IMDRF/CYBER WG/N60FINAL:2020 医疗器械网络安全的原则和实践
2022-09-13 09:09:08 2 举报IMDRF/CYBER WG/N60FINAL:2020 Principles and Practices for Medical Device Cybersecurity 医疗器械医疗器械网络安全的原则和实践 标准学习笔记
作者其他创作
大纲/内容
介绍
上市前部分:主要针对医疗器械制造商
上市后部分:包括对所有利益相关者的建议
范围
包括独立软件和软件组件的网络安全
仅限于考虑对患者造成伤害的可能性
范围外:企业网络安全不在本文档范围之内
范围外:其他类型的危害(例如与破坏数据隐私相关的危害)很重要,但不属于本文档的范围
GDPR介绍
GDPR.EU
GDPR.模板.检查表
GDPR.模板.隐私通知
GDPR.模板.删除请求表单的权利
GDPR.模板.数据处理协议
定义
3.1 资产
对个人,组织或政府有价值的实体或数字实体
3.2 攻击
尝试销毁,暴露,更改,禁用,窃取或未经授权访问资产或未经授权使用资产的行为
3.3 认证方式
提供有关实体所声称的特征正确的保证
3.4 真实性
实体所声称的属性
3.5 授权
授予特权,包括授予访问数据和功能的特权
3.6 可用性
授权实体可按需访问和使用的属性
3.7 补偿风险控制措施(同步补偿控制)
替代或不作为设备设计一部分实施的风险控制措施,
而部署的特定类型的风险控制措施
而部署的特定类型的风险控制措施
3.8 保密
不向未经授权的个人,实体或过程提供或披露信息的财产
3.9 漏洞披露机制(CVD)
研究人员和其他有关方面与制造商合作,
以寻找降低与漏洞披露有关的风险的解决方案的过程
以寻找降低与漏洞披露有关的风险的解决方案的过程
3.10 网络安全
一个声明保护信息和系统免受未经授权的活动(例如访问,使用,公开,破坏,修改或破坏)的程度,
以使与机密性、完整性和可用性相关的风险,在整个生命周期中保持在可接受的水平。
以使与机密性、完整性和可用性相关的风险,在整个生命周期中保持在可接受的水平。
3.11 寿命终止(EOL)
产品的生命周期阶段,从制造商不再销售产品开始,超过制造商定义的使用寿命,
产品已经过正式的EOL流程,包括通知用户。
产品已经过正式的EOL流程,包括通知用户。
3.12 终止支持(EOS)
产品的生命周期阶段 从制造商终止所有服务支持活动开始,并且服务支持不会超出此范围。
3.13 基本性能
除了基本安全性以外的临床功能的性能,其中损失或降级超出制造商指定的限制会导致不可接受的风险。
3.14 利用
定义的通过漏洞破坏信息系统安全的方法
3.15 诚信
属性,自创建,传输或存储以来,未经授权就不得更改数据
3.16 陈旧医疗设备(同步旧版设备)
无法合理防御当前网络安全威胁的医疗设备
3.17 不可否认
证明要求保护的事件或动作及其原始实体的发生的能力
3.18 病人危害
人身伤害或对患者健康的损害
3.19 隐私
当入侵,是由于不当或非法收集和使用有关该人的数据,而导致的侵犯其私生活或事务的自由
3.20 威胁
潜在的违反安全性的情况,当存在可能违反安全性并造成伤害的情况,能力,动作或事件时存在
3.21 威胁建模
探索过程,以破坏,泄露,修改数据或拒绝服务的形式暴露任何可能对系统造成损害的情况或事件
3.22 更新
对医疗设备软件进行的纠正性,预防性,适应性或完善性修改
3.23 验证
通过提供客观证据确认已满足特定预期用途或应用的要求
3.24 确认
通过提供客观证据确认已满足指定要求
3.25 漏洞
可以被一种或多种威胁利用的资产或控件的弱点
CERT:计算机应急响应小组
CSIRT:计算机安全事件响应小组
ISAO:信息共享分析组织
CVSS:通用漏洞评分系统
一般原则
从最初构想到EOS,应在医疗设备生命周期的各个阶段都考虑与网络安全威胁和漏洞相关的风险。
在TPLC的各个阶段中评估和缓解网络安全风险,包括但不限于设计、制造、测试和上市后监测活动。
医疗器械网络安全是制造商、医疗保健提供商、用户、监管者和漏洞发现者等利益相关者之间的共同责任。
所有利益相关者必须了解自己的责任,并与其他利益相关者密切合作,以在TPLC中持续监视、评估、缓解、交流和应对潜在的网络安全风险和威胁。
网络安全信息共享是TPLC处理安全医疗设备的基本原则
鼓励所有负责任的利益相关者积极参与ISAO组织,以促进网络安全事件、威胁和漏洞的协作和交流
上市前注意事项
5.1 安全要求和架构设计
在设计阶段主动解决网络安全威胁,
这些设计输入可以来自产品生命周期的各个阶段,
例如需求捕获,设计验证测试或上市前和上市后的风险管理活动,还有确定安全需求
这些设计输入可以来自产品生命周期的各个阶段,
例如需求捕获,设计验证测试或上市前和上市后的风险管理活动,还有确定安全需求
《设计其产品时应考虑的一些设计原则》
1.安全通讯
应考虑该设备如何与其他设备或网络接口通讯
应考虑可验证所有输入(不只是外部)的设计功能,
并考虑与仅支持不太安全的通信的设备和环境的通信,
并考虑与仅支持不太安全的通信的设备和环境的通信,
应考虑如何确保与设备之间的数据传输安全,
以防止未经授权的访问,修改或重放。
以防止未经授权的访问,修改或重放。
2.数据保护
应考虑存储在设备上或从设备传输的安全相关数据,是否需要某种级别的保护
应考虑是否需要采取机密性风险控制措施,来保护通信协议中的消息控制/排序字段,或防止损害加密密钥材料。
3.设备完整性
应评估系统级体系结构,以确定是否需要设计确保数据不可否认性的功能
应考虑设备完整性的风险
应考虑使用诸如反恶意软件之类的控件来防止病毒、间谍软件、勒索软件、
以及在设备上执行的其他形式的恶意代码。
以及在设备上执行的其他形式的恶意代码。
4.用户认证
应考虑用户访问控制,以验证谁可以使用该设备,或允许将特权授予不同的用户角色,或在紧急情况下允许用户访问。
此外,不应在设备和客户之间共享相同的凭据。
5.软件维护
应建立并传达用于实施和部署定期更新的过程
应考虑如何更新或控制操作系统软件,第三方软件或开源软件
应计划如何响应超出其控制范围的软件更新或过时的操作环境
应考虑如何更新设备,以防止新发现的网络安全漏洞。例如,可以考虑更新是需要用户干预还是由设备启动,以及如何验证更新以确保对设备的安全性和性能没有不利影响。
6.物理访问
应考虑采取控制措施,以防止未经授权的人员访问设备。
7.可靠性和可用性
应考虑允许设备检测,抵抗,响应并从网络安全攻击中恢复的设计功能,以保持其基本性能。
5.2 TPLC的风险管理原则
在医疗设备风险管理过程中,也应考虑影响设备安全和基本性能,对临床操作产生负面影响或导致诊断或治疗错误的网络安全风险。
AAMI TIR57:2016中的安全风险管理流程
可以是作为整体风险管理的一部分执行的专门风险管理过程;
也可以是ISO 14971:2019风险管理过程的组成部分,
并适当地映射了漏洞,威胁和其他与安全相关的术语。
也可以是ISO 14971:2019风险管理过程的组成部分,
并适当地映射了漏洞,威胁和其他与安全相关的术语。
有关可能的映射,请参见ISO / TR 24971:2020附件F。
风险分析:应着重于通过考虑以下因素评估患者伤害的风险:
a.网络安全漏洞的可利用性;
b.如果要利用该漏洞的患者伤害的严重性;
这些分析还应考虑补偿性控制措施和风险缓解措施。
风险评估将设计与威胁建模,患者伤害,缓解和测试联系起来。
因此,重要的是建立安全的设计架构,以便可以适当地管理风险。
此评估中可以利用许多工具和方法,包括但不限于:
因此,重要的是建立安全的设计架构,以便可以适当地管理风险。
此评估中可以利用许多工具和方法,包括但不限于:
安全风险评估
制造商应在整个产品生命周期中考虑网络安全风险,威胁和控制。
如果适用,则可以将网络安全要求与特定设备的网络安全威胁和漏洞交叉引用,
前提是这些要求可以缓解已确定的危害。
前提是这些要求可以缓解已确定的危害。
威胁建模
威胁建模是用于识别,枚举和缓解设备和系统中潜在威胁所带来的风险的过程。
在生成威胁模型和根据OWASP的指导时,
设备制造商应考虑回答与网络安全有关的四个基本问题:
设备制造商应考虑回答与网络安全有关的四个基本问题:
a.我们在建什么?
b.有什么问题吗?
c.我们该怎么办?
d.我们做得足够好吗?
在确定,威胁建模期间,可能出问题的地方时,
制造商应考虑软件和硬件的意外或恶意配置错误
制造商应考虑软件和硬件的意外或恶意配置错误
威胁建模包括对风险的考虑,包括但不限于与供应链(例如,系统组件),设计,生产,部署(例如,进入医院环境)和维护有关的风险。
此外,创建足够详细的系统图有助于理解如何将网络安全设计元素合并到设备中,从而进一步帮助进行威胁建模。
此外,创建足够详细的系统图有助于理解如何将网络安全设计元素合并到设备中,从而进一步帮助进行威胁建模。
漏洞评分
在设计和开发中发现的已知常见漏洞和暴露(CVE)
应该使用一致的漏洞评分方法进行分析和评估。
应该使用一致的漏洞评分方法进行分析和评估。
CVSS介绍
文字介绍
3.1版评分方法
中文介绍
举例
漏洞公布举例
漏洞公布举例
打分截图
常见漏洞公布平台
局限性
将严重性与 “风险” 混淆
CVSS 及其相关标准和示例是为企业信息技术系统开发的,没有充分反映临床环境和潜在的患者安全影响。
将 CVSS 应用于医疗设备的专栏
基于 Web 的在线计算工具
其他评分系统(仅供参考)
腾讯TSRC
360SRC
5.3 安全测试
安全测试是安全开发框架的组成部分;
有关测试注意事项的其他详细信息可以以下标准中找到。
有关测试注意事项的其他详细信息可以以下标准中找到。
AAMI TIR57:2016,
IEC TR 80001-2-2,IEC TR 80001-2-8,
ISO 27000系列以及NIST发布的资源(例如NIST的安全软件开发框架)
《设计其产品时应考虑的一些高级注意事项》
a.在开发过程中,在软件组件/模块上
执行目标搜索,以查找已知漏洞或软件弱点
执行目标搜索,以查找已知漏洞或软件弱点
b.进行技术安全分析(例如,渗透测试)
c.完成漏洞评估
5.4 TPLC 网络安全管理计划
包括:主动监控,识别和解决漏洞和漏洞利用;
在产品开发的上市前阶段应制定计划,并在整个制造商组织中保持理想状态
在产品开发的上市前阶段应制定计划,并在整个制造商组织中保持理想状态
该计划应解决:
a.TPLC警惕性
b.漏洞披露
c.更新和修复
d.恢复
e.信息共享
5.5 标签和客户安全文档
5.5.1 标签
应包括以下元素:
a.与适用于预期使用环境的建议网络安全控制相关的,设备说明和产品规格
b.有关备份和还原功能,以及重新获得配置的过程的说明。
c.预期将接收和/或发送数据的网络端口和其他接口的列表,
以及端口功能的描述,
以及端口是传入还是传出的
以及端口功能的描述,
以及端口是传入还是传出的
d.面向最终用户的、足够详细的,系统图
5.5.2 客户安全文档
应包括以下元素:
a.针对用户的支持基础架构要求的特定指南,
以便设备可以按预期运行。
以便设备可以按预期运行。
b.使用安全配置对设备进行或可以对其进行加固的说明。
c.在适当的地方,允许安全网络(连接)部署和服务的技术说明,
以及关于用户如何在检测到网络安全漏洞或事件后做出响应的说明。
以及关于用户如何在检测到网络安全漏洞或事件后做出响应的说明。
d.在可行的情况下,当检测到异常情况(即安全事件)时,
设备或支持系统将如何通知用户的说明。
设备或支持系统将如何通知用户的说明。
e.对经过身份验证的特权用户,保留和恢复设备配置的方法的说明。
f.适用时,安全风险和安全配置或使用环境更改的后果-授权用户从制造商下载和安装更新的系统过程的说明。
g.有关设备网络安全支持终止的信息(如果已知)(请参阅第6.6节,旧版医疗设备)。
h.软件物料清单(SBOM),用于通知和支持操作员有关医疗设备中包含的商业,开源或现成软件组件的网络安全性。
5.6 法规提交文件
5.6.1 设计文档
描述设备的文档,包括任何接口或通信路径或组件(硬件和软件),
以及为减轻与患者伤害有关的网络安全风险而包括的所有设计功能,
以及为减轻与患者伤害有关的网络安全风险而包括的所有设计功能,
5.6.2 风险管理文档
清楚描述网络安全威胁和漏洞的文档,相关风险的估计,减轻这些风险的现有控制措施的描述以及证明这些控制措施已经过充分测试的证据。
具体而言,应向监管机构提交与网络安全相关的风险管理文档,并参考相关标准(例如AAMI TIR57:2016,AAMI TIR97:2019),
结果应与ISO 14971:2019的总体要求保持一致,以确保可以将输出用作整体风险管理的输入。
结果应与ISO 14971:2019的总体要求保持一致,以确保可以将输出用作整体风险管理的输入。
与网络安全有关的风险管理文件可以包括:
• 全面的风险管理文档,例如风险管理报告或安全风险管理报告,其中应包括任何威胁模型以及已识别的网络安全威胁。
• 讨论减轻安全风险对其他风险管理的影响。
• 全面的风险管理文档,例如风险管理报告或安全风险管理报告,其中应包括任何威胁模型以及已识别的网络安全威胁。
• 讨论减轻安全风险对其他风险管理的影响。
5.6.3 安全测试文档
测试报告总结了为验证设备的安全性和所有安全控制措施的有效性而执行的所有测试。
特定测试的详细信息,例如交叉引用软件组件或具有已知漏洞数据库的子系统,可以在上面的5.3节中找到,
所有测试文档都应包含:
a.测试方法、结果和结论;
b.安全风险、安全控制和测试之间的可追溯性矩阵,以验证这些控制;
c. 任何标准和SOP/文档的引用。
5.6.4 TPLC 网络安全管理计划文档
设备维护计划的摘要,描述了上市后的流程,制造商将通过这些流程来确保设备在其整个生命周期内的持续安全性和性能。
这些计划的流程可能包括:
a.TPLC警惕性、计划或纠正的更新;
b.漏洞披露机制;
c.信息共享
a.TPLC警惕性、计划或纠正的更新;
b.漏洞披露机制;
c.信息共享
详见5.4
5.6.5 标签和客户安全文档
上市后注意事项
6.1 预期使用环境中的操作设备
6.1.1 医疗保健提供者和患者
a.医疗保健提供者采用的网络安全最佳做法
b.针对所有用户的培训教育
6.1.2 医疗器械制造商
除了产品标签和客户安全文档(详见5.5)的信息外,以确保设备的最佳部署和配置
6.2 信息共享
6.2.1 关键原则
a.与医疗设备安全性有关的信息,应与需要该信息的任何人共享
b.共享的信息应保持平衡,以便对不同的利益相关者有意义、可消耗且可操作
c.信息应自由共享,并在适当的时候真诚地进行共享
d.确保尽可能在全球范围内(视情况而定)同步共享全球一致的信息
6.2.2 主要利益相关者
a.监管者
与医疗设备安全性相关的信息的主要接收者,并且经常参与信息传播。
应旨在建立鼓励及时披露与医疗设备网络安全有关的信息的流程,
包括在监管机构之间共享信息,以促进全球协调响应。
包括在监管机构之间共享信息,以促进全球协调响应。
b.医疗器械制造商
无论漏洞信息来自何处,都应识别、评估和共享漏洞信息。
鼓励制造商共享任何有助于监管机构管理期望并促进监管要求的信息
鼓励制造商共享任何有助于监管机构管理期望并促进监管要求的信息
应旨在同步分发受影响产品的所有监管机构的通知,以确保全球一致的信息,
并在适当时确保全球一致的响应。
并在适当时确保全球一致的响应。
应该以通俗易懂的语言为目标用户提供适当的阅读水平,以传达有关医疗设备网络安全漏洞和威胁的可行信息。
这可能需要包括有关与部署更新或补偿在更新可用之前所需的控制相关的临床收益和风险的信息。
这可能需要包括有关与部署更新或补偿在更新可用之前所需的控制相关的临床收益和风险的信息。
c.医疗保健机构
d.用户
(例如临床医生,患者,护理人员和消费者)
通常是最终决定是否执行更新或其他更正。
因此,他们需要清晰而有意义的信息,以便可以做出明智的决定。
因此,他们需要清晰而有意义的信息,以便可以做出明智的决定。
e.其他利益相关者,包括政府和信息共享实体
执法部门、国家安全部门和其他政府机构可能需要,
在政府各部门之间共享医疗设备网络安全威胁和漏洞信息,
以保护医疗保健和其他关键基础设施。
在政府各部门之间共享医疗设备网络安全威胁和漏洞信息,
以保护医疗保健和其他关键基础设施。
收集或共享信息或提供安全建议或专业知识的实体,也可以是安全信息和支持资源的重要来源。
可能是政府或私人组织。
6.2.3 信息类型
共享的信息可能包括但不限于:
a.有关受漏洞影响的产品及其受影响方式;
b.有关其他产品中使用的组件漏洞的信息;
c.有关可能影响医疗设备安全性的IT设备的信息;
d.有关利用代码攻击、潜在攻击和漏洞可用性的信息;
e.事件确认(例如,“您也看到吗?”);
f.补丁和其他安全缓解措施(如补偿控件)的可用性;
g.关于使用和集成医疗设备作为临时措施的附加说明
还应包括可能减轻威胁的做法和方法
6.2.4 可信沟通
必要时应达成书面协议,共享信息以提高安全性和患者安全;
共享信息不得用于获得商业利益;
鼓励信息共享的一种方法是提供匿名共享
共享信息不得用于获得商业利益;
鼓励信息共享的一种方法是提供匿名共享
6.3 漏洞披露机制CVD
CVD机制
6.3.1 医疗器械制造商
漏洞信息来源
政府监管机构提供的CVD
考虑国内情形
参考网络安全技术审查指导原则
参考网络安全技术审查指导原则
国家互联网应急中心(CNCERT/CC)
国家信息安全漏洞共享平台(CNVD)
经制造商评估后,应通过客户公告、通知或其他方式及时开发和分发信息
漏洞数量不是制造商网络安全状况的指标,
而是其响应的一致性和及时性
而是其响应的一致性和及时性
制造商应:
监视网络安全信息源
识别和检测网络安全漏洞
识别和检测网络安全漏洞
CVD的实践(ISO/IEC 29147)
建立和交流漏洞获取和处理流程(ISO/IEC 30111)
要求:
清晰、一致、可重复
清晰、一致、可重复
漏洞评估
根据已建立的安全性(如CVSS)和临床风险评估方法(如ISO 14971)。
制定补救措施,或
制定漏洞缓解措施和/或补偿控制措施(包括建立报告部署失败和回滚更改的方法)
与监管机构合作(在需要时)
向利益相关者传达有关漏洞的描述
包括范围,影响,基于制造商当前的了解的风险评估,并描述漏洞缓解措施和/或补偿控制措施。
利益相关者应随着情况的变化而更新
6.3.2 监管者
6.3.3 漏洞发现者
Step1.发现漏洞
Step2.直接向相关制造商或协调的第三方(例如适当的政府实体)报告
Step3.制造商会在评估和补救过程中协调漏洞发现者并与之沟通
Step4.漏洞发现者和制造商应协调公开披露漏洞
根据美国国家电信和信息管理局(NTIA)/美国商务部的规定,
只要制造商对发现者做出响应,并且没有证据表明存在使用该漏洞的野蛮攻击,
那么CVD意味着该漏洞的发现者只有在修复或采取其他缓解措施后才披露它。
那么CVD意味着该漏洞的发现者只有在修复或采取其他缓解措施后才披露它。
如果发现者在修复之前先披露了漏洞,则发现者和制造商至少应:
协调描述可能的缓解措施,使包括医疗保健提供者和/或患者在内的用户,处于最有权力的地位,以使安全可靠地操作其设备
协调描述可能的缓解措施,使包括医疗保健提供者和/或患者在内的用户,处于最有权力的地位,以使安全可靠地操作其设备
6.4 漏洞修复
6.4.1 医疗器械制造商
a.风险管理
ISO 14971实践应用于评估漏洞的网络安全风险,
然后,通过建立与风险管理相关的网络安全风险管理流程,
来确定制造商和监管机构对患者安全的影响。
然后,可以制定并商定在患者安全方面具有扎实基础的补救策略。
应该在监管机构和制造商之间共享信息
然后,通过建立与风险管理相关的网络安全风险管理流程,
来确定制造商和监管机构对患者安全的影响。
然后,可以制定并商定在患者安全方面具有扎实基础的补救策略。
应该在监管机构和制造商之间共享信息
制造商还需要考虑其他利益相关者(不太清楚相关风险管理和相关法规)所感知的风险
b.第三方组件
是医疗设备供应链的关键部分,无论软硬件
第三方组件上市后影响医疗器械安全性,制造商需要管理此风险
制造商对第三方组件中漏洞的响应应与对第一方漏洞的响应相同
c.沟通
沟通应包括以下关键信息:
解决漏洞的时间表(例如何时提供修复程序);
解决机制(例如,补丁部署将如何发生);
漏洞评分,例如CVSS评分;
可利用性指数(例如,低技能水平)和方法(例如,远程)
临时风险缓解措施
d.补救措施
所有漏洞修复措施都应遵循以下原则:
1.符合当地法规要求;
2.遵守安全和基本性能原则;
3.与利益相关者共享信息,以减少对患者和用户的风险;
5.及时修复相关的风险
当设备缺乏足够的基本或固有保护措施,并且更新不可行时,
应采用降低风险的替代方法作为补偿性控制措施
应采用降低风险的替代方法作为补偿性控制措施
制造商应及早告知监管机构,
以免阻碍或延迟制造商的补救活动。
可以有足够的时间启动任何监管流程或所需的措施,同时支持便捷的补救措施,并协助管理利益相关者及其期望
需要补救漏洞的全局协调策略
制造商应协调多个市场的信息发布和补救工作,以最大程度地减少时间间隔
制造商的协调应扩展到与受影响产品经销的所有监管机构的主动沟通
6.4.2 医疗保健提供者和患者
a.更新
b.注意事项(医疗机构环境)
c.注意事项(家庭医疗环境)
6.4.3 监管者
6.5 事件响应
6.5.1 医疗器械制造商
基本要求
应建立可扩展的事件响应管理策略,根据其产品组合建立事件响应团队
所需的活动
制定详细的事件响应计划
建立事件响应团队
例行测试和执行事件响应
通过汲取的教训来不断提高此功能
参考标准:ISO/IEC 27035-1:2016
a.角色和职责
事件响应团队
Manager小组
职责:领导并做出有关网络安全事件响应的重大问题的决策
主要活动:
a)对事件响应的承诺和支持,包括提供必要的资源(人力,财力和物力)
b)审查和批准事件响应政策和计划,并监督实施
c)审查和修订事件响应计划
d)团队的内部和外部协调
Planning小组
职责:操作事件响应
主要活动:
a)建立和计划安全策略;
b)实施安全流程;
c)调整风险优先级;
d)与上级组织和其他第三方组织进行沟通;
e)支持管理;
f)讨论/注册/批准有关目标组织的漏洞报告;
g)执行Manager指导的其他活动。
Monitoring小组
职责:执行实时安全监控活动
主要活动:
a)日常监控和操作;
b)入侵检测,事件登记和第一响应;
c)执行安全更新;
d)实施安全策略和备份管理;
e)服务台;
f)设施管理;
g)执行Manager指导的其他活动。
Responding小组
职责:提供诸如实时响应,技术支持之类的服务
主要活动:
a)传播和报告事件;
b)监测系统之间的相关性分析;
c)事件调查和恢复支持;
d)对目标事件的脆弱性分析;
e)执行Manager指导的其他活动。
Implementation小组
职责:提供诸如实时响应,技术支持之类的服务
主要活动:
a)分析事件响应要求;
b)确定事件响应策略和级别;
c)实施事故响应政策和计划;
d)计划事故响应计划;
e)总结事故响应工作和报告;
f)部署和使用事件响应资源;
g)执行Manager指导的其他活动。
Analysing小组
职责:执行事件分析
主要活动:
a)为团队和制造商计划漏洞分析;
b)改进安全分析工具和清单;
c)完善监控规则;
d)发行通讯;
e)执行Manager指导的其他活动。
b.沟通期望
提供制造商的联系信息
事件响应团队应尽可能快速地(考虑当地监管要求)向受事件影响的所有利益相关者提供更新
调查过程中发现犯罪活动应通知当地适用的执法机构
应联系CERT和ISAO,以就全球网络安全攻击和事件进行进一步的协调。
6.5.2 医疗保健机构
a.政策与角色
b.角色训练
c.分析与回应
6.5.3 医疗器械监管者
6.6 陈旧设备
说明
陈旧设备:无法通过更新和/或补偿性控制,合理保护免受当前网络安全威胁影响的医疗设备
陈旧设备与网络安全产品全生命周期
6.6.1 医疗器械制造商MDM
开发阶段
设计和开发期间就开始关注医疗设备网络安全。
1.医疗器械生命周期支持需考虑组成设备的软件和硬件;
为了提供全面支持,MDM应能从相应的软硬件供应商那里获得支持,
以解决质量、性能和安全问题的软件/固件更新
以解决质量、性能和安全问题的软件/固件更新
MDM应预见在整个使用过程中需要支持产品安全性和有效性的需求
MDM应考虑,在医疗保健提供商预计的设备使用期限内,第三方供应商对组件的支持可能终止,
这可能会对制造商支持设备安全运行的能力产生不利影响
这可能会对制造商支持设备安全运行的能力产生不利影响
2.在安全的开发框架下设计和开发设备,以最大程度地减少将来的陈旧设备数量。
支持阶段
1.监视医疗设备是否存在风险不可接受的漏洞,提供尽力而为的响应,并保持风险管理文件
2.清晰的传达关键生命周期里程碑,包括网络安全EOL,在这些时间点,客户责任应整合到沟通中
MDM发布的EOL之前,应持续提供与当前网络安全威胁相适应的支持
3.主动通知客户第三方供应商对设备组件的支持终止
4.通知客户,在网络安全EOS日期之前持续但有限的支持,超过该日期将作为陈旧设备不再支持。
客户沟通的时机应在接近EOL时进行,MDM应通知客户,EOL之后仍可提供的有限支持,并明确告知网络安全EOS日期
并将作为医疗保健提供商启用“设备停用/淘汰和业务连续性计划”的提前通知。
清晰地沟通有助于医疗保健组织了解其职责以及设备风险,以便他们可以计划设备的退役、更换以及相应的预算。
客户沟通的时机应在接近EOL时进行,MDM应通知客户,EOL之后仍可提供的有限支持,并明确告知网络安全EOS日期
并将作为医疗保健提供商启用“设备停用/淘汰和业务连续性计划”的提前通知。
清晰地沟通有助于医疗保健组织了解其职责以及设备风险,以便他们可以计划设备的退役、更换以及相应的预算。
有限支持阶段
1.继续传达网络安全EOS日期的时间表,以使客户有足够的时间准备EOS和相关的客户责任。
2.继续执行上述“支持阶段”的1.和3。
存在可用且成功部署的补偿控制措施,则不会被视为陈旧设备
监管机构酌情鼓励MDM利用补偿性控制措施,来解决EOL之后的设备安全挑战;
以便MDM没有进一步的安全支持时,有足够的时间让医疗保健机构针对EOS进行业务连续性计划。
以便MDM没有进一步的安全支持时,有足够的时间让医疗保健机构针对EOS进行业务连续性计划。
支持终止阶段
从MDM到客户的全部责任转移。在此之后,用户不应期望获得任何级别的支持。
各阶段的建议
6.6.2 医疗保健机构
0 条评论
下一页
