網絡安全标準解讀：IEC 81001-5-1和IEC/TR 60601-4-5

MDR法規的協調标準清單草案于2021年5月發(fā)布。在此文件中，我們發(fā)現參考了以下網絡安全标準：

IEC 80001-1：《聯網醫療器械或健康軟件在其實施和使用中的安全性、有效性和網絡安全——第1部分：風險管理應用》;

IEC 81001-5-1：《健康軟件和健康IT系統的安全性、有效性和網絡安全 -第5-1部分：安全性-産品生命周期中的活動》;

IEC/TR 60601-4-5：《醫用電氣設備-第4-5部分：指南和說(shuō)明-安全相關技術安全規範》。

在此标準化申請中，這(zhè)些标準的采用日期設定爲2024年5月，其中包含了MDR和IVDR的協調标準清單。

我們有意將(jiāng)IEC 80001-1分開(kāi)，因爲它涉及網絡安全。在這(zhè)篇文章中，我們關注另外兩(liǎng)個标準，它們涉及軟件設計和維護。

标準草案的标準化申請，這(zhè)聽起(qǐ)來遠不适用。但如果您是AI醫療器械或電子醫療器械的制造商，則您器械的生命周期將(jiāng)持續數年。醫療器械的設計可能(néng)需要花費很長(cháng)時(shí)間！因此，有必要查看這(zhè)些草案，以了解公告機構對(duì)2024年的預期。因此，針對(duì)當前設計的您的下一代器械做好(hǎo)準備。

考慮到醫療器械的設計周期，建議設計聯網器械的制造商密切關注這(zhè)兩(liǎng)個标準，即使IEC 81001-5-1處于草案狀态。此外，這(zhè)些标準無疑將(jiāng)獲得FDA的認可。該工作組的秘書目前在美國(guó)，表明FDA也參與其中。

聯網醫療器械設計過(guò)程的影響

IEC 81001-5-1：其标題和結構引自IEC 62304。編制該标準旨在便于具備醫療器械軟件設計經(jīng)驗但在安全軟件生命周期經(jīng)驗不足或無經(jīng)驗的團隊查閱。IEC 81001-5-1對(duì)IEC 62304的網絡安全相關内容進(jìn)行了補充。 

IEC/TR 60601-4-5定義了要在您的《硬件需求規範（HRS）》、《軟件需求規範（SRS）》和随機文檔中加入的安全需求列表。

安全需求示例如下：

這(zhè)兩(liǎng)個标準協同工作。第一個定義了安全軟件過(guò)程（“如何”），第二個定義了軟件安全需求（“什麼(me)”）。

這(zhè)兩(liǎng)個标準從何而來？

長(cháng)久以來網絡安全一直是人們關注的問題，其他行業的數字化和互聯早于醫療。在我們的案例中，這(zhè)兩(liǎng)個标準是對(duì)工業自動化和控制系統（IACS）命名爲IEC 62443-4-1和IEC 62443-4-2的兩(liǎng)個标準的轉換。

爲何要引用IACS标準而非ISO 2700X标準，或其他來自銀行和金融（網絡安全備受關注的行業）的參考标準？

因爲IACS網絡和HIS網絡有很強的相似性。

以下爲IEC/TR 60601-4-5的示意圖副本：

我們有一家工業公司，配備：

總部或行政辦公室，

生産工廠，

帶機器和PLC的生産線

同樣，我們可以在醫療中心擁有類似的結構建築物，我們發(fā)現其包含：

管理患者進(jìn)出和患者數據的行政辦公室，

配備床旁醫療器械的患者室，其中一些器械對(duì)救治生命很關鍵，

重症監護室和配備救治生命關鍵醫療器械的手術室。

這(zhè)種(zhǒng)結構上的相似性支持將(jiāng)IACS網絡安全标準轉化爲醫療器械領域标準。值得注意的是，FDA采用相同的方法，因此IEC 62443-4-1是FDA認可的标準。

工業系統必須保護其人員免受工業機械的傷害，保護其數據免受盜竊，保護其IT系統免受崩潰，保護其生産線免受生産成(chéng)本過(guò)高導緻停産的影響。同樣，醫療保健中心必須保護其患者、人員、患者數據、其HIS免受危及生命的危害，并保護其醫療保健服務免受成(chéng)本太高而導緻的關閉。

注：ISO 2700X系列仍與存儲數據（尤其是健康數據）和包含數據管理服務的數據中心相關。

IEC 81001-5-1的内容

IEC 81001-5-1的目錄複制自IEC 62304的目錄，按過(guò)程組織全文内容。IEC 62304的6個過(guò)程如下圖所示：

同樣，IEC 81001-5-1定義了整個軟件生命周期内的安全過(guò)程。

無軟件安全性級别

值得注意的是，IEC 81001-5-1中沒(méi)有同等軟件安全等級，這(zhè)意味著(zhe)與IEC 62304相反，IEC 81001-5-1的所有要求适用于任何軟件。

例如：即使您的軟件符合IEC 62304的A類要求，IEC 81001-5-1中關于詳細設計的要求也要滿足。

幸運的是，即使IEC 81001-5-1要求對(duì)詳細設計進(jìn)行文檔編制，它也沒(méi)有IEC 62304要求的那麼(me)深，即所有的軟件單元都(dōu)應100%編制文檔。IEC 81001-5-1僅要求對(duì)安全設計和安全接口進(jìn)行文檔編制。文檔編制可以減少至所有軟件單元的子集。

因此，依據IEC 81001-5-1編制的軟件設計文檔的工作量高于簡單的IEC 62304 A類軟件，但與IEC 62304 B類所需的工作量無太大差異。 

IEC 81001-5-1建議使用IEC/TR 60601-4-5中的安全等級（SL）和安全能(néng)力（SC）概念代替軟件安全等級，并在下文進(jìn)行讨論。

弱點來源

安全軟件生命周期的原則是可在軟件生命周期的每個步驟中引入安全缺陷：

規範：指定錯誤行爲;

體系結構：非安全體系結構;

詳細設計：非安全接口詳細設計;

編碼：語言陷阱或錯誤代碼模式;

制造/生成(chéng)：不安全的生成(chéng)二進(jìn)制或字節碼;

安裝、配置：錯誤安裝或配置。

這(zhè)就(jiù)是爲什麼(me)IEC 81001-5-1要求記錄安全SDLC（Software development life cycle）的所有步驟，而不考慮軟件安全性級别。這(zhè)也是其涵蓋完整的軟件生命周期（例如：IEC 62304）的原因。

IEC/TR 60601-4-5的内容

我不知道(dào)它對(duì)您有什麼(me)影響，但當我看到标準編号中有60601時(shí)，我皺起(qǐ)了眉頭！

是否意味著(zhe)我們需要安全實驗室的證書？幸虧沒(méi)有！因爲本标準以TR命名，TR代表技術報告。

然而，我們看到一些IEC 60601-1認證測試實驗室的網絡安全測試的報價飙升。因此，TR不是标準，但我們可以得出這(zhè)樣的結論：盡管有TR，公告機構或FDA可能(néng)要求認證測試實驗室提供測試報告。

IEC 60601系列标準不适用于獨立軟件。但在本技術報告的引言中提到：醫療器械軟件，盡管不在IEC 60601（所有部分）的範圍内，也可以使用本文件。因此，本技術報告可應用于獨立軟件！

聯網醫療器械安全需求定義

IEC/TR 60601-4-5基于IACS IEC 62443系列标準的要求，該标準的實施需要大量工程支持。

本指南定義了安全等級（SL）和安全能(néng)力（SC），這(zhè)取決于安全漏洞對(duì)系統的影響。安全等級和安全能(néng)力借自IEC 62443系列标準。

安全等級的範圍爲0-4——定義（IEC 62443-1-1）：

SL 0-無預防。

SL 1-防止竊聽或臨時(shí)曝光的未授權信息披露。

SL 2-防止使用資源低、通用技能(néng)和動機低的簡單方法將(jiāng)信息未經(jīng)授權披露給主動搜索它的實體。

SL 3-防止使用具有适度資源、醫療器械特定技能(néng)和适度動機的複雜手段將(jiāng)信息未經(jīng)授權披露給主動搜索該信息的實體。

SL 4-防止使用具有擴展資源、醫療器械特定技能(néng)和高動機的複雜手段將(jiāng)信息未經(jīng)授權披露給主動搜索該信息的實體。 

與具有不同安全等級的IEC 62304子系統一樣，安全區域可以用不同的安全等級定義。這(zhè)意味著(zhe)醫療器械可以有一個以上的安全區，具有不同的安全等級。

這(zhè)可能(néng)是家用器械的情況，其具有兩(liǎng)個安全區：

一個安全區連接到SL3互聯網，

SL1中的一個安全區具有生命關鍵功能(néng)，與第一個安全區隔離。 

當然，與IEC 62034一樣，安全區也應隔離。當然，與IEC 62304一樣，IEC/TR 60601-4-5并未規定有效隔離所需的技術措施類型！

基本要求

IEC/TR 60601-4-5定義了總共7個基本要求（FR），借自IEC 62443-1-1：

識别和認證控制（IAC）

使用控制（UC）

系統完整性（SI）

數據保密（DC）

受限數據流（RDF）

事(shì)件的及時(shí)響應（TRE）

這(zhè)7 個基本要求在123要求中細化。這(zhè)是很多要求！

但并非所有要求均适用。123要求僅适用于SL4中的軟件。可以很容易地看出，SL3和SL4是具有較高開(kāi)銷的SL。對(duì)于SL1中的軟件，“僅”50個要求适用。

IEC/TR 60601-4-5中的這(zhè)些安全要求可以在HRS、安全SRS文檔或SRS安全章節中細化爲安全産品要求的“儲存器”。

安全等級（SL）向(xiàng)量

IEC/TR 60601-4-5§A.6允許根據适用的基本要求類型定義不同的安全等級。例如，對(duì)于不處理機密數據的器械，數據保密性（DC）的安全等級將(jiāng)設置爲0，而系統的安全等級爲4。

這(zhè)種(zhǒng)“安全等級向(xiàng)量”方法（标準中使用的術語）對(duì)任何系統都(dōu)是可能(néng)的。這(zhè)是使适用于您設備的安全需求列表更簡潔的一種(zhǒng)方式。

IEC 81001-5-1和IEC/TR 60601-4-5協同工作

IEC 81001-5-1和IEC/TR 60601-4-5協調工作，前者定義了安全軟件開(kāi)發(fā)過(guò)程，後(hòu)者將(jiāng)此過(guò)程與安全需求結合在一起(qǐ)。

其如下圖所示，其中IEC 81001-5-1定義了安全SDLC，IEC/TR 60601-4-5在系統級（水平虛線以上）和軟件級“注入”安全需求：

在标準化請求中起(qǐ)草标準，即是在構建最先進(jìn)的技術。顯然，IEC 81001-5-1和IEC/TR 60601-4-5正在爲未來符合網絡安全要求鋪平道(dào)路。在歐盟和美國(guó)。我們預測，其獲批版本將(jiāng)很快獲得FDA認可，并按照歐盟計劃在2024年進(jìn)行協調。