Sigurnosni ciljevi

Proizvod MDSC-8255 će se koristiti za prikazivanje i gledanje digitalnih slika. Stoga je osiguravanje dostupnosti digitalnih slika identificirano kao primarni sigurnosni cilj ovog proizvoda.

Ipak, dostupnost, integritet i povjerljivost informacija koje obrađuje proizvod oslanja se na neobvezne sigurnosne preporuke opisane u nastavku.

Izostanak pohrane ili obrade podataka o pacijentima ili osobnih podataka, u kombinaciji s ograničenom (mrežnom) povezanošću, rezultira time da MDSC-8255 povlači sa sobom low profil rizika za kibersigurnost.

Sigurnosne preporuke

Sigurnosne mjere navedene u nastavku treba smatrati nepotpunim popisom mogućih sigurnosnih kontrola radnog okruženja. Radno okruženje ne smije ometati primjenu sigurnosnih mjera na proizvodu niti nametati uređaju rad u nižim sigurnosnim postavkama.

Rukovatelj će morati zadržati potrebne najsuvremenije politike, postupke, norme i druge sigurnosne kontrole radi uključivanja, podrške i zaštite proizvoda. To mora uključivati primjenu upravljanja rizicima (npr. primjenom relevantnih normi) i obuku odgovarajućeg osoblja.

Radno okruženje trebalo bi pružati fizičku sigurnost putem sigurnosnih mjera kao što su:

• Regulirani i ovjereni fizički pristup proveden primjenom prikladnih tehničkih mjera (npr. značke)
• Politika fizičke sigurnosti koja definira uloge i prava pristupa, uključujući fizički pristup proizvodu
• Korištenje odvojenih, sigurnih područja s odgovarajućim kontrolama pristupa

Radno okruženje trebalo bi uključivati primjerene sigurnosne kontrole kao što su:

• Upravljanje korisničkim pristupom (vjerodajnice za pristup softverskim aplikacijama ili uređajima, pravila pristupa korisnika itd.)
• Antivirusni softver/softver za zaštitu od zlonamjernog softvera
• Mrežni i vatrozidovi temeljeni na hostu, omogućujući samo promet koji je potreban za funkcioniranje sustava
• Stvaranje popisa dopuštenih aplikacija/povećanje otpornosti sustava
• Isključivo korištenje originalnog softvera i zabrana svih nezakonitih softvera i aplikacija
• Mjere upravljanja sesijama (npr. vremenski prekidi sesije)

Radno okruženje trebalo bi osigurati kontrolu i sigurnost mrežnog prometa putem odgovarajućih mjera, kao što su:

• Segmentacija mreže i kontrola pristupa mreži
• Filtriranje prometa
• Šifrirana komunikacija

Posebno za radne stanice povezane s proizvodom, primjerene sigurnosne mjere uključuju:

• Povećanje otpornosti operacijskog sustava i stvaranje popisa dopuštenih aplikacija
• Upotreba jakih lozinki
• Instalirajte samo softver potreban za predviđenu namjenu radnog okruženja

Kako bi se osiguralo da sigurnosni položaj radnog okruženja i samog proizvoda ostane na odgovarajućoj razini, trebalo bi uspostaviti odgovarajuće odredbe o upravljanju zakrpama, kao što su:

• Radno okruženje trebalo bi podupirati krpanje bez ugrožavanja interoperabilnosti/kompatibilnosti
• Rukovatelj bi na raspolaganju trebao imati odgovarajuće postupke upravljanja zakrpama kako bi se osigurala pravodobna implementacija sigurnosnih zakrpa za proizvod
• Rukovatelj bi na raspolaganju trebao imati odgovarajuće postupke upravljanja zakrpama kako bi se osiguralo da je radno okruženje (npr. operacijski sustavi, aplikacije) ažurirano u smislu sigurnosti
• Skeniranje ranjivosti treba provesti nakon značajnih promjena (s utjecajem na sigurnost) radnog okruženja (značajke, komponente i ostali proizvodi su dodani ili uklonjeni) i/ili barem jednom mjesečno (npr. radi praćenja mjesečnih zakrpa objavljenih na razini operacijskog sustava). Pitanja velike ili kritične važnosti treba ublažiti što je prije moguće.

Nexxis integracija

Što se tiče sustava Nexxis potrebno je poduzeti sljedeće mjere i radnje:

• Zadane vjerodajnice koje dolaze s početnom instalacijom sustava Nexxis moraju se promijeniti prilikom prve prijave.
• Prilikom mijenjanja ovih vjerodajnica, nove vjerodajnice moraju se pridržavati Posebne publikacije Nacionalnog instituta za standarde i tehnologiju (NIST) 800-63.

Što se tiče bilo koje druge komponente sustava u koje se integrira MDSC-8255 se integrira, kao što su mrežni prekidači ili Nexxis, mora se primjenjivati sljedeće:

• Nije dopuštena provjera autentičnosti s praznom lozinkom. Ako su uređaji standardno isporučeni s praznom lozinkom, oni se moraju postaviti prije stavljanja proizvoda u operacijsku dvoranu. Svi sve vjerodajnice moraju biti u skladu s industrijski standardiziranom zaštitom i kontrolom privatnosti, kao što je Posebna publikacija Nacionalnog instituta za standarde i tehnologiju NIST 800-63.
• Mora se uspostaviti vatrozid koji samo prema potrebi omogućuje povezivanja s mrežom u koju je integriran MDSC-8255. Ova mreža bi trebala biti privatna i ne bi trebala biti izložena internetu ili drugim IT mrežama (npr. bolničkoj mreži).

S obzirom na opremu treće strane, mora se primjenjivati sljedeće:

• Rukovatelj se mora pobrinuti da oprema treće strane povezana sa MDSC-8255 ima uspostavljene mjere zaštite njezinog integriteta i sprečavanja neovlaštenog pristupa.

Sanitacija i zbrinjavanje podataka

• Zaštita osjetljivih informacija, uključujući ključeve za šifriranje, podatke o pacijentu i druge tajne, ne prestaje kada je komponenta izvan pogona. Integratori i bolnice obavezno moraju poduzeti sve potrebne mjere u pogledu sigurnog i sigurnog zbrinjavanja i sanitacije podataka bilo kojeg uređaja koji se zamjenjuje ili stavlja izvan pogona.
• Referenca za sanitaciju i zbrinjavanje je Posebna publikacija Nacionalnog instituta za standarde i tehnologiju (NIST) 800-88 - Smjernice za sanitaciju medija. Naposljetku, svi uređaji moraju biti vraćeni na zadane tvorničke postavke i vraćeni u Barco ili fizički uništeni.

Softverski popis materijala

Barco održava softverski popis materijala (SBOM) za MDSC-8255. Da biste dobili kopiju SBOM-a, obratite se proizvođaču.