Критерии информационной безопасности медицинского оборудования FDA

Медицинское оборудование - одна из тех категорий продукции, которая благодаря хайтеку эволюционирует с невероятной скоростью, все больше и больше интегрируя в себя информационные технологии. Инновации в сфере медицинской продукции дают значительные преимущества. Но они же несут в себе серьезные опасности. Благодаря информационным технологиям медицинское оборудование, базы данных, сети, а в конечном итоге данные пациентов могут стать объектом кибератак. Новые риски бросают вызов регуляторным органам по всему миру, и регуляторы отвечают на них. Например в начале 2020 года в Европе было введено в действие Руководство по информационной безопасности MDCG 2019-16, распространяющееся на всех производителей медицинского программного обеспечения и оборудования, использующего ПО и информационные технологии. FDA также разработала аналогичный стандарт, но пока нормативу американского регулятора не был присвоен статус обязательного к исполнению. Он носит рекомендательный характер. Тем не менее, критерии информационной безопасности медицинского оборудования FDA, изложенные в руководстве, стоит учитывать. Это существенно облегчает процесс регистрации продукции.

Основные критерии информационной безопасности FDA

Руководство FDA "Content of Premarket Submissions for Management of Cybersecurity in Medical Devices" описывает основные подходы американского регулятора к оценке медицинского оборудования, использующего программное обеспечение или подключенного к интернету (software-enabled or connected medical devices). В основе руководства FDA лежат четыре основные концепции: организационные процессы, подход на основе анализа рисков, надежность и безопасное функционирование. Каждая концепция включает определенные критерии информационной безопасности медицинского оборудования и определяет подходы производителя к основным аспектам кибербезопасности.[1]

  1. Организационные процессы
  2. Данная концепция связана с менеджментом организации. Руководство должно обеспечивать ориентацию компании на информационную безопасность. Ответственность менеджеров в области кибербезопасности должна быть зафиксирована в соответствующих корпоративных документах. Должны быть назначены конкретные лица (CISO, CTO, Product Security Officer), отвечающие за вопросы информационной безопасности.

    Концепция кибербезопасности должна стать частью Системы Менеджмента Качества и воплотиться в виде стандартных операционных процедур, инструкций и регламентов. Должны существовать механизмы, обеспечивающие контроль реализации выполнения предписаний, содержащихся в этих документах.

  3. Подход, основанный на рисках (Risk Based Approach)
  4. Руководство FDA предписывает производителям интегрировать систему оценки и управления рисками информационного характера в систему менеджмента качества. Система менеджмента рисков должна охватывать весь жизненный цикл каждого продукта и учитывать потенциальные кибератаки.

  5. Надежность
  6. Программное обеспечение и программируемые электронные системы должны оцениваться производителем с точки зрения потенциальных уязвимых мест и слабых сторон продуктов. Производитель должен принять меры, чтобы обеспечить надежность и устойчивость работы электронных изделий медицинского назначения.

  7. Безопасное функционирование
  8. Производитель должен провести надлежащее тестирование своего продукта, чтобы обеспечить его безопасную работу с точки зрения информационных рисков. Руководство FDA описывает ряд потенциальных методов обеспечения информационной безопасности изделия медицинского назначения.[1]

Гармонизированные стандарты и рекомендации

Критерии информационной безопасности медицинского оборудования FDA отражены и в ряде гармонизированных отраслевых стандартов, которые могут использоваться для обеспечения информационной безопасности продуктов медицинского назначения. Требования европейского руководства по информационной безопасности для производителей медицинского оборудования MDCG 2019-16 близки концепциям, изложенным в руководстве FDA по кибербезопасности. Помимо этого существуют гармонизированные и признанные FDA рекомендации, разработанные отдельными игроками отрасли, такие как UL 2900-1, UL 2900-2-1 и AAMI TIR57.

FDA и другие регуляторы стремятся создать условия, при которых производители должны учитывать информационные риски и обеспечивать информационную безопасность на протяжении всего жизненного цикла продукта. Причем анализ и оценка рисков уже на самых ранних этапах разработки продукции оказываются намного более эффективны и менее затратны, чем попытки обеспечить кибербезопасность продукта на поздних этапах разработки. Проактивный подход к вопросам информационной безопасности обеспечивает более быструю регистрацию продукции и ее оперативный вывод на рынок.


1. Content of Premarket Submissions for Management of Cybersecurity in Medical Devices. U.S. Food and Drug Administration.

Мы здесь, чтобы помочь вам вывести вашу продукцию медицинского назначения на внешние рынки.

+7 (812) 9502691

info@mdrc-consulting.com

Критерии информационной безопасности медицинского оборудования FDA

Медицинское оборудование - одна из тех категорий продукции, которая благодаря хайтеку эволюционирует с невероятной скоростью, все больше и больше интегрируя в себя информационные технологии. Инновации в сфере медицинской продукции дают значительные преимущества. Но они же несут в себе серьезные опасности. Благодаря информационным технологиям медицинское оборудование, базы данных, сети, а в конечном итоге данные пациентов могут стать объектом кибератак. Новые риски бросают вызов регуляторным органам по всему миру, и регуляторы отвечают на них. Например в начале 2020 года в Европе было введено в действие Руководство по информационной безопасности MDCG 2019-16, распространяющееся на всех производителей медицинского программного обеспечения и оборудования, использующего ПО и информационные технологии. FDA также разработала аналогичный стандарт, но пока нормативу американского регулятора не был присвоен статус обязательного к исполнению. Он носит рекомендательный характер. Тем не менее, критерии информационной безопасности медицинского оборудования FDA, изложенные в руководстве, стоит учитывать. Это существенно облегчает процесс регистрации продукции.

Основные критерии информационной безопасности FDA

Руководство FDA "Content of Premarket Submissions for Management of Cybersecurity in Medical Devices" описывает основные подходы американского регулятора к оценке медицинского оборудования, использующего программное обеспечение или подключенного к интернету (software-enabled or connected medical devices). В основе руководства FDA лежат четыре основные концепции: организационные процессы, подход на основе анализа рисков, надежность и безопасное функционирование. Каждая концепция включает определенные критерии информационной безопасности медицинского оборудования и определяет подходы производителя к основным аспектам кибербезопасности.[1]

  1. Организационные процессы
  2. Данная концепция связана с менеджментом организации. Руководство должно обеспечивать ориентацию компании на информационную безопасность. Ответственность менеджеров в области кибербезопасности должна быть зафиксирована в соответствующих корпоративных документах. Должны быть назначены конкретные лица (CISO, CTO, Product Security Officer), отвечающие за вопросы информационной безопасности.

    Концепция кибербезопасности должна стать частью Системы Менеджмента Качества и воплотиться в виде стандартных операционных процедур, инструкций и регламентов. Должны существовать механизмы, обеспечивающие контроль реализации выполнения предписаний, содержащихся в этих документах.

  3. Подход, основанный на рисках (Risk Based Approach)
  4. Руководство FDA предписывает производителям интегрировать систему оценки и управления рисками информационного характера в систему менеджмента качества. Система менеджмента рисков должна охватывать весь жизненный цикл каждого продукта и учитывать потенциальные кибератаки.

  5. Надежность
  6. Программное обеспечение и программируемые электронные системы должны оцениваться производителем с точки зрения потенциальных уязвимых мест и слабых сторон продуктов. Производитель должен принять меры, чтобы обеспечить надежность и устойчивость работы электронных изделий медицинского назначения.

  7. Безопасное функционирование
  8. Производитель должен провести надлежащее тестирование своего продукта, чтобы обеспечить его безопасную работу с точки зрения информационных рисков. Руководство FDA описывает ряд потенциальных методов обеспечения информационной безопасности изделия медицинского назначения.[1]

Гармонизированные стандарты и рекомендации

Критерии информационной безопасности медицинского оборудования FDA отражены и в ряде гармонизированных отраслевых стандартов, которые могут использоваться для обеспечения информационной безопасности продуктов медицинского назначения. Требования европейского руководства по информационной безопасности для производителей медицинского оборудования MDCG 2019-16 близки концепциям, изложенным в руководстве FDA по кибербезопасности. Помимо этого существуют гармонизированные и признанные FDA рекомендации, разработанные отдельными игроками отрасли, такие как UL 2900-1, UL 2900-2-1 и AAMI TIR57.

FDA и другие регуляторы стремятся создать условия, при которых производители должны учитывать информационные риски и обеспечивать информационную безопасность на протяжении всего жизненного цикла продукта. Причем анализ и оценка рисков уже на самых ранних этапах разработки продукции оказываются намного более эффективны и менее затратны, чем попытки обеспечить кибербезопасность продукта на поздних этапах разработки. Проактивный подход к вопросам информационной безопасности обеспечивает более быструю регистрацию продукции и ее оперативный вывод на рынок.


1. Content of Premarket Submissions for Management of Cybersecurity in Medical Devices. U.S. Food and Drug Administration.


Мы здесь, чтобы помочь вам вывести вашу продукцию медицинского назначения на внешние рынки.

+7 (812) 9502691

info@mdrc-consulting.com


НАПИШИТЕ НАМ

Мы будем рады обсудить ваш новый проект!

    Мы будем рады обсудить ваш новый проект!

    Свяжитесь с нами!