2022.4.8,F(xiàn)DA發(fā)布了一則網(wǎng)絡(luò)安全指南草案�����,草案名稱為“Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”(簡稱2022指南草案)����。
目前2022指南草案正在征集意見中�����,意見征集截止時間為2022.07.07��。
此指南草案取代了2018年網(wǎng)絡(luò)安全指南草案“Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”(簡稱2018指南草案)��。目前最終版的網(wǎng)絡(luò)安全指南還是2014年發(fā)布的與2018指南草案同名的指南��。
該指南草案旨在進一步強調(diào)確保設(shè)備設(shè)計安全的重要性��,旨在減輕整個產(chǎn)品生命周期中新出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險�����,并明確概述FDA對解決網(wǎng)絡(luò)安全問題的上市前遞交文檔的建議。該指南草案不是最終版本��,目前不強制實施�����。
「2022指南草案發(fā)布背景」
隨著無線��、互聯(lián)網(wǎng)和網(wǎng)絡(luò)連接設(shè)備����、便攜式介質(zhì)(例如USB或CD)的使用日益增加,以及醫(yī)療設(shè)備相關(guān)健康信息的頻繁電子交換����,對有效的網(wǎng)絡(luò)安全以合理地確保醫(yī)療設(shè)備的安全性和有效性的需求變得更加重要。
此外����,醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全威脅變得越來越頻繁、越來越嚴(yán)重��,對臨床的潛在影響也越來越大��。網(wǎng)絡(luò)安全事件導(dǎo)致醫(yī)療設(shè)備和醫(yī)院網(wǎng)絡(luò)無法運行,中斷了美國和全球醫(yī)療機構(gòu)的患者護理服務(wù)��。這種網(wǎng)絡(luò)攻擊和利用可能會延誤診斷和/或治療��,并可能導(dǎo)致患者受傷��。
盡管FDA在2014年發(fā)布了一則最終指南�����,為上市前申請中的設(shè)備網(wǎng)絡(luò)安全信息提供了建議����,但由于形勢的快速發(fā)展,以及對威脅及其潛在緩解措施的日益了解����,使得更新方法勢在必行����。因此,F(xiàn)DA在2018年發(fā)布了一則名為“Content of Premarket Submissions for Management of Cybersecurity in Medical Devices”的指南草案�����。
鑒于快速發(fā)展的設(shè)備網(wǎng)絡(luò)安全形勢����,F(xiàn)DA發(fā)布該指南草案����,取代2018年指南草案�����,以進一步強調(diào)確保設(shè)備設(shè)計安全的重要性�����,旨在能夠在整個產(chǎn)品生命周期內(nèi)緩解新出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險�����,并明確概述FDA對上市前提交內(nèi)容(包括設(shè)備標(biāo)簽)的建議�����,以解決網(wǎng)絡(luò)安全問題����。這些建議可以促進高效的上市前審核流程,并有助于確保上市的醫(yī)療設(shè)備能夠充分抵御網(wǎng)絡(luò)安全威脅。
「2022指南草案與2018指南草案的變更點」
2022指南草案進行了多項變更�����,包括:
1�����、更改標(biāo)題以更好地反映當(dāng)前指南草案的范圍��;
2����、更改文檔結(jié)構(gòu)以符合安SPDF的使用(SPDF即Secure Product Development Framework,安全產(chǎn)品開發(fā)框架����,SPDF是一組流程,用于在整個設(shè)備生命周期內(nèi)減少產(chǎn)品中漏洞的數(shù)量和嚴(yán)重程度)����;
SPDF包含了產(chǎn)品生命周期的所有方面����,包括開發(fā)、發(fā)布、維護和退市��。此外��,在設(shè)備設(shè)計過程中使用SPDF流程����,可以避免在市場銷售和分銷之后添加基于連接的特性時,或者當(dāng)漏洞導(dǎo)致無法控制的風(fēng)險時����,對設(shè)備進行重新設(shè)計。SPDF可以與產(chǎn)品和軟件開發(fā)�����、風(fēng)險管理以及質(zhì)量體系的現(xiàn)有過程集成在一起����。
3、刪除風(fēng)險層(risk tiers)��;
4����、用軟件材料清單(Software Bill of Materials)替換網(wǎng)絡(luò)安全材料清單(Cybersecurity Bill of Materials)�����;
5��、對指南草案中有關(guān)上市前提交文檔進行補充說明�����;
6��、將研究設(shè)備豁免(IDE)添加到適用范圍中��。
「遞交文檔相關(guān)重大變更」
2022指南草案中����,遞交文檔有以下重大變更:
1�����、風(fēng)險管理文檔:需要同時遞交安全風(fēng)險計劃和報告�����,即security risk management plan and security risk management report����,包括系統(tǒng)威脅建模(threat modeling)、SBOM和相關(guān)文檔��,以及遺留問題評估��,應(yīng)足以支持安全風(fēng)險管理過程方面確保安全有效�����。
請注意����,2022草案指南中,詳細描述了威脅建模的要求��,以及第三方軟件組件的軟件材料清單的要求����。
2、FDA建議上市前提交的文件應(yīng)包括系統(tǒng)水平的安全架構(gòu)(security structure)��,旨在向FDA提供系統(tǒng)的接口����、互連和與外部實體的交互方面的安全性和信任邊界�����。
這些元素的詳細信息可以識別系統(tǒng)中可能被攻擊的部分��,并以視圖“review”(至少包括Global System View; Multi-Patient Harm View; Updateability/Patchability View; 以及Security Use Case View(s))的方式呈現(xiàn)�����。
這幾個視圖的要求包括:
• Identify security-relevant system elements and their interfaces;
• Define security context, domains, boundaries, and external interfaces of the system;
• Align the architecture with (a) the system security objectives and requirements, (b)
security design characteristics; and
• Establish traceability of architecture elements to user and system security requirements.
3�����、應(yīng)遞交安全測試文件和任何相關(guān)的報告或評估����,包括:
1)漏洞測試:包括以下與已知漏洞相關(guān)的測試:
2)滲透測試:應(yīng)該通過著重于發(fā)現(xiàn)和利用產(chǎn)品中的安全漏洞的測試來識別和描述與安全相關(guān)的問題。
4��、標(biāo)簽應(yīng)包括以下15項信息:
1)與預(yù)期使用環(huán)境(例如��,反惡意軟件����、防火墻的使用、密碼要求)相關(guān)的建議網(wǎng)絡(luò)安全控制的設(shè)備說明和產(chǎn)品規(guī)格��。
2)為用戶提供足夠詳細的圖表��,允許其實施推薦的網(wǎng)絡(luò)安全控制�����。
3)預(yù)計接收和/或發(fā)送數(shù)據(jù)的網(wǎng)絡(luò)端口和其他接口的列表����。此列表應(yīng)包括端口功能的描述,并指示端口是傳入����、傳出,還是兩者兼有�����,以及批準(zhǔn)的目的端點��。
4)為用戶提供有關(guān)支持基礎(chǔ)設(shè)施需求的具體指導(dǎo)�����,以使設(shè)備能夠按預(yù)期操作(例如,最低網(wǎng)絡(luò)需求��,支持的加密接口)��。
5)SBOM或按照行業(yè)公認(rèn)的格式�����,有效地管理其資產(chǎn)�����,了解已識別的漏洞對設(shè)備(以及所連接的系統(tǒng))的潛在影響�����,并部署對策����,以維護設(shè)備的安全性和有效性。制造商應(yīng)持續(xù)地向用戶提供或提供SBOM信息�����。如果使用在線門戶網(wǎng)站,則應(yīng)提供最新的鏈接�����。SBOM應(yīng)該是機器可讀的格式�����。
6)用戶下載可識別版本的制造商授權(quán)軟件和固件的系統(tǒng)步驟的描述�����,包括用戶如何知道軟件何時可獲取的描述�����。
7)描述設(shè)計如何使設(shè)備在檢測到異常情況(即安全事件)時做出響應(yīng)��,以保持安全性和有效性����。這應(yīng)該包括通知用戶和記錄相關(guān)信息����。安全事件類型可以是配置更改�����、網(wǎng)絡(luò)異常����、登錄嘗試或異常流量(例如��,向未知實體發(fā)送請求)����。
8)對保護關(guān)鍵功能(如備份模式、禁用端口/通信等)的設(shè)備特性的概述�����。
9)備份和恢復(fù)特性以及恢復(fù)身份驗證配置的過程的描述��。
10)通過身份驗證的授權(quán)用戶保留和恢復(fù)設(shè)備配置的方法的描述��。
11)描述已發(fā)貨設(shè)備的安全配置����,討論設(shè)備制造商可能已經(jīng)實現(xiàn)的加固選項的風(fēng)險權(quán)衡,以及用戶可配置更改的說明。安全配置可能包括端點保護��,如反惡意軟件�����、防火墻/防火墻規(guī)則�����、允許列表�����、拒絕列表��、安全事件參數(shù)�����、日志參數(shù)和物理安全檢測等����。
12)在適用于預(yù)期使用環(huán)境的情況下�����,描述如何捕獲取證證據(jù),包括但不限于為安全事件保存的任何日志文件����。日志文件描述應(yīng)該包括日志文件的位置、存儲����、回收、歸檔的方式和位置�����,以及自動分析軟件(例如�����,入侵檢測系統(tǒng)����,IDS)如何使用日志文件。
13)在適當(dāng)情況下����,提供允許安全網(wǎng)絡(luò)部署和服務(wù)的技術(shù)指導(dǎo)����,以及在檢測到網(wǎng)絡(luò)安全漏洞或事件后如何應(yīng)對的用戶指導(dǎo)����。
14)有關(guān)設(shè)備維護終止和生命終止的網(wǎng)絡(luò)安全信息(如已知或預(yù)期)。在維護結(jié)束時��,制造商可能不再能夠合理地提供安全補丁或軟件更新����。如果設(shè)備在維護結(jié)束后仍在使用,制造商應(yīng)有預(yù)先建立和溝通的流程�����,以轉(zhuǎn)移風(fēng)險����,強調(diào)終端用戶的網(wǎng)絡(luò)安全風(fēng)險可能會隨著時間的推移而增加�����。
15)通過對敏感的�����、機密的和專有的數(shù)據(jù)和軟件的產(chǎn)品進行消除來安全解除設(shè)備的信息。
5��、遞交漏洞溝通計劃(vulnerability communication plans)�����,包括以下內(nèi)容:
1)責(zé)任人員��;
2)監(jiān)控和識別漏洞的來源(例如�����,研究人員����、NIST NVD、第三方軟件制造商等)�����、方法和頻率;
3)定期進行安全測試��,以測試識別出的漏洞影響;
4)開發(fā)和發(fā)布補丁的時間表;
5)升級流程;
6)修補能力(即����,升級可以傳送到設(shè)備的速度);
7)描述他們的協(xié)同漏洞披露過程;和
8)描述制造商打算如何向客戶傳達即將到來的補救措施��、補丁和更新��。
京公網(wǎng)安備11010802046783號