MDR法规的协调标准清单草案于2021年5月发布。在此文件中,我们发现参考了以下网络安全标准:
IEC 80001-1:《联网医疗器械或健康软件在其实施和使用中的安全性、有效性和网络安全——第1部分:风险管理应用》;
IEC 81001-5-1(未发布):《健康软件和健康IT系统的安全性、有效性和网络安全 -第5-1部分:安全性-产品生命周期中的活动》;
IEC/TR 60601-4-5:《医用电气设备-第4-5部分:指南和说明-安全相关技术安全规范》。
在此标准化申请中,这些标准的采用日期设定为2024年5月,其中包含了MDR和IVDR的协调标准清单。
我们有意将IEC 80001-1分开,因为它涉及网络安全。在这篇文章中,我们关注另外两个标准,它们涉及软件设计和维护。
标准草案的标准化申请,这听起来远不适用。但如果您是AI医疗器械或电子医疗器械的制造商,则您器械的生命周期将持续数年。医疗器械的设计可能需要花费很长时间!因此,有必要查看这些草案,以了解公告机构对2024年的预期。因此,针对当前设计的您的下一代器械做好准备。
考虑到医疗器械的设计周期,建议设计联网器械的制造商密切关注这两个标准,即使IEC 81001-5-1处于草案状态。此外,这些标准无疑将获得FDA的认可。该工作组的秘书目前在美国,表明FDA也参与其中。
联网医疗器械设计过程的影响
IEC 81001-5-1:其标题和结构引自IEC 62304。编制该标准旨在便于具备医疗器械软件设计经验但在安全软件生命周期经验不足或无经验的团队查阅。IEC 81001-5-1对IEC 62304的网络安全相关内容进行了补充。
IEC/TR 60601-4-5定义了要在您的《硬件需求规范(HRS)》、《软件需求规范(SRS)》和随机文档中加入的安全需求列表。
安全需求示例如下:
这两个标准协同工作。第一个定义了安全软件过程(“如何”),第二个定义了软件安全需求(“什么”)。
这两个标准从何而来?
长久以来网络安全一直是人们关注的问题,其他行业的数字化和互联早于医疗。在我们的案例中,这两个标准是对工业自动化和控制系统(IACS)命名为IEC 62443-4-1和IEC 62443-4-2的两个标准的转换。
为何要引用IACS标准而非ISO 2700X标准,或其他来自银行和金融(网络安全备受关注的行业)的参考标准?
因为IACS网络和HIS网络有很强的相似性。
以下为IEC/TR 60601-4-5的示意图副本:
我们有一家工业公司,配备:
总部或行政办公室,
生产工厂,
带机器和PLC的生产线
同样,我们可以在医疗中心拥有类似的结构建筑物,我们发现其包含:
管理患者进出和患者数据的行政办公室,
配备床旁医疗器械的患者室,其中一些器械对救治生命很关键,
重症监护室和配备救治生命关键医疗器械的手术室。
这种结构上的相似性支持将IACS网络安全标准转化为医疗器械领域标准。值得注意的是,FDA采用相同的方法,因此IEC 62443-4-1是FDA认可的标准。
工业系统必须保护其人员免受工业机械的伤害,保护其数据免受盗窃,保护其IT系统免受崩溃,保护其生产线免受生产成本过高导致停产的影响。同样,医疗保健中心必须保护其患者、人员、患者数据、其HIS免受危及生命的危害,并保护其医疗保健服务免受成本太高而导致的关闭。
注:ISO 2700X系列仍与存储数据(尤其是健康数据)和包含数据管理服务的数据中心相关。
IEC 81001-5-1的内容
IEC 81001-5-1的目录复制自IEC 62304的目录,按过程组织全文内容。IEC 62304的6个过程如下图所示:
同样,IEC 81001-5-1定义了整个软件生命周期内的安全过程。
无软件安全性级别
值得注意的是,IEC 81001-5-1中没有同等软件安全等级,这意味着与IEC 62304相反,IEC 81001-5-1的所有要求适用于任何软件。
例如:即使您的软件符合IEC 62304的A类要求,IEC 81001-5-1中关于详细设计的要求也要满足。
幸运的是,即使IEC 81001-5-1要求对详细设计进行文档编制,它也没有IEC 62304要求的那么深,即所有的软件单元都应100%编制文档。IEC 81001-5-1仅要求对安全设计和安全接口进行文档编制。文档编制可以减少至所有软件单元的子集。
因此,依据IEC 81001-5-1编制的软件设计文档的工作量高于简单的IEC 62304 A类软件,但与IEC 62304 B类所需的工作量无太大差异。
IEC 81001-5-1建议使用IEC/TR 60601-4-5中的安全等级(SL)和安全能力(SC)概念代替软件安全等级,并在下文进行讨论。
弱点来源
安全软件生命周期的原则是可在软件生命周期的每个步骤中引入安全缺陷:
规范:指定错误行为;
体系结构:非安全体系结构;
详细设计:非安全接口详细设计;
编码:语言陷阱或错误代码模式;
制造/生成:不安全的生成二进制或字节码;
安装、配置:错误安装或配置。
这就是为什么IEC 81001-5-1要求记录安全SDLC(Software development life cycle)的所有步骤,而不考虑软件安全性级别。这也是其涵盖完整的软件生命周期(例如:IEC 62304)的原因。
IEC/TR 60601-4-5的内容
我不知道它对您有什么影响,但当我看到标准编号中有60601时,我皱起了眉头!
是否意味着我们需要安全实验室的证书?幸亏没有!因为本标准以TR命名,TR代表技术报告。
然而,我们看到一些IEC 60601-1认证测试实验室的网络安全测试的报价飙升。因此,TR不是标准,但我们可以得出这样的结论:尽管有TR,公告机构或FDA可能要求认证测试实验室提供测试报告。
IEC 60601系列标准不适用于独立软件。但在本技术报告的引言中提到:医疗器械软件,尽管不在IEC 60601(所有部分)的范围内,也可以使用本文件。因此,本技术报告可应用于独立软件!
联网医疗器械安全需求定义
IEC/TR 60601-4-5基于IACS IEC 62443系列标准的要求,该标准的实施需要大量工程支持。
本指南定义了安全等级(SL)和安全能力(SC),这取决于安全漏洞对系统的影响。安全等级和安全能力借自IEC 62443系列标准。
安全等级的范围为0-4——定义(IEC 62443-1-1):
SL 0-无预防。
SL 1-防止窃听或临时曝光的未授权信息披露。
SL 2-防止使用资源低、通用技能和动机低的简单方法将信息未经授权披露给主动搜索它的实体。
SL 3-防止使用具有适度资源、医疗器械特定技能和适度动机的复杂手段将信息未经授权披露给主动搜索该信息的实体。
SL 4-防止使用具有扩展资源、医疗器械特定技能和高动机的复杂手段将信息未经授权披露给主动搜索该信息的实体。
与具有不同安全等级的IEC 62304子系统一样,安全区域可以用不同的安全等级定义。这意味着医疗器械可以有一个以上的安全区,具有不同的安全等级。
这可能是家用器械的情况,其具有两个安全区:
一个安全区连接到SL3互联网,
SL1中的一个安全区具有生命关键功能,与第一个安全区隔离。
当然,与IEC 62034一样,安全区也应隔离。当然,与IEC 62304一样,IEC/TR 60601-4-5并未规定有效隔离所需的技术措施类型!
基本要求
IEC/TR 60601-4-5定义了总共7个基本要求(FR),借自IEC 62443-1-1:
识别和认证控制(IAC)
使用控制(UC)
系统完整性(SI)
数据保密(DC)
受限数据流(RDF)
事件的及时响应(TRE)
这7 个基本要求在123要求中细化。这是很多要求!
但并非所有要求均适用。123要求仅适用于SL4中的软件。可以很容易地看出,SL3和SL4是具有较高开销的SL。对于SL1中的软件,“仅”50个要求适用。
IEC/TR 60601-4-5中的这些安全要求可以在HRS、安全SRS文档或SRS安全章节中细化为安全产品要求的“储存器”。
安全等级(SL)向量
IEC/TR 60601-4-5§A.6允许根据适用的基本要求类型定义不同的安全等级。例如,对于不处理机密数据的器械,数据保密性(DC)的安全等级将设置为0,而系统的安全等级为4。
这种“安全等级向量”方法(标准中使用的术语)对任何系统都是可能的。这是使适用于您设备的安全需求列表更简洁的一种方式。
IEC 81001-5-1和IEC/TR 60601-4-5协同工作
IEC 81001-5-1和IEC/TR 60601-4-5协调工作,前者定义了安全软件开发过程,后者将此过程与安全需求结合在一起。
其如下图所示,其中IEC 81001-5-1定义了安全SDLC,IEC/TR 60601-4-5在系统级(水平虚线以上)和软件级“注入”安全需求:
沪公网安备 310114020088*8号