ANSI AAMI SW96-2023 PDF

Полное наименование и описание

ANSI/AAMI SW96:2023 — Standard for medical device security — Security risk management for device manufacturers. Документ устанавливает требования и рекомендации для управления рисками информационной безопасности медицинских устройств на протяжении их жизненного цикла, включая проектирование, производство и постмаркетный этап.

Аннотация

Стандарт описывает процесс управления рисками безопасности (security risk management) в контексте существующего процесса управления рисками безопасности пациента (ISO 14971). Включены положения по моделированию угроз, мониторингу уязвимостей, управлению исправлениями и обновлениями, составу программного обеспечения (SBOM), планам реагирования на инциденты и коммуникации с организациями здравоохранения. Стандарт разработан для применения совместно с AAMI TIR57 и AAMI TIR97 и получил широкое признание в отрасли, включая официальное признание регулятором (FDA) как полезный консенсусный документ.

Общая информация

• Статус: Действующий (current).
• Дата публикации: 2023 (финальное утверждение/Final Action — январь 13, 2023).
• Организация-издатель: Association for the Advancement of Medical Instrumentation (AAMI); документ утверждён как американский национальный стандарт ANSI/AAMI.
• ICS / категории: 11.040 (медицинское оборудование и системы) — классификация по теме медицинских приборов и связанных аспектов безопасности.
• Редакция / версия: ANSI/AAMI SW96:2023 (версия 2023).
• Количество страниц: ~61 страниц (PDF/официальное издание).

Область применения

SW96 предназначен для производителей медицинских устройств и охватывает управление рисками информационной безопасности на всех этапах жизненного цикла продукта: проектирование, разработка, производство, ввод в эксплуатацию, эксплуатация и постмаркетный мониторинг. Стандарт помогает интегрировать процессы управления киберрисками с существующими системами управления качеством и процессами управления безопасностью изделий (например, ISO 14971), а также описывает взаимодействие производителя с организациями здравоохранения и поставщиками для координации контроля и коммуникации при обнаружении уязвимостей.

Ключевые темы и требования

• Выполнение анализа рисков безопасности и моделирования угроз для отдельных изделий и систем.
• Мониторинг уязвимостей и процесс обработки выявленных уязвимостей (vulnerability management).
• Управление жизненным циклом ПО: патчинг, обновления и планирование окончания поддержки (end‑of‑support).
• Требование к составу программного обеспечения (SBOM) и коммуникации с пользователями о зависимостях и обновлениях.
• Планы реагирования на инциденты, координированное раскрытие уязвимостей и коммуникация с HDO (healthcare delivery organizations).
• Оценка и документирование остатков рисков и критериев их приемлемости; регулярные обзоры эффективности мер управления рисками.

Применение и пользователи

Основные пользователи — производители медицинских приборов и медицинского ПО (включая SaMD), инженеры по обеспечению качества и безопасности продукции, отделы регуляторики, команды кибербезопасности и специалисты по техническому обслуживанию в больницах (HTM/clinical engineering). Стандарт также полезен для команд подготовки предмаркетной документации и постмаркетного мониторинга, а также для аудиторов и поставщиков услуг безопасности.

Связанные стандарты

Документ рекомендуется использовать совместно с AAMI TIR57 и AAMI TIR97. SW96 соотносится и дополняет международные стандарты и рекомендации, такие как ISO 14971 (управление рисками изделий), IEC/ISO стандарты по безопасности ПО и ряд документов по безопасности медицинских сетей (включая IEC 81001‑5‑1 и разрабатываемые смежные части).

Ключевые слова

кибербезопасность медицинских устройств, security risk management, SBOM, vulnerability management, threat modeling, patch management, postmarket monitoring, AAMI, ANSI.

FAQ

В: Что это за стандарт?

О: Это американский национальный стандарт ANSI/AAMI SW96:2023, устанавливающий требования и рекомендации по управлению рисками информационной безопасности медицинских устройств на протяжении их жизненного цикла.

В: Что он регулирует?

О: Стандарт описывает методологию анализа угроз и уязвимостей, оценку рисков, выбор и внедрение мер управления рисками (включая патчи и обновления), сопровождение SBOM, планирование окончания поддержки и процессы коммуникации с пользователями и организациями здравоохранения.

В: Кто обычно использует?

О: Производители медицинских устройств и ПО, специалисты по качеству и регуляторике, команды кибербезопасности, клинические инженеры и закупочные подразделения в медицинских учреждениях, а также консультанты по безопасности и поставщики услуг верификации.

В: Он актуален или заменён?

О: По состоянию на настоящее время стандарт считается действующим и внедряется в отрасли; на момент публикации/утверждения (2023) он получил признание и рекомендован регулятором (FDA) в качестве полезного консенсусного документа. Не сообщалось о его замене — производители ориентируются на SW96 совместно с сопутствующими документами. Рекомендуется проверять официальные источники AAMI/ANSI для получения актуальной информации о возможных поправках или новых редакциях.

В: Это часть серии?

О: Да — SW96 дополняет и предназначен для совместного применения с серией документов AAMI по безопасности ПО и кибербезопасности (например, TIR57, TIR97) и коррелируется с международными стандартами по управлению рисками и безопасности ПО.

В: Какие ключевые слова?

О: Медицинские устройства, кибербезопасность, управление рисками, SBOM, уязвимости, патчи, моделирование угроз, постмаркетный мониторинг.