, чтобы была возможность показать все изменения данных, не скрывая первичных данных. Имеет возможность связать все изменения данных с лицами, которые внесли эти изменения при помощи своевременной и датированной (электронной) подписи. Причины внесения изменений указываются.
Если первичные данные хранятся на электронных носителях информации, то нужно обеспечить выполнение требований по их долгосрочному хранению в зависимости от типа хранимых данных и ожидаемого срока службы компьютеризированных систем. При изменении систем аппаратного и программного обеспечения предоставляется постоянный доступ к первичным данным и их безопасное хранение для гарантирования целостности данных. Вспомогательная информация, такая как журналы обслуживания оборудования и протоколы калибровки, которая нужна для подтверждения достоверности первичных данных или которая позволяет реконструировать процесс или исследование, сохраняется в архивах.
Процедуры для работы компьютеризированной системы также описывает альтернативные процедуры сбора данных, которым нужно следовать в случае сбоя системы. При таких обстоятельствах любые вручную записанные исходные данные, в дальнейшем вводимые в компьютер, четко обозначаются в качестве таковых и сохранены в качестве исходных записей. Процедуры по резервированию данных, проводимые вручную, могут свести к минимуму риск потери данных и гарантировать сохранение этих альтернативных записей.
Если в случае устаревания системы следует перевести электронные первичные данные из одной системы в другую, то данный процесс документируется надлежащим образом, а целостность данных подтверждена. В случаях, когда подобные миграции данных не осуществимы практически, первичные данные передаются на другой носитель и утверждаются в качестве точной копии до начала удаления оригинальных электронных записей.
8. Для защиты аппаратного оборудования, программного обеспечения и данных от повреждения, несанкционированного изменения или потери данных устанавливаются документированные процедуры безопасности.
В данном контексте "безопасность" означает предотвращение несанкционированного доступа или изменений, как компьютеризированной системы, так и данных, хранящихся в ней. Следует также принять во внимание вероятность повреждения данных вирусами или другими программами-агентами. Также предпринимаются меры безопасности, обеспечивающие целостность данных в случае как краткосрочных, так и долгосрочных сбоев системы.
Чтобы ограничить доступ к компьютерному и коммуникационному оборудованию, периферийным компонентам и электронным носителям информации только уполномоченным персоналом, нужно применять физические меры безопасности.
К оборудованию, которое не хранится в специальных "компьютерных помещениях" (например, персональным компьютерам и терминалам), могут применяться, как минимум, стандартные элементы контроля доступа, имеющиеся в испытательной лаборатории.
Однако там, где такое оборудование располагается удаленно (например, портативные компоненты и линии модемной связи), предпринимаются дополнительные меры.
Чтобы предотвратить несанкционированный доступ к компьютеризированной системе, приложениям и данным, требуется наличие мер логической безопасности для каждой компьютеризированной системы или приложения. Важно обеспечивать использование только утвержденных версий и валидированного программного обеспечения. Логическая безопасность включает в себя необходимость введения уникального идентификатора пользователя с соответствующим паролем. Любое введение данных или установку программного обеспечения из внешних источников следует контролировать. Эти элементы контроля обеспечиваются с помощью программного обеспечения операционной системы компьютера, специальных программ безопасности, встроенных в приложения процедур, или комбинаций всего вышеперечисленного.
Так как поддержание целостности данных является главной целью принципов Стандарта, важно, чтобы весь персонал, связанный с компьютеризированной системой, осознавал необходимость вышеизложенных мер безопасности. Руководство испытательной лаборатории гарантирует, чтобы персонал был осведомлен о важности обеспечения безопасности данных, доступных процедурах и особенностях системы, которые позволяют предоставить надлежащую безопасность, а также о последствиях нарушения безопасности.
Такие функции системы включают плановое наблюдение за доступом к системе, внедрение программ верификации файлов и отчетов об исключениях и (или) трендах.
Резервное копирование программного обеспечения и данных является стандартной практикой при работе с компьютеризированной системой, которое позволяет восстановить систему после любых неполадок (например, повреждения диска), ставящих под угрозу целостность системы. В данном случае подразумевается возможность превращения резервной копии в первичные данные, после чего они рассматриваются в качестве таковых.
9. Валидация компьютеризированных систем. Компьютеризированные системы пригодны для предусмотренного назначения. Рассматриваются следующие аспекты:
1) приемочные испытания. Компьютеризированные системы спроектированы так, чтобы удовлетворять принципам Стандарта. Они устанавливаются согласно предварительно разработанному плану. При этом требуется наличие соответствующей документации, подтверждающей, что каждая система была разработана под соответствующим контролем и (желательно) в соответствии с общепризнанными стандартами качества и техническими стандартами (например, ISO 9001). Кроме того, предоставляется доказательства того, что система была надлежащим образом протестирована испытательной лабораторией на соответствие критериям приемки до введения в повседневное использование.
Процедура официального приемочного испытания требует проведения испытаний в соответствии с заранее установленным планом и сохранения документированного свидетельства, содержащего следующую информацию: процедуры испытания, данные проведенного испытания, результаты испытаний, официальную сводку об испытании, записи об официальной приемке результатов испытания.
Вполне вероятно, что большая часть документации, относящейся к установленным производителем системам и созданной в процессе разработки систем, хранится на сайте производителя. В этом случае, данные официальной оценки и (или) аудита производителя имеется в наличии в испытательной лаборатории;
2) ретроспективная оценка. Имеются системы, для которых необходимость соблюдения принципов Стандарта не была предусмотрена или указана. В таких случаях требуется наличие документального обоснования использования данных систем, которое включает в себя ретроспективную оценку, используемую для определения пригодности системы.
Ретроспективная оценка начинается со сбора всех исторических записей, связанных с компьютеризированной системой. Затем данные записи рассматриваются, после чего составляется письменная сводка. В данной сводке ретроспективной оценки нужно указывать, что доказательства валидации доступны, а также, какие шаги следует предпринимать в будущем для обеспечения валидации компьютеризированной систем;
3) контроль изменений. Контроль изменений означает официальное утверждение и документирование любого изменения компьютеризированной системы в течение срока ее эксплуатации. Контроль изменений нужен в случаях, когда изменения влияют на статус валидации компьютеризированной системы. Процедуры контроля изменений вступают в силу сразу после подтверждения готовности к эксплуатации компьютеризированной системы.
В процедуре описывается метод оценки, призванный определять объем повторного испытания, требуемого для поддержания системы в валидированном состоянии. В рамках процедур контроля изменений определяются лица, отвечающие за определение необходимости и одобрение контроля изменений.
Независимо от источника происхождения изменения (поставленная вендором система или система собственной разработки) соответствующая информация представлена как часть процесса контроля изменений. Процедуры контроля изменений гарантирует целостность данных;
4) механизм поддержки. В целях обеспечения соответствия компьютеризированной системы предусмотренному назначению создаются механизмы поддержки, обеспечивающие корректное функционирование и использование системы. Они включают в себя систему управления, обучение, обслуживание, техническую поддержку, аудит и (или) оценку эксплуатационных показателей. Оценка эксплуатационных показателей означает номинальный просмотр системы через определенные промежутки времени с целью подтверждения соответствия установленным критериям функционирования, например, надежности, чувствительности, производственной мощности.
10. Перечисленные ниже пункты представляют собой руководство по подбору минимальной документации для разработки, валидации, эксплуатации и техническому обслуживанию компьютеризированных систем:
1) порядок действий. Необходимо наличие письменно зафиксированных принципов административного управления, описывающих помимо прочего процесс приобретения, требования, проектирование, валидацию, испытание, установку, эксплуатацию, техническое обслуживание, подбор персонала, контроль, аудит, мониторинг и изъятие из обращения компьютеризированных систем.
2) описание приложения (прикладного программного обеспечения). Каждое приложение сопровождается документацией, в которой полностью описывается:
наименование приложения или идентификационного кода и подробное и четкое описание целей приложения;
аппаратное обеспечение (с номерами моделей), на которое установлено приложение;
программное обеспечение операционной и другой системы (например, инструментов), используемое в сочетании с приложением;
используемый программируемый язык приложения и (или) инструментов базы данных;
основные функции, выполняемые приложением;
обзор типов и потоколов данных, дизайна баз данных, связанных с приложением;
структуры файлов, сообщения об ошибках и авариях, а также алгоритмы, связанные с приложением;
компоненты прикладного программного обеспечения с указанием номеров версий;
конфигурация и коммуникационные связи между модулями приложения, а также оборудованием и другими системами.
3) стандартные операционные процедуры. Большая часть документации, охватывающей использование компьютеризированных систем, представляется в форме СОП. Данные СОП охватывают следующие процедуры, но не ограничиваются ими:
процедуры по работе с компьютеризированными системами (аппаратные средства, программное обеспечение) и обязанности, уполномоченность вовлеченного персонала;
процедуры по обеспечению мер безопасности, используемых для обнаружения и предотвращения несанкционированного доступа к программе и внесения в нее изменений;
процедуры по внесению изменений в программу, их авторизации и записи изменений;
процедуры по внесению изменений в оборудование (аппаратные средства, программное обеспечение) и их авторизации, в том числе, в случае необходимости, проведение испытаний перед использованием оборудования;
процедуры по проведению периодического испытания надлежащего функционирования всей системы или ее составных частей и записи данных испытаний;
процедуры обслуживания компьютеризированных систем и любого сопутствующего оборудования;
процедуры разработки программного обеспечения и приемочных испытаний, а также записи всех приемочных испытаний;
процедуры по резервному копированию всех хранимых данных, а также планы действия в случае поломки;
процедуры архивирования и извлечения всех документов, программного обеспечения и компьютерных данных;
процедуры мониторинга и аудита компьютеризированных систем.
11. Принципы Стандарта по архивированию данных следует применять последовательно ко всем типам данных. Поэтому очень важно, чтобы электронные данные хранились на том же уровне контроля доступа, индексирования и соответствующего извлечения, как и другие типы данных.
Если электронные данные о нескольких исследованиях хранятся на одном носителе информации (диске или магнитной ленте), требуется создание подробного указателя. Он нужен для обеспечения испытательных лабораторий средствами контроля окружающей среды, чтобы гарантировать целостность хранимых электронных данных. Если существует необходимость в создании дополнительных архивных помещений, то руководство испытательной лаборатории обеспечивает, чтобы персонал, отвечающий за управление архивами, был идентифицирован, и чтобы доступ к архиву был возможен только уполномоченному персоналу. Также нужно будет внедрить процедуры, гарантирующие, что целостность хранящихся в электронном виде в течение длительного времени данных не будет нарушена.
Нужно создание процедур, обеспечивающих непрерывную считываемость данных в случаях, когда предполагается возникновение проблем с долгосрочным доступом к данным или возникает необходимость изъятия компьютеризированных систем из употребления. Такие процедуры включают, например, производство твердых копий в форме распечатки с принтера или перенос данных в другую систему.
Хранящиеся в электронном виде данные не следует уничтожать без разрешения руководства испытательной лаборатории и соответствующего документирования. Другие данные, хранящиеся в поддержку компьютеризированных систем, такие как исходный код и записи о разработке, валидации, эксплуатации, обслуживании и мониторинге, следует хранить, по крайней мере, в течение того же срока, как и записи об исследовании, связанные с данными системами.