网络安全威胁模型实施：FDA 要求

由柏拉图重新发布

关注： 0

美国食品药品监督管理局 (FDA) 通过监管医疗器械，确保其安全有效地用于其预期用途，在维护公众健康方面发挥着关键作用。在当今时代，互联设备的兴起使网络安全成为 FDA 关注的首要问题。在此背景下，明确网络安全威胁模型定义的具体要求至关重要。随着医疗设备与技术的日益集成，对强大的网络安全措施来保护患者信息并确保这些设备的功能的需求比以往任何时候都更加重要。遵守 FDA 法规不仅对于制造商的合规性至关重要，而且对于患者和用户的安全和信任也至关重要。

我们已经在 QualityMedDev 网站上多次讨论数字医疗设备和相关要求，涵盖不同的主题，例如医疗设备中的人工智能, 数字健康产品及 TGA方法用于数字医疗设备的监管。与此同时，FDA 发布了与网络安全相关的不同指南，或者与上市前要求和上市后要求。

FDA 制定了网络安全要求，作为其监管监督的一部分，以保护患者并确保医疗设备的完整性。这些标准适用于设备的整个生命周期，从初始设计和开发到部署和维护。随着医疗设备变得更加智能和互联，它们越来越容易受到网络威胁。在医疗设备开发阶段整合网络安全实践是减轻网络攻击风险的关键一步。

FDA 网络安全框架的关键组成部分

为了确保医疗设备的网络安全完整性，FDA 概述了上市前要求，其中包括制造商需要从设备概念的最早阶段就纳入网络安全威胁模型和安全控制。

器械制造商应建立并遵守质量体系，以确保其产品始终符合适用的要求和规范。如果设备在美国销售，这些质量体系的要求可以在 21 CFR 第 820 部分的质量体系 (QS) 法规中找到，或者在其他国家/地区的其他法规中找到（例如，欧盟的 EU MDR 2017/745）。

根据器械的性质，QS 要求可能与上市前阶段、上市后阶段或两者相关。在上市前阶段，证明某些具有网络安全风险的设备的安全性和有效性的合理保证可能涉及将与 QS 法规相关的文件输出作为上市前提交的一部分。例如，ISO 13485:2016 和 21 CFR 820 要求所有类别的软件自动化设备制造商建立控制设备设计的程序，确保符合指定的设计要求（称为“设计控制”）。在设计控制中，制造商需要“建立和维护验证设备设计的程序”，其中包括“酌情进行软件验证和风险分析”。作为强制软件验证和风险分析的一部分，软件设备制造商可能需要在适用时制定网络安全风险管理和验证流程。

软件验证和风险管理构成网络安全分析的关键要素，确定设备是否提供合理的安全性和有效性保证。 FDA 要求制造商在整个设计和开发阶段纳入考虑和解决软件风险的开发流程，作为设计控制的一部分。这些流程应包含网络安全考虑因素。这包括识别安全风险，建立控制这些风险的设计要求，并提供证据证明控制措施按预期运行并且在设备的指定环境中有效，确保采取足够的安全措施。

“”安全产品开发框架“

当网络安全威胁利用系统中的漏洞时，就会出现对患者造成伤害的可能性，并且随着时间的推移，这些威胁损害医疗设备安全性和有效性的可能性随着已识别漏洞的数量而增加。安全产品开发框架 (SPDF) 包含旨在识别和减少产品中漏洞的数量和严重性的流程。 SPDF 涵盖产品生命周期的所有阶段（设计、开发、发布、支持和退役）。

在设备设计过程中，整合 SPDF 流程可以避免在集成上市后基于连接的功能或解决造成不受控制风险的漏洞时进行重新设计的必要性。与产品和软件开发、风险管理以及更广泛的质量体系的现有流程的可行集成增加了 SPDF 的多功能性。

为了确保符合质量体系 (QS) 法规，建议使用 SPDF。 FDA 鼓励制造商采用 SPDF，因为它有利于满足 QS 法规和网络安全要求。然而，人们承认，替代方法也可能满足 QS 法规。

网络安全风险管理

采用 SPDF（安全产品开发框架）的主要目标是创建和维护安全有效的设备。从安全角度来看，这些设备还赢得了可信度和弹性。然后，制造商和/或用户（例如，患者、医疗机构）可以通过设备设计和相关标签来管理这些设备，包括安装、配置、更新和设备日志的审查。

医疗机构可以选择在自己的网络安全风险管理框架内管理这些设备，例如广泛认可的国家标准与技术研究所（NIST) 改善关键基础设施网络安全的框架，通常称为 NIST网络安全框架或 NIST CSF。

FDA 建议制造商纳入设备设计流程，例如质量体系 (QS) 法规中概述的流程，以支持安全的产品开发和维护。在保持制造商灵活性的同时，他们还可以探索符合 QS 法规的替代框架，并遵守 FDA 关于实施 SPDF 的建议。示例包括医疗器械和健康 IT 联合安全计划 (JSP) 30 中的医疗器械特定框架以及 IEC 81001-5-1。其他部门的框架，例如 ANSI/ISA 62443-4-1 工业自动化和控制系统安全第 4-1 部分：产品安全开发生命周期要求，也可能符合 QS 法规。

在本文的以下部分中，提供了 FDA 普遍认为的利用 SPDF 流程的建议，其中强调了开发安全有效的设备的关键考虑因素。这些流程补充了 QS 法规，FDA 建议制造商在上市前提交的文件中包含相应的审查文件。

网络安全威胁模型

威胁建模涉及识别整个医疗设备系统的安全目标、风险和漏洞的系统过程。随后，它需要定义对策来预防、减轻、监控或响应医疗设备系统整个生命周期中威胁的影响。如果得到适当和全面的应用，它可以成为优化系统组件、产品、网络、应用程序和连接安全性的基础。

关于安全风险管理，并为医疗器械系统确定适当的安全风险和控制，FDA 提倡实施威胁建模，以告知和支持风险分析活动。在风险评估方面，FDA 建议在整个设计过程中整合威胁模型，涵盖医疗器械系统的所有要素。

威胁模型的关键方面应包括风险和缓解措施的识别，告知网络安全风险评估中考虑的缓解前和缓解后的风险。此外，该模型应阐明有关医疗设备系统或使用环境的假设，例如假设医院网络本质上是敌对的。这种假设促使制造商考虑对手控制网络、能够更改、丢弃和重放数据包的场景。此外，威胁模型应捕获通过供应链、制造、部署、与其他设备的互操作、维护/更新活动和退役活动引入的网络安全风险，这些风险在传统的安全风险评估过程中可能被忽视。

对于上市前提交的申请，FDA 建议包括威胁建模文档，以展示对医疗器械系统的分析，识别可能影响安全性和有效性的潜在安全风险。制造商可以灵活地选择威胁建模的各种方法或方法组合，并且应在文档中提供其选择方法的基本原理。

建议在设计审查期间进行威胁建模活动，并且文档应为 FDA 提供足够的信息，以评估和审查集成到设备中的安全功能。这种整体评估应考虑设备及其运行的更广泛的系统，强调设备的安全性和有效性。

网络安全威胁模型的主要要素可概括如下：

识别潜在威胁

威胁模型的开发是网络安全流程的基础步骤，使制造商能够识别和了解特定于其医疗设备的潜在网络安全威胁。威胁模型的开发是网络安全流程的基础步骤，使制造商能够识别和了解特定于其医疗设备的潜在网络安全威胁。威胁模型的开发是网络安全流程的基础步骤，使制造商能够识别和了解特定于其医疗设备的潜在网络安全威胁。

风险评估与管理

风险评估和管理涉及评估已识别的威胁以确定其潜在影响并制定适当的策略以有效减轻这些风险。

安全控制的实施

安全控制是为保护医疗设备的机密性、完整性和可用性免受已识别威胁而实施的保障措施或对策。

FDA 网络安全指南的未来趋势

随着威胁和技术的发展，FDA 的网络安全指南也会随之发展。面对这些变化，制造商必须保持知情并保持敏捷。制造商应通过紧跟行业趋势并保持积极主动的网络安全方法来预测法规的更新。

为不可预见的挑战做好准备是关键；建立强大的安全协议和前瞻性战略将使制造商能够有效应对网络安全法规的未来状况。

网络安全是医疗设备监管的一个重要方面，这一点怎么强调都不为过——它与任何机械或电气功能一样是设备安全的本质。 FDA 已经认识到这一点，并通过实施全面的网络安全框架，旨在跟上创新的步伐，同时保护公众健康。制造商、医疗保健专业人员和患者必须共同努力维护这些标准，并确保医疗设备在面临网络威胁时持续可靠和安全。

QualityMedDev 是一个专注于医疗器械业务质量和监管主题的在线平台；跟着我们 LinkedIn 和 Twitter 及时了解监管领域最重要的新闻。

QualityMedDev 是最大的在线平台之一，支持医疗器械业务的监管合规主题。我们提供监管咨询服务涵盖广泛的主题，从欧盟 MDR 和 IVDR 至 ISO 13485 ，包括风险管理、生物相容性、可用性和软件验证和确认，一般来说，支持为 MDR 准备技术文档。

我们的姐妹平台质量医学发展学院提供了关注在线和自定进度培训课程的可能性，这些课程侧重于医疗设备的法规遵从性主题。这些培训课程是与医疗器械行业的高技能专业人士合作开发的，可让您在医疗器械业务运营的广泛质量和监管主题上成倍提高您的能力。