您當前的位置:檢測資訊 > 科研開發
嘉峪檢測網 2021-08-23 12:48
醫療器械網絡安全的話題越來越熱門,而且現在各個國家監管機構都已經很重視醫療器械網絡安全的合規性,但是面對眾多的網絡安全要求,可能還有很多企業有點無從下手,不知道哪些文件是必須要學習的。下面小編就整理了關于醫療器械網絡安全入門級的指導原則或者標準,供大家參考學習。
基本概念
HIPAA(Health Insurance Portability and Accountability Act)
健康保險可攜帶與責任法案
美國HIPAA出臺之前,醫療衛生行業針對保護患者健康信息沒有通用的要求或安全標準。由于無規可循,醫療服務提供商不能自信地斷言病人敏感數據得到了適當保護。但在“健康保險可攜帶與責任法案”(HIPAA)經聯邦政府審議通過之后,醫療服務提供商便有了需要遵循的明確標準和要求,以確保妥善地保存、轉移和傳輸病例和病患信息。
安全規則需要適用于以電子形式接收、傳輸或存儲的可單獨識別的健康信息(稱為ePHI)包括:
- 隱私規則
- 交易規則和代碼集
- 唯一標識符規則(國家提供者標識符)
- 執行規則等等
HIPAA的“安全規則”針對其所涉及到的實體規定了保障措施,包括行政管理保障措施(Administrative Safeguards)、物理保障措施(PhysicalSafeguards)和技術保障措施(Technical Safeguards)。
Cybersecurity信息安全
信息安全-是防止未經授權的訪問、修改、誤用或拒絕的過程使用或未經授權使用存儲、訪問或從數據庫傳輸的信息向外部接受者提供醫療器械。
醫療器械網絡安全是指保持醫療器械相關數據的保密性(confidentiality)、完整性(integrity)和可得性(availability)
保密性:指數據不能被未授權的個人、實體利用或知悉的特性,即醫療器械相關數據僅可由授權用戶在授權時間以授權方式進行訪問;
完整性:指保護數據準確和完整的特性,即醫療器械相關數據是準確和完整的,且未被篡改;
可得性:指根據授權個人、實體的要求可訪問和使用的特性,即醫療器械相關數據能以預期方式適時進行訪問和使用。
另外,醫療器械網絡安全特性還包括真實性(authenticity)、可核查性(accountability)、抗抵賴(non-repudiation)和可靠性(reliability)等。
見GB/T 29246-2012。醫療器械的網絡安全應當符合相應法律法規和部門規章的要求。
醫療器械產品的網絡安全特性
應當基于醫療器械相關數據的類型、功能、用途、交換方式及要求,并結合醫療器械產品的預期用途、使用環境和核心功能以及預期相連設備或系統(如其它醫療器械、信息技術設備)的情況來確定醫療器械產品的網絡安全特性,并采用基于風險管理的方法來保證醫療器械產品的網絡安全:識別資產(asset,對個人或組織有價值的任何東西)、威脅(threat,可能導致對個人或組織產生損害的非預期事件發生的潛在原因)和脆弱性(vulnerability,可能會被威脅所利用的資產或風險控制措施的弱點),評估威脅和脆弱性對于醫療器械產品和患者的影響以及被利用的可能性,確定風險水平并采取適宜的風險控制措施,基于風險接受準則評估剩余風險。
(一)數據考量(數據類型及數據交換方式)
醫療器械相關數據從內容上可分為2種類型:
健康數據:標明生理、心理健康狀況的私人數據(“Private Data”,又稱個人數據“Personal Data”、敏感數據“Sensitive Data”,指可用于人員身份識別的相關信息),涉及患者隱私信息;
設備數據:描述設備運行狀況的數據,用于監視、控制設備運行或用于設備的維護保養,本身不涉及患者隱私信息。
醫療器械相關數據的交換方式可分為以下兩種情況:
網絡:通過網絡(包括無線網絡、有線網絡)進行電子數據交換或遠程控制,需要考慮網絡相關要求(如接口、帶寬等),數據傳輸協議需考慮是否為標準協議(即業內公認標準所規范的協議),遠程控制需考慮是否為實時控制;
存儲媒介:通過存儲媒介(如光盤、移動硬盤、U盤等)進行電子數據交換,數據儲存格式需考慮是否為標準格式(即業內公認標準所規范的格式)。
(二)技術考量
用戶訪問控制機制應當與醫療器械產品特性相適應,
包括但不限于用戶身份鑒別方法(如用戶名、口令等)、用戶類型及權限(如系統管理員、普通用戶、設備維護人員等)、口令強度設置、軟件更新授權等。
醫療器械相關數據在網絡傳輸或數據交換過程中應當保證保密性和完整性,同時平衡可得性的要求,特別是具有遠程控制功能的醫療器械。鑒于預期用途、使用環境的限制,醫療器械對于網絡安全威脅的探測、響應和恢復能力應當與醫療器械的產品特性相適應。
可采用加密、數字簽名、標準協議、校驗等技術來保證醫療器械的網絡安全。
可采用防火墻、入侵檢測和惡意代碼防護等技術來保證醫療器械的網絡安全。
醫療器械網絡安全能力建設可參照相關的國際、國家標準和技術報告,如IEC/TR 80001-2-2規范了十九項網絡安全能力:自動注銷(ALOF)、審核控制(AUDT)、授權(AUTH)、安全特性配置(CNFS)、網絡安全產品升級(CSUP)、健康數據身份信息去除(DIDT)、數據備份與災難恢復(DTBK)、緊急訪問(EMRG)、健康數據完整性與真實性(IGAU)、惡意軟件探測與防護(MLDP)、網絡節點鑒別(NAUT)、人員鑒別(PAUT)、物理鎖(PLOK)、第三方組件維護計劃(RDMP)、系統與應用軟件硬化(SAHD)、安全指導(SGUD)、健康數據存儲保密性(STCF)、傳輸保密性(TXCF)和傳輸完整性(TXIG)。
可根據醫療器械的產品特性考慮其網絡安全能力要求的適用性。
各個監管機構對于網絡安全的要求。
FDA的要求:
美國食品與藥物管理局在官網上詳細列舉了其近年來改進醫療設備網絡安全的相關措施,原因是FDA發現各類醫療設備既存在一定收益,也都帶來多種風險。對于美國食品與藥物管理局(簡稱FDA)而言,當能夠以合理方式確保受眾收益超過風險時,其即允許廠商將相關設備投放市場。如今,醫療設備正越來越多地與互聯網、醫院網絡以及其它醫療設備對接,旨在改善醫療保健效能并增強醫療服務機構為患者提供的診療能力。但在交付這些能力的同時,此類設備也將增強網絡安全威脅水平;與其它計算機系統一樣,醫療設備可能受到安全漏洞的影響,進而導致設備安全性與有效性遭到破壞。
FDA準備和實施了很多舉措,具體包括:
2017年5月18日至19日,FDA與國家科學基金會(簡稱NSF)以及國土安全部科學技術部(簡稱DHS,S&T)合作舉辦公共研討會,題為《醫療器械網絡安全:監管科學差距分析》。此次研討會的目標在于研究FDA目前正在參與的新興研究機遇; 促進利益相關方合作以確保監管科學挑戰; 討論應對這些挑戰的對應創新戰略; 同時鼓勵各利益相關方社區積極開發分析工具、流程與最佳實踐,從而提升醫療設備的安全水平。
2017年1月12日,FDA就《醫療器械上市后網絡安全管理》指南研討會,邀請各利益相關方出席以了解指導內容并提出相關疑問。此份指南的最終版本發布于2016年12月27日,其中向各制造商通報了FDA方面就醫療設備上市后,立足產品整體生命周期之內的市場營銷與分銷流程,提出的網絡安全漏洞結構化及全面管理方法層面的相關建議。
2018年10月18日,FDA發布《醫療器械上市前網絡安全管理》規定。此份指南性草案向行業提供關于網絡安全設備設計、標注以及FDA為可能存在網絡安全風險的設備在上市前申報文件中需要體現的建議性內容。
2018年10月,FDA為MITRE的《醫療設備網絡安全區域性事件準備與響應手冊》提供指導性支持。此份手冊描述了準備事務的具體類型,旨在幫助各醫療保健服務組織(簡稱HDO)更好地為涉及醫療設備的網絡安全事件做好準備,并為產品開發人員提供足以解決大規模、影響廣泛的安全事件的必要方法,最終避免事件對患者人身安全造成影響。
除此之外,FDA還與多家利益相關方簽訂了兩份新的諒解備忘錄,計劃建立起MedISAO與Sensato-ISAO兩大信息共享分析組織(簡稱ISAO)。這些共享分析組織的目標,在于為制造商提供與FDA共享關于潛在安全漏洞與新興威脅信息的機會,并通過盡早解決這些問題以幫助制造商更好地保護患者安全。
《醫療器械上市前網絡安全管理》General Principles一般原則
Address cybersecurity during design &development 在設計和開發過程中解決網絡安全問題
Identification of assets, threats, and vulnerabilities 識別資產、威脅和漏洞
Consider type & likelihoodvulnerabilities may result in patient harm 考慮漏洞的類型和可能性,以及可能導致病人的傷害
Assess the likelihood of exploit 評估傷害產生的可能性
Assess residual risk, risk acceptance 評估剩余風險,風險接受
Consider device intended use and useenvironment考慮設備的預期用途和使用環境
CybersecurityFunctions網絡安全功能:
Security controls appropriate for datainterfaces 適合于數據接口的安全控制
Balance security safeguards and usability 平衡安全保障和可用性
Security controls appropriate for intended 適合于目標用戶的安全控制
Security controls should not hinderintended use during emergency situations 安全控制不應妨礙在緊急情況下的預期使用
Detail security controls chosen for device 詳細的安全控制選擇設備
Justification for security controls chosenor not chosen 選擇或不選擇安全控制的理由
FDA把網絡安全風險歸為兩個類別:
Medical devices capable of connecting(wirelessly or hard-wired) to another device, to the Internet or other network,or to portable media (e.g. USB or CD) are more vulnerable to cybersecuritythreats than devices that are not connected.
• Tier 1 “Higher Cybersecurity Risk”
A device is a Tier 1 device if thefollowing criteria are met:
1)The device is capable of connecting(e.g., wired, wirelessly) to another medical or non-medical product, or to anetwork, or to the Internet; AND
1類是指該設備能夠連接(如有線、無線)到另一醫療或非醫療產品、網絡或Internet;和
2)A cybersecurity incident affecting thedevice could directly result in patient harm to multiple patients. 影響設備的網絡安全事件能直接導致對多名患者的傷害植入式心律轉復除顫器(ICDs)、起搏器、左心室輔助設備(LVADs)、大腦刺激器和神經刺激器、透析設備、 輸液和胰島素泵,以及與這些設備交互的支持連接系統,如家庭監測器,以及具有命令和控制功能的系統
• Tier 2 “Standard Cybersecurity Risk”
• A medical device for which the criteria fora Tier 1 device are not met.其它的設備都是2類。
《醫療器械上市后網絡安全管理》:FDA Post-Market Guidance
• Applies to any marketed and distributedmedical device including 適用于任何市場銷售和分布式醫療設備,包括:
– Medical devices that containsoftware, firmware, or programmable logic
包含軟 件、固件或可編程邏輯的醫療設備
– Software that is a medicaldevice, including mobile medical applications醫療設備軟件,包括移動醫療應用程序
– Medical devices that areconsidered part of an interoperable system 被認為是可互操作系統的一部分的醫療設備
– Legacy devices - devicesalready on the market or in use. 遺留設備 - 已經上市或正在使用的設備。
• Emphasizes that manufacturers shouldmonitor, identify, and address cybersecurity vulnerabilities and exploits aspart of their postmarket management of medical devices 強調制造商應監控、識別和解決網絡安全漏洞和漏洞,作為醫療設備上市后管理的一部分
• Establishes a risk-based framework forassessing when changes to medical devices for cybersecurity vulnerabilitiesrequire reporting to the Agency 建立一個基于風險的框架,用于評估醫療設備的網絡安全漏洞何時需要向機構報告
• Outlines circumstances in which FDA doesnot intend to enforce reporting requirements under 21 CFR part 806. 以概述FDA不打算在21 CFR第806部分下強制執行報告要求的情況。
• In order to demonstrate a reasonableassurance of safety and effectiveness for software devices, documentationrelated to the requirements of the Quality System Regulation (QSR) (21 CFR Part820) is often a necessary part of the premarket submission. 為了證明對軟件設備的安全性和有效性的合理保證,與質量體系規范(QSR) (21 CFR Part 820)要求相關的文檔通常是上市前提交的必要部分
• As part of QSR design controls, amanufacturer must “establish and maintain procedures for validating the devicesdesign,” which “shall include software validation and risk analysis, whereappropriate.” 21 CFR 820.30(g).
• 制造商必須“建立和維護驗證設備設計的程序”,其中“應包括軟件驗證和風險分析”
• As part of the software validation and riskanalysis required by 21 CFR 820.30(g), software device manufacturers may needto establish a cybersecurity vulnerability and management approach
• 作為21 CFR 820.30(g)要求的軟件驗證和風險分析的一部分,軟件設備制造商可能需要建立網絡安全漏洞和管理方法
• FDA recommends that this approach include aset of cybersecurity design controls to ensure medical device cybersecurity andmaintain medical device safety and effectiveness.確保醫療設備的網絡安全,并保持醫療設備的安全和有效性
– 21 CFR part 820: QualitySystem Regulation
– 21 CFR part 820.198: Complaint handling
– 21 CFR part 820.22: Quality audit
– 21 CFR part 820.100: CAPA
– 21 CFR part 820.30(g): Software validation and risk analysis
– 21 CFR 820.200: Servicing
歐盟要求
指導原則:MDCG2019-16 醫療器械網絡安全指導原則
醫療器械協調工作組(MDCG)前期發布了“醫療器械信息安全指南, 2019年12月”。該指南不具有法律約束力,但公告機構必須遵循。這意味著您作為制造商也需要遵循。不幸的是,該指南并未就如何處理該問題提出明確的框架,而是概述了也可在其他資源中找到的要求和方法,例如:
uISO /IEC 80001-1風險管理在包含醫療器械的IT網絡中的應用
uIEC /TR 80001-2-2風險管理在包含醫療器械的IT網絡中的應用第2-2部分:醫療器械安保需求、風險和控制的披露和溝通指南。
uAAMITIR 57醫療器械安保原則-風險管理
MDCG指南把MDR一般安全和性能要求(GSPR)關聯了起來。介紹了深度防御,良好網絡安全防范 (FDA指導中的基本安全防范)以及網絡安全風險與產品安全風險之間的關系這樣一些概念。
還引入可用性工程與網絡安全之間的聯系:脆弱性被視為合理可預見的濫用的促成因素。
MDCG指南提出了6個最佳實踐,主要使用了ISO 13485和IEC 62304中的設計和維護過程中步驟:
1 管理上的安全
-ISO13485 4.1,用于安全風險管理過程;
-IEC62304 5.1:軟件開發計劃;
-IEC62304 6.1:軟件維護
2 安全要求規范
-IEC62304 5.2:軟件需求分析
3 通過設計確保安全,包括深度防御
-IEC62304 5.3:軟件體系結構;
4安全實施
-IEC62304 5.4:軟件詳細設計;
-IEC62304 5.5:軟件實施和單元驗證;
-以及SOUP管理的正確性
5安全驗證和確認
-IEC62304 5.6:軟件集成測試;
-IEC62304 5.7:軟件系統驗證;
6安全相關問題的管理
-IEC62304 6.2:問題和修改分析;
-IEC62304 9:問題解決
7安全更新管理
-IEC 623046.3:修改實施;
-IEC62304 8.2:變更控制;
8 安全準則
-5.8軟件發布;
-以及軟件文檔,請參閱IEC 82304-1第7節。
指南也提到驗證與確認
安全驗證和確認測試的主要手段還是測試,方法可以包括安全功能測試、模糊測試,漏洞掃描和滲透測試。額外的安全測試可以通過使用安全的代碼分析工具和工具,掃描開放源代碼和庫中使用的產品,確定組件與已知問題。
指南也描述了關于說明書,PMS和警戒等內容。
彩蛋:如果大家有時間,建議仔細研究2020.4.20,IMDRF就醫療器械網絡安全發布的官方指南——《醫療器械網絡安全原則與實踐》(Principles and Practicesfor Medical DeviceCybersecurity),這個在全球監管協調方面具有重要且特別的意義。
中國NMPA要求
目前我們主要還是參考《醫療器械網絡安全注冊技術審查指導原則》,這個原則適用于醫療器械網絡安全,包括具有網絡連接功能以進行電子數據交換或遠程控制的第二類、第三類醫療器械產品,其中網絡包括無線、有線網絡,電子數據交換包括單向、雙向數據傳輸,遠程控制包括實時、非實時控制。也適用于采用存儲媒介以進行電子數據交換的第二類、第三類醫療器械產品,其中存儲媒介包括但不限于光盤、移動硬盤和U盤。
醫療器械網絡安全是指保持醫療器械相關數據的保密性(confidentiality)、完整性(integrity)和可得性(availability).
通過之前的介紹,相信大家對于醫療器械網絡安全的基本概念和各監管機構的要求已經有了初步的認知。接下來,請同小編一起實踐探討準備網絡安全文檔。
(一)基本考量
網絡安全更新(包括自主開發軟件和現成軟件)根據其對醫療器械的影響程度可分為以下兩類:
1.重大網絡安全更新:影響到醫療器械的安全性或有效性的網絡安全更新;
2.輕微網絡安全更新:不影響醫療器械的安全性與有效性的網絡安全更新,如常規安全補丁。
(二)網絡安全描述文檔
1.基本信息
描述醫療器械產品的相關信息:
(1)類型:健康數據、設備數據;
(2)功能:電子數據交換(單向、雙向)、遠程控制(實時、非實時);
(3)用途:如臨床應用、設備維護等;
(4)交換方式:網絡(無線網絡、有線網絡)及要求(如傳輸協議(標準、自定
義)、接口、帶寬等),存儲媒介(如光盤、移動硬盤、U盤等)及要求(如存儲格式(標準、自定義)、容量等);對于專用無線設備(非通用信息技術設備),還應提交符合無線電管理規定的證明材料;
(5)安全軟件:描述安全軟件(如殺毒軟件、防火墻等)的名稱、型號規格、完整版本、供應商、運行環境要求;
(6)現成軟件:描述現成軟件(包括應用軟件、系統軟件、支持軟件)的名稱、型號規格、完整版本和供應商。
2.風險管理
提供醫療器械網絡安全風險管理的分析報告和總結報告,確保全部剩余風險均是可接受的。
3.驗證與確認
提供網絡安全測試計劃和報告,證明醫療器械產品的網絡安全需求(如保密性、完整性、可得性等特性)均已得到滿足。同時還應提供網絡安全可追溯性分析報告,即追溯網絡安全需求規范、設計規范、測試、風險管理的關系表。
對于安全軟件,應提供兼容性測試報告。
對于標準傳輸協議或存儲格式,應提供標準符合性證明材料,而對于自定義傳輸協議或存儲格式,應提供完整性測試總結報告。
對于實時遠程控制功能,應提供完整性和可得性測試報告。
4.維護計劃
描述軟件(含現成軟件)網絡安全更新的維護流程,包括更新確認和用戶告知。
(三)常規安全補丁描述文檔
提交軟件(含現成軟件)常規安全補丁的情況說明(補丁描述、影響分析、用戶告知計劃)、測試計劃與報告、新增已知剩余缺陷情況說明(證明新增風險均是可接受的)。
來源:談質說法
