Obiective de securitate
MDSC-8255 va fi utilizat pentru afișarea și vizualizarea imaginilor digitale. Prin urmare, asigurarea disponibilității imaginilor digitale a fost identificată ca obiectiv principal de securitate pentru acest produs.
Cu toate acestea, disponibilitatea, integritatea și confidențialitatea informațiilor prelucrate de produs se bazează pe recomandările de securitate neobligatorii descrise mai jos.
Lipsa stocării sau procesării informațiilor despre pacienți sau a informațiilor cu caracter personal, combinată cu conectivitatea limitată (la rețea), duce la un profil de risc scăzut de securitate cibernetică low pentru MDSC-8255.
Recomandări de securitate
Măsurile de securitate enumerate mai jos trebuie considerate o listă neexhaustivă a posibilelor controale de securitate pentru mediul de operare. Mediul de operare nu trebuie să împiedice aplicarea măsurilor de securitate asupra produsului sau să forțeze dispozitivul să funcționeze într-un cadru de securitate mai scăzut.
Operatorul trebuie să mențină politicile, procesele, standardele și alte controale de securitate de ultimă generație necesare pentru încorporarea, sprijinirea și protejarea produsului. Aceasta include aplicarea gestionării riscurilor (de exemplu, prin punerea în aplicare a standardelor relevante) și formarea personalului relevant.
Mediul de operare ar trebui să asigure securitatea fizică prin măsuri de securitate, cum ar fi:
- Accesul fizic reglementat și autentificat aplicat prin măsuri tehnice adecvate (de ex., ecusoane)
- Politica de securitate fizică care definește rolurile și drepturile de acces, inclusiv pentru accesul fizic la produs
- Utilizare zonelor segregate, securizate cu controale de acces adecvate
Mediul de operare ar trebui să includă controale de securitate adecvate, cum ar fi:
- Gestionarea accesului utilizatorilor (acreditări pentru accesarea aplicațiilor sau dispozitivelor software, politica de acces a utilizatorilor etc.)
- Software antivirus/anti-malware
- Firewall-uri bazate pe rețea și gazdă, care permit doar traficul necesar pentru funcționarea sistemului
- Lista albă a aplicațiilor/întărirea sistemului
- Utilizarea exclusivă a software-ului autentic și interzicerea tuturor software-urilor și aplicațiilor nelegitime
- Măsuri de gestionare a sesiunii (de exemplu, expirarea sesiunii)
Mediul de operare ar trebui să asigure controlul și securitatea traficului de rețea prin măsuri adecvate, cum ar fi:
- Segmentarea rețelei și controlul accesului la rețea
- Filtrarea traficului
- Comunicare criptată
În special pentru stațiile de lucru conectate la produs, măsurile de securitate adecvate includ:
- Întărirea sistemului de operare și crearea unei liste albe a aplicațiilor
- Utilizarea parolelor puternice
- Instalați numai software necesar pentru utilizarea intenționată a mediului de operare
Pentru a ne asigura că poziția de securitate a mediului de operare și a produsului în sine rămâne la un nivel adecvat, ar trebui să existe dispoziții adecvate privind gestionarea patch-urilor, cum ar fi:
- Mediul de operare ar trebui să sprijine corecțiile fără a compromite interoperabilitatea/compatibilitatea
- Operatorul ar trebui să dispună de procese adecvate de gestionare a corecțiilor pentru a se asigura că toate corecțiile de securitate pentru produs sunt implementate în timp util
- Operatorul ar trebui să dispună de procese adecvate de gestionare a corecțiilor pentru a se asigura că mediul de operare (de exemplu, sisteme de operare, aplicații) este actualizat din punct de vedere al securității
- Scanarea vulnerabilităților trebuie efectuată de fiecare dată când se face o modificare semnificativă (cu impact asupra securității) a mediului de operare (caracteristici, componente și alte produse adăugate sau eliminate) și/sau cel puțin o dată pe lună (de exemplu, pentru a ține evidența corecțiilor eliberate lunar la nivelul sistemului de operare). Problemele ridicate sau critice trebuie rezolvate cât mai curând posibil.
Nexxis Integrare
În ceea ce privește sistemul Nexxis, trebuie luate următoarele măsuri și acțiuni:
- Acreditările implicite care vin cu o instalare inițială a sistemului Nexxis trebuie modificate la prima conectare.
- La schimbarea acestor acreditări, noile acreditări trebuie să respecte publicația specială NIST 800-63.
În ceea ce privește orice alte componente ale sistemului în care se integrează MDSC-8255, cum ar fi comutatoarele de rețea sau Nexxis, trebuie să se aplice următoarele:
- Nu este permisă autentificarea cu o parolă goală. Dacă dispozitivele sunt livrate implicit cu o parolă goală, acestea trebuie setate înainte de a plasa produsul în sala de operație. Orice acreditări trebuie să respecte securitatea standardizată a industriei și controlul confidențialității, cum ar fi publicația specială NIST 800-63.
- Este necesar un firewall activ care permite conectivitatea conform cerințelor rețelei în care se integrează MDSC-8255. Această rețea trebuie să fie privată și să nu fie expusă la internet sau la alte rețele IT (de exemplu, rețea spitalicească).
În ceea ce privește echipamentele terților, trebuie să se aplice următoarele:
- Operatorul trebuie să se asigure că echipamentul terț care este conectat la MDSC-8255 dispune de măsuri pentru a proteja integritatea acestuia și pentru a preveni accesul neautorizat.
