Приказ Министерства промышленности и торговли РФ от 14 июня 2013 г. N 916 "Об утверждении Правил организации производства и контроля качества лекарственных средств" стр. 46

Поставщики и провайдеры услуг (3)

7. (3.1) В случае если для поставки, установки, настройки, задания конфигурации, интегрирования, валидации, технического обслуживания (в том числе через удаленный доступ), модификации или поддержания компьютеризированных систем, оказания связанных с ними услуг или обработки данных привлекаются третьи лица (в частности, поставщики, провайдеры услуг), то между производителем и указанными третьими лицами заключаются договоры. Такими договорами рекомендуется устанавливать ответственность третьих лиц за надлежащее исполнение своих обязанностей.
8. (3.2) Компетентность и надежность поставщиков являются ключевыми условиями выбора поставщика программного продукта или услуг. Необходимость оценки поставщика должна быть основана на оценке рисков.
9. (3.3) Документация, прилагаемая к коммерчески выпускаемым готовым для использования программным продуктам, должна быть рассмотрена уполномоченными работниками производителя на предмет соответствия требованиям производителя.
10. (3.4) Информация о системе качества и оценках поставщиков или разработчиков программного обеспечения и установленных компьютеризированных систем должна быть доступна для предоставления лицам, осуществляющим проверку, по их требованию.

III. Стадия проекта

Валидация (4)

11. (4.1) Валидационная документация и отчеты должны охватывать соответствующие стадии жизненного цикла компьютеризированной системы. Производитель должен обосновать свои стандарты, протоколы, критерии приемлемости, процедуры и записи на основе оценки рисков.
12. (4.2) Валидационная документация должна включать записи контроля изменений (если применимо) и отчеты о любых отклонениях, выявленных в ходе процесса валидации.
13. (4.3) Должен быть в наличии текущий перечень (реестр) всех используемых компьютеризированных систем с указанием их функциональности, подпадающей под требования настоящих Правил.
14. Для критических компьютеризированных систем должны быть в наличии подробное текущее описание физических и логических взаимосвязей, потоков данных и интерфейсов с другими системами или процессами, требуемые ресурсы всего компьютерного оборудования и программного обеспечения, доступные меры безопасности.
15. (4.4) Спецификации требований пользователя должны описывать необходимые функции компьютеризированной системы на основе документально оформленной оценки рисков и влияния с точки зрения соблюдения настоящих Правил. Требования пользователя должны прослеживаться на протяжении всего жизненного цикла компьютеризированной системы.
16. (4.5) Производитель должен предпринять все меры, гарантирующие, что компьютеризированная система разработана в соответствии с надлежащей системой управления качеством. Поставщик должен быть оценен соответствующим образом.
17. (4.6) С целью валидации компьютеризированных систем, изготовленных по индивидуальному заказу или модифицированных в соответствии с требованиями заказчика, необходимо разработать документированную процедуру оценки качества и эксплуатационных характеристик компьютеризированной системы на всех этапах ее жизненного цикла с оформлением соответствующих отчетов.
18. (4.7) Необходимо представить доказательства соответствия методов и схем тестирования компьютеризированной системы. В частности, должны быть рассмотрены пределы параметров системы (процесса), границы данных и обработка ошибок. Необходимо документально оформить оценку соответствия применения автоматизированных средств тестирования и режимов их работы.
19. (4.8) Если данные переводятся в другой формат или систему данных, валидация должна включать проверку неизменности значения и смысла данных в процессе их миграции.

IV. Стадия эксплуатации

Данные (5)

20. Компьютеризированные системы, осуществляющие электронный обмен данных с другими системами, должны включать соответствующие встроенные средства контроля правильного и безопасного ввода и обработки данных с целью минимизации рисков.

Контроль точности (6)

21. Для критических данных, вводимых вручную, необходимо предусмотреть дополнительный контроль точности ввода данных. Этот контроль может осуществляться вторым оператором или с помощью валидированных электронных средств. Критичность и потенциальные последствия ошибочного или неправильного ввода данных в систему должны охватываться системой управления рисками.

Хранение данных (7)

22. (7.1) Данные должны быть защищены от повреждений как физическими, так и электронными мерами. Сохраненные данные должны проверяться на доступность, читаемость и точность. Доступ к данным должен быть обеспечен на протяжении всего периода их хранения.
23. (7.2) Необходимо выполнять регулярное резервное копирование всех необходимых данных. Сохранность и точность резервных копий, а также возможность восстановления данных должны быть проверены в процессе валидации и периодически контролироваться.

Распечатки (8)

24. (8.1) Необходимо иметь возможность получения четких печатных копий данных, хранящихся в электронном виде.
25. (8.2) Для записей, сопровождающих разрешение на выпуск серии, должна быть предусмотрена возможность получения распечаток, указывающих, изменялись ли какие-либо данные с момента их первоначального ввода.

Контрольные следы (9)

26. На основе оценки рисков необходимо уделить внимание встраиванию в систему возможности создания записей всех существенных изменений и удалений, связанных с областью действия настоящих Правил (система, создающая "контрольные следы"). Причины таких связанных с настоящими Правилами изменений или удалений данных должны быть оформлены документально. Контрольные следы должны быть доступными, иметь возможность их преобразования в понятную для пользователей форму, регулярно проверяться.

Управление изменениями и конфигурацией (10)

27. Любые изменения в компьютеризированной системе, включая конфигурацию системы, должны проводиться только контролируемым способом в соответствии с установленной процедурой.

Периодическая оценка (11)

28. Компьютеризированные системы должны периодически оцениваться для подтверждения того, что они остаются в валидированном состоянии и соответствуют требованиям настоящих Правил. Такие оценки должны включать, в случае необходимости, оценку текущего диапазона функциональных возможностей, записей отклонений, сбоев, проблем, истории обновлении, отчеты об эксплуатации, надежности, защищенности и о валидационном статусе.

Защита (12)

29. (12.1) Для обеспечения доступа к компьютеризированной системе только лицами, имеющими на это право, необходимо использовать физические и (или) логические элементы контроля. Соответствующие способы предотвращения несанкционированного доступа к системе могут включать в себя использование ключей, карточек доступа, персональных кодов с паролями, биометрических данных, ограничения доступа к компьютерному оборудованию и зонам хранения данных.
30. (12.2) Степень защиты зависит от критичности компьютеризированной системы.
31. (12.3) Создание, изменение и аннулирование прав доступа должно быть зарегистрировано.
32. (12.4) Должна быть разработана система управления данными и документами для идентификации операторов, осуществляющих вход, а также для регистрации изменения, подтверждения или удаления данных, включая дату и время.

Управление инцидентами (13)

33. Все инциденты (непредвиденные случаи), включая системные сбои и ошибки данных, должны быть записаны и оценены. Необходимо установить основную причину критических сбоев и использовать эту информацию в качестве основы корректирующих и предупреждающих действий.

Электронная подпись (14)

34. Электронные записи могут быть подписаны в электронном виде. Электронные подписи должны:
а) (а) в рамках организации иметь такое же значение, как рукописные подписи;
б) (b) быть неразрывно связанными с соответствующими записями;
в) (с) включать время и дату, когда они были поставлены.

Выпуск серии (15)

35. Если для регистрации процедуры одобрения и выпуска серии используется компьютеризированная система, она должна предоставлять доступ для выпуска серии только уполномоченному лицу, а также должна четко идентифицировать и регистрировать уполномоченное лицо, которое одобрило и выпустило серию. Эти действия должны осуществляться с использованием электронной подписи.

Непрерывность работы (16)

36. С целью обеспечения работоспособности компьютеризированных систем, сопровождающих критические процессы, необходимо принять меры предосторожности для гарантии непрерывности поддержки этих процессов в случае выхода системы из строя (например, с использованием ручной или альтернативной системы). Время, необходимое для введения в действие альтернативных средств, должно учитывать риски и соответствовать конкретной компьютеризированной системе и сопровождаемому рабочему процессу. Эти меры должны быть надлежащим образом оформлены документально и проверены.

Архивирование (17)