Mottó: Tévedni emberi dolog, de igazán összekutyulni valamit csak számítógéppel lehet. Murphy

Átírás

1 Elektronikus dokumentumok és adatok kezelése GLP Mottó: Tévedni emberi dolog, de igazán összekutyulni valamit csak számítógéppel lehet. Murphy

2 Miért az elektronikus adatok? Az utóbbi két évben került fókuszba, bár (nem GLP) szabályozás korábbról is létezik OECD Working Group on GLP, 2015 március: az elektronikusan keletkezett adatok ebben a formában számítanak elsődleges (nyers) adatnak Az információtechnológia nagyon gyorsan változik

3 Témaköreink Elektronikus dokumentumok és adatok kezelése GLP Számítógépes rendszerek validálása Elektronikus aláírás: mi az, mikor kell, mikor nem kell? Audit trail Mentési stratégiák, adatmegőrzés, hozzáférés biztosítása Számítógépes rendszerek karbantartása

4 Számítógépes rendszerek validálása A mikéntre nincs Magyarországon érvényes szabályozás Best practice: 21 CFR Part 11 A validálás az a dokumentált ellenőrzési folyamat, aminek során bizonyítják, hogy a számítógépes rendszer megfelel a követelményeknek és a tervezett céljának A fenti meghatározás rendszerről beszél! Hardver, szoftver és felhasználó együtt képez rendszert

5 Számítógépes rendszerek validálása A jól ismert V alak...

6 Számítógépes rendszerek validálása Néhány gondolat, hogy mit és miért kell az egyes lépésekben megtenni Kockázatelemzés már az URS írása előtt Saját fejlesztéshez meg kell találni a közös hangot a szoftvermérnökkel GAMP 5. Tudod, hogy mit akarsz csinálni? Széleskörűen meghatároztad a funkcionális követelményeket? Miként fogod csinálni? Gyógyszeripari szponzorok egyre erősödő nyomásnak vannak kitéve Retrospektív validálás már nem elfogadható! A végső cél: a megszerzett adatok integritásának biztosítása és bizonyítása

7 Számítógépes rendszerek validálása IQ: a hardver dokumentált tesztelése nagyon fontos nm: egy vezeték mindössze néhány atom széles - Tranzisztorszám: ban 167 millió, 2016-ban 3 Mrd - az új technológiákra nincs tapasztalat (FDIV bug esete)

8 Számítógépes rendszerek validálása IQ: a telepítési környezet is fontos. Víz, elektromosság és egy fizikatanár hogy ebből mi lesz...? Túlmelegedés: leállás mellett adatvesztéshez, vagy hibás számítási eredményekhez is vezethet EMP ahol a mágia kezdődik

9 Számítógépes rendszerek validálása OQ: legalább a GLP alatt használni szándékozott funkciókra Nagyon pontosan kell meghatározni az elfogadási kritériumokat A számítógép hibaüzenetet kell, hogy küldjön - ez nem elég pontos Rendelkezésre kell, hogy álljon a kezelési utasítás (SZME) első változata A protokollnak tartalmaznia kell a tesztkörnyezet leírását

10 Számítógépes rendszerek validálása OQ: legalább a résztvevő felhasználók oktatása a kezdés előtt Felhasználói csoportok Jogosultságok Legyen change control eljárás

11 Számítógépes rendszerek validálása OQ: modelladatokkal, modellanyagokkal Csatolt eszközök, berendezések kalibrálása, kvalifikálása előfeltétel Ez az a pont, ahol már életbe kell léptetni a biztonsági politikát

12 Számítógépes rendszerek validálása PQ: éles használat, párhuzamosan a régi rendszerrel (ha van olyan) Idő- és munkaigényes Példa: LC/MS/MS rendszerben ez a fázis történhet nem GLP szintű (pl. GEP), de éles vizsgálatok elvégzésével Ha GLP vizsgálat is történik PQ alatt (konkurrens validálás), az hátráltathatja a vizsgálati eredmények benyújtását ezt be kell tervezni

13 Számítógépes rendszerek validálása Inspekciós tapasztalatok 2016-ban: sok helyen nincsenek a számítógépes szoftverek validálva, vagy nem minden szükséges rendszert validáltak Ez általában súlyos hibának minősülő észrevételt eredményez

14 Elektronikus aláírás Mi is valójában az elektronikus aláírás? Nem ez: Az elektronikus aláírás a dokumentum vagy az adatok speciális kódolása. Az aláírás hitelességét a kódolt adatállomány szerkezete biztosítja, és jogszabály is elismeri.

15 Elektronikus aláírás Az elektronikus aláírás csak az adatállomány elektronikus formájában érvényes. Kinyomtatva valódi aláírás kell. Az elektronikusan aláírt dokumentum minden elektronikus másolata is hiteles. Az aláírást létrehozó magánkulcs, a magánkulcs érvényességét tanúsító tanúsítvány és a dokumentum olvashatóságát lehetővé tevő nyilvános kulcs együtt képezi az e-aláírás elemeit. Minősített esetben egyéb személyes azonosítás PIN, chipkártya, biometrikus azonosítás is tartozhat hozzá. A tanúsítványt csakis egy hitelesítés szolgáltató bocsájthatja ki.

16 Elektronikus aláírás Mikor kell e-aláírás? - Ha a rendszerünk nyílt. Mit jelent a nyitott rendszer? - Olyan rendszert, ahol nem ismert (mert nem lehet ismert) az egy adott időpontban lehetséges összes be- és kimenet. A befogadó hatóságon is múlik

17 Elektronikus aláírás Zárt rendszerben a felhasználói név / jelszó páros kielégítően helyettesítheti az e-aláírást Az elektronikus aláírást is, mint minden funkciót, validálni kell vagy a rendszerünk zártságát kell igazolni annak validálása során Használata magas fokú tudatosságot követel meg az informatikai biztonság területén Hazai vizsgáló intézményeknél nem jellemző

18 Audit trail Elektronikus dokumentumok és adatok kezelése GLP Az audit trail (audit log) biztonsággal kapcsolatos, kronologikus rekordok összessége, amelyek dokumentált bizonyítékot szolgáltatnak az elvégzett tevékenységek sorára, amelyek egy adott időpontban egy adott tevékenységre, műveletre vagy eljárásra hatást gyakoroltak.

19 Audit trail Elektronikus dokumentumok és adatok kezelése GLP GLP rendszerekben az audit trail megléte, bekapcsolt állapota alapkövetelmény. Ha hiányzik, az kritikus. Az audit trail helyes és teljeskörű működését, a naplóadatok törölhetetlenségét, utólagos befolyásolhatatlanságát validálással igazolni kell Az audit trailnek rögzítenie kell minden tranzakciót a rendszerben

20 Audit trail Elektronikus dokumentumok és adatok kezelése GLP A rögzített adatok között kötelező: - ki hajtotta végre a műveletet - mikor (dátum, idő) - mi volt a végrehajtott művelet - milyen adatot változtatott meg, és mire Az audit trail adatok részét képezik a GLP vizsgálat adatainak Egyedi felhasználói azonosítást igényel

21 Audit trail Elektronikus dokumentumok és adatok kezelése GLP Adatok megváltoztatását, esetleges törlését igazolni és indokolni kell, ennek lehetőség szerint maradjon nyoma az audit trailben is, megjegyzés formájában Legyen minőségbiztosítási eljárás az audit trail rendszeres ellenőrzésére, az ellenőrzés tényét és eredményét dokumentálni kell

22 Audit trail Elektronikus dokumentumok és adatok kezelése GLP A 2016-os inspekciós tapasztalatok szomorúak: nagyon sok helyen nem volt kielégítő az audit trailekkel kapcsolatos helyzet.

23 Mentés Elektronikus dokumentumok és adatok kezelése GLP A követelmény fájdalmas: 15 év Gondoskodni kell az adatok teljes körű megőrzéséről és visszanyerhetőségéről, 15 év múlva is Mentési stratégia: alaposan meg kell fontolni - adat és adathordozó együttes megőrzése (statikus mentésekkel), - vagy csak az adaté (dinamikus mentési rendszer), - vagy a kettő hibridje Ami nem elfogadható: ha nincs

24 Mentés Elektronikus dokumentumok és adatok kezelése GLP Statikus mentések: valamilyen adathordozóra (tipikusan optikai lemezre) egy adott időpontban, azután archiválás Hátrányai: - az adathordozó avul, nem követi a technikai változásokat - az adathordozóval együtt kell archiválni a leolvasásához szükséges berendezést is - nem is olyan könnyű igazolni, hogy a választott eljárás 15 év múlva is biztosítja az adatok leolvashatóságát - helyet kér az archívumban - nem teljesen automatikus

25 Mentés Elektronikus dokumentumok és adatok kezelése GLP Előnyei: - validált eljárás esetén bizonyos, hogy a kiírt adatok nem írhatók felül, sem véletlenül, sem szándékosan - elég egyszer ellenőrizni a kiírt adatok azonosságát (a kiírás után)

26 Mentés Elektronikus dokumentumok és adatok kezelése GLP Dinamikus mentések: az adatok újból és újból, nagy gyakorisággal kiírásra kerülnek, de ugyanilyen gyakorisággal felül is íródnak Hátránya: - fennáll a véletlen vagy szándékos felülírás veszélye, ezért odavissza folyamatosan ellenőrizni kell az adatok azonosságát,

27 Mentés Elektronikus dokumentumok és adatok kezelése GLP Előnyei - teljesen automatizálható - nem igényel helyet az archívumban - nem kell hozzá leolvasó berendezést sem eltenni - a földrajzi elkülönítés is egyszerűbb - egyszerűbb validálni, nem kell előre igazolni 15 évnyi eltarthatóságot - az adathordozó típusa viszonylag egyszerűen cserélhető a rendszerben, könnyen követhető a technológiai fejlődés - a nagy mentési gyakoriság miatt kisebb az adatvesztés esélye

28 Vírus! Hacker! Rogyásig ismételt, de sosem elég: kell legyen vírusvédelmi policy és eljárás Jók a 2016-os inspekciós tapasztalatok vírusvédelem terén Social engineering elleni védekezés terén már kevésbé: tipikus hibák: IT policyban lekorlátozott felhasználói jelszóhossz (max. 8 karakter); a jelszócserék gyakoriságának szabályozatlansága

29 Karbantartás Elektronikus dokumentumok és adatok kezelése GLP Ahogy minden más eszköz, a számítógépes rendszer is rászorul A hardver komponensek időszakos stressztesztje megfontolandó Takarítás! (Igen, ez az, aminek látszik. :) )

30 Kérdés?