wp-start

Квалификация IT инфраструктуры

Связаться с нами

ИТ инфраструктура представляет собой сложную и взаимосвязанную систему средств обеспечения функционирования предприятия, состоящую из коммуникационных, программных, технических и информационных элементов, а также средств управления ими. Надежная ИТ инфраструктура — это фундамент поддержки всех компьютеризированных систем фармацевтической компании. Серверное и сетевой оборудование, программные комплексы обеспечения доступа пользователей к ресурсам предприятия, системы информационной безопасности и много другое представляют собой огромный и сложный механизм требующий высокой степени организации и управления.

Квалификация ИТ инфраструктуры является одним из важных процессов поддержания этого механизма в контролируемом состоянии, наравне с такими известными практиками как ITIL или ISO-20000. Кроме того, квалификация IT инфраструктуры является непременной предпосылкой к валидации компьютеризированных систем, согласно Приложения 11 Правил надлежащей производственной практики ЕЭС.

В процессе квалификации не только фиксируется состояние инфраструктуры, но и проверяются (верифицируются) все критичные ее сервисы, начиная от требований к серверным помещениям и заканчивая выполнением пентестов на предмет проверки систем контроля безопасности. Весь процесс документируется. Таким образом в случае необходимости внесения изменений в ИТ инфраструктуру или проверки ее части, всегда возможно определить текущее состояние ее компонентов, что в свою очередь облегчает разнообразные задачи, встающие перед руководителями или аналитиками отдела информационных технологий. Квалификацию инфраструктуры можно рассматривать как отдельный проект, к которому применимы практики PMI (Project Management Institute). Ниже даны краткие описания этапов квалификации.

Этапы процесса квалификации компонентов ИТ-инфраструктуры:

  • Планирование. Начальный этап в котором ИТ инфраструктура, будущая или существующая, рассматривается с точки зрения высокой абстракции, ее элементы группируются и классифицируются по функциональным или техническим признакам. В процессе планирования также выделяются трудовые ресурсы, определяются сроки прохождения этапов и утверждаются критерии приемлемости.
  • Анализ рисков. Данный этап существует на протяжении всего проекта и предназначен для оценки рисков и потенциальных угроз, как физических, так и функциональных элементам инфраструктуры.
  • Технические требования. Сбор требований к тем элементам инфраструктуры, для которых существуют регуляторные рекомендации и нормативы. Включает в себя набор требований, в соответствии с которыми должна быть спроектирована ИТ инфраструктура (например, ГОСТ Р 59316-2021 «Телекоммуникационные пространства и помещения. Аппаратная комната. Общие требования», ГОСТ Р 70735-2023 «Устройство систем вентиляции и кондиционирования серверных помещений» и т.п.).
  • Спецификация и проект. На данном этапе происходит сбор информации о всех элементах инфраструктуры. Затем полученная аппаратная и программная информация группируется, как было определено на этапе планирования и затем, подробно описывается (фиксируется) в спецификациях и схемах. При наличии на предприятии электронной системы учета и управления ИТ активами, такая система также заполняется полученной информацией. Составленная таким образом документация является структурированной и достаточно детализированной, что делает её легкоуправляемой и контролируемой при последующем управлении ИТ инфраструктурой.
  • Тестирование. Чтобы убедиться, что ИТ-инфраструктура обеспечивает надежную и точную работу, необходимо её протестировать. Тестирование включает в себя две фазы: квалификацию установки (Installation Qualification, IQ) и функциональное тестирование (Operational Qualification, OQ). Квалификация установки применяется к аппаратным средствам и направлена на подтверждение того, что аппаратный или программный комплекс установлен в соответствии с заявленными в спецификациях или технических требованиях параметрами. Функциональная квалификация, в свою очередь состоит из целого набора узкоспециализированных тестов, направленных на подтверждение правильного функционирования систем. Например, проверка работы служб AD DS, настроек правил ACL сетевых маршрутизаторов, информационных сообщений систем мониторинга, процесс работы систем резервного копирования, выполнение тестирования на проникновение и т.п. В процессе общего тестирования также проверяется вся операционная документация необходимая для поддержания ИТ инфраструктуры в работоспособном состоянии (управление изменениями, периодический обзор и т.п.).
  • Отчетность. Заключительный этап квалификации. Отражает итоги проведенных мероприятий. Подтверждает, что ИТ-инфраструктура была установлена правильно и успешно прошла проверку. Присваивается статус «квалифицировано».
  • Функционирование: гарантирует ИТ-инфраструктуре статус «квалифицировано».
  • Передача ИТ-инфраструктуры в эксплуатацию. Условный этап, когда ИТ инфраструктура полностью готова для развертывания производственных систем и может быть использована.

Следующие виды деятельности жизненного цикла должны рассматриваться как обязательные для каждого компонента ИТ-инфраструктуры, относящегося к GxP:

  • Оценка влияния на GMP
  • Квалификационный план и отчетность
  • Проектная спецификация
  • Тестирование квалификации монтажа (IQ) и функционирования (OQ)
  • Вспомогательные процессы:
    • Управление изменениями
    • Управление конфигурацией
    • Резервное копирование и восстановление
    • Защита инфраструктуры
    • Управление инцидентами

Решение вышеперечисленных задач для GMP-компонентов позволяет обеспечить документально подтверждённое состояние контроля, необходимого для GMP ИТ инфраструктуры. Документация, созданная в ходе проекта, будет представлять собой квалификационную документацию по ИТ инфраструктуре, которая содержит документальные доказательства надлежащей работы ИТ инфраструктуры, документально подтверждая, что она управляется, как указано в применимых руководящих принципах.

Правила надлежащей производственной практики предъявляют определенные требования к процессу квалификации ИТ инфраструктуры, который должен осуществляться в соответствии со специальным планом.