Правила ведения электронных документов Палаты экологической стабильности

Подчасть А – Общие положения
гл. 11.1 Область применения.

(a) Положения в этой части устанавливают критерии, в соответствии с которыми агентство считает электронные записи, электронные подписи и собственноручные подписи, выполненные на электронных записях, заслуживающими доверия, надежными и в целом эквивалентными бумажным записям и собственноручным подписям, выполненным на бумаге.

(b) Эта часть применяется к записям в электронной форме, которые создаются, модифицируются, поддерживаются, архивируются, извлекаются или передаются в соответствии с любыми требованиями к записям, изложенными в постановлениях агентства. , Закон о лекарствах и косметических средствах и Закон об общественном здравоохранении, даже если такие записи специально не указаны в нормативных актах агентства. Однако эта часть не применяется к бумажным документам, которые передаются или были переданы с помощью электронных средств.

(c) В тех случаях, когда электронные подписи и связанные с ними электронные записи соответствуют требованиям настоящей части, агентство будет считать электронные подписи эквивалентными собственноручным подписям, инициалам и другим подписям общего характера в соответствии с требованиями нормативных актов агентства, если иное специально не исключено нормативными актами, вступившими в силу. или после 20 августа 1997 г.

(d) Электронные записи, отвечающие требованиям настоящей части, могут использоваться вместо бумажных записей в соответствии с 11.2, если только бумажные записи не требуются.

(e) Компьютерные системы (включая аппаратное и программное обеспечение), средства управления и сопутствующая документация, поддерживаемые в соответствии с настоящей частью, должны быть легко доступны и подлежат проверке FDA.

(f) Эта часть не применяется к записям, которые должны быть установлены или сохранены в соответствии с 1.326–1.368 настоящей главы. Записи, которые удовлетворяют требованиям части 1, подраздела J этой главы, но которые также требуются в соответствии с другими применимыми законодательными положениями или правилами, по-прежнему подпадают под действие этой части.

сек. 11.2 Реализация.

(a) Для записей, которые необходимо хранить, но не представлять в агентство, лица могут использовать электронные записи вместо бумажных записей или электронные подписи вместо традиционных подписей, полностью или частично, при условии соблюдения требований настоящей части.

(b) Для записей, представляемых в агентство, лица могут использовать электронные записи вместо бумажных записей или электронные подписи вместо традиционных подписей, полностью или частично, при условии, что:

(1) Соблюдены требования настоящей части; а также
(2) Документ или части документа, которые должны быть представлены, были идентифицированы в публичном реестре № 92S-0251 как тип представления, который агентство принимает в электронной форме. В этом реестре будет конкретно указано, какие типы документов или части документов принимаются для представления в электронной форме без бумажных записей, а также принимающее(ие) подразделение(я) агентства (например, конкретный центр, офис, отдел, филиал), в которое такие представления могут быть сделаны. Документы в ведомственные приемные подразделения, не указанные в открытом доступе, не будут считаться официальными, если они представлены в электронном виде; бумажные формы таких документов будут считаться официальными и должны сопровождать любые электронные записи. Ожидается, что лица проконсультируются с принимающим подразделением предполагаемого агентства для получения подробной информации о том, как (например, способ передачи, носитель, форматы файлов,

сек. 11.3 Определения.

(a) Определения и интерпретации терминов, содержащиеся в разделе 201 закона, применяются к этим терминам при использовании в этой части.

(b) К этой части также применяются следующие определения терминов:
(1) Закон означает Федеральный закон о пищевых продуктах, лекарствах и косметических средствах (разделы 201–903 (21 USC 321–393)).
(2) Агентство означает Управление по санитарному надзору за качеством пищевых продуктов и медикаментов.
(3) Биометрия означает метод проверки личности человека, основанный на измерении его физических характеристик или повторяющихся действий, когда эти особенности и/или действия уникальны для этого человека и поддаются измерению.
(4) Закрытая система означает среду, в которой доступ к системе контролируется лицами, ответственными за содержание электронных записей, находящихся в системе.
(5) Цифровая подпись означает электронную подпись, основанную на криптографических методах аутентификации отправителя, рассчитанную с использованием набора правил и набора параметров, позволяющих проверить личность подписывающего и целостность данных.
(6) Электронная запись означает любую комбинацию текста, графики, данных, аудио, изображений или другой информации, представленной в цифровой форме, которая создается, модифицируется, поддерживается, архивируется, извлекается или распространяется с помощью компьютерной системы.
(7) Электронная подпись означает компиляцию компьютерных данных любого символа или серии символов, выполненных, принятых или санкционированных физическим лицом в качестве юридически обязывающего эквивалента собственноручной подписи физического лица.
(8) Рукописная подпись означает записанное имя или юридический знак физического лица, написанное этим лицом от руки и выполненное или принятое с настоящим намерением удостоверить подлинность письма в постоянной форме. Акт подписания пишущим или маркировочным инструментом, таким как ручка или стилус, сохраняется. Написанное по сценарию имя или юридическая марка, хотя обычно наносятся на бумагу, также могут быть нанесены на другие устройства, фиксирующие имя или марку.
(9) Открытая система означает среду, в которой доступ к системе не контролируется лицами, ответственными за содержание электронных записей, находящихся в системе.

Подчасть B — Электронные записи
Sec. 11.10 Органы управления для закрытых систем.
Лица, которые используют закрытые системы для создания, изменения, ведения или передачи электронных записей, должны использовать процедуры и средства контроля, предназначенные для обеспечения подлинности, целостности и, при необходимости, конфиденциальности электронных записей, а также для обеспечения того, чтобы подписывающее лицо не могло легко отказаться от подписанной записи, поскольку не является подлинной. Такие процедуры и средства контроля должны включать следующее:

(a) Валидация систем для обеспечения точности, надежности, последовательной предполагаемой работы и способности распознавать недействительные или измененные записи.

(b) Возможность создавать точные и полные копии записей как в удобочитаемой, так и в электронной форме, подходящей для проверки, просмотра и копирования агентством. Лица должны связаться с агентством, если есть какие-либо вопросы относительно способности агентства выполнять такой просмотр и копирование электронных записей.

(c) Защита записей для обеспечения их точного и быстрого поиска в течение всего периода хранения записей.

(d) Ограничение доступа к системе для уполномоченных лиц.

(e) Использование безопасных, созданных компьютером, контрольных журналов с отметками времени для независимой записи даты и времени записей и действий оператора, которые создают, изменяют или удаляют электронные записи. Изменения в записи не должны скрывать ранее записанную информацию. Такая документация контрольного следа должна храниться в течение как минимум периода, необходимого для рассматриваемых электронных записей, и должна быть доступна для просмотра и копирования агентством.

(f) Использование проверок операционной системы для обеспечения разрешенной последовательности шагов и событий, в зависимости от обстоятельств.

(g) Использование проверок полномочий для обеспечения того, чтобы только уполномоченные лица могли использовать систему, ставить электронную подпись на записи, получать доступ к операции или устройству ввода или вывода компьютерной системы, изменять запись или выполнять операцию под рукой.

(h) Использование проверок устройства (например, терминала) для определения, при необходимости, достоверности источника ввода данных или оперативных инструкций.

(i) Определение того, что лица, которые разрабатывают, поддерживают или используют системы электронных записей/электронных подписей, имеют образование, подготовку и опыт для выполнения возложенных на них задач.

(j) Установление и соблюдение письменных правил, возлагающих ответственность на отдельных лиц за действия, инициированные с использованием их электронных подписей, в целях предотвращения фальсификации записей и подписей.

(k) Использование надлежащих средств управления системной документацией, включая:
(1) Надлежащие средства управления распространением, доступом и использованием документации для эксплуатации и обслуживания системы.
(2) Процедуры управления пересмотром и изменениями для ведения журнала аудита, который документирует последовательную во времени разработку и модификацию системной документации.

сек. 11.30 Элементы управления для открытых систем.

Лица, использующие открытые системы для создания, изменения, ведения или передачи электронных документов, должны использовать процедуры и средства контроля, предназначенные для обеспечения подлинности, целостности и, при необходимости, конфиденциальности электронных документов с момента их создания до момента их получения. Такие процедуры и средства контроля должны включать процедуры, указанные в 11.10, в зависимости от обстоятельств, а также дополнительные меры, такие как шифрование документов и использование соответствующих стандартов цифровой подписи, чтобы гарантировать, насколько это необходимо в данных обстоятельствах, аутентичность, целостность и конфиденциальность записи.

сек. 11.50 Сигнатурные проявления.

(a) Подписанные электронные записи должны содержать информацию, связанную с подписанием, которая четко указывает на все следующее:

(1) напечатанное имя подписавшего;
(2) Дата и время выполнения подписи; и
(3) значение (например, проверка, одобрение, ответственность или авторство), связанное с подписью.

(b) Элементы, указанные в параграфах (a)(1), (a)(2) и (a)(3) настоящего раздела, подлежат такому же контролю, что и электронные записи, и должны быть включены как часть любого удобочитаемого документа. форма электронной записи (например, электронный дисплей или распечатка).

сек. 11.70 Связывание подписи/записи.
Электронные подписи и собственноручные подписи, выполненные к электронным записям, должны быть связаны с соответствующими электронными записями, чтобы гарантировать, что подписи не могут быть вырезаны, скопированы или иным образом переданы для фальсификации электронной записи обычными средствами.

Подчасть C – Электронные подписи

Разд. 11.100 Общие требования.

(a) Каждая электронная подпись должна быть уникальной для одного человека и не может быть повторно использована или передана кому-либо другому.

(b) Прежде чем организация установит, присвоит, удостоверит или иным образом санкционирует электронную подпись физического лица или любой элемент такой электронной подписи, организация должна проверить личность физического лица.

(c) Лица, использующие электронные подписи, должны до или во время такого использования подтвердить агентству, что электронные подписи в их системе, использованные 20 августа 1997 г. или после этой даты, должны быть юридически обязывающими эквивалентами традиционных собственноручных подписей.
(1) Сертификат должен быть представлен в бумажной форме и подписан традиционной собственноручной подписью в Офис региональных операций (HFC-100), 5600 Fishers Lane, Rockville, MD20857.
(2) Лица, использующие электронные подписи, должны по запросу агентства предоставить дополнительное подтверждение или свидетельство того, что конкретная электронная подпись является юридически обязывающим эквивалентом собственноручной подписи подписывающего лица.

сек. 11.200 Компоненты электронной подписи и элементы управления.

(a) Электронные подписи, которые не основаны на биометрии, должны:
(1) Использовать как минимум два отличительных компонента идентификации, такие как идентификационный код и пароль.

(i) Когда физическое лицо выполняет серию подписей в течение одного непрерывного периода контролируемого доступа к системе, первая подпись должна быть выполнена с использованием всех компонентов электронной подписи; последующие подписи должны выполняться с использованием по крайней мере одного компонента электронной подписи, который может исполняться и предназначен только для использования физическим лицом.

(ii) Когда физическое лицо выполняет одну или несколько подписей, не выполненных в течение одного непрерывного периода доступа к контролируемой системе, каждая подпись должна выполняться с использованием всех компонентов электронной подписи.

(2) использоваться только их подлинными владельцами; и

(3) администрироваться и выполняться для обеспечения того, чтобы попытка использования электронной подписи физического лица кем-либо, кроме ее подлинного владельца, требовала сотрудничества двух или более лиц.

(b) Электронные подписи, основанные на биометрии, должны быть разработаны таким образом, чтобы гарантировать, что они не могут быть использованы кем-либо, кроме их подлинных владельцев.

сек. 11.300 Контроль идентификационных кодов/паролей.
Лица, которые используют электронные подписи, основанные на использовании идентификационных кодов в сочетании с паролями, должны применять средства контроля для обеспечения их безопасности и целостности. Такой контроль должен включать:

(a) Поддержание уникальности каждого комбинированного идентификационного кода и пароля, чтобы никакие два человека не имели одинаковые комбинации идентификационного кода и пароля.

(b) Обеспечение периодической проверки, отзыва или пересмотра выданных идентификационных кодов и паролей (например, для учета таких событий, как устаревание пароля).

(c) В соответствии с процедурами управления убытками для электронной деавторизации утерянных, украденных, отсутствующих или иным образом потенциально скомпрометированных токенов, карт и других устройств, которые несут или генерируют идентификационный код или информацию о пароле, а также для временной или постоянной замены с использованием соответствующих строгих мер контроля.

(d) Использование мер безопасности транзакций для предотвращения несанкционированного использования паролей и/или идентификационных кодов, а также для обнаружения и немедленного и срочного обнаружения любых попыток их несанкционированного использования в подразделение системной безопасности и, при необходимости, руководству организации.

(e) Начальное и периодическое тестирование устройств, таких как жетоны или карты, которые несут или генерируют идентификационный код или информацию о пароле, чтобы убедиться, что они функционируют должным образом и не были изменены несанкционированным образом.