ПО. Документированная процедура. Пишем вместе
| |
Директор | Дата: Суббота, 04.04.2020, 15:52 | Сообщение # 1 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| Коллеги, у меня вся следующая неделя будет напряженной. Поэтому сама подключиться смогу только в следующие выходные. Давайте договоримся? Вопросы, непонятки, соображения, предложения - всё складываем сюда. А через недельку начнем серьёзно прорабатывать процедуру по ПО.
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Директор | Дата: Воскресенье, 12.04.2020, 10:17 | Сообщение # 2 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| Сначала нужно понять и выделить каким программным обеспечением в лаборатории мы можем управлять. Если программное обеспечение "вшито" в СИ и доступ к нему защищен производителем СИ, мы принимаем на себя обязательство "не влезать куда не положено" и контроль за таким ПО сводится к проверке соответствия написанного в свидетельстве об утверждении типа СИ тому, что у нас оказывается "на руках" в лаборатории. Простым языком - если с поверки приходит СИ и в свидетельстве написано, что установлено обновление к ПО, мы должны проверить в ЕГРСИ свидетельство на утвержденный тип СИ - упоминается ли там это обновление. Определив ПО в лаборатории, которым управляем, в первую очередь определите уровни доступа (не меньше двух). Например — оператор, зав. лаб, сист. админ. Опишите действия (роли) по уровням доступа. Определите по штату, кто оператор, а кто имеет уровень выше, закрепите внутренним локальным актом (приказ, распоряжение) Опишите меры защиты: 1. ограничение доступа в управляемые программы 2. установление уровней (роли) доступа 3. программная защита (с помощью ограничения функционирования программы в зависимости от роли, уровня доступа работника 4. резервное копирование информации в программе (периодичность, возможность восстановления данных из резервно скопированных) 5. процедура управления доступами, паролями (о паролях — периодичность смены паролей, совет не частить со сменой паролей) 6. управление изменениями ПО: фиксация изменений, уведомление всех кого эти изменения касаются, + анализ влияния изменений (т.е. определяется что нужно сделать, что бы ПО после изменений работало, не теряя данных после очередного изменения, обновления, может ничего не надо делать, но это надо записать) Вот когда все это будет составлено, сделайте акт валидации. В любой форме. Хоть в табличке (например). Самое трудное в этом деле написать подробно по шагам что нужно сделать от нажатия кнопки «пуск» (тут же, что после нажатия выйдет и как должно выглядеть) до последнего нажатия в работе, т.е. окончания. Все операции, шаг за шагом все в первом столбике. Во втором пишете тоже самое, но как будто проверяете… Как бы по-проще? Ну вот может быть так будет понятнее — первый столбик таблицы: при нажатии на кнопку «пуск» должна появиться копка (или надпись) со словом «начало», а во втором столбике этой же таблички: при нажатии на кнопку «пуск» выШЛА надпись со словом «начало» А в третьем столбике просто пишем — соответствует/не соответствует или ставим плюсики/минусы, галочки (пояснив где-то в бумажке, что это значит — хорошо, соответствует). Описанное выше - только тезисы, а не полноценная документированная процедура, коллеги. Надеюсь, что мой черновичек поможет Вас расшевелить и подключиться к работе. И еще один важный момент, который мы должны иметь в голове. То, что мы с Вами пишем - процедура для защиты от НЕНАМЕРЕННОГО вмешательства в ПО. Мы описываем порядок действий, который защитит от нечаянного (по незнанию, неумению работников) вмешательства. Мы управляем только своими данными в ПО. Не проверяем, например, программу Exel, а следим за своими данными, формулами, внесенными в программу. Коллеги, тема малознакомая, поэтому критикуйте, добавляйте - буду только рада, если мы сейчас вместе разберемся и напишем проект документированной процедуры. После выхода с самоизоляции на это может не найтись времени.
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Афанасьев | Дата: Воскресенье, 12.04.2020, 13:55 | Сообщение # 3 |
Группа: Друзья
Сообщений: 499
Статус: Offline
| Татьяна Ивановна, чтобы продуктивно «покритиковать», не могли бы Вы уточнить: что Вы понимаете под «ПО в лаборатории, которым управляем». Хотя бы на каком-то конкретном примере такого ПО (которым в лаборатории управляют)
Добавлено (12.04.2020, 14:54) --------------------------------------------- Татьяна Ивановна, а можно уточнить еще один вопрос. Откуда "ноги растут"? В каком документе сказано об управлении имеющимся в лаборатории ПО? Где написано, что лаборатория должна управлять ПО? Это я к тому, что в 17025-2019 я нашел только то, что лаборатория должна управлять данными и информацией. А вот о том, что лаборатория должна управлять еще и ПО я там ничего не нашел. Или плохо смотрел?
Сообщение отредактировал Афанасьев - Воскресенье, 12.04.2020, 14:55 |
|
| |
Директор | Дата: Воскресенье, 12.04.2020, 15:27 | Сообщение # 4 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| Вот здесь, Анатолий Иванович: 6.4.12 Лаборатория должна принимать практические меры по предотвращению непреднамеренных регулировок оборудования, которые могут привести к признанию результатов недействительными. 6.4.13 Должны вестись записи о состоянии оборудования, которое может повлиять на лабораторную деятельность. Записи должны включать следующее, когда это применимо: a) идентификацию оборудования, включая версию программного обеспечения, в том числе встроенного; b) наименование изготовителя, идентификацию типа, серийный номер или другую уникальную идентификацию; c) данные верификации о том, что оборудование соответствует установленным требованиям; d) текущее местонахождение; e) даты и результаты калибровок, регулировок, критерии приемки и планируемую дату следующей калибровки или межкалибровочный интервал; f) документацию на стандартные образцы, результаты, критерии приемки, соответствующие даты и сроки годности; g) план технического обслуживания и техническое обслуживание, выполненное к настоящему моменту времени, если это требуется для работы оборудования; h) подробную информацию о любых повреждениях, неисправностях, модификациях или ремонте оборудования. 7.11. 7.11.1 Лаборатория должна иметь доступ ко всем данным и информации, необходимым для выполнения лабораторной деятельности. 7.11.2 Правильность функционирования систем(ы) управления информацией лаборатории, используемых(ой) для сбора, обработки, записи, представления результатов, хранения или поиска данных, в том числе правильность функционирования интерфейсов систем(ы) управления информацией лаборатории, должна(ы) быть проверена лабораторией перед внедрением в работу. При любых изменениях, включая изменения конфигурации программного обеспечения лаборатории или модификации коммерческого программного обеспечения, они должны быть утверждены, документированы и валидированы до введения их в действие. Примечание 1 - В настоящем стандарте "системы управления информацией лаборатории" включают в себя управление данными и информацией, содержащимися как в компьютеризированных, так и в некомпьютеризированных системах. Некоторые из требований могут быть в большей степени применимы к компьютеризированным системам, чем к некомпьютеризированным системам. Примечание 2 - Доступное на рынке коммерческое программное обеспечение при обычном его использовании в области, для которой оно предназначено, может считаться в достаточной степени валидированным.
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Афанасьев | Дата: Воскресенье, 12.04.2020, 15:45 | Сообщение # 5 |
Группа: Друзья
Сообщений: 499
Статус: Offline
| Татьяна Ивановна, не увидел я в этих приведённых пунктах ничего про «управление программным обеспечением» Здесь идёт речь про «проверку», про «подтверждение», но не про «управление». А проверка и управление, согласитесь, не одно и то же. И опять-таки: я никак не могу понять, о чем идет речь, когда говорится об "управлении каким-то ПО лаборатории". Можно привести пример какого-либо, имеющегося в лаборатории ПО, которым нужно управлять, точнее - которым приходится управлять?
Р.S. Как говорится: правильно поставленная задача - это 90% залога успешного ее решения. Это я к тому, что вначале неплохо было бы четко пределиться: что мы понимаем под "управлением ПО" (типа - управление ПО - это ХХХХХХХ), а уж затем смотреть: как конкретно оптимально должна быть реализована эта процедура (если она на самом деле требуется по НД (ИМХО)
Сообщение отредактировал Афанасьев - Воскресенье, 12.04.2020, 16:03 |
|
| |
Директор | Дата: Воскресенье, 12.04.2020, 16:04 | Сообщение # 6 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| Вот еще из Критериев: 23.9. наличие правил управления оборудованием для проведения исследований (испытаний) и измерений, предусматривающих: а) идентификацию каждой единицы оборудования и программного обеспечения (в том числе наименование изготовителя, идентификацию типа и серийного номера или другую уникальную идентификацию) Управление оборудованием в лаборатории (по новой версии 17025 понятие "оборудование" расширено, в него входит все, чем располагает, управляет лаборатория кроме персонала и помещений) в моем понимании: управление начинается с выбора поставщиков, затем прием и регистрация поступившего оборудования (помним - теперь в расширенном понимании этого термина), метрологическое обеспечение оборудование (где это применимо), ведение журналов эксплуатации оборудования, техобслуживание... Меня не настораживает отсутствие термина "управление" применительно к ПО в 17025-2019 именно потому, что в перечисленных выше пунктах есть основные составляющие этого процесса.
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Афанасьев | Дата: Воскресенье, 12.04.2020, 16:44 | Сообщение # 7 |
Группа: Друзья
Сообщений: 499
Статус: Offline
| Цитата Директор ( ) Вот еще из Критериев: 23.9. наличие правил управления оборудованием для проведения исследований (испытаний) и измерений, предусматривающих: а) идентификацию каждой единицы оборудования и программного обеспечения (в том числе наименование изготовителя, идентификацию типа и серийного номера или другую уникальную идентификацию) Управление оборудованием в лаборатории (по новой версии 17025 понятие "оборудование" расширено, в него входит все, чем располагает, управляет лаборатория кроме персонала и помещений) Спасибо, вот теперь все понял, все стало на свои места
Цитата Директор ( ) в моем понимании: управление начинается с выбора поставщиков, затем прием и регистрация поступившего оборудования (помним - теперь в расширенном понимании этого термина), метрологическое обеспечение оборудование (где это применимо), ведение журналов эксплуатации оборудования, техобслуживание... Если руководствоваться пунктом 23.9 Критериев (где сказано:, что понимается под управлением оборудованием), то... выбор поставщиков здесь лишнее
Добавлено (12.04.2020, 17:00) ---------------------------------------------
Цитата Афанасьев ( ) то... выбор поставщиков здесь лишнее
Более того - это опасный пункт. В этом пункте неизбежно придется написать, что выбирается такой поставщик ПО, который поставляет только лицензионное ПО какого-либо производителя.
Сообщение отредактировал Афанасьев - Воскресенье, 12.04.2020, 17:01 |
|
| |
Директор | Дата: Воскресенье, 12.04.2020, 17:07 | Сообщение # 8 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| Цитата Афанасьев ( ) ...выбирается такой поставщик ПО, который поставляет только лицензионное ПО какого-либо производителя. А это разве не так на практике, Анатолий Иванович?
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Афанасьев | Дата: Воскресенье, 12.04.2020, 17:44 | Сообщение # 9 |
Группа: Друзья
Сообщений: 499
Статус: Offline
| Татьяна Ивановна, бывает и не так....В особенности, когда речь идет о каких-либо прикладных программах Вот Вы, например: точно уверены, что ВСЕ используемые у Вас в лаборатории прикладные программы приобретены официально, а не скачены некоторые, например, с каких-то сайтов из Интернета, или не установлены со взломанными паролями с каких-либо лазерных дисков, или ими не поделилась с вами какая-либо дружественная лаборатория?
Сообщение отредактировал Афанасьев - Воскресенье, 12.04.2020, 17:53 |
|
| |
Директор | Дата: Воскресенье, 12.04.2020, 18:44 | Сообщение # 10 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| В наше время ни в чем, наверное, нельзя быть уверенным на 100 %, Анатолий Иванович. Но у меня это - "пунктик" уже много-много лет, потому что как раз в период становления фирмы у нас в регионе прошел слух о жесткой борьбе с нелицензионными программами. Я тогда сильно перепугалась и взяла не менее жесткий курс на использование только лицензионного ПО на рабочих местах. Это не потому что я такая правильная, просто перепугалась давно и сильно. Дома - кто как хочет..., а на работе только лицензионное. Конечно, если производители оборудования (в широком смысле понятия "оборудование") не подкузьмили... Ход Ваших мыслей мне понятен, на всякий случай из "управления" исключу пункт о выборе поставщиков применительно к ПО.
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Афанасьев | Дата: Воскресенье, 12.04.2020, 21:15 | Сообщение # 11 |
Группа: Друзья
Сообщений: 499
Статус: Offline
| Цитата Директор ( ) Коллеги, тема малознакомая, поэтому критикуйте, добавляйте - буду только рада, если мы сейчас вместе разберемся и напишем проект документированной процедуры. Татьяна Ивановна, я бы (если бы был руководителе ИЛ) написал бы максимально близко к тому, что регламентирует пункт 23.9 Критериев, адаптировав это к ПО. Отстоять перед экспертами РА такой вариант, я думаю, будет намного проще. Да и экспертам РА сделаете доброе дело - не придется им лишний раз опасаться, что пропустят что-то "не то".
|
|
| |
Евгений | Дата: Понедельник, 13.04.2020, 00:43 | Сообщение # 12 |
Группа: Пользователи
Сообщений: 437
Статус: Offline
| Цитата Афанасьев ( ) Более того - это опасный пункт. В этом пункте неизбежно придется написать, что выбирается такой поставщик ПО, который поставляет только лицензионное ПО какого-либо производителя. Так правила хорошего тона говорят, что в комплекте к ПО всегда идет лицензионный пакет (книжка, наклейка) Это один из пунктов договора поставки. ИМХО
|
|
| |
Афанасьев | Дата: Понедельник, 13.04.2020, 01:13 | Сообщение # 13 |
Группа: Друзья
Сообщений: 499
Статус: Offline
| Цитата Евгений ( ) Так правила хорошего тона говорят, что в комплекте к ПО всегда идет лицензионный пакет (книжка, наклейка) Это один из пунктов договора поставки. ИМХО Все правильно, если ПО поставлялось по договору. А если это прикладное ПО было попросту скачено из Интернета? Или это ПО с лазерного диска, купленного в каком-то ларьке, как я уже писал с взломанным ключом?
Сообщение отредактировал Афанасьев - Понедельник, 13.04.2020, 01:15 |
|
| |
Директор | Дата: Понедельник, 13.04.2020, 10:43 | Сообщение # 14 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| В том-то и дело, что свидетельствах утверждения СИ не нахожу ни строчки о том, что ПО (в составе СИ) лицензионное. Может не там смотрю? А может там и не должно быть про это написано? Решила воспользоваться советом Афанасьева А.И. с учетом того, что закупками у меня не лаборатория занимается (у нее в этом деле "совещательный голос"), а ЮЛ. А ЮЛ не являясь аккредитованным в ФСА лицом, может позволить себе некоторую самостоятельность в выборе (не то, что лаборатория).
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Евгений | Дата: Понедельник, 13.04.2020, 18:22 | Сообщение # 15 |
Группа: Пользователи
Сообщений: 437
Статус: Offline
| Цитата Афанасьев ( ) А если это прикладное ПО было попросту скачено из Интернета? Ну, эксперты могут запросить договор с правообладателем. Можно окошко "О программе" открыть
Цитата Директор ( ) В том-то и дело, что свидетельствах утверждения СИ не нахожу ни строчки о том, что ПО (в составе СИ) лицензионное. Может не там смотрю? А может там и не должно быть про это написано? А почему в ОТ должно это быть? В самом СИ стоит внутреннее ПО. А если СИ управляется с внешнего компьютера, то ответственность за лицензионность Винды лежит на владельце компа. Управляющее внешнее ПО для СИ особо не имеет смысл лицензировать, потому как оно написано под конкретное СИ и не имеет смысла (возможности) для использования с другими.
|
|
| |
Директор | Дата: Понедельник, 13.04.2020, 18:29 | Сообщение # 16 |
Группа: Администраторы
Сообщений: 7103
Статус: Offline
| Спасибо, Евгений.
Говорю, что думаю, и думаю, что говорю...
|
|
| |
|