Действующий
Учитывая итеративный характер КС, в настоящем стандарте также представлены рекомендации для поставщиков и разработчиков приложений и автоматизированных систем, поставляемых в организации, работающие в условиях надлежащих практик.
ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности
ГОСТ Р ИСО/МЭК 12207 Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств
ГОСТ Р ИСО 9004 Менеджмент для достижения устойчивого успеха организации. Подход на основе менеджмента качества
ГОСТ Р ИСО/МЭК 25010 Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Модели качества систем и программных продуктов
Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.
В настоящем стандарте применены термины по [1], [2], руководству GAMP, техническим руководствам по КС, а также следующие термины с соответствующими определениями:
3.1 автоматизированные системы (Automated System): Широкий спектр систем, включая автоматизированное производственное оборудование, контрольные системы, автоматизированные лабораторные системы, производственные исполнительные системы и компьютеры, управляющие лабораторными или производственными базами данных.
Примечание - Автоматизированные системы состоят из оборудования, компонентов программного обеспечения (ПО) и компьютерной сети, включая контролируемые функции и связанную документацию. Автоматизированные системы иногда также называют КС. В настоящем стандарте данные термины являются синонимами.
3.2 безопасность (Security): Защита компьютерного оборудования и программных приложений от случайного или преднамеренного доступа, применения, изменения, разрушения или раскрытия.
Примечание - Безопасность также касается персонала, данных, коммуникаций и физической защиты компьютерной инфраструктуры.
3.3 валидация компьютеризированных систем (Validation of Computerised Systems): Документально оформленные действия, дающие высокую степень уверенности в том, что система соответствует заданным требованиям, и ее использование будет постоянно приводить к результатам, соответствующим заранее установленным критериям приемлемости.
3.5 владелец системы (System owner): Лицо, ответственное за доступность и техническое обслуживание КС и безопасность данных, находящихся в этой системе.
3.6 встроенная система (Embedded System): Система, обычно микропроцесс или программируемый контроллер, единственное назначение которой контролировать определенный элемент автоматизированного оборудования.
3.7 встроенное программное обеспечение (Firmware): ПО, записанное в компьютерное оборудование без возможности удаления, например EPROM.
3.8 гибридные системы (Hybrid Systems): Гибридная система - система, в которой используется комбинация ручного управления и автоматизированных функций.
3.9 жизненный цикл (Life Cycle Concept): Все стадии существования КС от формирования первоначальных требований до прекращения эксплуатации, включая проектирование, определение технических требований, программирование, тестирование, установку, эксплуатацию и обслуживание.
3.10 интеграционное тестирование (Integration testing): Поэтапное проведение тестирования элементов ПО, элементов компьютерного оборудования или и того, и другого, продолжающееся до полной интеграции всей системы.
3.11 интерфейс (Interface): Общая граница двух отдельно существующих составных частей для взаимодействия или обмена информацией с другим элементом системы.
3.12 информационно-технологическая инфраструктура (IT Infrastructure): Компьютерное оборудование и ПО, такое как сетевое ПО и операционные системы, которые позволяют их применить для выполнения определенных функций.
3.13 инфраструктура открытых ключей; ИОК (Public Key Infrastructure (PKI): ИОК предоставляет структуру для безопасного обмена информацией путем использования криптографической системы с открытым ключом и электронных сертификатов.
- частную ИОК используют компания для целей своего бизнеса и связанные с ней стороны (например, потребители, поставщики);
- публичную ИОК (привлекают доверенную третью сторону) развертывают на открытых системах, таких как Интернет, что обеспечивает безопасность обмена информацией между ранее несвязанными сторонами.
3.14 исполнительная программа (Executive Program): Программа, представляющая собой часть операционной системы, которая контролирует выполнение других программ и регулирует поток работ в системе обработки данных.
3.15 исходный код (Source Code): Оригинальная компьютерная программа, изложенная в читаемой форме (на языке программирования), которая может быть переведена в машинный код до ее выполнения компьютером.
3.16 компьютеризированная система (Computerised System): Система, подразумевающая: процесс или операцию, объединенную в одно целое с компьютерной системой, включающих ввод данных, их электронную обработку и выдачу информации, используемой для документального оформления и (или) для автоматического управления; компьютерную систему и контролируемые функции, которыми она управляет.
Примечание - Приводимое определение достаточно ограничено. В эту систему входят также все внешние эффекты, которые взаимодействуют с системой в ее операционном окружении. Это могут быть мониторинговые и сетевые связи (в/из других систем или оборудования), ручные (ввод с клавиатуры), связи с различными средами, ручными процедурами и автоматикой. Данный термин также охватывает автоматизированное оборудование и системы (см. также термин "автоматизированные системы"). В настоящем стандарте они являются аналогами.
3.17 компьютеризированная система, изготовленная по индивидуальному заказу (Bespoke): Индивидуально спроектированная КС для обеспечения конкретного рабочего процесса.
3.18 компьютерная сеть (Network): Соединенная или взаимосвязанная группа узлов; объединенные коммуникационные мощности.
3.19 локальная сеть (LAN): Широкополосная компьютерная сеть (обеспечивающая высокую скорость передачи данных), функционирующая на небольшом пространстве, например офис или группа офисов.
3.20 компьютерная система (Computer System): Компоненты компьютерного оборудования, собранные для функционирования вместе с приложениями, которые коллективно спроектированы для выполнения определенной функции или группы функций (см. рисунок 1).
3.21 компьютерное оборудование (Computer Hardware): Различные виды оборудования в компьютерной системе, включая центральный процессор, принтер, модем, монитор и другие присоединенные устройства (см. рисунок 1).
3.22 контроль изменений (Change Control): Документально оформленный порядок рассмотрения уполномоченными представителями различной специализации предложенных или фактически внесенных изменений, которые могут повлиять на валидированное состояние помещений, оборудования, систем или процессов.
Примечание - Цель такого контроля - определить необходимость проведения мероприятий, которые должны обеспечить и документально удостоверить поддержание системы в валидированном состоянии.
3.23 конфигурация (Configuration): Задокументированные физические и функциональные характеристики определенного элемента, системы, например приложения, оборудования, встроенное программное обеспечение и операционная система.
3.24 конфигурируемые серийные программы (Commercial off-the-shelf; COTS): Коммерческие серийные программы, которые могут быть сконфигурированы для определенных приложений пользователя путем "заполнения бланков", без изменения базовой программы.
3.25 незапланированные (экстренные) изменения Unplanned (Emergency) Change: Непредвиденные (экстренные) изменения в валидированной системе, требующие быстрого внедрения (хотфиксы).
3.26 операционная система (Operating System): Набор программ, предоставляемых вместе с компьютером в качестве интерфейса между компьютерным оборудованием и программами-приложениями.
3.27 операционное окружение (Operating Environment): Условия и деятельность, взаимодействующие непосредственно или косвенно с анализируемой системой, контроль которых может влиять на валидированное состояние системы.
3.28 организация (Regulated User): Регулируемая надлежащей практикой структура, ответственная за эксплуатацию КС и приложений, файлов и содержащихся в них данных (см. также термин "пользователь").