,
2 minuty czytania
Wraz z rozwojem postępu technologicznego, wzrasta wykorzystanie technologii połączeń sieciowych dla wyrobów medycznych. Połączone wyroby medyczne przechowują i przesyłają dane pacjentów i wymagają zarówno prywatności, jak i dokładności. Dlatego cyberbezpieczeństwo wyrobów medycznych będzie nadal w centrum uwagi regulatorów i producentów.
Opracowując wyrób, producenci muszą być świadomi, że będzie on odporny na wszelkiego rodzaju zagrożenia cybernetyczne i będzie łagodzić takie zdarzenia prowadzące do konsekwencji w zakresie integralności danych i prywatności pacjentów. Dlatego globalne Agencje Regulacyjne opracowały szereg norm i wymagań, aby pomóc producentom w tworzeniu bezpiecznych, chronionych i wydajnych wyrobów medycznych. W tym wpisie na blogu omówmy niektóre z najlepszych praktyk w zakresie cyberbezpieczeństwa wyrobów medycznych, które znajdują się w normach IEC 62304 i ISO 14971.
Standard IEC 62304 dla całego cyklu życia oprogramowania wyrobów medycznych
Znana jako norma bezpieczeństwa funkcjonalnego, IEC 62304 obejmuje projektowanie oprogramowania wyrobów medycznych i praktyki konserwacji przez cały cykl życia produktu. Ma zastosowanie zarówno do SaMD (oprogramowania jako wyrobu medycznego), jak i do wyrobów medycznych z wbudowanym oprogramowaniem jako częścią ich funkcjonalności. Jedną z najlepszych praktyk tej normy jest wbudowywanie środków bezpieczeństwa na początku rozwoju. Procesy związane z bezpieczeństwem są określane na podstawie wytycznych normy dotyczących klasyfikacji bezpieczeństwa oprogramowania, wpływając na wszystkie wymagania cyklu oprogramowania. Trzy (03) klasy bezpieczeństwa dla wyrobów medycznych związanych z oprogramowaniem to:
- Klasa A: Nie jest możliwe odniesienie obrażeń ani uszczerbku na zdrowiu.
- Klasa B: Możliwe jest obrażenie, ale nie ciężkie.
- Klasa C: Prawdopodobne jest zgon lub poważne obrażenie.
Norma IEC 62304 składa się z dziewięciu (09) części, które przedstawiają różne aspekty wyrobu medycznego, szczegółowo opisane poniżej:
- Część 1: Zakres
- Część 2: Odwołania normatywne
- Część 3: Terminy i definicje
- Część 4: Wymagania ogólne
- Część 5: Proces tworzenia oprogramowania
- Część 6: Proces utrzymania oprogramowania
- Część 7: Proces zarządzania ryzykiem oprogramowania
- Część 8: Proces zarządzania konfiguracją oprogramowania
- Część 9: Proces rozwiązywania problemów z oprogramowaniem
ISO 14971 Standard zarządzania ryzykiem dla wyrobów medycznych
Ta międzynarodowa norma koncentruje się przede wszystkim na zarządzaniu ryzykiem wyrobów medycznych i dotyczy bezpieczeństwa pacjenta oraz zapewnia bezpieczny kontakt między wyrobem a pacjentem lub użytkownikiem końcowym. Procedury związane z bezpieczeństwem na różnych etapach cyklu życia produktu muszą być przedstawione w dokumentacji i odpowiednio wdrożone. Kluczowymi elementami wytycznych dotyczących zarządzania ryzykiem są analiza ryzyka i jego ograniczanie. Należy przewidzieć sposoby, w jakie połączone urządzenia mogą ulec awarii, oraz jakie mogą być konsekwencje tych awarii. Pomoże to wbudować niezbędne zabezpieczenia w celu ograniczenia potencjalnego zagrożenia. AAMI (Association for the Advancement of Medical Instrumentation) opublikowało raport techniczny znany jako TIR57:2016, który jest powiązany z normą ISO 14971 i przedstawia zasady bezpieczeństwa wyrobów medycznych. Raport ten łączy ryzyka bezpieczeństwa (obejmujące naruszenia bezpieczeństwa danych i systemów oraz zmniejszenie skuteczności) z praktykami zarządzania ryzykiem związanym z bezpieczeństwem, które znajdują się w normie ISO 14971.
TIR57:2016 zawiera wytyczne dotyczące przeprowadzania ocen ryzyka cyberbezpieczeństwa wyrobów medycznych oraz zarządzania ryzykiem wynikającym z zagrożeń bezpieczeństwa, wpływających na poufność, integralność i dostępność urządzenia lub informacji przetwarzanych przez urządzenie. Ponadto norma IEC 80002-1:2009 dotycząca oprogramowania wyrobów medycznych zawiera wytyczne dotyczące stosowania normy ISO 14971 do oprogramowania wyrobów medycznych i koncentruje się na analizie ryzyka, zarządzaniu ryzykiem, ocenie ryzyka i kontroli ryzyka w odniesieniu do oprogramowania wyrobów medycznych.
Wreszcie, w związku ze wzrostem liczby wyrobów medycznych podłączonych do sieci, producenci muszą przestrzegać proponowanych standardów regulacyjnych, aby uniknąć lub zmniejszyć ryzyko cyberbezpieczeństwa. Aby uzyskać najlepsze rozwiązania w zakresie zarządzania pełnym cyklem życia podłączonych wyrobów medycznych, skonsultuj się z Freyr – sprawdzonym ekspertem regulacyjnym w tej dziedzinie. Bądź na bieżąco. Zachowaj zgodność.
