Une ligne directrice de la FDA sur la cybersécurité...
Applicable aux dispositifs médicaux interfacés via des réseaux de communication, la FDA américaine a publié en Juin 2013, une ligne directrice sur la gestion de la cybersécurité des dispositifs médicaux et les attentes de l'agence sur le contenu des dossiers d'enregistrement.
La FDA recommande que vous preniez des mesures pour évaluer la sécurité de votre réseau et protéger votre système d'information. Dans l'évaluation de la sécurité des réseaux, les établissements réglementés devraient envisager :
1. La restriction de l'accès non autorisé au réseau et aux dispositifs médicaux en réseau,
2. L'assurance de la mise en oeuvre des logiciels antivirus et pare-feu appropriés et de leur mise à jour,
3. Le suivi de l'activité du réseau pour des utilisations non autorisées,
4. La protection des composants individuels du réseau grâce à une évaluation systématique et périodique, y compris la mise à jour des correctifs de sécurité et la désactivation de tous les ports et les services inutiles,
5. Le contact avec le fabricant du périphérique spécifique si vous pensez que vous pourriez avoir un problème de cybersécurité liée à un dispositif médical. Si vous n'arrivez pas à déterminer le fabricant ou ne pouvez pas contacter le fabricant, la FDA et le DHS ICS-CERT peuvent être en mesure d'aider dans les rapports et résolution des vulnérabilités,
6. L'élaboration et l'évaluation des stratégies pour maintenir les fonctionnalités essentielles dans des conditions difficiles.
Bon nombre des recommandations ci-dessus sont applicables à d'autres environnements en réseau des utilisateurs réglementés. Ceux-ci peuvent être considérés comme les attentes de l'autorité réglementaire américaine concernant la mise en réseau des équipements.
En janvier 2005, une directive similaire a été publiée par la FDA américaine (la cybersécurité pour les dispositifs médicaux en réseau contenant des progiciels (logiciels off-the-shelf ou OTS).
Cette ligne directrice est disponible ici.
La FDA recommande que vous preniez des mesures pour évaluer la sécurité de votre réseau et protéger votre système d'information. Dans l'évaluation de la sécurité des réseaux, les établissements réglementés devraient envisager :
1. La restriction de l'accès non autorisé au réseau et aux dispositifs médicaux en réseau,
2. L'assurance de la mise en oeuvre des logiciels antivirus et pare-feu appropriés et de leur mise à jour,
3. Le suivi de l'activité du réseau pour des utilisations non autorisées,
4. La protection des composants individuels du réseau grâce à une évaluation systématique et périodique, y compris la mise à jour des correctifs de sécurité et la désactivation de tous les ports et les services inutiles,
5. Le contact avec le fabricant du périphérique spécifique si vous pensez que vous pourriez avoir un problème de cybersécurité liée à un dispositif médical. Si vous n'arrivez pas à déterminer le fabricant ou ne pouvez pas contacter le fabricant, la FDA et le DHS ICS-CERT peuvent être en mesure d'aider dans les rapports et résolution des vulnérabilités,
6. L'élaboration et l'évaluation des stratégies pour maintenir les fonctionnalités essentielles dans des conditions difficiles.
Bon nombre des recommandations ci-dessus sont applicables à d'autres environnements en réseau des utilisateurs réglementés. Ceux-ci peuvent être considérés comme les attentes de l'autorité réglementaire américaine concernant la mise en réseau des équipements.
En janvier 2005, une directive similaire a été publiée par la FDA américaine (la cybersécurité pour les dispositifs médicaux en réseau contenant des progiciels (logiciels off-the-shelf ou OTS).
Cette ligne directrice est disponible ici.