Okolje regulacije zdravilnih naprav je osnovno spremenjen. Z izdajo svo
Ta članek razvaja ključne spremembe, vvedene v končni vodnik v primerja
Novo okolje – Ključne razlike med vodniki leta 2025 in 2022
Končni vodnik ni le posodobljen; je preoblikovan zaradi novega zakona,
1. Prelomnica: FDORA in pravno zavezujoče zahteve
Ključna posodobitev je integracija Zakona o splošnem reformiranju zdra
2. SBOM: Od priporočene dobre prakse do zakonske obveznosti
Status Softverne liste materialov (SBOM) je oficilno povečan. V končne
3. Ostrejši poudarek na tveganju in načrtih po dajanju na trg
Končni vodnik izboljša pristop k upravljanju tveganj in jasno določi o
Poglobljen pregled testiranja – Ustreza novemu regulativnemu standardu
S novimi pravnimi pomobi za varnostne predloge je testiranje glavni na
Steber 1: Testiranje varnostnih zahtev
Vodniki FDA določajo, da morate predložiti dokaz, da je vsaka varnostn
Zagotavljanje "neposrednih dokazov" prek matrike sledljivosti
Eden najučinkovitejših načinov za zagotovitev teh dokazov je matrika sledljivosti zahtev. Ta dokument ustvari eksplicitno, dvosmerno povezavo med vašimi varnostnimi zahtevami, specifikacijami dizajna, testnimi primeri in rezultati testiranja. Za ponazoritev bomo uporabili izmišljeno napravo: Sentia-Cardia™ sistem mobilnega monitoringa, programska oprema kot medicinska naprava (SaMD) na recept za oddaljeno srčno spremljanje pacientov.
Poenostavljena matrika sledljivosti za sistem Sentia-Cardia™:
| ID zahteve |
Varnostna zahteva |
Specifikacija dizajna |
ID testnega primera |
Povzetek testnega primera |
Rezultat testa |
Povezava do dokazov testa |
| REQ-SEC-001 |
Aplikacija Sentia-Cardia™ za paciente mora šifrirati vse biomarkerske podatke pred prenosom v zaledni oblak z industrijsko standardnim, kriptografsko robustnim algoritmom. |
DS-045: "Modul za prenos podatkov" določa uporabo TLS 1.3 s paketom šifer AES-256-GCM. |
TC-SEC-001 |
Preverite, da je promet med robom in oblakom šifriran s TLS 1.3 z inšpekcijo omrežnih paketov. |
USPEŠNO |
\\server\test_results\TCS-001_PacketCapture.pcap |
| REQ-SEC-002 |
Klinična nadzorna plošča Sentia-Cardia™ mora uveljavljati nadzor dostopa na podlagi vlog (RBAC), da zagotovi, da lahko podatke o pacientu in predloge zdravljenja pregledujejo samo avtenticirani uporabniki z vlogo "Kliničar". |
DS-081: "Modul za avtentikacijo in avtorizacijo uporabnikov" določa vlogi "Kliničar" in "Administrator" ter z njima povezane privilegije. |
TC-SEC-002-A |
Poskusite se prijaviti z poverilnicami "Administratorja" in dostopiti do pogleda podatkov o pacientu. Dostop mora biti zavrnjen. |
USPEŠNO |
\\server\test_results\TCS-002-A_Log.txt |
|
TC-SEC-002-B |
Prijavite se s poverilnicami "Kliničarja" in dostopite do pogleda podatkov o pacientu. Dostop mora biti odobren. |
USPEŠNO |
\\server\test_results\TCS-002-B_Log.txt |
| REQ-SEC-003 |
Aplikacija Sentia-Cardia™ za paciente mora zagotoviti celovitost posodobitev programske opreme z verifikacijo kriptografskega podpisa pred namestitvijo. |
DS-102: "Modul za varni zagon in posodobitve" določa uporabo verifikacije podpisa RSA-4096. |
TC-SEC-003 |
Poskusite namestiti paket posodobitve programske opreme, ki je bil namerno poškodovan ali ima neveljaven podpis. Namestitev mora biti neuspešna. |
USPEŠNO |
\\server\test_results\TCS-003_DeviceLog.xml |
Manuálno upravljanje takše matrične je težko. Pripomočki kot so Jama C
Opredeljevanje in izvajanje mejne analize
Vodniki FDA določijo mejoanalizo kot "postopek posebej določitve infor
Steber 2: Testiranje zmanjšanja groženj
Ta stolpec dokaže, da ste zgrali pravilne obrambne zadeve proti verodo
Izsek iz vzorčne analize varnostnega tveganja:
| ID grožnje |
Opis grožnje (iz modela groženj) |
Potencialna nevarnost |
Uveljavljen ukrep / zmanjšanje |
ID verifikacijskega testnega primera |
| TH-004 |
Napadalec izvede napad zavrnitve storitve z zasipanjem zalednega oblaka z velikim obsegom omrežnega prometa. |
Zdravniki ne prejmejo skoraj v realnem času opozoril o kritičnih spremembah biomarkerjev pacientov, kar vodi do zamude pri zdravljenju. |
Omrežna infrastruktura oblačne platforme Sentia-Cardia™ mora vključevati uravnalnik obremenitve in samodejno skaliranje strežniških virov. Prehod API mora uvesti omejevanje hitrosti za zavrnitev prekomerno zahtev z enega naslova IP. |
TC-STRESS-001 |
| TH-005 |
Brezžična povezava med pametnim telefonom pacienta (aplikacija za paciente) in senzorjem biomarkerjev BLE se prekine zaradi motenj signala ali ker pacient zapusti doseg. |
Nastane vrzel v podatkih biomarkerjev, ki bi lahko povzročila napačen predlog zdravljenja ali zamujeno kritično dogajanje. |
Aplikacija Sentia-Cardia™ za paciente mora zaznati prekinitev povezave BLE v 30 sekundah. Lokalno mora shraniti v medpomnilnik do 15 minut podatkov iz senzorja in samodejno poskušati vzpostaviti zvezo. Pacientu mora zagotoviti jasno obvestilo o prekinitvi povezave. |
TC-INTER-001 |
Steber 3: Proaktivno iskanje ranljivosti
S kontrolami, ki so predvidene za zmanjšanje znanih groženj, je logičen
1. Statična in dinamična analiza kode (SAST in DAST)
Razlaga: SAST je metoda "bele škatle", pri kateri avtomatizirana orodja skenirajo izvorno kodo, bajtno kodo ali binarno kodo vaše aplikacije brez njenega zagona. Odlična je za zgodnje odkrivanje pomanjkljivosti, kot so ranljivosti SQL injection, nezavarjene kriptografske prakse ali vkodirane skrivnosti. DAST je metoda "črne škatle", pri kateri se aplikacija testira med delovanjem. Orodje DAST pošilja različne zlonamerne vnose in opazuje odgovore za prepoznavanje ranljivosti, kot so Cross-Site Scripting (XSS) ali nezavarjene konfiguracije strežnika.
Primerna orodja: Orodja SAST so analizatorji izvorne kode, ki se neposredno integrirajo v razvojno okolje (IDE) razvijalca ali v vaš CI/CD cevovod. Orodja DAST vključujejo avtomatizirane skenerje spletnih ranljivosti ali varnostne posrednike.
Čas in lastništvo: SAST morajo razvijalci zaganjati neprekinjeno med pisanjem kode in samodejno kot del vsakega gradnje v CI/CD cevovodu. DAST se praviloma zažene pozneje, med fazama integracijskega in sistemskega testiranja. Razvijalci poganjajo orodja SAST na svoji kodi, medtem ko ekipa QA ali varnostna ekipa praviloma izvaja skeniranja DAST. Rezultate pregleda in potrdi varnostni vodja ali vodja QA.
Dokazi DHF: Končna poročila SAST in DAST skupaj z dokumentiranimi ocenami vsakega ugotovljenega primera, vstopnicami za odpravo in rezultati ponovnega testiranja, ki prikazujejo popravek, so vključeni kot dokazi verifikacije dizajna v DHF.
2. Skeniranje znanih ranljivosti in analiza sestave programske opreme (SCA)
Razlaga: Sodobne aplikacije so zgrajene s številnimi odprtokodnimi in zunanjimi knjižnicami. Orodja SCA najprej identificirajo vsako od teh komponent in njihove odvisnosti (s čimer ustvarijo osnovo za vaš SBOM) in jih nato preverijo v javnih bazah podatkov ranljivosti (kot je Nacionalna baza podatkov o ranljivostih), da ugotovijo, ali obstajajo kakšne znane varnostne pomanjkljivosti.
Primerna orodja: Orodja SCA, ki se integrirajo z vašimi upravitelji programskih paketov in CI/CD cevovodom za neprekinjeno spremljanje komponent tretjih oseb.
Čas in lastništvo: To je treba izvajati neprekinjeno med razvojem; skeniranje odvisnosti mora biti obvezen del vsakega procesa gradnje. Razvojna ekipa je odgovorna za izvajanje skeniranj in posodabljanje ranljivih komponent. Varnostna ekipa praviloma določa politiko (npr. "nobena komponenta s kritično ali visoko resnostjo ranljivosti ni dovoljena"). Potrditev s strani varnostnega vodje.
Dokazi DHF: Popolno poročilo SCA, ki služi kot podrobna dopolnitev SBOM, skupaj z ocenami tveganja za morebitne ranljivosti, ki jih ni mogoče takoj popraviti, so ključni artefakti DHF.
3. Testiranje primerov zlorabe in napačno oblikovanih vhodnih podatkov
Razlaga: Ta vrsta testiranja se osredotoča na poslovno logiko aplikacije. Namesto le testiranja za zrušitev testerji razmišljajo kot zlonamerni uporabnik. Kaj se zgodi, če poskušam naročiti negativno količino nečesa? Kaj, če predložim zdravniško opombo velikosti 10 GB? Gre za testiranje logičnih meja aplikacije.
Primerna orodja: To je pogosto ročni postopek, ki ga pa močno podpirajo spletni posredniki, ki testerjem omogočajo prestreči in spremeniti podatke, ki se pošiljajo iz aplikacije na njen zaledje.
Čas in lastništvo: To je treba izvesti med fazama sistemskega testiranja in testiranja sprejemljivosti s strani uporabnikov (UAT). Izvaja ga ekipa QA ali specializiran varnostni tester, rezultate pa potrdi vodja QA.
Dokazi DHF: Testni primeri zlorabe, zapisi izvajanja in rezultati (vključno z dnevniki ali posnetki zaslona, ki prikazujejo, kako je sistem pravilno obravnaval primer zlorabe) so vključeni kot dokazi validacije dizajna.
4. Fuzz testiranje
Razlaga: Fuzzing je zmogljiva, avtomatizirana metoda za iskanje napak, ki bi jih ljudje lahko zamudili. Vključuje metanje ogromnih količin pol-naključnih, neveljavnih in nepričakovanih podatkov na vnosno polje, razčlenjevalnik datotek ali končno točko API, da se preveri, ali sistem pade, zamrzne ali razkrije puščanje pomnilnika.
Primerna orodja: Ogrodja za fuzz testiranje za različne programske jezike in za protokole specifični fuzzers.
Čas in lastništvo: Fuzz testiranje se izvaja med integracijskim in sistemskim testiranjem, testi pa se pogosto izvajajo samodejno dalj časa (ure ali celo dni), da so učinkoviti. Praviloma je v lasti namenske varnostne ekipe ali specializiranih inženirjev QA zaradi kompleksnosti nastavitve in analize rezultatov. Potrditev s strani varnostnega vodje.
Dokazi DHF: Poročila o fuzz testiranju, podrobnosti vnosov, ki so povzročili morebitne zrušitve, izpisi zrušitev in z njimi povezana poročila o napakah ter popravki so vsi vključeni v DHF.
5. Analiza napadalne površine
Razlaga: To je bolj analitična dejavnost kot test. Cilj je ustvariti popoln zemljevid "površine" vašega sistema, ki je izpostavljena zunanjemu svetu. To vključuje vse uporabniške vmesnike, API-je, omrežna vrata in storitve ter datoteke, ki jih je mogoče vnesti ali izvoziti.
Primerna orodja: Čeprav gre v osnovi za ročni postopek pregleda arhitekturnih diagramov, ga podpirajo orodja, kot so skenerji omrežnih vrat in orodja za dokumentacijo API-jev.
Čas in lastništvo: To je treba opraviti zgodaj v fazi dizajna in nato ponovno pregledati vsakič, ko pride do bistvene spremembe arhitekture naprave. Praviloma je v lasti varnostnega arhitekta ali višjega varnostnega inženirja. Pregleda in potrdi vodja produktne varnosti ali višje tehnično vodstvo.
Dokazi DHF: Sam dokument analize napadalne površine, vključno z diagrami in seznamom vseh identificiranih vmesnikov, je ključni dokument dizajna znotraj DHF.
6. Veriženje ranljivosti
Razlaga: To je ustvarjalen, na napadalca osredotočen miselni pristop, pri katerem se posamezna pomanjkljivost sama po sebi morda zdi manjša. Toda kaj, če napadalec lahko uporabi napako razkritja nizko tveganih informacij (npr. puščanje številke različice programske opreme), da omogoči drugi, resnejši napad, ki deluje le na tej specifični različici? To je veriga ranljivosti.
Primerna orodja: To je napredna ročna dejavnost, ki jo skoraj izključno izvajajo izkušeni penetracijski testerji.
Čas in lastništvo: To se izvaja med končno fazo penetracijskega testiranja pred izdajo. Izvaja ga zunanje podjetje za penetracijsko testiranje ali visoko usposobljena notranja varnostna ekipa ("rdeča ekipa"). Potrdi vodja varnosti.
Dokazi DHF: Vse identificirane verige ranljivosti bi bile dokumentirane kot kritične ugotovitve v končnem poročilu o penetracijskem testu, ki je ključni dokaz validacije dizajna v DHF.
Steber 4: Izziv v praksi: Penetracijsko testiranje
Po intenzivnem avtomatskem in ročnem iskanju ranljivih točk je končna i
Načrtovanje in priprava: Postavljanje temeljev za uspeh
Uspeshen penetracijski test začne dolgo pred pošiljanjem prvega paketa.
Notranje revizije v primerjavi z neodvisnim penetracijskim testiranjem
Vажno je razumeti razliko med notranjimi pregledi in neodvisnim testom,
Razumevanje omejitev in zakaj pri prvem vdoru nikoli ne prenehate
Vsak penetracijski test je omejen s časom in obsegom in ni zagotovilo,
Podpora testerjem in upravljanje okolja
Za maksimalno uporabo vašega investicije mora biti test izveden pozneje
Obravnava rezultatov in pogodba za ponovno testiranje
Delo začne, ko pride poročilo. Najdbe morajo biti formalno trižirane, o
Pomen dolgoročne strategije testiranja
Penetracijsko testiranje ni enkratna dejavnost. Regulatorji pričakujejo
V pogledu: Ključne razlike pri testiranju
| Vidik |
Osnutek smernic 2022 |
Končne smernice 2025 |
Opombe |
| Regulativni kontekst |
Testiranje je bilo priporočilo za dokazovanje "razumnega zagotovila varnosti in učinkovitosti". |
Za "kibernetske naprave" je testiranje metoda za pridobivanje dokazov za izpolnjevanje zakonsko obveznih zahtev po FDORA. |
Teža dokazov je zdaj bistveno večja. |
| Obravnava ugotovitev |
Priporočalo je ocenjevanje vseh ugotovitev in zagotavljanje utemeljitev za odložene popravke. |
Enako priporočilo obstaja, toda utemeljitev za odložitev popravka je pod večjim nadzorom, saj bi to lahko pomenilo neizpolnjevanje pravnega standarda. |
Utemeljitev za neupravljanje napake mora biti trdna. |
| Testiranje po dajanju na trg |
Priporočalo testiranje v "rednih intervalih (npr. letno)". |
Pojasnjuje, da mora biti testiranje po dajanju na trg v rednih intervalih "sorazmerno s tveganjem", s čimer dodaja nianse na osnovi tveganja. |
Naprave z višjim tveganjem zahtevajo pogostejše testiranje. |
Zaključek