FDA发布新的指导医疗设备的网络安全

2022年6月7日开云官网手机网页版入口Jama软开云官网入口下载手机版件

在这篇文章中,我们将重点介绍和总结的新部分“医疗设备:网络安全质量体系的上市前的注意事项和内容提交草案指导工业和食品和药物管理局工作人员。”重要的是要注意,这个内容包含不具约束力的指导,因此当前没有实施。

说完这些,虽然这个草案不具约束力,一些组织可能适应这个指导积极解决热点话题中未涉及正式规定,例如:U / X人为因素,软件作为一种医疗设备(SaMD),产品组合等。开云官网入口下载手机版开云足球app下载官网最新版

这篇博客,而直接引用FDA指导草案,并不是一个完整的内容。组成的片段是特别相关的或有趣的作者。它还不包括任何附录。

你可以找到的全面指导草案。

这一信息后,主题专家,文森特•Balgos重指导草案。读到最后看到他的想法!

FDA指导医疗设备的网络安全

随着集成的无线网络,网络连接功能,便携式媒体(如USB或CD),和电子医疗器械相关的健康信息交换频繁,需要健壮的网络安全控制,确保医疗设备安全性和有效性已变得更为重要。

此外,网络安全威胁医疗保健行业变得更频繁和更严重的,承载增加潜在的临床影响。网络安全事件使医疗设备和医院网络瘫痪,扰乱的病人护理在卫生保健设施在美国和全球。网络攻击和利用等可能导致患者损害结果的临床危害,如延误诊断和治疗。

增加现有的连接、互操作导致个人设备操作大型医疗设备系统的单个元素。这些系统可以包括卫生保健设施网络,其他设备,和软件更新服务器等相互关联的组件。开云官网入口下载手机版因此,没有足够的网络安全考虑在这些系统的各个方面,网络安全威胁可能影响设备的安全性和/或有效性影响的功能系统中任何资产。因此,确保网络安全设备安全性和有效性包括足够的设备,以及其安全更大系统的一部分。现行版的FDA-recognized共识标准(s)中引用这个文件,看FDA认可的共识标准数据库。

范围:这是否适用于谁?

本指南文档适用于设备,包含软件(包括固件)或可编程逻辑,以及软件作为一种医疗设备(SaMD)。开云官网入口下载手机版指导不仅限于设备网络或包含其他连接功能。本指南描述了建议关于网络安全信息提交设备在下列提交上市前的类型:

上市前的通知(510 (k))提交;
新创请求;
上市前的审批程序(PMA)和PMA补充剂;
开云足球app下载官网最新版产品开发协议(pdp);
临床实验的设备免税(IDE)提交;和
人道主义设备免税(HDE)提交。

一般原则

本节提供设备相关的网络安全设备制造商的一般原则。这些原则,发现在这个指导文件,是重要的网络安全设备的改善,当后,预计将有积极的影响病人安全。

这些基本原则包括:

网络安全是设备安全与质量体系法规的一部分
设计的安全
网络安全的透明度
提交文档

使用一个SPDF管理网络安全风险

文档推荐在本指南是基于FDA的经验与网络安全漏洞评估设备的安全性和有效性。然而,赞助商可能使用替代方法和提供不同的文档,只要他们的方法和文档满足上市前的提交需求适用的法定规定和条例。医疗设备的日益相互关联的性质表明解决网络安全风险的重要性与设备连接在设备的设计,因为对安全性和有效性的影响。

介绍了网络安全的风险直接威胁到医疗设备或更大的医疗设备系统可以通过使用一个SPDF合理控制。

使用一个SPDF的主要目标是生产和维护安全有效的设备。从一个安全上下文,这些也是值得信赖的和有弹性的设备。这些设备可以管理(例如,安装,配置,更新,审查设备日志)通过设备设计和相关设备制造商和/或标签的用户(例如,病人、医疗设施)。卫生保健设施,这些设备也可以管理自己的网络安全风险管理框架内,如国家标准与技术研究所的框架,提高关键基础设施网络安全,通常称为NIST网络安全框架或NIST CSF。

安全风险管理

在设备完全占网络安全风险,安全风险的每个设备的上下文中应该评估的大系统设备运行。在网络安全、安全风险管理过程是至关重要的,因为考虑到网络安全威胁和风险的性质不断变化,没有设备,或者可以,完全安全。安全风险管理应该是一个制造商的质量体系的一部分。具体来说,近年要求,除此之外,制造商的流程解决设计(21 CFR 820.30),生产工艺的验证(21 CFR 820.70),和纠正或预防措施(21 CFR 820.100)。开云足球app下载官网最新版这些过程需要的技术、人员和管理实践,其中,制造商使用管理潜在的风险他们的设备,确保设备保持安全有效,其中包括安全。

特定的安全风险管理文档,FDA建议关于354年他们的范围和/或内容讨论了以下部分:

威胁建模
第三方软件组件开云官网入口下载手机版
安全评估未解决的异常
安全风险管理文档
TPLC安全风险管理

安全体系结构

制造商负责识别网络安全风险在他们的设备和系统,他们希望这些设备操作和实施适当的控制来缓解这些风险。这些风险可能包括那些由设备依赖医院引入网络,云基础设施,或“其他功能”(FDA的指导”中定义的多个功能设备产品:政策和注意事项),例如。开云足球app下载官网最新版FDA建议所有医疗设备提供和执行安全目标在第四节,上面,但认识到实现解决安全目标可能不同。

在本节中,FDA大纲推荐的安全控制和建议如何在上市前的提交文档的安全体系结构通过特定的安全体系结构的观点。

网络安全测试

与其他领域的产品开发,测试是用于演示控制缓解措开云足球app下载官网最新版施的有效性。在软件开发和开云官网入口下载手机版网络安全是密切相关的学科,网络安全控制需要测试超出标准软件验证和确认活动证明的有效性控制在一个合适的安全上下文,因此证明设备有一个合理的安全性和有效性的保证。

安全性测试文档和任何相关报告或评估应在提交上市前的提交。FDA建议以下类型的测试,其中,提供提交:

安全需求
缓解气候变化的威胁
漏洞测试
渗透测试

网络安全透明度

为了让用户在设备管理安全风险,通过最终用户或更大的风险管理框架内像NIST CSF,透明度是至关重要的,确保安全、有效的使用和设备和系统的集成。这种透明度可以通过标签和脆弱性管理计划的建立。然而,不同类型的用户(例如,制造商、服务商、病人,等等)会有不同的能力承担一个缓解的作用,和行动,以确保持续的网络安全的必要性应该适合用户的类型。

在本节中,FDA提供建议:

标签推荐设备与网络安全风险
漏洞管理计划

文森特Balgos之后:

总的来说,网络安全一直是近年来日益重要的问题。益百利数据违反(2017),万豪酒店的时候(2018年),和LinkedIn(2021),暴露敏感数据量以惊人的频率构成重大风险。在医疗领域,圣地亚哥斯克里普斯健康的网络攻击在我的家乡,CA,一些估计,预计将影响最小> 1亿美元。更重要的是,敏感的病人数据的潜在影响在公共领域是不可估量的。

在医疗器械方面,美国食品药品监督管理局发布了召回在各种设备上(胰岛素泵,心脏起搏器,等等)多年来引用网络安全风险。医疗设备技术的进步,以及互操作性变得越来越普遍,网络安全风险的机会是越来越多的礼物。

医药公司(或需要)开始考虑网络安全作为标准的商业实践的一部分。除了建议FDA指导草案中提到的,我们中的许多人在Jama软件看到医疗公司倡议,包括招聘网络安全专家积极支持这些努力,将一个专门的网络安全集中在整个风险管理过程,和/开云官网手机网页版入口或持续监测开云官网入口下载手机版产品和系统的潜在的利用。开云足球app下载官网最新版

因为一个漏洞可以有巨大的影响,网络安全的系统方法可以为不同程度的缓解提供有价值的观点。在复杂的系统中,有多个接口,数据流等,潜在漏洞以非线性的速度增加。

但如何衡量网络安全级别的产品的软件吗?开云官网入口下载手机版开云足球app下载官网最新版一个新兴的度量的普通危险得分系统(CVSS)评估软件漏洞的一个量化值。开云官网入口下载手机版有些组织可能包括这个CVSS设计要求在产品开发阶段。开云足球app下载官网最新版

这种方法积极整合了网络安全最佳实践在设计过程的早期,进而说明安全可追溯性设计,及其后续测试。Jama连开云官网手机网页版入口接,特别是我们的独特的能力创造生活的可追溯性在整个产品开发过程,这开云足球app下载官网最新版个网络安全要求可以不断监测(连同所有其他需求),以确保最终产品是安全的,有效的和安全的潜在的网络攻击。