Turvallisuustavoitteet
MDSC-8232 M3D käytetään digitaalisten kuvien näyttämiseen ja katseluun. Siksi digitaalisten kuvien saatavuuden varmistaminen on määritelty tämän tuotteen ensisijaiseksi tietoturvatavoitteeksi.
Tuotteen käsittelemien tietojen saatavuus, eheys ja luottamuksellisuus perustuvat kuitenkin alla kuvattuihin ei-pakollisiin tietoturvasuosituksiin.
Potilas- tai henkilötietojen tallentamisen tai käsittelyn puute yhdistettynä rajoitettuun (verkko)liitettävyyteen johtaa siihen, että MDSC-8232 M3D sisältää low kyberturvallisuusriskiprofiilin.
Turvallisuussuosituksia
Alla lueteltuja turvatoimenpiteitä tulee pitää ei-tyhjentävänä luettelona mahdollisista toimintaympäristön turvatoimista. Käyttöympäristö ei saa haitata turvatoimien soveltamista tuotteeseen tai pakottaa laitetta toimimaan alemmilla suojausasetuksilla.
Käyttäjän on ylläpidettävä tarvittavia parhaaksi todettuja käytäntöjä, prosesseja, standardeja ja muita turvatoimia tuotteen sisällyttämiseksi, tukemiseksi ja suojaamiseksi. Tähän sisältyy riskienhallinnan soveltaminen (esim. asiaankuuluvien standardien täytäntöönpano) ja asiaankuuluvan henkilöstön kouluttaminen.
Toimintaympäristön tulee tarjota fyysistä turvallisuutta turvatoimilla, kuten:
- Säännelty ja todennettu fyysinen pääsy, joka on pakotettu asianmukaisin teknisin keinoin (esim. tunnukset)
- Fyysinen turvallisuuspolitiikka, jossa määritellään roolit ja käyttöoikeudet, mukaan lukien fyysinen pääsy tuotteeseen
- Erillisten, turvallisten alueiden käyttö asianmukaisilla kulunvalvontatoiminnoilla
Toimintaympäristön tulee sisältää asianmukaiset turvatarkastukset, kuten:
- Käyttäjien käyttöoikeuksien hallinta (tunnistetiedot ohjelmistosovellusten tai laitteiden käyttöön, käyttäjien käyttöoikeuskäytäntö jne.)
- Virustentorjunta / haittaohjelmien torjuntaohjelmisto
- Verkko- ja isäntäpohjaiset palomuurit, jotka sallivat vain järjestelmän toiminnan edellyttämän liikenteen
- Sallittujen sovellusten luettelo / järjestelmän kovettuminen
- Aitojen ohjelmistojen yksinomainen käyttö ja kaikkien laittomien ohjelmistojen ja sovellusten käyttökielto
- Istunnon hallintatoimenpiteet (esim. istunnon aikakatkaisut)
Toimintaympäristön tulee tarjota verkkoliikenteen ohjaus ja turvallisuus asianmukaisin toimenpitein, kuten:
- Verkon segmentointi ja verkon käytön valvonta
- Liikenteen suodatus
- Salattu viestintä
Erityisesti tuotteeseen liitettyjen työasemien osalta asianmukaisia suojatoimenpiteitä ovat:
- Käyttöjärjestelmän kovettuminen ja sovellusten lisääminen sallittujen luetteloon
- Vahvojen salasanojen käyttö
- Asenna vain käyttöympäristöön tarvittavia ohjelmistoja.
Sen varmistamiseksi, että käyttöympäristön ja itse tuotteen suojaus pysyvät sopivalla tasolla, korjaustiedostojen hallintaa koskevia asianmukaisia määräyksiä tulee olla olemassa, esimerkiksi:
- Käyttöympäristön tulee tukea korjausta vaarantamatta yhteentoimivuutta/yhteensopivuutta
- Käyttäjällä tulee olla asianmukaiset korjaustiedostojen hallintaprosessit varmistaakseen, että tuotteen tietoturvakorjaukset otetaan käyttöön ajoissa
- Käyttäjällä tulee olla asianmukaiset korjaustiedostojen hallintaprosessit sen varmistamiseksi, että käyttöympäristö (esim. käyttöjärjestelmät, sovellukset) on tietoturvan kannalta ajan tasalla
- Haavoittuvuustarkistus tulee suorittaa merkittävien muutosten yhteydessä (jolla on vaikutusta turvallisuuteen) käyttöympäristöön (ominaisuuksia, komponentteja ja muita tuotteita lisätty tai poistettu) ja/tai vähintään kerran kuukaudessa (esim. kuukausittaisten käyttöjärjestelmätason päivitysten seuranta). Korkeat tai kriittiset ongelmat tulisi ratkaista mahdollisimman pian.
Nexxis Integraatio
Nexxis-Järjestelmän osalta tulee toteuttaa seuraavat toimenpiteet:
- Oletustunnistetiedot, jotka tulevat Nexxis-järjestelmän ensimmäisen asennuksen yhteydessä, on vaihdettava ensimmäisen kirjautumisen yhteydessä.
- Kun näitä valtuustietoja vaihdetaan, uusien valtuustietojen on noudatettava NIST Special Publication 800-63 -julkaisua.
Mitä tulee muihin järjestelmän osiin, joissa MDSC-8232 M3D integroituu, kuten verkkokytkimet tai Nexxis, seuraavat on huomioitava:
- Todennusta tyhjällä salasanalla ei sallita. Jos laitteet toimitetaan oletusarvoisesti tyhjällä salasanalla, ne on asetettava ennen tuotteen sijoittamista leikkaussaliin. Kaikkien tunnistetietojen on oltava alan standardoitujen tietoturva- ja yksityisyysvalvontavaatimusten, kuten NIST Special Publication 800-63:n, mukaisia.
- Käytössä on oltava palomuuri, joka sallii yhteyden vain siihen komponenttiin, johon MDSC-8232 M3D on integroitu. Tämän verkon tulee olla yksityinen, eikä se saa olla alttiina Internetille tai muille IT-verkoille (esim. sairaalaverkko).
Kolmannen osapuolen laitteiden osalta on sovellettava seuraavaa:
- Käyttäjän on varmistettava, että MDSC-8232 M3D -laitteeseen yhdistetyillä kolmannen osapuolen laitteilla on toimenpiteet sen eheyden turvaamiseksi ja luvattoman käytön estämiseksi.
