Добрый день.
Есть прекрасная экосистема Google сервисов, работающая на облаках. И на мой взгляд самой главное ее фишкой и отличием от других подобных облачных хранилищ являются Google Docs, и в частности Google Таблицы. В них можно организовывать как БД, расчетные формы, непрерывную верификацию и т.д.
Вопрос следующий: при всей схожести Google Таблиц с MS Excel (с точки зрения подготовки для работы в рамках ФСК и валидации), есть одна большая проблема - контроль изменений. Гугел не будет спрашивать о том, обновлять сервис или нет, и не будет сообщать о том, что было изменено. Может у кого есть мысли по тому как можно нивелировать данную проблему, если использовать Google Docs (да и в принципе всё облако) всё-таки хочется?
Пока что только два варианта приходят в голову: 1. принять риск как приемлемый, 2. проводить какую-нибудь периодическую верификацию. Но оба варианта такие себе, т.к. адекватно обосновать их в условиях четко прописанного обязательства контролировать изменения проблематично.
Вопрос очень актуальный. Но прежде всего стоит оттолкнуться от того, для чего будет использоваться гугл-таблица. Если как БД (сбор каких-то данных с гугл-форм) - ситуация одна - я так в частности организовал анкету по качеству проводимых работ. В таком простом случае мне валидация вообще не нужна, для того же журнала несоответствий или внутренних аудитов, а также для учета СИ я уже использовал MS Access (но в рамках Office 365 - по хорошему обновлениями я тут уже могу управлять, но, если честно, автообновление в этих случаях не отключал). Тут валидацию делал, но по прежнему сомневаюсь - нужна ли она в таких случаях. Ведь по сути это схема БД и проверка правильности выполнения ключевого сценария. Ну ещё запросы можно проверить. И, действительно, соглашусь, в условиях четко прописанного обязательства контролировать изменения не только в этих примерах - в любых других, где не используется система stand alone проблематично гарантировать отсутствие изменений. Ведь по хорошему допустим в вас "обычный" MS Excel - к ОС или к офису обновления прилетают? Или такой комп просто отключен от сети вообще, физически? Пока логичным шагом видится periodic review - ведь такое формальное требование есть и, разве что есть идея в рамках этого периодического пересмотра таки стоит сделать альтернативный пересчет (если это калькуляционный лист), но тут немного может облегчить ситуацию следующий момент. При первичной валидации предлагается использовать альтернативный автоматизированный инструмент - например, тот же MatchCAD, и расчетные формулы сохранять в этом альтернативном инструменте - как предложено в п. 4.2.1 документа OMCL. Через определенных интервалах проводить проверочный расчёт. Но это на уровне мыслей вслух. Понятно, что здесь мы обмениваемся мнениями и не существует высеченного в камне жесткого алгоритма действий, кроме умозрительных "оценки рисков", "необходимости периодического пересмотра (без установленного интервала)" и "необходимости контроля изменений и конфигураций (без конкретики)".
Вот в том же упомянутом документе OMCL в части пересмотра и контроля изменений сказано:
Тут предложено использовать один и тот же набор проверочных данных - рационально. В остальном "мантры" стандартные.
Интересно, кто сталкивался с подобными решениями, на каком уровне формального контроля останавливался. Попробую эту тему затронуть в рамках семинара, куда пригласим представителей регулятора в т.ч. Если в рамках обсуждения всплывут какие-то свежие мысли по этому поводу - напишу здесь. Буду признателен, если коллеги также выскажутся по затронутому вопросу.
Скажу так, экосистема Google в этом смысле очень удобна - я так в бытность сотрудником фармпредприятия организовал очень удобный баг-трэкинг для сотрудниц ОКК в рамках запуска LIMS. Компы и инет был у всех, народ тестировал LIMS и собирал баги, а в дифференцировано настроенной таблице разрабочик отписывался, мол, принял на сопровождение. Разработчик не мог удалять баги, а только комментировать. Так сотрудницы безо всякой подготовки легко собрали все замечания, а если бы они начали писать письма или звонить - консолидировать такие замечания было бы крайне проблематично. Естественно в рамках подобного проекта ни о какой валидации и контроле изменений речи не шло - мы тогда вообще не думали в этом направлении, но, если честно, для указанной цели я и сейчас не вижу в этом смысла. Во всяком случае, не ультимативно. Ключевой сценарий - это корректная фиксация записи в поля. А вот если делать калькуляции - тот тут уже актуальны все вопросы, которые озвучил Алексей.
Интересно, а для бизнес версии Google Docs доступен хоть какой-то Changelog? Например, для того же Excel Online доступна версия сборки и хотя я пока не нашел, как найти список изменений конкретной сборки, но есть надежда, что подобную информацию можно запросить. По крайней мере Microsoft имеет официальное заявление в отношении соответствия своих сервисов требованиям 21 CRF Part 11.
В любом случае, общедоступные версии офисных пакетов обоих вендоров предназначены для потребительского сегмента и я бы не стал их эксплуатировать в регулируемой среде. У них даже пользовательские соглашения для продуктов отличаются, равно как и соглашения об уровне обслуживания.
Попов Алексей Автор темы 06.04.2019 20:59 Есть группа стандартов по системам менеджмента информационной безопасности iso/iec 27000. Данные стандарты, если проанализировать их, обеспечивают значительно большую безопасность данных, чем фармацевтические системы, хотя конечно и никак не признаются в рамках GMP.
Так вот, есть их основополагающий стандарт iso/iec 27001, на который в основном производят сертификацию систем, и дополнение к нему для облачных сервисов iso/iec 27017. Покапав инфу по сервисам гугла, выяснилось, что облачный сервис для бизнеса (G-Suite, фактически то же облако, но с возможностью администрирования и еще некоторыми фичами) сертифицирован на соответствие как iso/iec 27001 (информация по соответствию), так и на iso/iec 27017 (информация по соответствию), и имеет соответствующие сертификаты (сертификат соответствия iso/iec 27001, сертификат соответствия iso/iec 27017). При чем в области действия сертификатов указаны те самые Google таблицы.
Опять же я понимаю, что эти стандарты признаются всеми отраслями в мире, кроме фармацевтики ни коим боком к GMP не относятся и не принимаются регуляторами, но ведь будущее за облачными сервисами, а те вряд ли будут давать тормозить обновления, т.к. они зачастую необходимы для повышения стабильности работы и обеспечения информацинной безопасности. Есть конечно примеры облачных сервисов типа Agatha , которые предлагают change control, но мне кажется это костыли, созданные специально для удовлетворения текущим требованиям фармацевтики.
Anton Mymrikov 06.04.2019 21:55 Алексей, да я понимаю. Это вполне логично, что вендор такого уровня имеет все эти сертификации. Я хотел сакцентировать на том, что потребности бизнеса зачастую отличаются от потребностей обычного потребителя, ну разве что это не маленький семейный бизнес по ремонту одежды или починке чего-либо. Поэтому всегда существуют бизнес-версия продукта и обычная, которые имеют указанные выше соглашения и уровни обслуживания. Ведь мы прекрасно понимаем, что скажем мне как обычному потребителю нужна просто электронная таблица делать какие-то расчеты или вести маленький учет, меня не волнует какая там версия и какие изменения вносит разработчик. Мне главное конечный результат, чтобы правильно считало. А для бизнеса это может быть важно, особенно для такого зарегулированного как фарма. Поэтому в больших компаниях так часто сидят на старых версиях Эксплорера или Виндовса.
Где-то я видел пару статей по валидации облачных сервисов, надо будет найти время и таки перевести их для развития темы. И Александр (@messer) поднимал этот вопрос ранее.
Попов Алексей Автор темы 06.04.2019 22:30 Буду благодарен, если найдете такие статьи по онлайн сервисам.
Я хотел сказать про то, что с данные сертификаты признают такие организации как банки, IT-корпорации, а они как никто заинтересованы в стабильной работе сервисов, т.к. у них от этого напрямую зависит доход. При этом они придерживаются подхода постоянного обновления сервисов, для того, чтобы быть защищенным от постоянно возникающих угроз, доверяя при этом поставщику ПО в вопросах валидности изменений. А если верить референсам гугла, то его сервисами пользуются достаточно большое корпораций.
Здесь просто для онлайн сервисов становится вопрос, что надежнее: постоянное обновление или работа на проверенных временем обновлениях? И мне кажется ответ не очевиден.
А промышленность зачастую сидит на старом ПО и ОС, как правило, потому что 1. ПО больше не обновляется, 2. за обновления нужно много платить, 3. новые версии не поддерживают ранее полученные данные или подключенное оборудование, 4. ПО не поддерживается современными ОС, 5. не хочется учиться новому. Современные же облачные сервисы лишены данных проблем, плати только за подписку. Мало кто не обновляет только потому что его нужно валидировать. Здесь же ответственность за стабильность работы и целостность и конфиденциальность данных берет на себя Google.
5 коп. На мой взгляд все Приложение 11 GMP - это выжимка (причем не вполне удачная и весьма поверхностная) из ISO20k & ISO27k. Я ранее затрагивал этот вопрос. Как минимум такое утверждение справедливо в значительной степени для фазы эксплуатации - пп. 5-17 Приложения 11 GMP. И из моего опыта очень даже в фарма признают эти стандарты, т.к. ничего принципиально другого они не предлагают и попросту в большинстве своём малокомпетентны в этих деталях. Если вы среднестатистическому инспектору в части требования контроля изменений и конфигураций зарядите аббревиатуру CMDB - в 9 случаев из 10 в наших реалиях свалите его наповал 🙂 Аналогично, если Incident Management у вас реализован посредством некоего Service Desk. Если вы будете руководствоваться в своей деятельности стандартами ITSM & ISMS - вы перевыполните требования фарма с достаточно большим запасом. Нужно только учесть отраслевую специфику, но не более того.
