Цели безопасности
MDMC-32133 будет использоваться для отображения и просмотра цифровых изображений. Поэтому основной целью безопасности этого изделия необходимо определить обеспечение доступности цифровых изображений.
Тем не менее, доступность, целостность и конфиденциальность информации, обрабатываемой с помощью этого изделия, зависят от необязательных рекомендаций по обеспечению безопасности, описанных ниже.
Недоработки при хранении или обработке информации пациентов или личных данных в сочетании с ограничениями подключения к сети приводят к снижению уровня кибербезопасности MDMC-32133.
Рекомендации по безопасности
Перечисленные ниже меры безопасности следует рассматривать как неполный список возможных средств обеспечения безопасности операционной среды. Операционная среда не должна препятствовать применению мер безопасности к изделию или приводить к намеренному использованию устройства при недостаточно высоких параметрах безопасности.
При внедрении, поддержке и защите изделия оператор должен соблюдать необходимые современные правила, процедуры, стандарты и прочие меры обеспечения безопасности. В число таких мер входит управление рисками (например, путем внедрения соответствующих стандартов).
Операционная среда должна обеспечивать физическую защиту с помощью следующих мер:
- Контроль и проверка подлинности физического доступа посредством подходящих технических мер (например, бейджей)
- Политика физической безопасности, определяющая роли и права доступа, в том числе для физического доступа к изделию
- Использование изолированных безопасных зон с соответствующим контролем доступа
Операционная среда должна включать соответствующие меры безопасности, такие как:
- Управление доступом пользователей (учетные данные для доступа к программным приложениям или устройствам, правила доступа пользователей и т. д.)
- Программное обеспечение для защиты от вирусов и вредоносного ПО
- Межсетевой экран
- Список разрешенных приложений/усиление защиты системы
- Исключительное использование подлинного программного обеспечения и запрет на любое незаконное программное обеспечение
- Меры по управлению сеансами (например, тайм-ауты сеанса)
Операционная среда должна обеспечивать контроль и безопасность сетевого трафика с помощью следующих мер:
- Сегментация сети и контроль над доступом к сети
- Фильтрация трафика
- Зашифрованный обмен данными
В частности, для рабочих станций, подключенных к изделию, достаточные меры безопасности включают в себя:
- Защита операционной системы и ведение списка разрешенных приложений
- Применение надежных паролей
- Установка только программ, необходимых для предполагаемого использования среды эксплуатации
Чтобы уровень безопасности среды эксплуатации и самого изделия оставался на приемлемом уровне, необходимо предусмотреть соответствующие меры, касающиеся управления исправлениями, например:
- Операционная среда должна поддерживать установку исправлений без ущерба для функциональной и операционной совместимости.
- Оператор должен обладать знаниями о соответствующих процессах управления исправлениями, чтобы обеспечить своевременное развертывание исправлений безопасности для изделия.
- Оператор должен обладать знаниями о соответствующих процессах, чтобы операционная среда (например, операционные системы, приложения) содержала все обновления системы безопасности.
