Cele związane z bezpieczeństwem
MDSC-8427 będzie używany do wyświetlania i przeglądania obrazów cyfrowych. Dlatego zapewnienie dostępności obrazów cyfrowych zostało uznane za główny cel związany z bezpieczeństwem tego produktu.
Niemniej jednak dostępność, integralność i poufność informacji przetwarzanych przez produkt opiera się na nieobowiązkowych zaleceniach dotyczących bezpieczeństwa opisanych poniżej.
Brak przechowywania lub przetwarzania danych pacjenta lub danych osobowych w połączeniu z ograniczoną łącznością (sieciową) skutkuje profilem ryzyka low w zakresie cyberbezpieczeństwa MDSC-8427.
Zalecenia dotyczące bezpieczeństwa
Wymienione poniżej środki bezpieczeństwa należy traktować jako niewyczerpujący wykaz możliwych kontroli bezpieczeństwa w środowisku operacyjnym. Środowisko operacyjne nie może utrudniać stosowania środków bezpieczeństwa w produkcie ani zmuszać urządzenia do działania w niższych warunkach bezpieczeństwa.
Operator utrzymuje niezbędne najnowsze polityki, procesy, normy i inne środki kontroli bezpieczeństwa w celu włączenia, wsparcia i ochrony produktu. Obejmuje to stosowanie zarządzania ryzykiem (np. poprzez wdrożenie odpowiednich norm).
Środowisko operacyjne powinno zapewniać bezpieczeństwo fizyczne poprzez środki bezpieczeństwa, takie jak:
- Regulowany i uwierzytelniony dostęp fizyczny egzekwowany za pomocą odpowiednich środków technicznych (np. identyfikatorów)
- Polityka bezpieczeństwa fizycznego określająca role i prawa dostępu, w tym fizyczny dostęp do produktu
- Korzystanie z wydzielonych, bezpiecznych obszarów z odpowiednią kontrolą dostępu
Środowisko operacyjne powinno obejmować odpowiednie mechanizmy bezpieczeństwa, takie jak:
- Zarządzanie dostępem użytkowników (dane uwierzytelniające zapewniające dostęp do aplikacji oprogramowania lub urządzeń, zasady dostępu użytkownika itp.)
- Oprogramowanie antywirusowe/anty-malware
- Zapora sieciowa
- Dodawanie aplikacji do białej listy / kartowanie systemu
- Korzystanie wyłącznie z oryginalnego oprogramowania i zakaz wszelkiego nielegalnego oprogramowania i aplikacji
- Środki zarządzania sesjami (np. limity czasu trwania sesji)
Środowisko operacyjne powinno zapewniać kontrolę i bezpieczeństwo ruchu sieciowego poprzez odpowiednie środki, takie jak:
- Segmentacja sieci i kontrola dostępu do sieci
- Filtrowanie ruchu
- Szyfrowana komunikacja
W szczególności w przypadku stacji roboczych podłączonych do produktu odpowiednie środki bezpieczeństwa obejmują:
- Hartowanie systemu operacyjnego i umieszczanie aplikacji na białej liście
- Stosowanie silnych haseł
- Instalowanie tylko oprogramowania niezbędnego z punktu widzenia przeznaczenia środowiska operacyjnego.
Aby zapewnić, że stan bezpieczeństwa środowiska operacyjnego i samego produktu pozostanie na odpowiednim poziomie, należy wdrożyć odpowiednie przepisy dotyczące zarządzania poprawkami, takie jak:
- Środowisko operacyjne powinno obsługiwać poprawki bez narażania interoperacyjności/kompatybilności
- Operator powinien dysponować odpowiednimi procesami zarządzania poprawkami, aby zapewnić terminowe wdrażanie poprawek bezpieczeństwa dla produktu
- Operator powinien dysponować odpowiednimi procesami zarządzania poprawkami, aby zapewnić, że środowisko operacyjne (np. systemy operacyjne, aplikacje) jest aktualne pod względem bezpieczeństwa
