Валидация "облачных" систем

252. При использовании "облачных" или "виртуальных" сервисов следует уделять внимание пониманию предоставляемых услуг, владению, извлечению, хранению и безопасности данных.

253. Обязанности заказчика системы (регулируемой компании) и исполнителя (поставщика IT-услуг) определяются техническим соглашением или договором. Соглашение должно обеспечивать своевременный доступ к данным (включая метаданные и контрольные журналы) владельцу данных и национальным компетентным органам по запросу. Контракты с поставщиками определяют ответственность за архивирование и непрерывную читаемость данных в течение всего периода хранения.

254. В настоящее время регулируемым компаниям представляются следующие виды услуг:

а) программное обеспечение как услуга (Software-as-a-Service, SaaS). Регулируемые компании используют приложения, работающие на инфраструктуре, принадлежащей поставщику IT-услуг. Регулируемые компании не управляют и не контролируют базовую инфраструктуру или даже отдельные возможности приложений, за исключением ограниченных пользовательских параметров конфигурации приложений;

б) платформа как услуга (Platform-as-a-Service, PaaS). Регулируемые компании используют IT-инфраструктуру, размещенную поставщиком IT-услуг, для запуска приложений, созданных с использованием операционных систем, языков программирования и инструментов, поддерживаемых поставщиком IT-услуг. Регулируемые компании не управляют и не контролируют базовую облачную инфраструктуру, включая сеть, серверы, операционные системы или хранилище, но по-прежнему контролируют развернутые приложения и, возможно, конфигурации среды размещения приложений;

в) инфраструктура как услуга (Infrastructure-as-a-Service, IaaS). Владелец использует основные вычислительные ресурсы, такие как обработка, хранение, сети, где клиент может развертывать и запускать произвольное программное обеспечение, которое может включать операционные системы и приложения. Клиент не управляет базовой облачной инфраструктурой, но имеет контроль над операционными системами, хранилищем, развернутыми приложениями и, возможно, ограниченный контроль над выбранными сетевыми компонентами (например, брандмауэрами хоста).

255. Надежность компьютеризированной системы, используемой регулируемой компанией, всегда находится в зоне ответственности регулируемой компании, которой следует документировать соответствующий процесс валидации, используя документацию, представленную поставщиком системы.

256. Жизненный цикл валидации осуществляется в соответствии с изложенным в предыдущих разделах, с гарантией, что следующие конкретные меры должным образом проверены (подтверждены):

а) оценка поставщика выполнена на месте и до определения стратегии валидации в плане валидации. Метод оценки поставщика основан на риске, связанном с системой;

б) план валидации учитывает результаты этапа оценки поставщика;

в) документация по валидации может использовать спецификации, документацию по квалификации монтажа (IQ) и функционирования (OQ), предоставленную поставщиком, если эти документы будут признаны адекватными при оценке поставщика;

г) эффективный статус соглашения об уровне обслуживания проверен на этапе тестирования IQ;

д) квалификация эксплуатации (приемочный тест пользователя (User Acceptance Test UAT)) выполняется конечным пользователем регулируемой компании, проверяющим, что система работает по назначению пользователя (на основе спецификации требований пользователей) во всех предполагаемых рабочих диапазонах.

257. Выбор систем осуществляется на основе надежной оценки поставщиков по всем аспектам предоставляемых услуг. Допускается привлекать консультантов, обладающих знаниями в области IT, для эффективного тестирования "облачного" программного обеспечения, платформы и инфраструктуры, а также для проверки соответствия и управляемости "облачного" приложения. Аудит IT-безопасности должен быть ориентирован как минимум на следующие аспекты:

а) порядок уведомления поставщиком регулируемой компании о проблемах, которые влияют на целостность данных, включая (но не ограничиваясь) следующие из них:

технические ошибки и ошибки хостинга;

ошибки, связанные с нарушениями защиты;

ошибки в программном обеспечении;

проблемы резервного копирования и восстановления и (или) выполнения плана аварийного восстановления;

б) безопасность авторизации и требования по разделению обязанностей;

в) процесс управления изменениями для улучшений, исправлений, обновлений;

г) требования к хранению контрольного следа и журнала событий (Event Log);

д) механизм управления доступом;

е) механизм идентификации и аутентификации;

ж) механизм шифрования;

з) квалификация инфраструктуры (даже если инфраструктура управляется третьей стороной);

и) пакет валидации (спецификация и протоколы тестирования). Любые обнаруженные пробелы (несоответствия) следует устранить посредством корректирующих действий, согласованных с поставщиком, и дополнительных мероприятий по валидации в рамках проекта внедрения (например, дополнительных испытаний), выполняемых регулируемой компанией.

258. "Облачные" приложения рассматриваются только как соответствующие категориям 4 или 5 по классификации категорий компьютеризированных систем, указанной в пункте 148 настоящего Руководства. С точки зрения регулируемой организации конфигурацию "облачных" приложений, следует рассматривать как соответствующую категории 4, в то же время любую пользовательскую разработку интерфейсов или передачи данных, влияющих на GMP, связанную "облачным" приложением, следует рассматривать как соответствующую категории 5 и испытать соответствующим образом.

259. Если "облачная" инфраструктура (IaaS и PaaS) была выбрана для реализации, следует убедиться, что она соответствующим образом квалифицирована поставщиком и (или) регулируемой компанией в соответствии с пунктами 265 - 272 настоящего Руководства.