Cybersecurity
Oferujemy następujące usługi doradcze w tym zakresie:
Wyroby objęte zakresem:
•
Sprzęt medyczny zawierający oprogramowanie
•
Oprogramowanie jako wyrób medyczny
Obszar usług:
•
Dokumentacja związana z cyberbezpieczeństwem
•
Testy cyberbezpieczeństwa
•
Ocena ryzyka interoperacyjności, weryfikacja i walidacja
•
Inne testy wydajnościowe (np. analiza i testy sieciowe)
Obowiązujące normy i wytyczne:
•
Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions
•
Postmarket Management of Cybersecurity in Medical Devices
•
AAMI TIR57:2016
•
NIST SP 800-30
•
ANSI/ISA 62443-4-1
•
Framing Software Component Transparency: Establishing a Common Software Bill of Materials (SBOM)”
•
AAMI/UL 2900-1:201
•
IEC 810001-5-1: 2021
•
FDA eSTAR Version 5.1
Co należy uwzględnić w dokumentacji i testach cyberbezpieczeństwa?
Od 8 stycznia 2024 r., w celu uzyskania zatwierdzenia FDA dla sprzętu medycznego z funkcjonalnością oprogramowania lub dla oprogramowania jako wyrobu medycznego, dokumentacja i testy muszą obejmować wszystkie dziewięć poniższych sekcji wraz z podsekcjami:
1.
Zarządzanie ryzykiem
•
Raport
•
Modelowanie zagrożeń
•
Ocena ryzyka cyberbezpieczeństwa
•
SBOM (Software Bill of Materials) i powiązane informacje
1.
Ocena nierozwiązanych anomalii
2.
Metryki cyberbezpieczeństwa
3.
Środki kontroli cyberbezpieczeństwa
•
Mechanizmy uwierzytelniania
•
Mechanizmy autoryzacji
•
Mechanizmy kryptograficzne
•
Mechanizmy zapewnienia integralności kodu, danych i wykonywania
•
Mechanizmy zapewnienia poufności
•
Mechanizmy wykrywania zdarzeń(logowania)
•
Mechanizmy odporności i odtwarzania (resiliency and recovery)
•
Mechanizmy aktualizacji oprogramowania i firmware
1.
Widoki architektury - (Architektura: diagram bazowy ilustrujący strukturę oprogramowania oraz sposób jego działania)
2.
Testy cyberbezpieczeństwa
3.
Oznakowanie cyberbezpieczeństwa
4.
Plan zarządzania cyberbezpieczeństwem
5.
Interoperacyjność
Co należy uwzględnić w testach cyberbezpieczeństwa?
Producenci muszą dostarczyć dokumentację testów cyberbezpieczeństwa, obejmującą m.in. testowanie wymagań bezpieczeństwa, testy łagodzenia zagrożeń, testy podatności oraz testy penetracyjne. W przypadku nieprzeprowadzania określonych testów należy przedstawić uzasadnienie.
Dokumenty i raporty wymagane do testów bezpieczeństwa:
1.
Wymagania dotyczące bezpieczeństwa (Security Requirements)
•
Należy dostarczyć dowody potwierdzające prawidłową implementację każdego z wymagań wejściowych projektu.
•
Należy przedstawić dowody przeprowadzenia analizy granic systemu oraz uzasadnienie dla przyjętych założeń granicznych.
•
Analiza granic: proces definiowania i analizowania granic cyberbezpieczeństwa (fizycznych i logicznych) między wyrobem medycznym a systemami lub sieciami, z którymi wchodzi w interakcje.
•
Założenia graniczne: przyjęte założenia dotyczące projektowania pod kątem cyberbezpieczeństwa, np. bezpieczeństwa sieci, środowiska operacyjnego i zachowań użytkowników związanych z bezpieczeństwem.
1.
Łagodzenie zagrożeń (Threat Mitigation)
•
Dowody z testów muszą wykazać skuteczność środków kontroli ryzyka zgodnie z modelem zagrożeń dostarczonym przez systemy globalne. Obejmuje to m.in. ochronę przed szkodami u wielu pacjentów jednocześnie, możliwości aktualizacji i naprawy (patchingu) oraz bezpieczne scenariusze użytkowania.
•
Należy zapewnić adekwatność każdej kontroli ryzyka cyberbezpieczeństwa (np. egzekwowanie polityk bezpieczeństwa, wydajność przy maksymalnym obciążeniu, stabilność i niezawodność).
1.
Testy podatności (Vulnerability testing) (np. sekcja 9.4 ANSI/ISA 62443-4-1)
Należy dostarczyć szczegółowe informacje i dowody dotyczące różnych testów i analiz, w tym przypadków nadużycia lub niewłaściwego użycia, nieprawidłowych i nieoczekiwanych danych wejściowych, testów odporności, testów typu fuzzing, analizy powierzchni ataku, łańcuchowania podatności, zamkniętych testów pod kątem znanych podatności, analizy składu oprogramowania plików binarnych oraz statycznej i dynamicznej analizy kodu.
1.
Testy penetracyjne (Penetration testing)
•
Testy mają na celu identyfikację i klasyfikację problemów związanych z bezpieczeństwem poprzez wykrywanie i wykorzystanie podatności produktu.
•
Raporty z testów muszą zawierać informacje o niezależności i kompetencjach technicznych testera, zakresie testów, czasie ich trwania, metodach, wynikach, wnioskach i obserwacjach.
•
W raporcie należy określić stopień niezależności testera względem zespołu projektowego wyrobu, wykorzystanie testerów wewnętrznych lub zewnętrznych oraz ewentualny udział strony trzeciej w celu zapewnienia niezależności.
•
We wszystkich testach producenci muszą dostarczyć ocenę wyników (np. podatności i anomalie) oraz uzasadnienie dla nieuwzględnienia niektórych wyników lub odłożenia ich do przyszłych wydań.
Zapewniamy wsparcie techniczne wspomagające zarządzanie ryzykiem cyberbezpieczeństwa.
Skontaktuj się z nami już dziś, aby zyskać profesjonalne wsparcie.
Postaw na bezpieczeństwo, które zapewnia partnerstwo z doświadczonym liderem w obszarze rejestracji wyrobów medycznych.