Модели облачных вычислений в настоящее время активно используются во многих отраслях, что повышает надежность защиты данных и минимизирует связанные с этим расходы. Компании – производители фармацевтической продукции и изделий медицинского назначения начали полагаться на эту технологическую модель, хоть и с некоторой задержкой по сравнению с другими областями бизнеса.
В статье определены нормативные ожидания для записей GxP, управляемых через облачные сервисы, и меры контроля, которые должны быть реализованы в целях обеспечения целостности данных. Основное внимание уделено требованию, предъявляемому к валидации компьютеризированных систем, которое является основным для обеспечения надежности и конфиденциальности записей для систем этого типа. Данный подход позволяет снизить риски, возникающие в результате внедрения облачных решений, в которых сведения хранятся в дата-центрах, управляемых поставщиком под его полную ответственность, без видимости со стороны GxP-компании.
1. Предпосылки
При внедрении новых технологий GxP-индустрия всегда проявляла определенную консервативность, и облачные системы не являются исключением.
В целях обеспечения безопасности пациентов регулируемые компании (занимающиеся производством фармацевтической продукции и изделий медицинского назначения) подвергаются тщательному нормативному надзору и обязаны скрупулезно анализировать все риски, прежде чем внедрять какие-либо новые технологии. Тем не менее отрасли сталкиваются с необходимостью упростить свои сложные бизнес- процессы и сократить расходы. Одним из способов такой оптимизации стало внедрение сервисов облачных вычислений.
Национальный институт стандартов и технологий [1] определяет облачные вычисления как «модель для обеспечения повсеместного, удобного сетевого доступа «по требованию» к общему пулу настраиваемых вычислительных ресурсов (например, сетей, серверов, хранилищ, приложений, услуг), которые могут быть быстро предоставлены и реализованы с минимальными усилиями руководства или путем взаимодействия с поставщиком услуг». Обычно услуги в сфере облачных вычислений оказывает сторонний поставщик, который обладает необходимой для этого инфраструктурой. В последнее время облачные вычисления стали одной из самых обсуждаемых технологий и привлекают большое внимание средств массовой информации, а также аналитиков благодаря предлагаемым возможностям.
Потенциальные преимущества, которые применимы практически ко всем типам облачных вычислений:
• экономия средств, поскольку компании могут минимизировать свои капитальные затраты, заменяя их эксплуатационными расходами;
• aдаптивность облачных вычислений, что позволяет компаниям наращивать ИТ-возможности в пиковые периоды времени для удовлетворения запросов потребителей;
• наличие сервисов, использующих несколько резервных площадок, которые могут поддерживать непрерывность бизнеса и производить аварийное восстановление;
• обслуживание поставщиками облачных услуг систем, не требующее установки приложений на ПК, что сводит к минимуму нагрузку на внутренний ИТ- отдел;
• повышение производительности мобильных работников благодаря наличию систем в инфраструктуре, доступных в любой точке мира;
• высокая доступность, поскольку дополнительные серверы можно добавить к предоставленной услуге без прерывания службы или необходимости перенастройки решения для поставки приложений;
• уменьшение потребности в ИТ-знаниях и ИТ-инвестициях.
При использовании подобных электронных услуг с целью обработки регулируемых данных в фармацевтической компании возникают новые риски, включающие:
• наличие систем и данных, внедренных в ИТ-инфраструктуру вне зоны контроля компании;
• отсутствие надзора за обслуживанием ПО (например, внесение изменений) и управлением центром обработки
данных (например, контроль безопасности);
• различные поставщики, работающие вместе, чтобы обеспечить использование ПО и ИТ- инфраструктуры;
• риски кибербезопасности;
• необходимость применения индивидуального подхода к процессам валидации и квалификации.
Риски должны быть снижены, чтобы обеспечить целостность данных GxP, которая всегда находится в ведении регулируемой компании. Для этого компания должна установить надлежащие и специальные средства контроля в целях обеспечения целостности управляемых данных. Недостаточная целостность данных и уязвимость подрывают качество записей и могут в конечном итоге привести к снижению качества лекарственных средств.
Документ ориентирован на определение нормативных ожиданий для регулируемых записей, управляемых через облачные сервисы, и основных тем, которые необходимо учитывать для обеспечения целостности данных, с учетом требований, предъявляемых к валидации компьютеризированных систем. Это является главным требованием для обеспечения надежности и конфиденциальности записей.
2. Типы облачных решений и модель ответственности
В настоящее время
регулируемым компаниям предоставляются следующие виды услуг:
ПО как услуга (SaaS). Регулируемые компании используют приложения, работающие на инфраструктуре, принадлежащей поставщику ИТ-услуг. Регулируемые компании не управляют и не контролируют базовую инфраструктуру, но у них есть возможности регулирования пользовательских настроек приложений через конфигурацию и кастомизацию этих приложений.
Платформа как услуга (PaaS). Регулируемые компании используют ИТ-инфраструктуру, размещенную у поставщика ИТ-услуг, для запуска приложений, созданных с использованием операционных систем, языков программирования и инструментов, поддерживаемых поставщиком ИТ-услуг. Регулируемые компании не управляют и не контролируют базовую облачную инфраструктуру, включая сеть, серверы, операционные системы или хранилище, но по-прежнему контролируют развернутые приложения и, возможно, конфигурации среды размещения приложений.
Инфраструктура как услуга (IaaS). Владелец использует основные вычислительные ресурсы, такие как обработка, хранение, сети, где заказчик может развертывать и запускать произвольное ПО, которое может включать в себя операционные системы и приложения. Заказчик не управляет и не контролирует базовую облачную инфраструктуру, но контролирует операционные системы, хранилище, развернутые приложения и, возможно, осуществляет ограниченный контроль над отдельными сетевыми компонентами (например, межсетевыми экранами хоста).
На рис. 1 показаны виды ответственности трех типов услуг по отношению к традиционной ИТ- инфраструктуре с учетом рекомендаций GAMP [2].
Согласно соответствующему руководству NIST [3] облачные системы могут быть развернуты в соответствии с четырьмя различными моделями (частное облако, облачное сообщество, публичное облако и гибридное облако).
3. Нормативные ожидания
В настоящее время использование облачных систем разрешено регуляторными агентствами при условии, что связанные с этим дополнительные риски адекватно снижены. Ожидания, установленные регуляторными органами, перечислены ниже.
US FDA
С 1997 г. в соответствии с 21 CFR Part 11 [3], FDA США определило требования, предъявляемые к открытым системам. Для этих систем в § 11.30 FDA рекомендует «Люди должны использовать процедуры и средства контроля, предназначенные для обеспечения подлинности, целостности и, где это уместно, конфиденциальности электронных документов с момента их создания до момента получения». Эти процедуры и средства контроля включают те, которые указаны в § 11.10, и, при необходимости, дополнительные меры, такие как шифрование документов и использование стандартов цифровой подписи, для обеспечения, в зависимости от обстоятельств, подлинности, целостности и конфиденциальности записей.
