Введение: если Вы спросите среднестатистического Эксперт по аккредитации, - а можно ли вести технические записи в Excel, ответ будет нет. Возникает другой вопрос, а если делать с помощью ассемблера, С++, mysql , CoDeSys, google таблиц,...далее куча непонятных названий???
Значит вопрос в не названии программы, а в требованиях, которые мы к ним применяем?
Давайте шаг за шагом разберём каждое из требований, и расскажем, как их исполнить.
примечание: определения взяты для примера, и могут быть трактованы по иному, или более расширенно.
1. Конфиденциальность.
Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с изменениями и дополнениями)
7) конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
17025 4.2 Конфиденциальность
4.2.1 Лаборатория должна на основе юридически значимых обязательств нести ответственность за управление всей информацией, поступившей извне или полученной в процессе выполнения лабораторной деятельности.
7.11 Управление данными и информацией
7.11.3 Система(ы) управления информацией лаборатории, должна(ы):
a) быть защищена(ы) от несанкционированного доступа;
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»
2.1 Общие понятия
2.1.1 защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
2.2.2 техническая защита информации; ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
2.2.3 криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.
2.2.4 физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.
Реализация:
Физическая защита информации: ограничение доступа, замки, ключи, пломбы, сейфы, камеры.
Техническая защита информации: права доступа в сети, пароль на ПК, ограничение доступа в сеть, отключение USB портов.
Криптографическая защита информации: необходима только для защиты данных при передаче, и в случае, если есть вероятность несанкционированного доступа. При необходимости зашифровать файл (не защитить паролем), можно средствами Excel, программой WinRAR, с помощью ЭЦП, и подобными средствами.
2. Защита от искажения данных.
17025 7.11.3 Система(ы) управления информацией лаборатории, должна(ы):
b) быть защищена(ы) от искажения или потери данных;
Реализация защиты: в Advantag10xx
Каждый создаваемый файл имеет уникальное название.
Идентификация файлов, контрольные версии файлов. Лабораторная запись производится в файлах шаблонах, шаблон невозможно изменить случайным образом.
Контрольные суммы и хэш-функция для файлов рассчитанные по алгоритмам CRC32, SHA1(признание регулирующими органами. пример: ГОСТ Р 8.883-2015 - цифровой идентификатор ПО (например, контрольные суммы исполняемого кода метрологически значимых частей ПО, рассчитанные по алгоритмам CRC32, md5, SHA1 и т.п).
Если будете сами реализовывать проверку своих файлов рекомендую использовать CRC32 для контроля целостности (более быстрый алгоритм, подходит для быстрой проверки большого количества файлов), а SHA1 как доказательство неизменности (выглядит посолиднее).
Хранение технических записей подписанных ЭЦП
Обязательное требование установленный антивирус.
Поддержка целостность данных и информации;
17025-2019
7.11.3 d) поддерживаться в таком состоянии, которое обеспечивает целостность данных и информации;
7.11.6 Расчёты и передачи данных должны подвергаться надлежащим систематическим проверкам.
Целостность данных — это свойство информации оставаться неизменной в промежутках между внесением санкционированных изменений. Целостность не гарантирует достоверности.
В информационной безопасности целостность данных означает сохранность данных в том виде, в каком они были созданы.
Термин целостность информации может быть применим ко многим действиям, аспектам, объектам.
Реализация: Если Мы говорим про Excel, то необходимо убедится, что данные в таблицу передаются правильно, сохранение происходит без ошибок. Код VBA, страницы и ячейки с значениями, которые влияют на результат заблокированы.
В БД Advantag10xx целостность поддерживается внутренней структурой: первичные ключи, связи между таблицами, блокировка таблиц, форм, однозначное название полей в формах, отсутствие дублирующих записей, автоматизация типовых операций.
Обязательное требование установленный антивирус. Резервное копирование документов и БД.
Прослеживаемость изменений, вносимых в технические записи.
Защита от потери данных.
ссылки https://pharm-community.com/2017/7774/
