ISO IEEE 11073-40102-2022 PDF

Полное наименование и описание

ISO/IEEE 11073-40102:2022 — Health informatics — Device interoperability — Part 40102: Foundational — Cybersecurity — Capabilities for mitigation. Стандарт описывает базовые возможности и приёмы смягчения рисков кибербезопасности для персональных медицинских устройств (PHD) и устройств ближней помощи (PoCD), формируя масштабируемую «информационную» инструментарную коробку для прикладного уровня защиты и сопоставляя требования с рекомендациями NIST и ENISA.

Аннотация

В контексте «plug-and-play» интероперабельности стандарт определяет набор мер (capabilities) прикладного уровня, направленных на предотвращение несанкционированного доступа, модификации, утраты конфиденциальности, доступности или целостности данных устройств. Меры рассматриваются в рамках расширенной триады конфиденциальности/целостности/доступности и сопоставлены со схемой STRIDE и другими отраслевыми руководствами.

Общая информация

• Статус: Публикуемый / действующий международный стандарт.
• Дата публикации: март 2022 (публикация — март 2022; в ряде источников указана точная дата 17 или 18 марта 2022).
• Организация-издатель: Совместная публикация ISO и IEEE (разработан рабочими группами IEEE 11073 / EMB и принятый как ISO/IEEE).
• ICS / категории: Информатика здравоохранения / межоперабельность медицинских устройств; ICS примерно 35.240.80 (health informatics).
• Редакция / версия: Издание 1 (Edition 1, 2022).
• Количество страниц: В официальном описании ISO указано 19 страниц; национальные публикации и компиляции иногда показывают иные значения (например, сводные издания — до ~34–40 стр.). При покупке/скачивании убедитесь в точном объёме у выбранного издателя.

Область применения

Стандарт применим к персональным медицинским устройствам (PHD) и приборам ближней помощи (PoCD), где требуется обеспечение безопасной и надёжной передачи/обработки данных на прикладном уровне. Он ориентирован на случаи использования и этапы жизненного цикла, когда необходимо снижать риски кибератак, вмешательства в терапию или утечки чувствительных данных. Рекомендуется производителям, интеграторам систем, регуляторам и организациям здравоохранения, внедряющим PHD/PoCD-интерфейсы.

Ключевые темы и требования

• Определение базовой «инструментальной коробки» мер смягчения рисков прикладного уровня безопасности для PHD/PoCD (авторизация, аутентификация, управление ключами, защита данных в покое и в трансфере и пр.).
• Связь с расширенной CIA-триадой (конфиденциальность, целостность, доступность + аспекты безопасности, влияющие на безопасность пациента и удобство использования).
• Сопоставление мер со стандартами/фреймворками (NIST Cybersecurity Framework, ENISA, IEC TR 80001-2-2) и со схемой STRIDE.
• Описание критериев применения мер — какие mitigations рекомендованы для каких сценариев и при каких рисках/требованиях.
• Гибкость реализации — стандарт описывает подходы и принципы, не навязывая конкретных криптоалгоритмов или реализаций, оставляя выбор поставщику с учётом контекста и рисков.

Применение и пользователи

Основные пользователи: разработчики и производители персональных медицинских устройств и PoCD, интеграторы медицинских систем, ИТ-безопасности в здравоохранении, аудиторские и регуляторные органы, а также исследователи и консультанты по кибербезопасности медицинских устройств. Стандарт помогает устанавливать требования к безопасности интерфейсов, формировать архитектуры защиты и проводить верификацию выбранных мер смягчения рисков.

Связанные стандарты

ISO/IEEE 11073-40102 является частью семейства ISO/IEEE 11073 (стандарты для интероперабельности медицинских устройств). Непосредственно связан с ISO/IEEE 11073-40101 (Processes for vulnerability assessment) — дополняет процессы оценки уязвимостей конкретными возможностями смягчения; также имеет логическую связь с частями серии, описывающими коммуникационные профили и специализации устройств (например, 11073-20601, 11073-102xx и 11073-104xx). Для сопоставления мер стандарт ссылается на NIST CSF, ENISA и IEC TR 80001-2-2.

Ключевые слова

кибербезопасность, медицинские устройства, персональное здоровье (PHD), PoCD, mitigations, STRIDE, NIST, ENISA, CIA triad, интероперабельность, ISO/IEEE 11073.

FAQ

В: Что это за стандарт?

О: Международный совместный стандарт ISO/IEEE, часть семейства 11073, который формулирует набор возможностей и мер смягчения киберрисков для персональных и ближних к пациенту медицинских устройств на прикладном уровне.

В: Что он регулирует?

О: Не «регулирует» в юридическом смысле, но задаёт технические рекомендации и базовые требования к средствам смягчения киберрисков — авторизации, аутентификации, защите данных и пр., а также показывает, в каких ситуациях те или иные меры следует применять. Стандарт оставляет выбор конкретных алгоритмов и реализаций за производителем, а описывает требования и критерии применения.

В: Кто обычно использует?

О: Производители медицинских PHD/PoCD, инженеры по безопасности, архитекторы IoMT-решений, регуляторы и организации здравоохранения, а также сертификационные и аудиторские органы, проводящие оценку кибербезопасности медицинских устройств.

В: Он актуален или заменён?

О: По состоянию на публикацию (март 2022) — действующий международный стандарт (Edition 1, 2022). Информацию о последующих поправках, пересмотрах или новых редакциях следует проверять у издателей ISO/IEEE и национальных органов стандартов перед использованием в сертификационных процессах.

В: Это часть серии?

О: Да — часть расширяемой серии ISO/IEEE 11073 (разделы Foundational, Communication, Device specialization и пр.). Непосредними соседями по тематике являются 11073-40101 (процессы оценки уязвимостей) и другие части семейства, касающиеся коммуникационных профилей и специальных классов устройств.

В: Какие ключевые слова?

О: кибербезопасность, mitigation, PHD, PoCD, STRIDE, NIST, ENISA, CIA triad, интероперабельность, ISO/IEEE 11073.