AAMI TIR97-2019 PDF
Название на английском:
St AAMI TIR97-2019
Название на русском:
Ст AAMI TIR97-2019
Оригинальный стандарт AAMI TIR97-2019 в PDF полная версия. Дополнительная инфо + превью по запросу
Полное наименование и описание
AAMI TIR97:2019 — Principles for medical device security — Postmarket risk management for device manufacturers. Технический информационный отчёт (TIR), дающий рекомендации по управлению рисками информационной безопасности медицинских устройств в постмаркетной фазе в рамках процесса управления рисками, определённого в ANSI/AAMI/ISO 14971.
Документ предназначен для производителей медицинских изделий и описывает методы мониторинга уязвимостей, оценки последствий безопасности, реакции на инциденты и поддержания контроля над безопасностью устройства после выхода на рынок.
Аннотация
TIR97:2019 помогает интегрировать задачи информационной безопасности в существующий процесс управления рисками для медицинских изделий, расширяя понятие вреда на последствия, связанные с безопасностью данных, доступностью функций и эффективностью устройства. Документ рекомендуется использовать совместно с AAMI TIR57 и другими руководствами по кибербезопасности медицинских устройств.
Общая информация
- Статус: Действует (оригинальная публикация 2019; переиздание / подтверждение как (R)2023 зарегистрировано в метаданнах издателя).
- Дата публикации: 27 сентября 2019 (переиздание/подтверждение — (R)2023).
- Организация-издатель: AAMI — Association for the Advancement of Medical Instrumentation.
- ICS / категории: Медицинские приборы и управление рисками (ICS 11.040.01); разделы, связанные с программным обеспечением/информатикой и безопасностью.
- Редакция / версия: TIR97:2019 (встречается в каталоге как AAMI TIR97:2019/(R)2023).
- Количество страниц: 56.
Область применения
Руководство ориентировано на производителей медицинских устройств и поставщиков, которые обязаны управлять рисками безопасности своих изделий после вывода на рынок: мониторить уязвимости, оценивать и контролировать воздействие на безопасность и эффективность, планировать и выполнять ответы на инциденты и обновления, координировать раскрытие уязвимостей и сопровождать постмаркетное наблюдение в части кибербезопасности.
Ключевые темы и требования
- Интеграция постмаркетного управления рисками безопасности в процесс, описанный в ISO 14971.
- Определение и расширение понятия «вред» с учётом последствий информационной безопасности (конфиденциальность, целостность, доступность, эксплуатационная эффективность).
- Мониторинг уязвимостей, сбор и использование разведки об угрозах, приоритизация обновлений и патчей.
- Процессы обработки инцидентов безопасности, в том числе уведомления, расследование и корректирующие действия.
- Координированное раскрытие уязвимостей, управление конфигурациями и поддержка вендора на протяжении жизненного цикла устройства.
- Рекомендации по документированию решений по риску и обоснованию приемлемости остаточного риска в контексте безопасности.
- Ссылки и выравнивание с практиками и стандартами информационной безопасности (включая соответствующие рекомендации NIST и смежные технические отчёты).
Применение и пользователи
Основные пользователи: команды по обеспечению безопасности продуктов, инженеры по качеству и безопасности, менеджеры по продукции, специалисты по постмаркетному наблюдению и соответствию нормативным требованиям, а также организации по технической поддержке и сервису медицинских устройств. Документ применим при подготовке постмаркетных планов кибербезопасности, реакций на инциденты и при подготовке материалов для взаимодействия с регуляторами.
Связанные стандарты
Документ тесно связан и часто используется в совокупности с: AAMI TIR57 (Risk management — security), ANSI/AAMI SW96, AAMI TIR45 (при использовании Agile-практик для ПО медицинских устройств), ISO 14971:2019 (управление рисками медицинских изделий) и рядом публикаций NIST и других руководств по управлению инцидентами и уязвимостями.
Ключевые слова
постмаркет, кибербезопасность медицинских устройств, управление рисками, ISO 14971, уязвимости, мониторинг, инциденты, AAMI TIR97, TIR57.
FAQ
В: Что это за стандарт?
О: Технический информационный отчёт AAMI TIR97:2019 — руководство по управлению рисками информационной безопасности медицинских устройств в постмаркетной фазе, с практическими рекомендациями для производителей.
В: Что он регулирует?
О: Это не нормативный закон, а руководство/рекомендация: описывает процессы и практики для оценки и управления рисками безопасности после вывода устройства на рынок (мониторинг уязвимостей, приоритизация исправлений, реагирование на инциденты, документирование рисков и т. п.).
В: Кто обычно использует?
О: Производители медицинских устройств, команды по информационной безопасности и качеству, специалисты по постмаркетному надзору и регуляторным вопросам, а также поставщики сервисного обслуживания устройств.
В: Он актуален или заменён?
О: Первоначально опубликован 27 сентября 2019; в каталогах издателя и в учётных записях он фигурирует как TIR97:2019 с отметкой (R)2023 (переиздание/подтверждение). Стандарт также включён в перечень признанных консенсусных стандартов FDA с записью от 23 декабря 2019, что указывает на его практическую применимость для регуляторных целей в США.
В: Это часть серии?
О: Да — TIR97 рекомендуется использовать совместно с AAMI TIR57 и другими публикациями AAMI/ANSI, а также в связке с ISO 14971 и релевантными руководствами по информационной безопасности (включая рекомендации NIST и серию IEC/ISO по сетевой безопасности медицинских устройств).
В: Какие ключевые слова?
О: постмаркет, кибербезопасность, уязвимости, инцидент-менеджмент, управление рисками, ISO 14971, AAMI, медицинские устройства.