AAMI TIR57-2016 (2023) PDF

Полное наименование и описание

AAMI TIR57:2016 — Principles for medical device security — Risk management. Технический информационный отчёт (Technical Information Report), даёт рекомендации по выполнению управления рисками информационной безопасности для медицинских устройств в контексте управления безопасностью по ISO 14971; включает принципиальные подходы к оценке угроз, уязвимостей, оценке и контролю рисков, а также примеры и приложения.

Аннотация

Документ предназначен для производителей и разработчиков медицинских устройств и описывает, как инкорпорировать информационную/кибербезопасность в существующий процесс управления рисками по ISO 14971. TIR57 описывает шаги для идентификации активов, оценки угроз и уязвимостей, количественно/качественной оценки рисков, выбора и верификации мер контроля и мониторинга в производстве и постмаркетинговом цикле.

Общая информация

• Статус: Действующий как технический информационный отчёт; издаётся как AAMI TIR57:2016 с отметками подтверждения/пересмотра (R2019, R2023).
• Дата публикации: Первоначальная публикация 2016 (TIR57:2016); документ проходил подтверждения/пересмотры (например, R2019) и помечен в изданиях как (R)2023.
• Организация-издатель: Association for the Advancement of Medical Instrumentation (AAMI).
• ICS / категории: 11.040 (Medical equipment; медицинское оборудование) и 35.240.80 (IT applications in health care technology / ИТ-приложения в здравоохранении) — области, релевантные безопасности медицинских устройств и ИТ.
• Редакция / версия: TIR57:2016; в библиотечных/магазинных записях часто указывается как AAMI TIR57:2016 (R2023).
• Количество страниц: Около 84 страниц (в электронной/печатной версии).

Область применения

Руководство применимо производителям, интеграторам и организациям, участвующим в жизненном цикле медицинного устройства (разработка, валидация, производство, ввод в эксплуатацию, сопровождение и постмаркетинговый мониторинг), когда требуется учитывать информационную/кибербезопасность как часть общей оценки рисков безопасности устройства и его эффективности. Документ ориентирован на сочетание требований безопасности данных и требований безопасности пациента/функциональной безопасности.

Ключевые темы и требования

• Интеграция управления рисками информационной безопасности с процессом управления безопасностью по ISO 14971 (совмещение безопасности пациента и безопасности данных).
• Идентификация активов, угроз и уязвимостей, оценка воздействия на безопасность, эффективность и конфиденциальность данных.
• Методы оценки риска (оценка вероятности и серьёзности) и критерии приемлемости остаточного риска.
• Разработка и внедрение контролей безопасности (технических, организационных и процедурных) и проверка их эффективности.
• Отдельное внимание к жизненному циклу устройства: требования к производству, обновлениям, управлению уязвимостями и постмаркетинговому наблюдению.
• Приложения с примерами, шаблонами вопросов и примерами оценок рисков для иллюстрации практического применения.

Применение и пользователи

Основные пользователи: инженеры по обеспечению качества, специалисты по кибербезопасности медицинских устройств, менеджеры по рискам, разработчики медицинских изделий, регуляторные специалисты и службы постмаркетингового наблюдения. Документ служит практическим руководством при подготовке предмаркетинговых материалов и при организации процессов управления уязвимостями и ответов на инциденты в эксплуатации.

Связанные стандарты

Часто используется совместно с ISO 14971 (управление рисками для медицинских изделий), IEC/ISO стандартами для ПО и сетей (например, IEC 80001‑1), а также с практическими руководствами и нормативными документами по обработке уязвимостей и раскрытию (ISO/IEC 29147, ISO/IEC 30111). В последнее время появились более формализованные нормативные стандарты по безопасности медицинских устройств (например, ANSI/AAMI SW96:2023), которые дополняют роль TIR57 как руководства.

Ключевые слова

кибербезопасность медицинских устройств, управление рисками, ISO 14971, информационная безопасность, уязвимости, постмаркетинговый мониторинг, технологии здравоохранения, TIR57.

FAQ

В: Что это за стандарт?

О: Это технический информационный отчёт AAMI (TIR57:2016) с рекомендациями по управлению рисками информационной/кибербезопасности для медицинских устройств; не является нормативным обязательным стандартом, но широко используется как руководство по лучшим практикам.

В: Что он регулирует?

О: Документ регулирует (даёт рекомендации по) процесс идентификации и оценки рисков информационной безопасности, выбору мер контроля и мониторингу их эффективности в рамках общего процесса управления рисками безопасности устройства.

В: Кто обычно использует?

О: Производители медицинских устройств, команды по обеспечению качества, инженеры по безопасности и регуляторы/аудиторы, а также организации здравоохранения, участвующие в эксплуатации и сопровождении устройств.

В: Он актуален или заменён?

О: TIR57 остаётся актуальным как руководство; документ имеет пометки подтверждения/пересмотра (R2019, R2023). При этом в 2023 году были выпущены более формализованные и нормативные документы (например, ANSI/AAMI SW96:2023), которые дополняют и формализуют требования к управлению рисками безопасности устройств. Рекомендуется применять TIR57 совместно с актуальными нормативными стандартами и региональными регуляторными требованиями.

В: Это часть серии?

О: Да — TIR57 часто применяется вместе с AAMI TIR97 (рекомендации по постмаркетинговому управлению безопасностью) и рядом других TIR/стандартов в области медицинской кибербезопасности; существуют пакетные предложения и сборники, включающие TIR57 и смежные документы.

В: Какие ключевые слова?

О: кибербезопасность, риск-менеджмент, ISO 14971, безопасность медицинских устройств, постмаркетинг, уязвимости, контроль рисков.