Кому потрібно звернути увагу на IEC 81001-5-1
Цей стандарт застосовується не лише до виробників медичних виробів, але й до розробників програмного забезпечення для сектору охорони здоров'я та інших програмних продуктів для охорони здоров'я. Щоб допомогти різним зацікавленим сторонам оцінити свою ситуацію, в наступній таблиці наведено основні регуляторні рамки, застосовні сфери застосування продукції та типові приклади:
| Регуляторна база | Сфера застосування продукту | Приклади |
|---|
| УПРАВЛІННЯ З САНІТАРНОГО НАГЛЯДУ ЗА ЯКІСТЮ ХАРЧОВИХ ПРОДУКТІВ І МЕДИКАМЕНТІВ США | Медичні пристрої з програмним забезпеченням, що підключається, відповідно до правил QMS (21 CFR, частина 820). FDA вважає кібербезпеку невід'ємною частиною якості та безпеки. | - Діагностика: Хмарне програмне забезпечення для медичної візуалізації, домашні глюкометри та додатки до них.
- Терапія: Мережеві інфузійні насоси, дистанційно програмовані кардіостимулятори.
- Моніторинг пацієнтів: Платформи для віддаленого моніторингу пацієнтів, натільні ЕКГ-пластирі.
- Лабораторна підтримка: Хмарне програмне забезпечення для аналізу даних геномного секвенування. |
| EU MDR | Програмне забезпечення для медичних виробів, що підпадає під сферу дії MDR, яке має функції підключення. Виробники повинні створити та впровадити системи управління ризиками. | - Діагностика: Програмне забезпечення зі штучним інтелектом для діагностики, що вимагає даних лікарняної мережі.
- Терапія: Системи променевої терапії з дистанційним керуванням.
- Моніторинг пацієнтів: Системи домашнього моніторингу, що передають життєво важливі показники лікарям.
- Лабораторна підтримка: Платформи для управління даними клінічних досліджень. |
З таблиці видно, що всі нормативні документи сходяться на "програмному забезпеченні для охорони здоров'я": будь-яке програмне забезпечення, що використовується для управління, підтримки або поліпшення особистого здоров'я, або вбудоване/використовується разом з медичними пристроями, підпадає під сферу застосування. Стандарт також підкреслює, що як виробники, так і організації з надання медичної допомоги (healthcare delivery organizations - HDO), несуть спільну відповідальність за виявлення та усунення вразливостей безпеки.
Основні вимоги
IEC 81001-5-1 фокусується на управлінні ІТ-безпекою протягом усього життєвого циклу програмного забезпечення, охоплюючи:
- Загальні вимоги: Система управління якістю, управління ризиками ІТ-безпеки, оцінка ризиків компонентів
- Вимоги до процесів: Розробка, обслуговування, управління ризиками, управління конфігурацією, процеси вирішення проблем
- Спеціальні вимоги:
- Вбудувати процеси кібербезпеки в систему управління якістю
- Суворе управління ризиками кібербезпеки постачальників на висхідних етапах
- Забезпечення постійного вдосконалення та оновлення безпеки
- Проведення зовнішнього тестування, незалежного від команди розробників, для забезпечення об'єктивності
- Додавання найкращих практик: Безпечне кодування, аналіз загроз, методи управління ризиками, керівні принципи планування розробки програмного забезпечення для охорони здоров'я
Зв'язок з іншими стандартами
IEC 81001-5-1 доповнює IEC 82304-1 та IEC 62304, вимагаючи вживання заходів кібербезпеки на кожному етапі процесу розробки.
- Заснований на вимогах промислової кібербезпеки IEC 62443-4-1, але адаптований спеціально для програмного забезпечення для охорони здоров'я.
- IEC 62304 визначає життєвий цикл програмного забезпечення; IEC 81001-5-1 додає до нього заходи ІТ-безпеки.
- IEC 82304-1/2 охоплює загальні вимоги до програмного забезпечення для охорони здоров'я та маркування якості; IEC 81001-5-1 додатково визначає кібербезпеку.
- Узгодження MDR: IEC 81001-5-1 заповнює прогалину в розділі 17.2 Додатку I до MDR, стаючи ключовим документом для забезпечення відповідності програмного забезпечення для медичних виробів.
- Додаток A: роз'яснює взаємозв'язок з IEC 62443 та IEC 62304, щоб допомогти компаніям уникнути дублювання роботи.
Переваги та виклики впровадження
- Всеосяжний, але стислий: Охоплює всі ключові аспекти кібербезпеки програмного забезпечення для охорони здоров'я в компактному форматі, зручному для сприйняття компаніями.
- Чіткий розподіл відповідальності, висока функціональність: Положення розмежовують поняття „зобов’язаний“ та „рекомендований“, що дозволяє швидко інтегрувати їх у внутрішні процеси
- Стратегічний і практичний баланс: Забезпечує як загальну структуру, так і практичні рекомендації, поєднуючи комплаєнс та імплементацію.
Деякі вимоги залишаються абстрактними, і для їхнього ефективного виконання потрібні найкращі галузеві практики. Наприклад, "очікуваний контекст безпеки продукту" має бути задокументований, але йому бракує конкретних методів; компанії повинні самостійно визначати суміжні системи та ролі взаємодії.
Рекомендація: Поєднувати стандарт IEC 81001-5-1 із зовнішніми керівними принципами (наприклад, Посібник з ІТ-безпеки Інституту Джонера) та практичним досвідом, щоб заходи з кібербезпеки були дійсно ефективними.
Висновок
IEC 81001-5-1 - довгоочікуваний стандарт кібербезпеки для медичних пристроїв та програмного забезпечення для охорони здоров'я. Ще до офіційної гармонізації він відповідає нормам ЄС, що відображає нагальну потребу галузі в уніфікованих стандартах.
Переваги для компаній очевидні:
- Забезпечення відповідності: Допомагає відповідати вимогам MDR та зменшити ризики комплаєнсу.
- Доступ до ринку: Після гармонізації це стане ключовою передумовою для виходу на європейський ринок.
- Підвищена безпека: Стандартизовані процеси та найкращі практики підвищують безпеку продукції та довіру до неї.
Виробники медичних виробів і розробники програмного забезпечення для охорони здоров'я повинні почати впроваджувати IEC 81001-5-1 вже зараз. Ще до офіційної гармонізації цей стандарт вже вважається "найсучаснішим" і має вирішальне значення для забезпечення відповідності та безпеки.
Як орган сертифікації, ми не лише проводимо аудити відповідності, але й допомагаємо компаніям зрозуміти та впровадити ці вимоги, забезпечуючи безперешкодне проходження майбутніх перевірок на відповідність вимогам ЄС.
