Интенсивное использование информационных технологий в сфере медицинского оборудования дало немало преимуществ как медицинскому персоналу, так и пациентам. Однако с повышением роли IT возникли и новые опасности. В связи с этим вопросы кибербезопасности в наше время приобретают для производителей медицинской продукции особую роль. В январе 2020 года Координационная Группа ЕС по Вопросам Продукции Медицинского Назначения (Medical Device Coordination Group - MDCG) ввела в действие Руководство ЕС по информационной безопасности для производителей медицинского оборудования (Guidance MDCG 2019-16). Использование руководства позволит производителям добиваться соответствия требованиям, касающимся кибербезопасности, изложенным в Приложении I Регламента ЕС 2017/745 (Medical Devices Regulation - MDR), а также Приложения I Регламента ЕС 2017/746 (In-vitro Diagnostic Medical Devices Regulation - IVDR), т.е. поможет достигать регуляторного соответствия их продукции, необходимого для размещения продукции на рынке ЕС.[1]
Основная задача Руководства - обеспечение соответствия медицинского оборудования, использующего программное обеспечение и электронные программируемые системы и выводимого на рынок ЕС, современным стандартам кибербезопасности. Руководство MDCG 2019-16 требует от производителей использования новейших методов информационной безопасности при разработке, производстве и обслуживании изделий медицинского назначения. Помимо этого, производители электронного медицинского оборудования должны учесть эти методы и стандарты при создании системы менеджмента рисков. Они обязаны разработать меры обеспечения IT-безопасности, в т.ч. меры защиты своего оборудования от неавторизованного доступа.
Руководство ЕС по информационной безопасности MDCG 2019-16 полностью охватывает жизненный цикл продукта, включая этапы разработки и постмаркетинговую фазу жизни продукта.
В таблице 1 Руководства приводится список основных требований к изделиям медицинского назначения, касающихся информационной безопасности. Эти требования отражают требования, изложенные в Регламентах ЕС 2017/745 (Приложение I) и 2017/746 (Приложение I), и получили название General Safety and Essential Performance Requirements (GSPRs). Руководство требует от производителя использования самых современных подходов в области кибербезопасности на протяжении всего жизненного цикла продукта. Причем производитель должен отразить применение таких подходов, основанных на релевантных стандартах, доступных технических и научных данных и собственном опыте, в своей технической документации.
Одни из важнейших требований к информационной безопасности изделий медицинского назначения изложены в разделе 17.2 Приложения I Регламента ЕС 2017/745 и в разделе 16.2 Приложения I Регламента ЕС 2017/746. Они же приводятся и в тексте Руководства MDCG 2019-16.
Требования касаются необходимости проведения верификации и валидации информационной безопасности продуктов посредством специальных тестов. К таким тестам относятся, например, фаззинг, тестирование безопасности, сканирование на уязвимость, испытание на проникновение и т.д. Дополнительно может производиться анализ безопасности кода и использоваться инструменты анализа открытого исходного кода и библиотек, используемых продуктом.
Кроме того, в Руководстве MDCG 2019-16 уточняется, что к медицинскому оборудованию наравне с Регламентами 2017/745 и 2017/746 применимы общие нормативы ЕС, касающиеся информационной безопасности. Такие как Директива ЕС 2016/1148 (безопасность информационных систем в ЕС), Регламент ЕС по Защите Данных 2016/679 (известный как GDPR), а также Регламент ЕС 2019/881 (Европейский Акт о Кибербезопасности).
Помимо этого, Руководство ЕС по информационной безопасности для производителей медицинского оборудования создает предпосылки для гармонизации требований Евросоюза к информационной безопасности изделий медицинского назначения с аналогичными требованиями, предъявляемыми в США, Канаде, Австралии и Южной Корее.
1. MDCG 2019-16 - Guidande on Cybersecurity for medical devices. European Commission.
Мы здесь, чтобы помочь вам вывести вашу продукцию медицинского назначения на внешние рынки.
+357 22253765
info@mdrc-consulting.com
Интенсивное использование информационных технологий в сфере медицинского оборудования дало немало преимуществ как медицинскому персоналу, так и пациентам. Однако с повышением роли IT возникли и новые опасности. В связи с этим вопросы кибербезопасности в наше время приобретают для производителей медицинской продукции особую роль. В январе 2020 года Координационная Группа ЕС по Вопросам Продукции Медицинского Назначения (Medical Device Coordination Group - MDCG) ввела в действие Руководство ЕС по информационной безопасности для производителей медицинского оборудования (Guidance MDCG 2019-16). Использование руководства позволит производителям добиваться соответствия требованиям, касающимся кибербезопасности, изложенным в Приложении I Регламента ЕС 2017/745 (Medical Devices Regulation - MDR), а также Приложения I Регламента ЕС 2017/746 (In-vitro Diagnostic Medical Devices Regulation - IVDR), т.е. поможет достигать регуляторного соответствия их продукции, необходимого для размещения продукции на рынке ЕС.[1]
Основная задача Руководства - обеспечение соответствия медицинского оборудования, использующего программное обеспечение и электронные программируемые системы и выводимого на рынок ЕС, современным стандартам кибербезопасности. Руководство MDCG 2019-16 требует от производителей использования новейших методов информационной безопасности при разработке, производстве и обслуживании изделий медицинского назначения. Помимо этого, производители электронного медицинского оборудования должны учесть эти методы и стандарты при создании системы менеджмента рисков. Они обязаны разработать меры обеспечения IT-безопасности, в т.ч. меры защиты своего оборудования от неавторизованного доступа.
Руководство ЕС по информационной безопасности MDCG 2019-16 полностью охватывает жизненный цикл продукта, включая этапы разработки и постмаркетинговую фазу жизни продукта.
В таблице 1 Руководства приводится список основных требований к изделиям медицинского назначения, касающихся информационной безопасности. Эти требования отражают требования, изложенные в Регламентах ЕС 2017/745 (Приложение I) и 2017/746 (Приложение I), и получили название General Safety and Essential Performance Requirements (GSPRs). Руководство требует от производителя использования самых современных подходов в области кибербезопасности на протяжении всего жизненного цикла продукта. Причем производитель должен отразить применение таких подходов, основанных на релевантных стандартах, доступных технических и научных данных и собственном опыте, в своей технической документации.
Одни из важнейших требований к информационной безопасности изделий медицинского назначения изложены в разделе 17.2 Приложения I Регламента ЕС 2017/745 и в разделе 16.2 Приложения I Регламента ЕС 2017/746. Они же приводятся и в тексте Руководства MDCG 2019-16.
Требования касаются необходимости проведения верификации и валидации информационной безопасности продуктов посредством специальных тестов. К таким тестам относятся, например, фаззинг, тестирование безопасности, сканирование на уязвимость, испытание на проникновение и т.д. Дополнительно может производиться анализ безопасности кода и использоваться инструменты анализа открытого исходного кода и библиотек, используемых продуктом.
Кроме того, в Руководстве MDCG 2019-16 уточняется, что к медицинскому оборудованию наравне с Регламентами 2017/745 и 2017/746 применимы общие нормативы ЕС, касающиеся информационной безопасности. Такие как Директива ЕС 2016/1148 (безопасность информационных систем в ЕС), Регламент ЕС по Защите Данных 2016/679 (известный как GDPR), а также Регламент ЕС 2019/881 (Европейский Акт о Кибербезопасности).
Помимо этого, Руководство ЕС по информационной безопасности для производителей медицинского оборудования создает предпосылки для гармонизации требований Евросоюза к информационной безопасности изделий медицинского назначения с аналогичными требованиями, предъявляемыми в США, Канаде, Австралии и Южной Корее.
1. MDCG 2019-16 - Guidande on Cybersecurity for medical devices. European Commission.
Мы здесь, чтобы помочь вам вывести вашу продукцию медицинского назначения на внешние рынки.
+357 22253765
info@mdrc-consulting.com
Мы будем рады обсудить ваш новый проект!
