Приложение В. Рекомендации по защите лабораторных информационных систем. Национальный стандарт РФ ГОСТ Р ИСО 15189-2009 "Лаборатории медицинские. Частные требования к качеству и компетентности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 09.12.2009 N 629-ст) (отменен)

Приложение В
(справочное)

Рекомендации
по защите лабораторных информационных систем

В.1 Общие положения

В.1.1 Результаты исследований и информация являются продуктами деятельности лаборатории. Поскольку компьютерные системы могут быть повреждены и подвергнуты различным вмешательствам, должен быть установлен порядок защиты пациентов от ущерба, приносимого потерей или искажением данных.

Приведенные в настоящем приложении рекомендации направлены на достижение высокого уровня целостности данных/информации в лабораторных информационных системах (далее - ЛИС).

Примечание - Эти рекомендации не могут быть применены:

- к настольным калькуляторам;

- небольшим программируемым техническим компьютерам;

- внешнему компьютерному обслуживанию;

- компьютерам, которые используются только для печатания текстов, в качестве электронных таблиц или для подобных моноцелевых функций;

- микропроцессорам, являющимся неотъемлемой частью прибора для исследований.

В.2 Окружающая среда

В.2.1 Компьютерные устройства и оборудование следует содержать в чистоте, работоспособном состоянии и размещать в местах, условия окружающей среды которых отвечают техническим условиям изготовителя.

В.2.2 Компоненты компьютера и зоны хранения должны быть легкодоступны для средств пожаротушения.

В.2.3 Провода или кабели компьютера, расположенные в проходных помещениях должны быть защищены.

В.2.4 Должен быть обеспечен неотключаемый источник электропитания.

В.2.5 Устройства, содержащие информацию, должны быть защищены от несанкционированного доступа.

В.3 Ручные процедуры

В.3.1 Полное руководство по компьютерным процедурам (возможно и в электронной форме) должно быть предоставлено персоналу, который допущен к работе на компьютере.

В.3.2 Лабораторное руководство по компьютерным процедурам следует пересматривать через установленные интервалы времени. Пересмотренное руководство должно быть подтверждено заведующим лабораторией или лицом, назначенным для этой функции.

В.3.3 Должны быть разработаны письменные процедуры по защите данных или компьютерного оборудования, или того и другого в случае возгорания или повреждения аппаратного или программного обеспечения.

В.4 Охрана системы

В.4.1 Компьютерные программы должны быть соответствующим образом защищены от повреждения или разрушения при случайном или несанкционированном использовании.

В.4.2 Должен быть установлен строгий порядок выдачи разрешений на использование компьютерной системы. Должно быть четко определено, кто имеет право доступа к данным пациентов и кто имеет право вводить и изменять результаты, изменять счета и преобразовывать программы.

В.4.3 Если через ЛИС возможен доступ к данным других систем (например, фармацевтическим или медицинским данным), должны быть предприняты соответствующие меры компьютерной защиты от неразрешенного доступа к этим данным через ЛИС. ЛИС не должны позволять подвергать опасности защиту других систем.

В.5 Ввод данных и отчеты

В.5.1 Данные пациентов в отчетах и на экранах должны быть сверены с введенным оригиналом, чтобы убедиться в их целостности через определенные интервалы времени путем обнаружения ошибок в передаче, хранении и обработке данных.

В.5.2 При наличии многих копий таблиц в системе (например, биологические референтные интервалы как в ЛИС, так и в больничной информационной системе) их следует периодически сравнивать между собой, чтобы убедиться в идентичности всех используемых копий. На рабочем месте должны быть в наличии соответствующие документы, регламентирующие процесс копирования или сравнения.

В.5.3 Должна существовать документация, устанавливающая периодический пересмотр расчетов, проводимых компьютером с данными пациентов.

В.5.4 Данные на выходе из ЛИС в форме медицинских отчетов представляют собой данные непосредственно о лечении пациента. Соответственно, заведующий лабораторией должен подтверждать и пересматривать содержание и формат лабораторных отчетов с целью убедиться, что они эффективно отражают лабораторные результаты и соответствуют потребностям медицинского персонала.

В.5.5 Данные, введенные в компьютерную систему ручным или автоматическим методом, должны быть проверены для подтверждения их правильности перед окончательным принятием и выдачей компьютером.

В.5.6 Все результаты должны быть сверены с заранее определенным уровнем для исследования данного вида, чтобы обнаружить их абсурдность или неправдоподобность перед принятием и выдачей результатов компьютером.

В.5.7 Система выдачи результатов должна сообщать комментарии относительно качества пробы, которые могут повлиять на точность результатов исследования (например, липемические, гемолизированные пробы), и комментарии по интерпретации таких результатов.

В.5.8 Должен быть разработан механизм аудита, позволяющий лаборатории идентифицировать лиц, которые ввели или видоизменили данные пациента, контрольные файлы или компьютерные программы.

В.6 Поиск и хранение данных

В.6.1 Сохраненные данные о результатах исследования пациента (далее - результаты пациента) и архивная информация должны быть доступны простому и несложному поиску в течение времени, соответствующего потребностям лечения пациента.

В.6.2 Компьютер должен быть способен полностью воспроизвести архивированные результаты исследования, включая биологический референтный интервал, присущий данному исследованию, как и любые отклонения, примечания или замечания по интерпретации, относящиеся к результату, а также неопределенность измерения во время его проведения.

В.6.3 Данные пациента и лаборатории должны быть доступны для поиска в режиме он-лайн в обозначенный период времени, зависящий от потребностей данной организации.

В.6.4 Средства, на которых хранятся данные, как ленты, так и диски, должны быть соответствующим образом маркированы, сохранены и защищены от повреждения и несанкционированного использования.

В.6.5 Должна существовать эффективная обратная связь для предотвращения утраты данных о результатах пациентов в случае дефекта компьютера или программного обеспечения.

В.6.6 Системы компьютерной тревоги (обычно основная компьютерная консоль, отражающая состояние аппаратного и системного обеспечения) следует регулярно проверять и испытывать на предмет их нормального функционирования.

В.7 Аппаратное и программное обеспечение

В.7.1 Должны быть в наличии в письменном виде методики и полная регистрация всего профилактического обслуживания аппаратного обеспечения.

В.7.2 ЛИС должны быть проверены после каждого возврата или восстановления файлов с данными с целью убедиться, что не произошло нежелательных изменений.

В.7.3 Ошибки, обнаруженные при копировании, должны быть документированы с указанием предпринятых мер по исправлению, и о них должно быть сообщено ответственному лицу в лаборатории.

В.7.4 Любые изменения в аппаратном и программном обеспечении должны быть уточнены, подтверждены и полностью документированы с целью удостоверить приемлемость и соответствие изменений.

В.7.5 Заведующий лабораторией или выделенное для этой функции лицо несет ответственность за точное и эффективное предоставление результатов исследований заказавшему их клиницисту и проверяет все изменения в компьютерной системе, которые могли бы повлиять на лечение больного.

В.7.6 После установки или изменений и модификаций программы должны быть проверены в отношении их правильного функционирования.

В.7.7 Цели программы, способ ее функционирования и взаимодействие с другими программами должны быть ясно установлены. Степень детализации сведений должна быть адекватной, чтобы способствовать поиску неисправностей, модификации системы или программирования, если это приемлемо, выполняемых оператором на компьютере.

В.7.8 Взаимодействие с компьютерной системой должно облегчить освоение новой или модификацию старой ЛИС.

В.7.9 В лаборатории должно быть назначено лицо, которому следует немедленно сообщать о существенных нарушениях в функционировании компьютерной системы.

В.8 Обслуживание лабораторных информационных систем

В.8.1 Время простоя, вызванное необходимым обслуживанием ЛИС, должно быть спланировано так, чтобы свести до минимума срок прекращения обслуживания пациентов.

В.8.2 Должны быть в наличии в письменном виде методики относительно поведения при выключении и восстановлении работы всей системы или ее части, для обеспечения сохранности данных, непрерывности предоставления лабораторных услуг и правильного функционирования ЛИС после восстановления ее работы.

В.8.3 Должны быть в наличии в письменном виде методики относительно поведения при простое других систем, в частности, больничной информационной системы, для обеспечения целости данных пациентов. Должны быть доступны методики для подтверждения открытия других систем и для замещения или обновления файлов с данными.

В.8.4 Незапланированные выключения компьютера, периоды "зависания" системы (время ответа) и другие проблемы в работе компьютера должны быть документированы, включая причины нарушений в работе и принятые меры по исправлению.

В.8.5 Должны быть разработаны письменные планы для непредвиденных обстоятельств по предоставлению услуг при наличии дефектов в компьютерной системе, чтобы результаты исследований пациентов были сообщены быстрым и удобным способом.

В.8.6 Должна вестись регистрация, отражающая регулярное техническое обслуживание и позволяющая операторам отслеживать любые работы, проведенные на компьютерной системе.