YY/T 1843-2022 英文版 医用电气设备网络安全基本要求

YY/T 1843-2022 英文版 医用电气设备网络安全基本要求

YY/T 1843-2022 英文版 

1 *范围
本文件规定了医用电气设备、医用电气系统及医疗器械软件的网络安全基本要求。
本文件适用于有用户访问、电子数据交换或远程控制功能的医用电气设备、医用电气系统及医疗器械软件。
2 规范性引用文件
本文件没有规范性引用文件。
4.1.3.4 *网络安全能力说明应列明产品的软件名称和版本号,这里包括了所有第三方和包含在产品中的开源软件。
4.1.3.5 网络安全能力说明应指明产品中使用的不同配置或所支持的配置。
4.1.4 存储保密性
网络安全能力说明应包含有关敏感数据的存储保密性的陈述。
4.1.5 传输保密性
网络安全能力说明应包含有关传输保密性的陈述,尤其是对敏感数据的考量。
注1:需着重考虑当设备在公用网络进行网络数据传输过程中的敏感数据保密性策略。
注2:有关在无线网络中传输保密性的更多信息,可参考IEC/T R80001-2-3:2012。
4.1.6 健康数据中的身份信息
网络安全能力说明应列出产品包含的个人敏感数据的类型,以及选取的个人敏感数据类型的依从性文件。
注1:关于可能的类型和内容见附录D或GB/T 35273-2020。
如适用,网络安全能力说明应包含数据导出时使个人敏感数据无法被识别的手段的陈述。
注2:更多细节可参考GB/T 37964-2019。
4.1.7 *用户访问控制
网络安全能力说明应包含产品用户访问控制的陈述,这包括采用的用户访问控制措施以及这种控制措施的细节。
注:这包括了远程访问,其中也包括了远程控制和用于维护的远程访问。
4.1.8 用户授权
网络安全能力说明应包含产品是否提供了用户身份验证的陈述,若提供了这种手段,则应陈述所有现有用户身份及其访问权限。
4.1.9 自动注销
网络安全能力说明应包含有关自动注销的陈述。
得性,制造商需要考虑这样的场景下自动注销功能所带来的风险。
4.1.10 紧急访问
网络安全能力说明应包含产品是否提供了紧急访问的陈述,若提供了用于紧急访问的功能,则应陈述该功能的必要性,以及使用该功能的同时如何兼顾完整性。
4.1.11 传输完整性
网络安全能力说明应包含在传输过程中保证敏感数据完整性的策略的陈述。
注:该陈述可以包括对数据传输的路径的要求。
4.1.12 节点认证
适用时,网络安全能力说明应包含节点认证的陈述。
若设备部署在HDO,身份验证策略宜灵活适应本地HDO信息技术网络的安全策略。
若产品包含了多个节点,且节点有可能被产品之外的其他节点接入,则应考虑这种情况的节点
认证。
4.1.13 恶意软件探测与防护
网络安全能力说明应包含产品是否支持恶意软件探测与防护的陈述,这应包括安全产品的配置方式,探测到恶意软件时的处理和修复方式。
注:安全产品一般包括杀毒软件、辅助安全软件和防火墙等。
4.1.14 *系统与应用软件固化
制造商应考虑产品的系统与应用软件固化,若需要实施固化,网络安全能力说明应包含系统与应用软件固化的措施的陈述,这样的措施用于保证仅提供与预期用途相关的资源和服务,并保证尽可能少的维护活动。
4.1.15 物理防护
网络安全能力说明应包含产品上的数据交换端口的物理防护的陈述。
若产品部署在HDO,网络安全能力说明应包含产品有关物理防护的陈述。
注:哪怕该物理设备的资产不属于制造商,若存在相关的风险,也需要进行陈述。
4.1.16 抗抵赖性
网络安全能力说明应包含产品有关抗抵赖性的陈述。
4.1.17 健康数据的完整性和真实性
网络安全能力说明应包含有关保证健康数据的完整性和真实性的陈述。
4.1.18 可核查性
网络安全能力说明应包含产品有关可核查性内容及其手段的陈述。
4.1.19 数据备份与灾难恢复
网络安全能力说明应包含产品进行数据备份与灾难恢复策略的陈述。
注:其目标是为了确保医疗业务持续进行。利用第三方和操作系统的功能进行数据备份在本文件中是被认可的。
这包含了系统遭灾的恢复的考量。尤其是需要存档健康数据的产品,需要考虑提供灾难恢复的策略。
若产品部署在HDO,用户文档集应明确用户的管理职能,尤其是IT管理员的责任。
4.2.9 物理防护
用户文档集应按照网络安全能力说明的陈述提供有关产品物理防护的参考信息。
4.2.10 可核查性
用户文档集应按照网络安全能力说明的陈述提供有关如何查看网络安全事件记录的指导。
4.2.11 数据备份与灾难恢复
用户文档集应按照网络安全能力说明的陈述提供产品数据备份与灾难恢复的必要的指导。
4.2.12 维护性
用户文档集应包含在网络安全能力说明中陈述的维护性相关内容的指导。
用户文档集中应陈述与产品维护计划中和网络安全有关的维护服务。
用户文档集应包括在存储设备退役之际保证敏感数据不可再被访问的指导。
注:退役的情况可能有丢弃、重新使用、转售或回收等。
4.3 网络安全能力要求
4.3.1 保密性
4.3.1.1 产品应按照网络安全能力说明所陈述的保密性特征来实现。
4.3.1.2 产品应提供该产品生成、存储、使用或传输的所有敏感数据的保密性手段。
4.3.2 健康数据中的身份信息
若产品可将个人敏感数据导出,产品应提供使其无法识别患者身份的必要的信息的手段。
注1:这样的手段可能包括匿名化、去标识化等。
注2:使用制造商指定的第三方工具完成上述目标也是可以接受的。
4.3.3 *用户访问控制
产品应按照网络安全能力说明中有关用户访问控制措施的陈述来实现。
若产品预置了供操作者使用的缺省用户名和口令,应提供这样的手段,在操作者第一次访问之后被要求修改用户名或口令。
若产品部署在HDO,应对设备、网络资源和健康数据的访问进行控制。
注:在紧急访问期间,这个要求是放宽的,见4.3.6。
若产品使用身份验证凭据的机制来进行用户访问控制,则:
a) 产品提供的身份验证错误消息不准许枚举有效凭据。
b) 产品应满足制造商规定的凭证复杂度、不成功尝试的次数、更新频率、强度或长度的要求。
c) 产品的默认凭证应可以被修改或替代。
4.3.4 用户授权
产品应按照网络安全能力说明中有关用户授权的陈述来实现。
若产品可以基于用户角色进行配置,则产品的网络安全管理功能应不能配置给临床用户这种角色。
产品的用户角色分配宜按照最小授权的原则进行分配。
注:如果产品未实现用户访问控制措施,在本文件中则认为是授权给所有可以使用到产品的人。有些情况,如产品部署在设置了门禁的房间内,虽然被认为是降低了未授权访问的风险,但这并不在本文件的评价范围内。
4.3.5 *自动注销
产品应按照网络安全能力说明和用户文档中有关自动注销的陈述来实现。
注1:自动锁定也可以被认为是一种等同于自动注销的方式,但在解锁时需要重新登录。
对有用户访问控制的产品应实施闲置超时或其他适当的机制,以防止永久授权。闲置超时的间隔可由用户配置,或可基于产品对事件或动作的响应类型进行配置。
注2:这样的配置可能包括了自动注销禁用、自动注销时间设置等。
产品宜不能使用户因自动锁定而丢失未提交的临床业务。
除非有临床需要,否则产品应不能在自动注销后的界面显示健康数据或患者信息。
4.3.6 *紧急访问
产品应符合网络安全能力说明中有关紧急访问的陈述。
如适用,在紧急情况下,应提供可以访问健康数据的手段。紧急访问的行为应被记录并可供核查。
4.3.7 传输完整性
产品应符合网络安全能力说明中有关传输完整性的陈述。
5 试验方法
5.1 通过查验产品网络安全能力说明来验证是否符合4.1的要求。
5.2 通过查验用户文档集来验证是否符合4.2的要求。
5.3 通过进行满足附录A要求的网络安全能力测试过程的测试,来验证产品是否符合4.3中陈述的要求的符合性。