FDA近期在网络安全新闻和资源页面新增了以下两则参考资源:
▪ October 24, 2024 - New White Paper for Medical Device Manufacturers: Data Normalization Challenges and Mitigations in Software Bill of Materials (SBOM) Processing
医疗器械制造商的新白皮书: 软件物料清单(SBOM)处理中的数据标准化挑战和缓解措施 (以下简称SBOM白皮书)
▪ October 12, 2024 - New Journal Article: Digital Certificate Management for Medical Devices in the Journal of Clinical Engineering
新杂志文章: 临床工程杂志中医疗器械的数字证书管理
1、关于SBOM白皮书的概述
SBOM白皮书面向医疗器械行业的利益相关方,他们现在将从各种数据源中大规模生成SBOMs。它讨论了生成和大规模提取SBOMs的标准化挑战和相关问题的缓解措施,使用标准术语和格式来确保来自不同来源的数据是一致的。
SBOM本质上是组成软件组件的部分以及它们之间的关系的列表——已经成为软件安全和软件供应链风险管理中的关键构件。SBOMs能够在开发过程中采取主动措施降低器械风险,并采取被动措施快速控制现场器械中出现的风险。
FDA早就认识到SBOMs在管理医疗器械上市后软件漏洞以及向这些器械的用户提供透明度方面的重要性。《2023年综合拨款法案》修订了《食品、药品和化妆品法案》,其中第524B(b)(3)节要求SBOMs作为网络器械上市前提交的一部分。
在SBOM白皮书中提到,开发健壮SBOMs的过程具有非技术性挑战以及技术内容创建的挑战。
▪ 非技术挑战包括开发从第三方组件(商业和开源)获取SBOMs的过程;在软件生命周期中管理SBOMs(包括需要为所有当前支持的软件版本维护SBOMs和为生成和交换SBOMs选择合适的工具。
▪ 技术的挑战包括不同SBOM标准之间的互操作性、丢失信息的处理、SBOM元素的不精确定义、SBOM的元素(例如,组件名称、版本)的多种格式,以及在生产SBOM元素中摄取/解析数据的困难。大规模生成SBOMs需要自动化,这要求在技术上能够实现从应商和开源项目的构建系统、生成SBOM的工具、SBOMs中获取信息。
以下是一个概念SBOM示例,包括图示以及表格描述:
关于如何统一SBOM各元素的格式,请查阅SBOM白皮书。
2、关于数字证书管理的概述
本文发表在《临床工程杂志》(Journal of Clinical Engineering)上,向医疗保健交付组织和临床工程师介绍了数字证书在保护和管理医疗设备访问方面的作用,包括对潜在问题的讨论。
FDA解释,本期刊文章的内容代表作者的观点,并不一定代表美国食品和药物管理局(FDA)/卫生与公众服务部(HHS)或美国政府的官方观点,也不代表美国政府的认可。本文章中包含的观点、发现和解释不构成FDA在此问题上的指导、立场或法律上可执行的要求。
这篇文章摘要如下:
随着医疗环境变得越来越数字化,医疗技术面临的网络威胁也在不断演变,网络安全控制对于确保医疗器械的安全性和有效性是必不可少的。
数字证书就是这样一种安全控制,通常用于保护包括医疗器械在内的各种技术和系统。然而,很少有学术资源描述在医疗器械的独特环境中使用数字证书。此外,数字证书问题有可能影响医疗器械的安全性和有效性,并对患者护理的提供产生负面影响。本文介绍了数字证书在保护和管理医疗器械访问中的作用,包括潜在问题和数字证书管理注意事项。
感兴趣的伙伴,可以自行下载这篇文章。