BİLGİSAYARLI SİSTEMLERDE GÜVENLİK

Benzer belgeler
GÜNCEL GMP GMP KUTUSUNUN DIŞINDA DÜŞÜNMEK MART 2017 İSTANBUL

Yazılım-donanım destek birimi bulunmalıdır.

ÖZ DEĞERLENDİRME SORU LİSTESİ

GMP DE SON DEĞİŞİKLİKLER 17 KASIM 2014 / İSTANBUL

ISO 13485:2016 TIBBİ CİHAZLAR KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

GMP - İLERİ DÜZEY EYLÜL 2014 İSTANBUL

YÜKSEK VERİMLİ TEDARİKÇİ KALİFİKASYONU TÜRKİYE DE İLK DEFA!

ISO/27001 EK-A MADDELERİ

Analiz ve Kıyaslama Sistemi

ISO 14001:2015 ÇEVRE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

SHKS-DTL. Değerlendirme Ölçütü STANDARTLAR. Standart No. Revizyon. Sonuç. Puan

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

Bilindiği üzere Bilgi Güvenliği Yönetim Sistemi, bilgi ve bilgi varlıklarının

GAZ REGULATORÜ BELGELENDİRME TEKNİK ŞARTNAMESİ UBTKŞ-005

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Bilgi Güvenliği ve Ağ Yönetim Uzmanı Görev Tanımı

ECZ 965 Farmasötik Ürünler İçin İyi İmalat Uygulamaları 4. HAFTA. Doç.Dr. Müge Kılıçarslan

BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ

ÜRETİM YERİ İZİN SAHİPLERİNİN BİLDİRMESİ GEREKEN DEĞİŞİKLİKLERE AİT KILAVUZU

RİSK BAZLI DENETİM BAŞVURULARINDA KULLANILACAK KONTROL LİSTESİ Soru Cevap Açıklama

Araştırma Ürünlerinin Sayımı, Dağıtımı ve İdaresi

ÇEMTAŞ ÇELİK MAKİNA SANAYİ VE TİCARET ANONİM ŞİRKETİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI

Motosiklet Servis Belgelendirme Standardı CZTURK 10013

T. C. KAMU İHALE KURUMU

YÖNETİM SİSTEMLERİ. Yönetim Sistemi Modelleri: Deming tarafından geliştirilen, Planla Uygula Kontrol Et Önlem Al

TİTCK/ DESTEK VE LABORATUVAR HİZMETLERİ BAŞKAN YARDIMCILIĞI/ ANALİZ VE KONTROL LABORATUVAR DAİRESİ BAŞKANLIĞI ŞARTNAME HAZIRLAMA PROSEDÜRÜ PR24/KYB

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Planlama - Destek

BT DENETİMİ EĞİTİMİ BÖLÜM 1 Bilgi Teknolojilerinin Hayatımızdaki Yeri

Çevre Yönetim Sistemleri ve Çevre Boyutu

Bilgi Güvenliği Yönetim Sistemi

Analitik Kalite Güvence: Minimum gereksinimler

EĞİTİM DANIŞMANLIK ARGE PROJE

Isıyla kapatma işlemlerinin validasyonu. Her zincir ancak en zayıf halkası kadar güçlüdür

PROBLEM ÇÖZME & KÖK NEDEN ANALİZİ

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

BASF de Değişimin Yönetimi. Ömür Vural TAŞDEMİR MAYIS 2018

2. KAPSAM OMÜ Mühendislik Fakültesi bünyesinde kullanılan Kalite Yönetim Sistemi dökümanlarını kapsar.

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Canlı Hizmetteki Sunucu Sistemlerine Erişim Politikası

ISO 9001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ KILAVUZU

Değişiklik Sonrası Mevcut Hali Değişiklik Nedeni 1 SHY-21 2 nci maddesinin 1 inci fıkrasının (a) bendi. a) Tip Sertifikası, tahditli tip sertifikası,

İstanbul Bilişim Kongresi. Bilişim Yönetişimi Paneli CobiT ve Diğer BT Yönetim Metodolojileri Karşılaştırması. COBIT ve ISO 27001

UE.18 Rev.Tar/No: /03 SAYFA 1 / 5

Genel Kısım ISO 9001:2015 ISO 14001:2015 BS OHSAS 18001:2007 ISO 10002:2004. Sertifikasyon Prosedürü

TİTCK/ DESTEK VE LABORATUVAR HİZMETLERİ BAŞKAN YARDIMCILIĞI/ ANALİZ VE KONTROL LABORATUVAR DAİRESİ BAŞKANLIĞI KALİTE KONTROL PROSEDÜRÜ PR17/KYB

ISO 27001:2013 BGYS BAŞDENETÇİ EĞİTİMİ. Kontrol Amaçları ve Kontroller

T. C. TÜRK STANDARDLARI ENSTİTÜSÜ

DOKÜMAN KOTROLÜ. Çeviri: Elif KILIÇ, Gıda Müh. Düzenleme: Fırat ÖZEL, Gıda Müh.

Notice Belgelendirme Muayene ve Denetim Hiz. A.Ş Onaylanmış Kuruluş 2764

MerSis. Bilgi Teknolojileri Bağımsız Denetim Hizmetleri

DOK-004 BGYS Politikası

ISO 14001:2015 KALİTE YÖNETİM SİSTEMİ GEÇİŞ BİLGİLENDİRME KILAVUZU

Siber Güvenlik Risklerinin Tanımlanması / Siber Güvenlik Yönetişimi

MAYIS 2010 ÖZGÜR DOĞAN İŞ GELİŞTİRME YÖNETİCİSİ KAMU SEKTÖRÜ

EKLER. EK 12UY0106-4/A5-2: Yeterlilik Biriminin Ölçme ve Değerlendirmesinde Kullanılacak Kontrol Listesi

ISO/IEC BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ. Terimler Ve Tarifler.

KAMU İÇ KONTROL STANDARTLARI

BİLGİ GÜVENLİĞİ POLİTİKASI

BGYS-PL-01 BİLGİ GÜVENLİĞİ POLİTİKASI

HATAY KHB BILGI İŞLEM BİRİMİ

X. Çözüm Ortaklığı Platformu

HAZIRLAYAN KONTROL EDEN ONAYLAYAN

7-8 KASIM 2014 / İSTANBUL

Dokümanların Kontrolü Prosedürü

Elektronik Belge Yönetimine Geçiş Sürecinde Kurumsal Sorumluluklar ve Yol Haritası. Tekirdağ 25 Haziran 2012

Bornova Vet.Kont.Arst.Enst.

Genel Kısım. Sertifikasyon Prosedürü. Tekli Saha Denetimi Çoklu Saha Denetimi (merkez ve şubelerin tümü denetlenecektir) Örnekleme Denetimi

ANET Bilgi Güvenliği Yönetimi ve ISO Ertuğrul AKBAS [ANET YAZILIM]

ESİS Projesi. Kaynaklar Bakanlığı

İÇ TETKİKÇİ DEĞERLENDİRME SINAVI

Radyo Frekansı-Elektromanyetik Alanlara Maruz Kalma

Veritabanı. Ders 2 VERİTABANI

BİLGİ GÜVENLİĞİ HİZMET SÖZLEŞMESİ

BİLGİ GÜVENLİĞİ POLİTİKASI

ŞEBEKE BAĞLANTILI GÜNEŞ ENERJİ SİSTEMLERİNDE SAHA DENETİMLERİ

İSG Hizmet Yönetim Rehberi

TEMİZLEME PROSEDÜRLERİ VE ÇİZELGELERİ

KALİTE VE GIDA GÜVENLİĞİ SİSTEM KAYITLARI KONTROLÜ PROSEDÜRÜ

BİLGİ GÜVENLİĞİ VE BİLGİ İŞLEM PROSEDÜRÜ

MİKROBİYOLOJİ LABORATUVAR HİZMETLERİ

İmza... Tarih... Bir klinik çalışmaya başlamadan önce gönüllülerin çalışmaya alınması için gerekenlerin planlanması

Analitik Kalite Güvence: Minimum gereksinimler

ISO Kurumsal Bilgi Güvenliği Standardı. Şenol Şen

İŞ YATIRIM MENKUL DEĞERLER A.Ş. İŞ SÜREKLİLİĞİ PLANLAMASI A. AMAÇ

ENTEGRE YÖNETİM SİSTEMİ YAZILIMI

İŞ SAĞLIĞI VE GÜVENLİĞİ YÖNETİM SİSTEMİNDE DÖKÜMANTASYON

ISO Nedir? denir. ISO 16001, Enerji yönetimi standardı, maliyetlerinizi ve sera gazı emisyonlarınızı indirgeme temelli, etkili bir enerji yöneti

Atılım Üniversitesi Bilgi & Đletişim Teknolojileri Müdürlüğü Sistem Yönetim Uzmanı Görev Tanımı

11.DERS Yazılım Testi

BİR HAVALİMANINDA ENERJİ YÖNETİM SİSTEMİNİN KURULUMU

1. Kozmetik Kongresi, Subat 2011, Antalya. EGM DANISMANLIK HIZMETLERI

İSG PLANLAMA RİSK DEĞERLENDİRME PROSEDÜRÜ

İSG PLANLAMA RİSK DEĞERLENDİRME PROSEDÜRÜ

3- KONTROL FAALİYETLERİ

BİLGİ GÜVENLİĞİ YÖNETİMİ POLİTİKASI

SIRA NO SORUMLU BİRİM FAALİYET SORUMLU DURUM AÇIKLAMA

DEĞİŞİKLİKLERİN KONTROLU PROSEDÜRÜ

RGN İLETİŞİM HİZMETLERİ A.Ş BİLGİ GÜVENLİĞİ POLİTİKASI

Doküman No.: P501 Revizyon No: 06 Yürürlük Tarihi:

Genel Katılıma Açık Eğitimlerimiz Başlıyor!

III. PwC Çözüm Ortaklığı Platformu Şirketlerde İç Kontrol ve İç Denetim Fonksiyonu* 22 Aralık 2004

Kalibrasyon/Deney Sonuçlarının Raporlanması ve Yorumlanması

Transkript:

T.C. S.B. TİTCK PIC/S GMP KILAVUZU NA GÖRE BİLGİSAYARLI SİSTEMLERDE GÜVENLİK Bu makale dizisinde PIC/S GMP Kılavuzu ile uyumlu Bilgisayarlı Sistemlerde Güvenlik, Veri Bütünlüğü, Veri Yönetişimi, Bulutta Bilişim, Validasyon vb. konular ele alınacaktır. Merhaba T.C. Sağlık Bakanlığı TİTCK nun PIC / S GMP kılavuzuna eş olan Yeni GMP (İyi İmalat Uygulamaları) Kılavuzu* 05.05.2016 Tarihi nde yayımlanmıştı. Yaklaşık 2 ay sonra 2. yıl dönümü dolacak. Bilindiği gibi Ülkemiz T.C. Sağlık Bakanlığının ve TİTCK nun PIC / S e tam üyeliği de resmen başladı. Artık AB GMP Kılavuzu yerine PIC / S GMP Kılavuzu ile uyumlaştırılmış Yeni Kılavuz esas alınacaktır. * Versiyon: 2017/01 Yürürlük Tarihi: 01/10/2017 (Uyumlu olduğu PIC/S GMP Kılavuzu versiyonu: PE 009-13) Kılavuzda öne çıkan en önemli maddelerden birisi kuşkusuz EK:11 başlığı altında bir araya getirilen Bilgisayarlı Sistemler ekidir. Önceki AB GMP Kılavuzunda da geçmekte olan bu ekte yer alan her bir konu başlığı günümüzde en fazla Uygunsuzlukların, Suistimallerin, Hatalı ve / veya Kasıtlı uygulamaların meydana geldiği alanların başında yer alıyor. Bu makalede EK:11'de yer alan 12. madde GÜVENLİK konusu incelenerek gerekli açıklamalar yapılmaya çalışılacaktır. Bilgisayarlı Sistemlerde Güvenlik [1]

12. Güvenlik 12.1 Yetkili kişilerin bilgisayar sistemlerine erişimini sınırlamak için fiziksel ve/veya mantıksal kontroller mevcut olmalıdır. Sistemlere izinsiz girişi engellemenin uygun yöntemleri; anahtar kullanımı, şifre kartları, şifreli personel kodları, biyometrikler, bilgisayar ekipmanlarına ve veri saklama alanlarına sınırlı erişim olabilir. 12.2 Güvenlik kontrollerinin kapsamı bilgisayar sisteminin kritikliğine bağlıdır. 12.3 Erişim izinlerinin oluşturulması, değiştirilmesi ve iptal edilmesi kayıt altına alınmalıdır. 12.4 Veri ve dokümanların yönetim sistemi, tarih ve saati kapsayan verileri de giren, değiştiren, onaylayan veya silen operatörün kimliğini kaydedecek şekilde tasarlanmalıdır. Yukarıdaki 4 maddeyi ele almadan önce bunların ekte yer alan başka hangi maddeler ile ilişkili olduğunu belirlemekte yarar var. 2.Personel Proses sahibi, sistem sahibi, mesul müdür ve bilgi teknolojisi personeli gibi ilgili tüm personel yakın işbirliği içinde olmalıdır. Tüm personel uygun kalifikasyonlara ve kendilerine verilen görevleri yerine getirmeleri için erişim düzeyine ve tanımlanmış sorumluluklara sahip olmalıdır. 4. Validasyon 4.3. İlgili tüm sistemlerin ve İİU işlevselliklerinin (envanter) güncel bir listesi mevcut olmalıdır. Kritik sistemlere yönelik olarak, fiziksel ve mantıksal düzenlemeleri detaylandıran güncel sistem tanımı, veri akışları ve diğer sistem veya proseslerle olan arayüzler, donanım ve yazılımın ön gereklilikleri ve güvenlik önlemleri mevcut olmalıdır. 7. Veri Depolanması 7.1 Veriler hasara karşı fiziksel ve elektronik yollarla korunmalıdır. Saklanan veriler erişilebilirlik, okunabilirlik ve doğruluk açısından kontrol edilmelidir. Saklama periyodu boyunca verilere erişim sağlanmalıdır. 11. Periyodik Değerlendirme Bilgisayarlı sistemler, kabul edilir bir durumda olduklarını ve İİU ya uygunluklarını doğrulamak için periyodik olarak değerlendirilmelidir. Bu değerlendirmeler mümkün olduğunda mevcut işlevsellik aralığını, sapma kayıtlarını, olayları, problemleri, geliştirme geçmişini, performansı, güvenirliği, güvenlik ve validasyon durum raporlarını içermelidir. Bilgisayarlı Sistemlerde Güvenlik [2]

Değerlendirme Bir kuruluşta güvenilir bir dijital ortam sağlamak için ilk koşul hem aplikasyon hem de altyapı bileşenlerinin tam olarak güvenliklerinin sağlandığından emin olunmasıdır. Ek 12 de bilgisayarlı sistemlerde güvenlik konusu işlenmektedir. Öncelikle Sistem Sahibi kişinin bir takım sorumluluklarının olduğunu belirtmemiz gerekiyor. Bir kere uygulama ve network bileşenlerinin üzerinde uygun kontrollerin sağlanması sorumluluğu vardır. Bu sayede bilgisayar sisteminin herhangi bir bileşeni üzerinde değişiklik yapabilmenin yetkili kişilere sağlanması mutlaktır. Sadece bilgisayar sistemindeki bileşenler değil aynı zamanda sistem üzerinde yer alan verilerin sorumluluğundan da bahsetmek gerekmektedir. AB Komisyon Direktifi 2003/94/EC II. Kısım Article 9(2) da AB GMP si için gerekli yasal zorunluluklardan bahsedilmektedir. Burada GMP fonksiyonlarını yerine getiren bilgisayar sistemlerinin güvenliğine ilişkin aynen ifade edildiği gibi; Elektronik olarak saklanan veriler; kaybolma, hasar görme, gibi olumsuzluklardan etkilenmemeleri için duplikasyon, yedekleme (back-up) ya da başka bir depolama sistemine transfer vb. metotlar ile korunmalıdır. İşlem Geçmişi de mutlaka yönetilebiliyor olmalıdır. Bilgisayarlı Sistemlere uygulanabilir olan güvenlik kontrollerinin boyutları hakkında araştırma yapmanın ilk adımı başlangıç sistem risk değerlendirmesinde olmalıdır. Bu değerlendirme ilk fazda gerçekleştirilir ve her değişiklik değerlendirmesinde yeniden yerine getirilir. Tanımlanmış olan riskler, güvenlik ile ilgili gereksinimleri de kapsayan bilgisayarlı sistem gereksinim dokümanlarının geliştirilmesinde destek olması amacı ile kullanılır. Güvenlik ile ilgili gereksinimlerin sonucu uygulanan kontroller aslında güvenli bir dijital ortam inşa etme niyeti taşımalıdır. Güvenilir bir dijital ortam ile ilgili genel özellikler neler olmalı denildiğinde; Doğru Okunabilir Eş Zamanlı Orijinal Nitelendirilebilir Tam Tutarlı Dayanıklı Gerektiğinde Hazır olabilmelidir. Bilgisayarlı Sistemlerde Güvenlik [3]

Güvenilir kayıtlar denildiğinde aynı zamanda kayıt tutma, arşivleme, geri çağırma vb. işlemlerin bir parçası olarak kabul etmek mümkündür. Sistemde bir garanti aranmalıdır; Peki Nasıl? Altyapı, Yazılımın Uygulanması ve otorite tarafından görülmek istenen her türlü elektronik dokümanın güvenli bir ortamda yönetilebiliyor olması aslında bilgisayarlı sistemin validasyon statüsü hakkında çok önemli bir gerekliliktir. Güvenlik çok farklı seviyelerde kurulmalıdır. Prosedürel kontroller bilgisayarlı sistemlere fiziksel erişimi yönetebiliyor olmalıdır. (Fiziksel Güvenlik) Bireysel bilgisayarlı sistem platformlarına erişim network e özgü güvenlik prosedürleri ile kontrol edilmelidir. (Network Güvenliği) Son olarak, uygulama seviyesi güvenliği ve ilgili yetkilendirme kontrolleri aslında bilgisayar uygulama sistemlerine erişimi kontrol eder. kaybedilmesi, voltaj seviyelerindeki ani değişiklik vb. karşı kontrol edilmelidir. 3. Tüm bilgisayarlı sistemler için gereken güç kaynakları hem üretici gereksinimlerini hem de bağlantı, topraklama, radyasyon vb. yayınımlar gibi ulusal gereksinimlere uygun olmalıdır. 4. Mutlak nem ve sıcaklıkla sınırlandırılmayan her türlü kritik çevresel parametre bilgisayar ekipmanı üreticisi gereksinimlerini karşılamalıdır. Çok sayıda gereksinim olduğu durumlarda en katı ve zor olan seçilerek uygulamaya alınabilir. 5. Kritik çevresel parametreler üretici gereksinimlerini karşılamaya devam ettiklerini güvence altına alacak şekilde düzenli periyodik bir plan ile kontrol edilmeldir. Fiziksel Güvenlik Aşağıdaki maddeler bir bilgisayarlı sistem ortamının güvenliği için uygulanabilir ana maddeleri içeriyor; 1. Bilgisayarlara fiziksel erişimi sadece yetkili personele göre kısıtlanmalıdır. 2. Bilgisayarlı sistemlere bağlı olan her türlü güç kaynağı, potansiyel olarak ekipmana, yazılım dosyalarına, ve diğer dosyalara hasar verebilme olasılığına yol açacak olan gücün kontrolsüz olarak Bilgisayarlı Sistemlerde Güvenlik [4]

6. Bilgisayar ekipmanının yerleşik olduğu tesiste uygun yangın önleme, ikaz, müdahale, söndürme sistemleri kurulu olmalıdır. 7. Fiziksel giriş noktalarında kimlik doğrulama kontrolleri kullanılmalıdır, böylece belirteçler üzerindeki makine tarafından okunabilir kodlar ve PIN lerin aynı kişiye atandığı garanti edilmelidir. Bu kontroller, bilgisayar donanımının bulunduğu kontrollü giriş lokasyonlarında yapılmalıdır. 8. Yeterince kullanılmayan terminallerde gözetimsizken yetkisiz kullanımları engellemek için Zaman Aşımı uygulaması yapılmalıdır. Network Güvenliği Bu maddeler network ortamının güvenliğini sağlamaya yönelik bir takım ana uygulamalardan bahsetmektedir; 2. Bir networke kullanıcı erişimi kurma prosesinin sorumluluğu uygun network güvenlik yöneticisi personelin olmalıdır. Yönetim görevleri sorumluluğu alan personelin teknik yönden hazırlanması, eğitim-öğrenimi ve mesleki eğitimi ana kriterlerdendir. Bu tür bir faaliyet için neyin gerekli olduğu, teknik hazırlığın, eğitimöğrenim, mesleki eğitime ilişkin dokümante edilmiş kanıtların belirlenmesi ana otorite beklentilerindendir. (Ek 11-2) 3. Network güvenliğinin nasıl yönetileceği hususunun mevcut olduğu prosedürel kontroller önceden belirlenerek dokümante edilmelidir. Network kullanıcıları network güvenliğine değinen politika, uygulama ve prosedürler hakkında eğitilmelidir. (Ek 11-2). 1.Network kaynaklarının kontrollü erişim için kalifiye edilmiş kimlik doğrulama mekanizmaları bulunmalıdır. Erişim kontrol kararı fonksiyonları erişim hakkı listeleri kullanılarak tanımlanmalıdır. Örneğin Erişim Kontrol Listesi (EKL) ile kullanım, okuma, yazma, uygulama, silme ya da oluşturma öncelikleri sağlanabilir. Erişim kontrolleri sisteme bir süpervizör ya da şefin network üzerinde bu bilgiye erişebilecek başka bir kullanıcı olmadan bir grup çalışanın bilgilerine erişebilirliğini tanıyabilir nitelikte olmalıdır. Erişim kontrolleri yetki kontrol güvenliğinin bir parçası gibi düşünülebilir. Bilgisayarlı Sistemlerde Güvenlik [5]

4. Network kullanıcı hesabının yönetilmesi en önemli prosedürel kontrollerdendir. Bu proses erişim önceliklerine ekleme, modifikasyon, kaldırma isteklerini içerir. İstek uygun bir müdür tarafından onaylanmalı, dokümante edilmeli ve network güvenlik yönetimine uygulama için iletilmelidir. (Ek 11-12.3) 5. Personele geçici network erişimi sağlanan bir prosedür olmalıdır. (Ek 11-12.1) 6. Kullanıcının çalışmakta olduğu şirketi terk etmesi durumunda, kullanıcı firmayı terk eder etmez güvenlik yönetimini haberdar eden bir proses mevcut olmalıdır. (Ek 11-12.1) 7. Networke erişimin düzenli kontrolü için provizyon sağlanmalıdır. 8. Networke yetkisiz bir erişim tespit edildiğinde alınacak aksiyonları tarif edecek bir eskalasyon prosedürü olmalıdır. (Ek 11-13) 9. Güvenlik yönetim faaliyetlerinin dokümante edilmiş olan kayıtları saklanmalıdır. (Ek 11-12.3). 10. Networke uzaktan erişimi kontrol edecek prosedürler oluşturulmalıdır. (Ek 11-12.1). Modem aracılığı ile telefon iletişimine bağlantısı olan sistemlere katı erişim kuralları ve kısıtlamalar getirilmelidir. Bu sistemlere ilişkin erişim kısıtlamaları yetkisiz erişim ve değişiklikleri engelleyecek şekilde olmalıdır. Uzaktan erişimi kontrol edebilecek olası bir kontrol telefonla geri arama sistemi olabilir. 11. Zaman damgalı işlem geçmişi kullanılmalıdır. Bu sayede değişiklikler kaydedilmeli, herhangi bir sistem yöneticisinin faaliyetinin veri girişi/ değişikliğinin bağımsız olarak tarih ve saatini kaydetmelidir. (Ek 11-9) 12. Sistem saatine yetkisiz herhangi bir müdahale engellenmelidir. (Ek 11-12.4) 13. Internet üzerinden bağlı olan sistemler uygun bir güvenlik kalkanı ile korunmalıdır. 14. Antivirüs ve güvenlik kalkanı düzenli aralıklar ile güncellenmelidir. Bilgisayarlı Sistemlerde Güvenlik [6]

Uygulama Güvenliği Listelenen maddeler uygulamaların güvenliğine adapte edilebilecek ana unsurları işaret etmektedir: 1. Tüm uygulamalar erişim kontrolleri için kalifiye edilmiş kimlik doğrulamaya sahip olmalıdır. 2. Passwordler için prosedürel kontroller mevcut olmalı ve bu kontroller password uzunluğu, kullanılan semboller/karakterlerin tipi, geçerlilik süresi ve yeniden kullanımlarını içermelidir. (Ek 11-12.1) 3. Yazılımın virüs kontrolü uygulama ve verilerin korunabilmesi için belirli periyotlarda yapılmalıdır. 4. Her bir uygulama için prosedürel kontrollerin oluşturulması ve uygulama güvenliğinin nasıl yönetildiği açıklanmalıdır. (Ek 11-12.1) 5.Uygulamaya erişimin kurulumu prosesi tanımlanmalı ve uygulamaya spesifik güvenlik yönetimi personeli tarafından yönetilmelidir. Yönetimsel görevlerde bulunan personel için hazırlık, eğitim, mesleki eğitim vb. esastır. Gerekliliklerin belirlenmesi ve personelin teknik hazırlık, eğitimöğrenim ve mesleki eğitimlerine ilişkin dokümante edilmiş kanıtlar en önemli otorite beklentilerinden birisidir. (Ek 11-2) 6. Kullanıcı uygulama hesabının yönetimi önemli bir prosedürel kontroldür. Bu proses uygulama erişim önceliklerine ekleme, modifikayon veya istekleri içerir. (Ek 11-12.3). 7. Personele geçici uygulama erişimi sağlanan bir prosedür olmalıdır.(ek 11-12.1) 8. Kullanıcının çalışmakta olduğu şirketi terk etmesi durumunda, kullanıcı firmayı terk eder etmez güvenlik yönetimini haberdar eden bir proses mevcut olmalıdır.(ek 11-12.1) 9. Uygulamaya yetkisiz bir erişim tespit edildiğinde alınancak aksiyonları tarif edecek bir eskalasyon prosedürü olmalıdır. (Ek 11-13) Bilgisayarlı Sistemlerde Güvenlik [7]

10. Güvenlik yönetim faaliyetlerinin dokümante edilmiş olan kayıtları saklanmalıdır. (Ek 11-12.3) 11. Uygulamalara uzaktan modem erişimini kontrol edebilen prosedürler oluşturulmalıdır. (Ek 11-12.1) 12. Veri girişlerinin ya da talimatların yalnızca spesifik bir giriş cihazından gelebilmesi durumunda (örn.: enstrümanlar, terminaller) sistem giriş kaynağını kontrol etmeli ve doğru cihazın kullanıldığı operatör tarafından doğrulanmalıdır. 13. Zaman damgalı işlem geçmişi kullanılmalıdır. Bu sayede değişiklikler kaydedilmeli, herhangi bir sistem yöneticisinin faaliyetinin veri girişi/ değişikliğinin bağımsız olarak tarih ve saatini kaydetmelidir. (Ek 11-9) 14. Zaman damgalı işlem geçmişi kullanılmalıdır, bu sayede veri tabanı yöneticisi tarafından gerçekleştirilen her kayıt modifikasyonunun izini sürmek mümkün olacaktır. (Ek 11-9) 15. Sıralama-dizilim uygulaması için operasyonel kontroller kullanılmalıdır. engelleyebilmek için verilere erişim de kısıtlanmalıdır. 19. Erişim hakları sadece kullanıcı gruplarına atanmalıdır, özellikle salt okunur erişim hakları için kabul edilebilir. 20.Tüm dosyaların ve verilen yedekleri düzenli olarak alınmalı kazara ya da istemeden verilerin hasar görmesini engelemek adına güvenli bir lokasyonda saklanmalıdır. (WHO, 2006). Güvenlik boyutu programları depolayan bant, disk, manyetik kartlara kadar genişletilebilir. Tüm bu cihazlara erişim kontrol edilmelidir. 16. Uygun olduğunda tanımlanmış kişinin sistemi kullanmaya yetkilendirilmiş olduğu ve bir cihazı çalıştırma ya da gerekli operasyonu gerçekleştirmek için gerekli olan erişim haklarını belirlemek adına yetki kontrolleri kullanılmalıdır, (Ek 11-12.1) 17. Sistem saatine yetkisiz herhangi bir müdahale engellenmelidir. (Ek 11-12.4) 18. Gizli bilgilere erişimi kısıtlayan prosedürler oluşturulmalıdır. Ayrıca verilerde istenmeyen ya da yetki dışılıktan meydana gelen veri kayıplarını Bilgisayarlı Sistemlerde Güvenlik [8]

Veritabanı Güvenliği / Bütünlüğü 1. Bir veri tabanına uygulanabilen güvenlik ilişkili prosedürel ve teknolojik kontrollerin tasarımı ve uygulanması güvenlik risk değerlendirmesi temeline dayandırılmalıdır. (Ek 11-1, Ek 11-5, Ek 11-6, Ek 11-7.1, ve Ek 11-12.2) 2. Okunabilirlik testleri, kullanılan disk sürücülerinin ve veri saklama cihazlarının yaşlanma prosesini dikkate almalıdır. Okunabilirliğin periyodik kontrolleri önemli bir ayrıntıdır. Veri tabanı, bütünlük ve elektronik kayıtların mevcut olması ve bütünlüğü açısından düzenli olarak kontrol edilmelidir. (Ek 11-7.1) 3. İş sürekliliği amacı için veri yönetimi ile ilişkili olan elektonik kayıtların periyodik olarak yedeklerinin alınması gereklidir. (Ek 11-16), (Ek 11-7.2). Bu sistemlere ilişkin işlem geçmişi istenmektedir. (Ek 11-9) (Ek 11-12.4) Veri yönetim sistemi için diğer teknolojik ve prosedürel kontrollere gereksinim duyulabilir. 4. Verilere giriş, yanlış girişlerin değiştirilmesi veya düzeltilmesi ve yedekleme oluşturulması vb. faaliyetler onaylı yazılı bir SOP ile uyumlu olacak şekilde gerçekleştirilmelidir. (WHO, 2006). Bilgisayarlı Sistemlerde Güvenlik [9]

Referanslar; T.C. S.B. TİTCK PIC/S GMP ile Uyumlaştırılmış GMP (İİU) Kılavuzu ICH Harmonised Tripartite Guideline, Good Clinical Practice, E6, Section 5.5.3(d), 1996 ISPE GAMP 5: A Risk-Based Approach to Compliant GXP Computerised Systems, International Society for Pharmaceutical Engineering (ISPE) PI 011-3. Good Practices for Computerised Systems in Regulated GXP Environments, Pharmaceutical Inspection Cooperation Scheme (PIC/S), 2007 US FDA, 21CFR Part 58.51, Specimen and Data Storage Facilities, 1999 US FDA, 21CFR Part 58.190(d), Storage and Retrieval of Records and Data, 1999 WHO, Technical Report Series, No. 937, Annex 4, Appendix 5, Section 4, 2006 Bilgisayarlı Sistemlerde Güvenlik [10]

YAZAR HAKKINDA MUSTAFA EDİK İlaç Endüstrisinde 20 Yıldan fazla deneyim IRCA Kayıtlı Resmi Farmasötik Kalite Yönetim Sistemleri, GMP / GDP ve ISO 9001 Baş Denetçisi BSc Kimyager + BSc (Hons) Biyofarmasötik Bilimler (Institute of Technology Ireland), exec- MBA, Uluslararası İlaç Firmasında Kalite Güvence ve Kalite Kontrol, Denetim Bölümlerinde Yöneticilik görevlerinde bulundu 3000 saatten fazla GxP Denetiminde Lider Denetçi olarak görev aldı. Yerli ve Yabancı İlaç Firmalarına Kalite Yönetim Sistemleri, GMP Denetimleri, GMP Uyumu, Validasyon, Kalifikasyon, Kalite Risk Yönetimi vb. birçok konuda danışmanlık ve eğitim faaliyetlerini sürdürmektedir Bugüne kadar yaklaşık 5000 kişiye GxP konularında çeşitli eğitimler hazırladı ve sundu. TC. Sağlık Bakanlığı TİTCK, Gıda Tarım ve Hayvancılık Bakanlığı Yetkililerine Denetim eğitimleri hazırladı, sundu ve sertifikalı denetçi ünvanı verdi. Türkiye Atom Enerjisi Kurumu nda GMP Baş Danışmanı ve Denetçisi olarak çalışmalarını sürdürüyor, T.C. S.B. TİTCK ndan 5 Radyofarmasötik ürün için GMP Belgesi ve Üretim Yeri İznini alan ekibe danışmanlık yapıyor. Sorularla GMP Dokümantasyonu adlı bir kitabı bulunmaktadır. 2018 yılı içinde Validasyon, Kalite Risk Yönetimi, GMP Denetimleri adlı 3 yeni kitabı yayımlanacaktır. mustafa_edik@qualityacademia.com www.qualityacademia.com 0 530 569 34 41 Bilgisayarlı Sistemlerde Güvenlik [11]

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim