Доказательства тестирования на соответствие: Нормативные требования, аудиторские следы и политики хранения

регулирующие_фреймворки:
  здравоохранение:
    - название: "FDA 21 CFR Part 11"
      регион: "США"
      область: "Электронные записи и подписи в клинических испытаниях"
      требования_доказательств:
        - "Валидированные компьютеризированные системы"
        - "Аудиторские следы для всех изменений"
        - "Аутентификация электронной подписи"

    - название: "HIPAA"
      регион: "США"
      область: "Конфиденциальность и безопасность медицинской информации"
      требования_доказательств:
        - "Документация тестирования безопасности"
        - "Валидация контроля доступа"
        - "Результаты тестирования шифрования"

  финансы:
    - название: "SOX (Sarbanes-Oxley)"
      регион: "США"
      область: "Точность финансовой отчетности"
      требования_доказательств:
        - "Тестирование общих IT-контролей"
        - "Валидация финансовых расчетов"
        - "Записи управления изменениями"

    - название: "PCI DSS"
      регион: "Глобально"
      область: "Безопасность данных платежных карт"
      требования_доказательств:
        - "Отчеты тестирования на проникновение"
        - "Результаты сканирования уязвимостей"
        - "Доказательства тестирования безопасности"

    - название: "GDPR"
      регион: "ЕС"
      область: "Защита и конфиденциальность данных"
      требования_доказательств:
        - "Валидация обработки данных"
        - "Тестирование управления согласием"
        - "Верификация удаления данных"

# Отчет о доказательствах тестирования на соответствие

## Управление документом
**ID документа**: CTE-2025-042
**Версия**: 1.0
**Статус**: Утвержден
**Классификация**: Конфиденциально - Нормативная подача

**Подготовил**: Maria Garcia, Senior QA Lead
**Проверил**: Dr. James Wilson, Менеджер по качеству
**Утвердил**: Sarah Chen, Директор по нормативным вопросам

**Дата подготовки**: 2025-10-10
**Дата проверки**: 2025-10-12
**Дата утверждения**: 2025-10-15

**Нормативный фреймворк**: FDA 21 CFR Part 11
**Система**: Система управления клиническими испытаниями (CTMS) v3.2
**Фаза тестирования**: Приемочное тестирование (UAT)

---

## Резюме

Этот документ предоставляет доказательства тестирования на соответствие для Системы управления клиническими испытаниями (CTMS) версии 3.2, демонстрируя соответствие требованиям FDA 21 CFR Part 11.

**Область тестирования**:
- Аутентификация электронной подписи (§11.50)
- Функциональность аудиторского следа (§11.10)
- Валидация системы (§11.10(a))
- Контроли целостности данных (§11.10(c))

**Период тестирования**: 2025-09-15 до 2025-10-10
**Тестовая среда**: Валидированная UAT среда

**Сводка результатов**:
- Всего выполнено тест-кейсов: 87
- Пройдено: 85
- Не пройдено (Решено): 2
- Статус соответствия: **СООТВЕТСТВУЕТ**

---

## Отслеживаемость нормативных требований

### Картирование требований

| ID требования | Ссылка на регуляцию | Описание | Тест-кейсы | Доказательства | Статус |
|---------------|---------------------|----------|------------|----------------|--------|
| REQ-AUTH-001 | 21 CFR 11.50(a) | Уникальная аутентификация пользователя | TC-AUTH-001 до TC-AUTH-015 | Скриншоты, логи, результаты | ✅ Pass |
| REQ-AUDIT-002 | 21 CFR 11.10(e) | Полный аудиторский след | TC-AUDIT-001 до TC-AUDIT-025 | Экспорты audit trail, отчеты | ✅ Pass |
| REQ-SIG-003 | 21 CFR 11.70 | Компоненты электронной подписи | TC-SIG-001 до TC-SIG-012 | Логи верификации подписи | ✅ Pass |

---

## Детали доказательств тестирования

### Тест-кейс: TC-AUTH-001 - Аутентификация пользователя с валидными учетными данными

**Цель**: Проверить, что система аутентифицирует пользователей, используя уникальные комбинации имя пользователя/пароль согласно 21 CFR 11.50(a).

**Нормативная ссылка**: FDA 21 CFR Part 11, Раздел 11.50(a)

**Тестовые данные**:
- Имя пользователя: `qa_user_001@example.com`
- Пароль: `[РЕДАКТИРОВАНО - См. Безопасное хранилище]`
- Роль пользователя: Клинический исследователь
- Дата теста: 2025-10-05 14:30 UTC

**Процедура тестирования**:
1. Перейти на страницу входа
2. Ввести имя пользователя: `qa_user_001@example.com`
3. Ввести пароль (из безопасного хранилища)
4. Нажать кнопку "Войти"
5. Проверить успешную аутентификацию
6. Проверить создание записи в аудиторском следе

**Ожидаемые результаты**:
- Пользователь успешно аутентифицирован
- Перенаправлен на панель управления, соответствующую роли
- Запись аудиторского следа: "Вход пользователя успешен" с timestamp
- Установлена сессия с таймаутом 30 минут

**Фактические результаты**:
- ✅ Пользователь успешно аутентифицирован 2025-10-05 14:30:15 UTC
- ✅ Перенаправлен на панель управления клинического исследователя
- ✅ Запись аудиторского следа создана (ID записи: AUD-20251005-143015-001)
- ✅ Таймаут сессии настроен на 30 минут

**Артефакты доказательств**:
1. **Скриншот**: `TC-AUTH-001_login_page.png` (SHA-256: a3b4c5d6...)
2. **Скриншот**: `TC-AUTH-001_success_dashboard.png` (SHA-256: 7e8f9g0h...)
3. **Экспорт Audit Trail**: `TC-AUTH-001_audit_trail.csv` (SHA-256: i1j2k3l4...)
4. **Системные логи**: `TC-AUTH-001_system_logs.txt` (SHA-256: m5n6o7p8...)

**Свидетель**:
- Тестировщик: Maria Garcia (Подпись: [Цифровая подпись])
- Независимый рецензент: Dr. James Wilson (Подпись: [Цифровая подпись])
- Дата: 2025-10-05

**Оценка соответствия**: **ПРОЙДЕНО** - Соответствует требованиям 21 CFR 11.50(a)

---

спецификация_аудиторского_следа:
  требуемые_поля:
    - event_id: "Уникальный идентификатор для каждого события"
    - timestamp: "UTC timestamp (формат ISO 8601)"
    - user_id: "ID пользователя, выполняющего действие"
    - user_name: "Полное имя пользователя"
    - action: "Описательное выполненное действие"
    - object_type: "Тип затронутого объекта"
    - object_id: "Уникальный ID затронутого объекта"
    - old_value: "Значение до изменения"
    - new_value: "Значение после изменения"
    - ip_address: "Исходный IP-адрес"
    - reason: "Причина изменения (если применимо)"

  пример_записи:
    event_id: "AUD-20251010-143022-001"
    timestamp: "2025-10-10T14:30:22.000Z"
    user_id: "USER-12345"
    user_name: "Д-р Jane Smith"
    action: "ИЗМЕНИТЬ_ДАННЫЕ_ПАЦИЕНТА"
    object_type: "Пациент"
    object_id: "PAT-67890"
    old_value: "ДР: 1990-05-15"
    new_value: "ДР: 1990-05-14"
    ip_address: "192.168.1.100"
    reason: "Исправление ввода данных согласно исходному документу"

  контроли_неизменности:
    - ограничения_бд: "Таблица audit имеет только разрешения INSERT"
    - цепочка_хешей: "Каждая запись содержит хеш предыдущей записи"
    - хранение_однократной_записи: "WORM (Write Once Read Many)"

политики_хранения:
  fda_21_cfr_11:
    период_хранения: "Длительность жизненного цикла устройства/препарата + минимум 2 года"
    требования_хранения:
      - "Валидированная система электронного архива"
      - "Регулярное резервное копирование и восстановление после аварий"
      - "План миграции для технологического устаревания"
    политика_уничтожения: "Безопасное удаление с сертификатом уничтожения"

  hipaa:
    период_хранения: "6 лет с момента создания или последнего использования"
    требования_хранения:
      - "Шифрование в покое и при передаче"
      - "Контроль доступа с audit logging"
    политика_уничтожения: "Санитизация носителей согласно NIST 800-88"

  sox:
    период_хранения: "7 лет"
    требования_хранения:
      - "Неизменяемое хранилище (WORM)"
      - "Избыточное хранение в разных географических местах"
    политика_уничтожения: "Документированное уничтожение с одобрением руководства"

  gdpr:
    период_хранения: "Столько, сколько необходимо для цели (минимизация)"
    требования_хранения:
      - "Применена минимизация данных"
      - "Возможность права на забвение"
    политика_уничтожения: "Полное и проверяемое удаление в течение 30 дней"

форматы_доказательств:
  скриншоты:
    форматы: ["PNG", "JPEG"]
    требования:
      - "Полноэкранный захват (не обрезанный)"
      - "Timestamp виден на скриншоте"
      - "Имя пользователя видно где применимо"
      - "Минимальное разрешение: 1920x1080"
    конвенция_именования: "TC-{TEST_ID}_{ОПИСАНИЕ}_{TIMESTAMP}.png"

  видео:
    форматы: ["MP4", "AVI"]
    требования:
      - "Запись экрана с аудио-повествованием (опционально)"
      - "Движения курсора видны"
      - "Минимум 30 FPS"

  отчеты:
    форматы: ["PDF/A (архивный)", "DOCX (рабочий)"]
    требования:
      - "Требуются цифровые подписи"
      - "Стандарт PDF/A-2b для долгосрочного архивирования"
      - "Встроенные шрифты"

  цифровые_подписи:
    стандарты:
      - "FDA 21 CFR Part 11 соответствие"
      - "EU eIDAS регуляция соответствие"
    компоненты_подписи:
      - печатное_имя: "Д-р Jane Smith, MD"
      - значение_подписи: "Проверено и утверждено"
      - дата_время: "2025-10-15 14:30:00 UTC"

## Чеклист сбора доказательств тестирования на соответствие

### Подготовка к тестированию
- [ ] Нормативные требования документированы и привязаны к тест-кейсам
- [ ] Тестовая среда валидирована и заблокирована
- [ ] Тестовые данные подготовлены и проверены
- [ ] Сертификаты цифровой подписи валидированы

### Во время выполнения тестов
- [ ] ID тест-кейса четко указан во всех артефактах
- [ ] Скриншоты захвачены на каждом критическом шаге
- [ ] Timestamps видны и в UTC
- [ ] Записи аудиторского следа проверены в реальном времени

### Документация после теста
- [ ] Все артефакты доказательств собраны и организованы
- [ ] Контрольные суммы SHA-256 рассчитаны для всех файлов
- [ ] Результаты документированы со статусом pass/fail
- [ ] Доказательства проверены независимой стороной
- [ ] Цифровые подписи применены