Медицинское оборудование - одна из тех категорий продукции, которая благодаря хайтеку эволюционирует с невероятной скоростью, все больше и больше интегрируя в себя информационные технологии. Инновации в сфере медицинской продукции дают значительные преимущества. Но они же несут в себе серьезные опасности. Благодаря информационным технологиям медицинское оборудование, базы данных, сети, а в конечном итоге данные пациентов могут стать объектом кибератак. Новые риски бросают вызов регуляторным органам по всему миру, и регуляторы отвечают на них. Например в начале 2020 года в Европе было введено в действие Руководство по информационной безопасности MDCG 2019-16, распространяющееся на всех производителей медицинского программного обеспечения и оборудования, использующего ПО и информационные технологии. FDA также разработала аналогичный стандарт, но пока нормативу американского регулятора не был присвоен статус обязательного к исполнению. Он носит рекомендательный характер. Тем не менее, критерии информационной безопасности медицинского оборудования FDA, изложенные в руководстве, стоит учитывать. Это существенно облегчает процесс регистрации продукции.
Руководство FDA "Content of Premarket Submissions for Management of Cybersecurity in Medical Devices" описывает основные подходы американского регулятора к оценке медицинского оборудования, использующего программное обеспечение или подключенного к интернету (software-enabled or connected medical devices). В основе руководства FDA лежат четыре основные концепции: организационные процессы, подход на основе анализа рисков, надежность и безопасное функционирование. Каждая концепция включает определенные критерии информационной безопасности медицинского оборудования и определяет подходы производителя к основным аспектам кибербезопасности.[1]
Данная концепция связана с менеджментом организации. Руководство должно обеспечивать ориентацию компании на информационную безопасность. Ответственность менеджеров в области кибербезопасности должна быть зафиксирована в соответствующих корпоративных документах. Должны быть назначены конкретные лица (CISO, CTO, Product Security Officer), отвечающие за вопросы информационной безопасности.
Концепция кибербезопасности должна стать частью Системы Менеджмента Качества и воплотиться в виде стандартных операционных процедур, инструкций и регламентов. Должны существовать механизмы, обеспечивающие контроль реализации выполнения предписаний, содержащихся в этих документах.
Руководство FDA предписывает производителям интегрировать систему оценки и управления рисками информационного характера в систему менеджмента качества. Система менеджмента рисков должна охватывать весь жизненный цикл каждого продукта и учитывать потенциальные кибератаки.
Программное обеспечение и программируемые электронные системы должны оцениваться производителем с точки зрения потенциальных уязвимых мест и слабых сторон продуктов. Производитель должен принять меры, чтобы обеспечить надежность и устойчивость работы электронных изделий медицинского назначения.
Производитель должен провести надлежащее тестирование своего продукта, чтобы обеспечить его безопасную работу с точки зрения информационных рисков. Руководство FDA описывает ряд потенциальных методов обеспечения информационной безопасности изделия медицинского назначения.[1]
Критерии информационной безопасности медицинского оборудования FDA отражены и в ряде гармонизированных отраслевых стандартов, которые могут использоваться для обеспечения информационной безопасности продуктов медицинского назначения. Требования европейского руководства по информационной безопасности для производителей медицинского оборудования MDCG 2019-16 близки концепциям, изложенным в руководстве FDA по кибербезопасности. Помимо этого существуют гармонизированные и признанные FDA рекомендации, разработанные отдельными игроками отрасли, такие как UL 2900-1, UL 2900-2-1 и AAMI TIR57.
FDA и другие регуляторы стремятся создать условия, при которых производители должны учитывать информационные риски и обеспечивать информационную безопасность на протяжении всего жизненного цикла продукта. Причем анализ и оценка рисков уже на самых ранних этапах разработки продукции оказываются намного более эффективны и менее затратны, чем попытки обеспечить кибербезопасность продукта на поздних этапах разработки. Проактивный подход к вопросам информационной безопасности обеспечивает более быструю регистрацию продукции и ее оперативный вывод на рынок.
1. Content of Premarket Submissions for Management of Cybersecurity in Medical Devices. U.S. Food and Drug Administration.
Мы здесь, чтобы помочь вам вывести вашу продукцию медицинского назначения на внешние рынки.
+357 22253765
info@mdrc-consulting.com
Медицинское оборудование - одна из тех категорий продукции, которая благодаря хайтеку эволюционирует с невероятной скоростью, все больше и больше интегрируя в себя информационные технологии. Инновации в сфере медицинской продукции дают значительные преимущества. Но они же несут в себе серьезные опасности. Благодаря информационным технологиям медицинское оборудование, базы данных, сети, а в конечном итоге данные пациентов могут стать объектом кибератак. Новые риски бросают вызов регуляторным органам по всему миру, и регуляторы отвечают на них. Например в начале 2020 года в Европе было введено в действие Руководство по информационной безопасности MDCG 2019-16, распространяющееся на всех производителей медицинского программного обеспечения и оборудования, использующего ПО и информационные технологии. FDA также разработала аналогичный стандарт, но пока нормативу американского регулятора не был присвоен статус обязательного к исполнению. Он носит рекомендательный характер. Тем не менее, критерии информационной безопасности медицинского оборудования FDA, изложенные в руководстве, стоит учитывать. Это существенно облегчает процесс регистрации продукции.
Руководство FDA "Content of Premarket Submissions for Management of Cybersecurity in Medical Devices" описывает основные подходы американского регулятора к оценке медицинского оборудования, использующего программное обеспечение или подключенного к интернету (software-enabled or connected medical devices). В основе руководства FDA лежат четыре основные концепции: организационные процессы, подход на основе анализа рисков, надежность и безопасное функционирование. Каждая концепция включает определенные критерии информационной безопасности медицинского оборудования и определяет подходы производителя к основным аспектам кибербезопасности.[1]
Данная концепция связана с менеджментом организации. Руководство должно обеспечивать ориентацию компании на информационную безопасность. Ответственность менеджеров в области кибербезопасности должна быть зафиксирована в соответствующих корпоративных документах. Должны быть назначены конкретные лица (CISO, CTO, Product Security Officer), отвечающие за вопросы информационной безопасности.
Концепция кибербезопасности должна стать частью Системы Менеджмента Качества и воплотиться в виде стандартных операционных процедур, инструкций и регламентов. Должны существовать механизмы, обеспечивающие контроль реализации выполнения предписаний, содержащихся в этих документах.
Руководство FDA предписывает производителям интегрировать систему оценки и управления рисками информационного характера в систему менеджмента качества. Система менеджмента рисков должна охватывать весь жизненный цикл каждого продукта и учитывать потенциальные кибератаки.
Программное обеспечение и программируемые электронные системы должны оцениваться производителем с точки зрения потенциальных уязвимых мест и слабых сторон продуктов. Производитель должен принять меры, чтобы обеспечить надежность и устойчивость работы электронных изделий медицинского назначения.
Производитель должен провести надлежащее тестирование своего продукта, чтобы обеспечить его безопасную работу с точки зрения информационных рисков. Руководство FDA описывает ряд потенциальных методов обеспечения информационной безопасности изделия медицинского назначения.[1]
Критерии информационной безопасности медицинского оборудования FDA отражены и в ряде гармонизированных отраслевых стандартов, которые могут использоваться для обеспечения информационной безопасности продуктов медицинского назначения. Требования европейского руководства по информационной безопасности для производителей медицинского оборудования MDCG 2019-16 близки концепциям, изложенным в руководстве FDA по кибербезопасности. Помимо этого существуют гармонизированные и признанные FDA рекомендации, разработанные отдельными игроками отрасли, такие как UL 2900-1, UL 2900-2-1 и AAMI TIR57.
FDA и другие регуляторы стремятся создать условия, при которых производители должны учитывать информационные риски и обеспечивать информационную безопасность на протяжении всего жизненного цикла продукта. Причем анализ и оценка рисков уже на самых ранних этапах разработки продукции оказываются намного более эффективны и менее затратны, чем попытки обеспечить кибербезопасность продукта на поздних этапах разработки. Проактивный подход к вопросам информационной безопасности обеспечивает более быструю регистрацию продукции и ее оперативный вывод на рынок.
1. Content of Premarket Submissions for Management of Cybersecurity in Medical Devices. U.S. Food and Drug Administration.
Мы здесь, чтобы помочь вам вывести вашу продукцию медицинского назначения на внешние рынки.
+357 22253765
info@mdrc-consulting.com
Мы будем рады обсудить ваш новый проект!