FDA детализирует проект обновления предпродажного одобрения медицинского оборудования

Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США выпустило избранные обновления руководств по кибербезопасности перед рынком, в том числе о том, кто обязан их соблюдать, типы устройств, подпадающих под определенные требования агентства, и рекомендации о том, как документировать соответствующее соответствие в предпродажной документации.

ПОЧЕМУ ЭТО ВАЖНО

FDA заявило вФедеральный реестр В среду предложенное обновление окончательного варианта документа «Кибербезопасность в медицинских устройствах: аспекты системы качества и содержание предпродажных материалов» «рассматривает возможность подключения к Интернету, включая устройства, которые могут подключаться преднамеренно или непреднамеренно, любыми способами, в том числе в любой момент, выявленный при оценке поверхности угрозы устройства и среды использования».

В частности, в новом проекте FDA заявило, что оно рассматривает устройства с поддержкой Wi-Fi или сотовой связи; подключения к сети, серверу или поставщику облачных услуг; Bluetooth или Bluetooth с низким энергопотреблением; радиочастотная связь; индуктивная связь; а также Ethernet и аналогичные аппаратные соединения, обеспечивающие возможность подключения к Интернету.

Требуемое скоординированное раскрытие уязвимостей может включать:

• Скоординированное раскрытие уязвимостей и эксплойтов, выявленных внешними организациями, включая сторонних поставщиков программного обеспечения и исследователей.
• Раскрытие уязвимостей и эксплойтов, выявленных производителем киберустройств.
• Процедуры производителя по раскрытию таких уязвимостей и эксплойтов.

Агентство предложило, чтобы в планах, требуемых в соответствии с разделом 524B Закона о FD&C, были описаны сроки с соответствующими обоснованиями для разработки и выпуска необходимых обновлений и исправлений.

Это будет включать в себя известные неприемлемые уязвимости «в разумно обоснованном регулярном цикле», а также доступные исправления для критических уязвимостей, которые вызывают «неконтролируемые риски для устройства и связанных с ним систем» как можно скорее вне обычного цикла.

Агентство также рекомендует производителям подпадающих под действие устройств «предвидеть и вносить соответствующие обновления в эти планы, а также в процессы и процедуры» по мере поступления новой информации, например, когда «новые риски, угрозы, уязвимости, активы или неблагоприятные воздействия обнаруживаются на протяжении всего жизненного цикла продукта», — предположили в агентстве.

Кроме того, производители должны создать или обновить соответствующую документацию по моделированию угроз, чтобы поддерживать ее на протяжении всего жизненного цикла устройства, отмечает агентство.

«Это позволит производителям быстро выявить последствия уязвимостей после выпуска устройства, а также может помочь удовлетворить требования к исправлениям раздела 524B», — заявили в FDA.

Крайний срок для общественного обсуждения — 13 мая, проект можно скачать в Центре передового опыта в области цифрового здравоохранения FDA. страница кибербезопасности.

БОЛЬШОЙ ТРЕНД

В самом последнем окончательные рекомендации по подаче на предпродажную подготовку медицинского оборудования выпущенный в сентябре, FDA рекомендовало дополнительную документацию по составным частям киберустройств, как определено в разделе 524B, что соображения кибербезопасности «включая, помимо прочего, устройства, которые имеют функцию программного обеспечения устройства или которые содержат программное обеспечение – включая встроенное ПО – или программируемую логику» в медицинской сфере. заявки на предпродажную подготовку устройств.

Хотя рекомендации являются добровольными и поэтому вызвали некоторые дебаты в секторе информационных технологий здравоохранения, как это произошло на этой неделе на панельной сессии по ИТ-стратегии защиты медицинских устройств от кибератак проведенный в Конференция и выставка HIMSS24 в Орландо – FDA также подверглось тщательной проверке со стороны Счетной палаты правительства на предмет усиления надзора за кибербезопасностью с момента опубликования окончательных руководящих принципов.

После того как GAO рассмотрело кибербезопасность медицинских устройств в соответствии с Законом о консолидированных ассигнованиях 2023 года, оно рекомендовало FDA и Агентству кибербезопасности и безопасности инфраструктуры. обновить соглашение о координации кибербезопасности медицинского оборудования своих агентств.

В своем отчете, опубликованном в декабре, GAO отметило, что, хотя FDA внедряет новые полномочия по кибербезопасности, оно еще не выявило необходимости в каких-либо дополнительных полномочиях.

«Они могут принять меры, которые помогут обеспечить кибербезопасность устройств в рамках существующих полномочий, например, мониторинг сектора здравоохранения и оповещений CISA, а также дать указание производителям сообщать об уязвимостях сообществам пользователей и устранять уязвимости», — заявили в GAO.

Проект обновления на этой неделе направлен на то, чтобы направить производителей программного обеспечения и устройств на то, как структурировать обеспечение кибербезопасности медицинских и биологических устройств, а также компонентов устройств, к которым можно получить доступ в Интернете.

ПОД ЗАПИСЬ

«Хорошо продемонстрировано, что если устройство имеет возможность подключения к Интернету, возможно, что оно может быть подключено к Интернету, независимо от того, предполагалось ли такое подключение спонсором устройства», — говорится в проекте обновления FDA. согласно разделу 524B Закона о FD&C.

Андреа Фокс — старший редактор журнала Healthcare IT News.
Электронная почта: [email protected]
Healthcare IT News — издание HIMSS Media.