当地时间9月27日,FDA发布了<医疗器械中的网络安全:质量体系考虑和上市前提交的内容>最终指南,该指南取代了2022年4月FDA发布的指南草案。
在今年3月20日发布的网络安全RTA指南草案中表示,FDA会从23年10月1日后,如网络安全不符合要求的在RTA阶段就会被拒绝,在现在发布网络安全系列指南,也表示了FDA对于网络安全监管的决心。
本指南文件适用于具有网络安全考虑的器械,给FDA CDRH部门和CBER部门以510(K)、De Novo、PMA、PDP、IDE、HDE、BLA、IND上市前提交类型的网络安全器械都应考虑本指南的建议;另外FD&C法案201(h)范围内、公共卫生服务法定义的生物制品器械、501K豁免器械也要参考本指南。
本指南旨在补充上市后网络安全指南、包含现成(OTS)软件的网络医疗器械的网络安全指南、器械软件上市前提交的内容指南。
FDA在本指南强调了几个关键概念:
1. 网络安全是器械安全和质量体系法规的一部分
2.实现含网络安全医疗器械的整个产品声明周期(TPLC)考虑的一种方法是通过实施和采用安全产品开发框架(SPDF),SPDF是一组流程,用于减少整个器械生命周期中产品中漏洞的数量和严重程度。
3.软件物料清单(SBOM-Software Bill of Materials)
4.网络安全测试
1、网络安全是器械安全和质量体系法规的一部分
在上市前,为了证明对某些具有网络安全风险的器械的安全性和有效性的合理保证,与QSR 820要求相关的文件输出可能是作为上市前提交的一部分的文件来源之一。
软件验证和风险管理是网络安全分析和证明器械是否具有合理的安全性和有效性保证的关键要素。正如FDA关于设计控制(可能包括网络安全考虑因素)的法规中所述,FDA要求制造商实施开发流程,将设计和开发过程中的软件风险作为设计控制的一部分加以考虑和解决。例如,这些过程应处理安全风险的识别,如何控制风险的设计要求,以及控制按照设计的功能,并在其使用环境中有效地确保足够的安全性的证据。
安全产品开发框架(SPDF-Secure Product Development Framework)可能是满足QSR 820的一种方式。
安全产品开发框架(SPDF-Secure Product Development Framework)可能是满足QS法规的一种方式,FDA鼓励制造商使用SPDF,但其他方法也可能满足QSR 820法规。
2、使用SPDF管理网络安全风险
医疗器械的互联性日益增强,这表明在器械设计中解决与器械连接相关的网络安全风险的重要性,因为它会影响安全性和有效性通过使用SPDF可以合理地控制医疗器械或更大的医疗器械系统的网络安全风险。
以下是FDA对SPDF工艺的建议,FDA认为这些工艺为开发安全有效的器械提供了重要的考虑因素,这些工艺如何补充QSR 820,以及FDA建议制造商提供的文件作为上市前提交的一部分进行审查。
A. 安全风险管理
实施安全风险管理不同于ISO 14971所描述的实施安全风险管理。这些过程在性能上的区别是由于在安全环境和安全环境下,可能的危害范围和风险评估因素可能是不同的。
安全风险管理流程的范围和目标,连同其他SPDF流程(例如,安全测试),是揭露威胁如何通过漏洞显示病人的伤害和其他潜在风险。这些过程还应确保一种风险评估的风险控制措施不会无意中在另一种风险中引入新的风险。例如,AAMI TIR57详细说明了安全和安全风险管理过程应如何进行接口,以确保所有风险都得到充分评估FDA建议,应建立或纳入QSR 820中详细的安全风险管理流程,并应解决制造商的设计、制造和分销流程,以及整个TPLC的更新。QSR 820中可能与此相关的过程包括但不限于设计控制(21 CFR 820.30),生产过程的验证(21 CFR 820.70),纠正和预防措施(21 CFR 820)。100)确保安全和安全风险得到充分处理。为了在21 CFR 820.30(g)下进行风险分析的完整性,FDA建议器械制造商进行安全风险评估和单独的安全风险评估,以确保更全面地识别和管理患者安全风险。
器械应设计为消除或减轻已知的漏洞。对于已上市的器械,如果不可能进行全面的设计缓解,则应考虑补偿控制。对于所有器械,当器械设计只能部分缓解或无法缓解任何已知漏洞时,应在风险评估中将其评估为合理可预见的风险,并评估是否采取额外的控制措施或将风险转移给用户/操作员,或必要时转移给患者。风险转移,如果适合,只应在所有相关风险信息已知、评估并适当传达给用户的情况下进行,并包括从供应链继承的风险,以及当医疗器械系统的器械或制造商控制的资产达到支持终止和生命终止时如何处理风险转移,以及用户是否或如何能够承担该角色(例如,如果用户可能是患者)。
为了记录医疗器械系统的安全风险管理活动,FDA建议制造商生成安全风险管理计划和报告,如AAMI TIR57.36中所述。制造商应在其上市前提交中包括其安全风险管理报告,包括其安全风险管理过程的输出,以帮助证明器械的安全性和有效性。
除了包含上述文件要素外,安全风险管理报告还应:
a.总结风险评估方法和流程;
b.详细说明安全风险评估中的剩余风险结论;
c.详细说明作为制造商风险管理流程一部分的风险缓解活动
d.威胁模型:
除了包含上述文件要素外,安全风险管理报告还应:
•总结风险评估方法和流程;
•详细说明安全风险评估中的剩余风险结论;
•详细说明作为制造商风险管理流程一部分的风险缓解活动
•提供本指南稍后讨论的威胁模型、网络安全风险评估、SBOM和测试文档以及其他相关网络安全风险管理文档之间的可追溯性。
FDA建议上市前提交包括威胁建模文档,以演示如何分析医疗器械系统,以识别可能影响安全性和有效性的潜在安全风险。
威胁建模活动可以在设计评审期间执行和/或评审。FDA建议威胁建模文档包括制造商执行的威胁建模活动的足够信息,以评估和审查器械中内置的安全功能,以便他们全面评估器械和器械运行的系统,以确保器械的安全性和有效性。
e.网络安全风险评估
作为安全风险管理的一部分,安全风险和控制应作为网络安全风险评估的一部分对剩余风险进行评估。
有效的安全风险评估指出,与网络安全相关的故障可以有意或无意地发生。因此,网络安全风险难以预测,即不可能根据历史数据或建模(也称为“概率方式”)来评估和量化事件发生的可能性。这种非概率方法并不是ISO 14971规定的安全风险管理的基本方法,它进一步强调了为什么安全和安全风险管理是不同但又相互联系的过程。相反,安全风险评估过程侧重于可利用性,或利用器械和/或系统中存在的漏洞的能力。FDA建议制造商根据器械及其操作系统所构成的风险水平评估已识别的风险。关于安全风险评估的可利用性评估的其他讨论可以在FDA的上市后网络安全指南中找到。
上市前提交的网络安全风险评估应捕获从威胁模型中识别出的风险和控制。还应作为上市前提交的一部分提供用于在风险减轻前后进行评分的方法和相关的接受标准,以及将安全风险转移到安全风险评估过程中的方法。
f.互操作性的考虑
作为医疗器械系统的一部分,器械可能需要从互操作功能方面考虑网络安全问题,包括但不限于以下接口:
•其他医疗器械及配件;
•FDA指南“多功能器械产品:政策和考虑”中确定的“其他功能”;
•与医疗基础设施(如网络、电子病历、医学成像系统)的互操作性;
•通用计算平台
当使用通用技术和通信协议来实现互操作性时(例如,蓝牙、低功耗蓝牙、网络协议),器械制造商应评估是否需要在此类通信下添加安全控制以确保器械的安全性和有效性(例如,在蓝牙低功耗协议或支持技术中发现漏洞时,在蓝牙低功耗下添加安全控制以防范风险)。
除了互操作性指南中的建议外,制造商还应考虑与互操作性能力相关的适当的网络安全风险和控制,并将这些考虑按照本指南的建议记录下来。
g. 第三方软件组件
作为证明符合21 CFR 820.30(g)规定的设计控制的一部分,并支持供应链风险管理流程,所有软件,包括器械制造商开发的软件(“专有软件”)或从第三方获得的软件,都应进行网络安全风险评估。器械制造商应记录器械的所有软件组件,并解决或以其他方式降低与这些软件组件相关的风险。
此外,根据21 CFR 820.50,制造商必须实施过程和控制,以确保其供应商符合制造商的要求。这些信息记录在21 CFR 820.30(j)要求的设计历史文件和21 CFR 820.181要求的器械主记录中。
安全风险评估包括对可能存在于或由第三方软件和软件供应链引入的网络安全风险的分析和考虑,可能有助于证明制造商已充分确保此类合规性并记录此类历史。
由于许可限制、供应商协议条款或其他挑战,制造商可能无法控制源代码。虽然在上市前提交的文件中不要求提供源代码,但制造商应在上市前提交的文件中包括如何更新或替换第三方软件组件的计划,如果支持结束或其他软件问题出现。器械制造商还应该在器械标签中向用户提供他们可能需要的任何信息,以允许他们管理与软件组件相关的风险,包括已知漏洞、配置规范和其他相关的安全和风险管理考虑因素。
h.未解决异常的安全评估
FDA的上市前软件指南建议器械制造商在提交时提供产品中存在的软件异常列表。对于这些异常,FDA建议器械制造商对异常对器械的安全性和有效性的影响进行评估,并参考上市前软件指南来评估推荐包含在此类器械上市前提交中的相关文档。
在开发或测试过程中发现的一些异常可能有安全隐患,也可能被认为是漏洞。根据21 CFR part 820.30(g),作为确保完整安全风险评估的一部分,对安全性和有效性影响的评估可能包括对异常情况的潜在安全影响的评估。评估还应考虑目前任何常见弱点枚举(CWE)类别
例如,临床用户可能在正常使用过程中无意中发现了以前未知的软件异常,其中异常的影响可能偶尔发生,并从软件风险的角度评估为可接受。相反,威胁可能会寻找这些类型的异常,并确定利用它们的方法,以便持续显示异常的影响,与不考虑安全因素的异常评估相比,这可能会显著影响风险的可接受性。
处理由此产生的安全影响异常的标准和理由应作为上市前提交的文件的一部分提供。
i.TPLC安全风险管理
在整个器械的TPLC中,网络安全风险可能会继续被识别。制造商应确保他们拥有适当的资源来识别、评估和缓解网络安全漏洞,因为它们在整个受支持的器械生命周期中被识别出来。
作为使用SPDF的一部分,制造商应在新信息可用时更新其安全风险管理文档,例如在开发期间和器械发布后发现新的威胁、漏洞、资产或不利影响时。当在整个器械生命周期中维护时,此文档(例如,威胁建模)可用于在器械发布后快速识别漏洞影响,并在适当时支持21 CFR 820.100中描述的及时纠正和预防措施活动。
在器械的使用寿命期间,FDA建议风险管理文件考虑到现场器械风险管理的任何差异(例如,已上市的器械或已不再上市但仍在使用的器械)。FDA建议对所有现场版本的任何不同影响进行脆弱性评估,以确保准确评估患者风险。关于是否需要基于上市后漏洞提交新的上市前提交(例如PMA、PMA补充或510(k))或21 CFR Part 806报告的额外信息,以及上市后网络安全指南中讨论的一般上市后网络安全风险管理。
为证明生产商流程的有效性,FDA建议跟踪以下措施和指标,或提供等同信息的措施和指标:
•被更新或修补的已识别漏洞的百分比(缺陷密度);
•从漏洞识别到更新或修补的持续时间;和
•从更新或补丁可用到在现场部署的器械中完成实施的持续时间,到已知的程度。
3、软件物料清单
SBOM-Software Bill of Materials
SBOM既包括器械制造商开发的组件,也包括第三方组件,包括购买/许可的软件和开源软件,以及专有、购买/许可和开源软件所需要/依赖的上游软件依赖项。
SBOM既包括器械制造商开发的组件,也包括第三方组件,包括购买/许可的软件和开源软件,以及专有、购买/许可和开源软件所需要/依赖的上游软件依赖项。
由于漏洞管理是器械安全风险管理流程的关键部分,应将SBOM或同等能力作为器械配置管理的一部分进行维护,定期更新以反映已上市器械中软件的任何更改,并应支持文档,例如21 CFR 820.30(j)(设计历史文件)和820.181(器械主记录)中详细说明的类型。
FDA指南<医疗器械中现成(OTS)软件的使用><包含现成(OTS)软件的网络医疗器械的网络安全>描述了制造商无法声称完全控制软件生命周期的软件组件在上市前提交中应提供的信息。除了这些指南中推荐的信息外,制造商还应提供符合2021年10月美国NTIA发布的<建立软件组件的透明性:建立一个通用的软件材料清单(SBOM) >
除了NTIA确定的最低要素外,对于SBOM中包含的每个软件部件,制造商在上市前提交的材料中还应包括:
•软件部件制造商通过监控和维护提供的软件支持水平(例如,软件被积极维护、不再维护、废弃)
•软件组件的支持结束日期;
当提供时,制造商可以选择提供这些附加元件作为SBOM的一部分,或者他们可以单独提供,如在附录中。鼓励行业认可的SBOM 格式。如果制造商不能向FDA提供SBOM信息,制造商应提供理由说明为什么该信息不能包括在上市前提交中。
作为上市前提交的一部分,制造商还应识别与器械和软件组件相关的所有已知漏洞,包括CISA已知被利用漏洞目录中识别的漏洞。
对于每个已知漏洞,制造商应描述如何发现漏洞,以证明评估方法是否足够稳健。对于已知漏洞的组件,器械制造商应在上市前提交:
•每个已知漏洞的安全和安全风险评估(包括器械和系统影响);
•解决漏洞的适用安全和安全风险控制的细节。如果风险控制包括补偿控制,则应以适当的详细程度加以描述。
4、网络安全测试
与产品开发的其他领域一样,测试用于证明设计控制的有效性。虽然软件开发和网络安全是密切相关的学科,但网络安全控制需要在标准软件验证和验证活动之外进行测试,以证明在适当的安全环境中控制的有效性,从而证明器械具有合理的安全性和有效性保证。
根据21 CFR 820.30(f),制造商必须建立和维护验证器械设计的程序。此种验证应确认设计输出符合设计输入要求。根据21 CFR 820.30(g),制造商必须建立和维护验证其器械设计的程序。设计确认应包括软件确认和风险分析。FDA建议,验证和确认包括制造商对医疗器械系统的网络安全进行的充分测试,制造商通过该测试验证和验证其输入和输出。
安全测试文件和任何相关的报告或评估应在上市前提交。FDA建议在提交中考虑包括以下类型的检测:
A.安全需求;
1.应提供每个设计输入要求已成功实施的证据。
2.制造商应提供其边界分析的证据和边界假设的基本原理。
B.减轻威胁;
1.制造商应根据全球系统中提供的威胁模型、多患者危害、可更新性和可补丁性,以及安全用例视图,提供证明有效风险控制措施的测试细节和证据。
2.制造商应确保每项网络安全风险控制的充分性(例如,执行指定安全政策时的安全有效性、最大交通条件下的性能、稳定性和可靠性,视情况而定)。
C.漏洞测试(如ANSI/ISA 62443-4- 1的章节9.4),制造商应提供以下测试和分析的细节和证据:
1.滥用或误用情况,畸形和意外的输入;
1)稳健性
2)模糊测试
3)攻击面分析;
4)漏洞链;
5)对已知漏洞扫描进行封闭测试;
6)二进制可执行文件的软件组合分析;
7)静态和动态代码分析,包括测试“硬编码”的默认凭据,这些凭据很容易猜到,也很容易被破坏。
2.渗透测试,通过专注于发现和利用产品中的安全漏洞的测试,识别和描述与安全相关的问题;应提供渗透测试报告,并包括以下内容:
1)测试人员的独立性和技术专长;
2)测试持续时间;
3)采用的测试方法;
4)测试结果、发现和观察结果;
器械制造商应在测试报告中指出由谁执行测试(例如,独立的内部测试人员,外部测试人员)以及负责测试器械的人员与负责设计器械的开发人员的独立程度。在某些情况下,可能需要使用第三方来确保两组之间适当的独立水平,以便在测试期间暴露的漏洞或其他问题得到适当的处理。如需第三方检测报告,制造商需提供第三方检测报告原件。对于所有测试,制造商应提供他们对任何发现的评估,包括不实施或推迟任何发现到未来发布的理由。
对于将在未来版本中解决的问题(例如,推迟对未来软件版本的补救,因为当前风险已被评估为可接受),上市前提交的文件应包含这些版本的计划。这样的计划应该包括未来软件版本将解决的漏洞,发布的预期时间表,在此期间发布的器械是否会收到这些更新,以及更新到达器械需要多长时间。有很多权威的安全测试资源可以部分地完成上面提到的测试
FDA建议在整个SPDF中进行网络安全测试。开发早期的安全测试可以确保安全问题在影响发布时间表之前得到解决,并且可以防止重新设计或重新设计器械的需要。发布后,应根据风险定期进行网络安全测试(例如,每年一次),以确保在潜在漏洞被利用之前识别并解决这些漏洞。