Научная статья на тему 'Об определении классов кибербезопасности медицинской техники'

Об определении классов кибербезопасности медицинской техники Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
294
42
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / INFORMATION SECURITY / БЕЗОПАСНОСТЬ МЕДИЦИНСКИХ ТЕХНОЛОГИЙ / МЕДИЦИНСКИЕ ИЗДЕЛИЯ / MEDICAL DEVICES / МЕДИЦИНСКАЯ ТЕХНИКА / MEDICAL EQUIPMENT / КЛАССИФИКАЦИЯ РИСКОВ ПРИМЕНЕНИЯ МЕДИЦИНСКОЙ ТЕХНИКИ / THE USE OF RISK CLASSIFICATION OF MEDICAL EQUIPMENT / КЛАССЫ КИБЕРБЕЗОПАСНОСТИ МЕДИЦИНСКОЙ ТЕХНИКИ / MEDICAL EQUIPMENT CLASSES CYBERSECURITY / SECURITY / MEDICAL TECHNOLOGY

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Столбов Андрей Павлович

Рассмотрены проблемы кибербезопасности цифровой медицинской техники и основные угрозы, связанные с несанкционированным внешним кибервоздействием на медицинскую технику для безопасности пациента. Предложена классификация медицинской техники в зависимости от уровня исходной защищенности от несанкционированного внешнего кибервоздействия. Описаны правила идентификации классов кибербезопасности медицинской техники.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ON DESCRIPTION OF CYBERSECURITY MEDICAL EQUIPMENT

The problems of cybersecurity (CS) digital medical technology (MT). List the main threats posed by unauthorized external cyber exposure (ECE) on the MT patient safety. Classification of MT depending on the initial level of protection from the ECE. Describes the rules for identifying classes of CS medical equipment.

Текст научной работы на тему «Об определении классов кибербезопасности медицинской техники»

ОБЩИЕ ВОПРОСЫ СТАНДАРТИЗАЦИИ

ОБ ОПРЕДЕЛЕНИИ КЛАССОВ

КИБЕРБЕЗОПАСНОСТИ МЕДИЦИНСКОЙ ТЕХНИКИ

А.П. Столбов

Первый Московский государственный медицинский университет им. И.М. Сеченова

Рассмотрены проблемы кибербезопасности цифровой медицинской техники и основные угрозы, связанные с несанкционированным внешним кибервоздействием на медицинскую технику для безопасности пациента. Предложена классификация медицинской техники в зависимости от уровня исходной защищенности от несанкционированного внешнего кибервоз-действия. Описаны правила идентификации классов кибербе-зопасности медицинской техники.

Ключевые слова: информационная безопасность, безопасность медицинских технологий, медицинские изделия, медицинская техника, классификация рисков применения медицинской техники, классы кибербезопасности медицинской техники

ON DESCRIPTION OF CYBERSECURITY MEDICAL EQUIPMENT

A.P. Stolbov

First Moscow State Medical University named after I.M. Sechenov

The problems of cybersecurity (CS) digital medical technology (MT). List the main threats posed by unauthorized external cyber exposure (ECE) on the MT patient safety. Classification of MT depending on the initial level of protection from the ECE. Describes the rules for identifying classes of CS medical equipment.

Keywords: information security, security, medical technology, medical devices, medical equipment, the use of risk classification of medical equipment, medical equipment classes cybersecurity

Одной из наиболее значимых сегодня тенденций в развитии здравоохранения является «циф-ровизация» медицинских технологий. При этом в условиях всеобщей «интернетизации» все более актуальными становятся проблемы обеспечения кибербезопасности (КБ)1 информационных и технологических систем. В последнее время заметно возросло количество инцидентов, связанных с несанкционированным внешним воздействием (НСВ) 2 на медицинские информационные системы (МИС) и цифровую медицинскую технику (МТ)3, в состав которой входит программное обеспечение (ПО) и/или микропрограммный блок управления (контроллер, процессор), например, на томографы, лабораторные анализаторы, кардиостимуляторы и инсулиновые помпы [1 —4]. Результатами реализации указанных киберугроз в общем случае могут быть: отказ — потеря работоспособности МИС и/или МТ, несанкционированное изменение режима и параметров функционирования МТ; частичная или полная потеря или искажение результатов измерения физиологических параметров, исследования биоматериала, записей в электронной медицинской карте пациента (ЭМК), в хранилище (архиве) медицинских изображений и т.п.; утечка персональных данных пациента — несанкционированный доступ к конфиденциальной ин-

1 Кибербезопасность — обеспечение защиты (защищенность) от несанкционированного внешнего воздействия на компьютерную систему, информационные ресурсы и программное обеспечение через телекоммуникационные сети или машинные носители данных, результатами которого могут быть нарушение работоспособности системы, утечка, искажение и(или) потеря данных (информации).

2 В специальной литературе, нормативных и методических документах используется также термин «несанкционированный доступ к информации» (НСД), под которым понимается доступ к информации, нарушающий установленные правила разграничения доступа, а под доступом к информации понимается ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации. Далее термины НСВ и НСД будем считать синонимами.

3 Изделие медицинской техники — ГОСТ 207980.

здесь и далее под МТ будем понимать также и ПО, которое используется для применения медицинской техники по назначению.

формации, в том числе к сведениям, составляющим врачебную тайну.

Очевидно, что нарушение работоспособности цифровой МТ, вызванное НСВ, может иметь самые серьезные последствия для здоровья пациента и/или персонала. При этом неправильная работа МТ может привести даже к более тяжелым последствиям, чем явный «отказ», особенно если признаки неправильной работы не заметны для пользователя. Заметим, что во многих случаях, не связанных с явным отказом МИС и МТ, для обнаружения признаков НСВ необходимо предпринимать особые усилия и применять специальные средства обнаружения кибервторжений4.

Таким образом, при анализе и оценке рисков

^ 5

применения медицинских технологий , использующих МТ, необходимо учитывать также угрозы внешнего кибервоздействия, случайного или преднамеренного.

Разработчик цифровой МТ должен изначально, еще на этапе проектирования иметь возможность априорно идентифицировать и оценить потенциальные риски ее применения, связанные с возможным преднамеренным или случайным ки-бервоздействием, в том числе для того чтобы предусмотреть при необходимости включение в состав МТ встроенных или внешних (как обязательные принадлежности) средств защиты информации, контроля работоспособности и т.д., и определения требований к мерам и средствам защиты в процессе эксплуатации техники.

Потребитель, покупатель цифровой МТ также должен заранее знать, какие ресурсы, организационно-технические меры и средства защиты от кибервоздействия необходимы для обеспечения нормальной, устойчивой и безопасной работы медицинской техники при ее использовании в условиях конкретного медицинского учреждения.

Вместе с тем вопросы кибербезопасности цифровой МТ сегодня недостаточно рассмотрены в отечественных научных публикациях и практически не отражены в нормативно-методических документах и ГОСТах, регламентирующих обращение медицинских изделий [5, 6]. Заметим, что в США, начиная с 2013 г., FDA

4 См. приказ ФСТЭК России от 06.12.2011 г. № 638.

5 См. ГОСТ Р 56044.

(www.fda.gov) осуществляется мониторинг инцидентов, связанных с кибервоздействием на цифровую медицинскую технику.

Целью настоящей работы является идентификация классов кибербезопасности цифровой медицинской техники, на основе которых могут быть определены требования к составу мер и средств защиты МТ от НСВ, в том числе с учетом требований к информационной безопасности, установленных нормативными документами Правительства Российской Федерации, Федеральной службы по техническому и экспортному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ) России. При этом, как показал проведенный анализ, непосредственное «один к одному» прямое применение для цифровой МТ классификаций защищенности от несанкционированного доступа (НСД), установленных руководящими документами ФСТЭК для средств вычислительной техники (СВТ) и автоматизированных систем (АС) [7—10], в общем случае нецелесообразно и невозможно, поскольку в указанных документах акценты сделаны на гриф секретности (категорию) защищаемой информации и принципы разграничения доступа субъектов к объектам защиты в соответствии с установленными полномочиями, что в нашем случае, очевидно, не является столь актуальным.

Далее под классом кибербезопасности цифровой медицинской техники будем понимать комплексный показатель, характеризующий уровень исходной (проектной) защищенности изделия медицинской техники от несанкционированного (неконтролируемого пользователем) внешнего воздействия на программное обеспечение и/или цифровой блок управления и определяющий требования, выполнение которых обеспечивает нейтрализацию угроз указанного воздействия.

Термин «исходная защищенность» в данном случае характеризует устойчивость данного типа МТ по отношению к несанкционированному ки-бервоздействию, независимо от того, в составе какой технологической системы она используется, в том числе независимо от защищенности от НСВ других элементов, входящих в состав этой системы. Иными словами, термин «исходная защищенность» в данном случае характеризует данный тип МТ как отдельный, самостоятельный элемент системы, независимо от ее состава,

структуры, режима использования, квалификации пользователей, используемых средств защиты информации, состава организационно-технических мероприятий по обеспечению информационной безопасности и т.д.

При определении классов кибербезопасности цифровой медицинской техники будем исходить из того, что:

— риск, угроза НСВ на цифровую медицинскую технику является одной из составляющих риска безопасности ее применения — потенциальный риск применения цифровой МТ должен оцениваться и классифицироваться в зависимости от последствий для здоровья пациента, к которым может привести неправильная работа МТ, в том числе в результате несанкционированного внешнего кибервоздействия на «цифровые» компоненты МТ и программное обеспечение;

— цифровая медицинская техника эксплуатируется в среде определенной организационно-технической системы — лечебно-профилактического учреждения, безопасность (в том числе кибербезопасность) и результативность работы которой в значительной степени зависят от «человеческого фактора» и качества управления (менеджмента), а не только от работоспособности и характеристик техники и информационной системы учреждения.

Классификация медицинской техники по уровню исходной защищенности осуществляется на основе следующих положений:

— при определении класса кибербезопаснос-ти цифровая МТ рассматривается исключительно как техническое устройство — объект защиты от НСВ, безотносительно к его «медицинскому» назначению (функции);

— при определении классов кибербезопас-ности анализируется и оценивается только вероятность НСВ, безотносительно к характеру возможных последствий и проявлений НСВ — явный отказ, неявное изменение режима или алгоритма работы, утечка, искажение или удаление данных и т.д.;

— класс кибербезопасности цифровой МТ должен соотноситься с вероятностью и результативностью НСВ исходя из принципа «враждебного окружения» — предполагается, что воздействие осуществляет высококвалифицированный внешний нарушитель, имеющий возможность использовать средства для обхода «штатной» сис-

темы защиты «стандартной» операционной среды (системы).

В данном случае «вероятность» оценивается в условиях существенной неопределенности и поэтому измеряется не количественной мерой — числом, а экспертно с использованием некоторой лингвистической шкалы. При этом важно, что количество градаций (классов) на шкале и различие между ними, как правило, основывается на выборе доступных процедур многокритериального экспертного оценивания. Переход к количественным оценкам может осуществляться, например, с использованием логистической функции Харрингтона, Гыггу-методов и метрик [11, 12].

Классы кибербезопасности (уровни защищенности) цифровой медицинской техники (ККБ) предлагается определять по следующей лингвистической шкале:

— высокий уровень — класс «В», когда для защиты МТ от НСВ не требуется применение специальных дополнительных мер — режим использования МТ, а также встроенные средства защиты от НСВ обеспечивают высокую исходную защищенность МТ; успешное (результативное) несанкционированное внешнее воздействие маловероятно;

— средний уровень — класс «С», когда необходимый уровень защиты МТ от НСВ обеспечивается применением общих организационных и технических мер и средств обеспечения информационной безопасности медицинского учреждения, в соответствии с предусмотренными технической документацией режимами использования МТ, в том числе, возможно, совместно с определенным внешним ПО в составе МИС; дополнительных мер для защиты данного медицинского изделия от НСВ не требуется; успешное (результативное) НСВ возможно, но его вероятность невелика;

— низкий уровень — класс «Н», когда предусмотренный технической документацией режим использования МТ и встроенные средства защиты от НСВ не обеспечивают необходимого уровня защиты МТ от НСВ и безопасности пациента — требуется применение специальных дополнительных мер защиты от случайного или преднамеренного кибервоздействия; вероятность успешного (результативного) НСВ достаточно высока.

В качестве критериев при определении класса кибербезопасности определенного типа цифровой медицинской техники предлагается использовать следующие структурно-функциональные характеристики:

1) тип используемой операционной системы (ОС)6:

СтС — «стандартная» ОС, для которой известны основные уязвимости и способы «взлома» штатной системы защиты в ОС, имеются программные «вирусы» и т.д.; заметим, что заражение МТ «вирусами» может осуществляться как преднамеренно, так и случайно;

СпС — специальная ОС, разработанная для данного типа МТ (семейства изделий МТ, см. ГОСТ 34.003), для которой практически ничего не известно об уязвимостях, способах «взлома» системы защиты, а появление «вирусов» маловероятно;

2) необходимость использования внешних машинных носителей данных (ВН) в процессе применения по назначению/эксплуатации медицинской техники, например, для обмена данными, обновления программного обеспечения и т.д.:

МН — используются «стандартные» внешние носители данных, которые могут использоваться с обычным, персональным компьютером;

БН — использование «стандартных» внешних носителей невозможно либо запрещено, либо допускается использование только «доверенных» стандартных носителей, либо применяются специальные «нестандартные» внешние носители данных, которые не могут использоваться с обычными компьютерами;

3) режим работы/применения МТ по назначению — автономный (АР) либо в составе вычислительной сети информационно-технологической системы; автономным в данном случае считается также режим, когда при эксплуатации МТ используются специальные, «нестандартные» внешние машинные носители данных;

4) необходимость подключения к телекоммуникационной сети и/или использование беспроводных технологий, постоянно или периодически, например, для дистанционного управления работой МТ, передачи измерительной

6 Здесь и далее указаны условные буквенные обозначения соответствующих характеристик.

MT

АР

\

OК I /

I

. В

\ Высокая

Исходная C защищенность

Средняя

Определение класса кибербезопасности изделия медицинской техники

информации, в том числе при выполнении телемедицинских услуг (дистанционный мониторинг состояния здоровья пациента и т.д.), технического обслуживания МТ, обновления ПО и т.д. (КС):

ЗК — используются только защищенные каналы передачи данных для взаимодействия с внешними «доверенными» информационными системами (серверами);

ОК — используются открытые, незащищенные каналы передачи данных общего пользования для взаимодействия с внешними «открытыми» ИС либо необходим выход в Интернет;

5) наличие встроенных средств защиты от НСВ и проверки работоспособности медицинской техники (СК); например, средств доверенной загрузки программного обеспечения, выполнения контрольных задач и т.д.; сюда же относятся случаи, когда внесение изменений в программный код цифрового блока управления МТ («перепрошивка») возможно только с помощью специального оборудования («в заводских условиях»).

Правила определения класса кибербезопас-ности МТ в формализованном виде могут быть представлены в виде путей в классификаци-

7

онном графе — ориентированном гиперграфе (см. рисунок), состоящем из начальной вершины МТ и гипервершин двух видов:

— классов кибербезопасности (ККБ), включающей вершины классов — уровней исходной защищенности изделия медицинской техники: Н — низкая, С — средняя, В — высокая;

— классификационных характеристик МТ — три гипервершины: КС — каналы передачи данных, ВН — внешние носители данных, ОС — операционная система (далее — Х-вершины), вершины в которых соответствуют перечисленным выше структурно-функциональным характеристикам изделия медицинской техники.

Каждому правилу соответствует определенный простой путь в графе из начальной вершины МТ в одну из ККБ-вершин, проходящий через Х-вершины.

Например, путь (МТ—ОК—СтС—Н) означает, что если в процессе эксплуатации МТ необходимо использовать открытый канал связи (ОК) и при этом работа осуществляется в среде «стандартной» операционной системы (СтС), то МТ имеет низкий класс кибербезопасности (Н); путь (МТ—АР—В) — что, если изделие МТ работает в автономном режиме (АР), то оно имеет высокий класс кибербезопасности (В) и т.д. (рисунок).

Пути в графе — правила определения класса кибербезопасности ККБ изделия медицинской техники — могут описаны в виде следующих логических выражений:

П1: ОК л СтС ^ ККБ = Н; (соответствует пути (МТ—ОК—СтС—Н) на графе)

П2: МН л СтС ^ ККБ = Н;

П3: ОК л СпС ^ ККБ = С;

П4: МН л СпС ^ ККБ = С;

П5: ЗК л БН ^ ККБ = В;

П6: АР ^ ККБ = В;

П7: СК ^ ККБ = В;

где символ л — это знак логической операции «И» (конъюнкция), символ ^ — знак логического следствия (импликации) «ЕСЛИ..., ТО...» (по ГОСТ Р 54521).

7 В классификационном графе не может быть циклов и изолированных вершин.

Алгоритм определения класса кибербезопас-ности ККБ изделия медицинской техники МТ может быть представлен также в виде древа решений, которое описывается следующими логическими выражениями:

А1: Если АР v СК v ЗК л БН, то ККБ = В и «Стоп»; иначе перейти к А2;

А2: Если СпС, то ККБ = С и «Стоп»; иначе ККБ = Н и «Стоп»;

где символ v — это знак логической операции «ИЛИ» (дизъюнкция).

Выражение А1 означает, что если изделие медицинской техники эксплуатируется в автономном режиме (АР) и/или имеет встроенные средства контроля (СК) либо в процессе его эксплуатации используются только защищенные каналы связи (ЗК) и при этом не используются «стандартные» внешние машинные носители (БН), то оно имеет высокий класс кибербезопасности (ККБ = В). «Стоп» означает, что дальнейшие проверки для определения класса можно не выполнять. Выражение А2 здесь означает, что если в «неавтономном» изделии МТ, не имеющем встроенных средств защиты, применяется специальная операционная система (СпС), и при этом в процессе эксплуатации используются открытые каналы связи и/или «стандартные» внешние носители данных, то МТ имеет средний уровень исходной защищенности от кибервоздействия (ККБ = С); в остальных случаях, то есть когда используется «стандартная» ОС, открытые каналы связи и/или «стандартные» носители — изделие медицинской техники имеет низкий класс кибербезопасности (ККБ = Н).

Следует отметить, что описанные выше правила классификации по уровням кибербезопас-ности относятся только к изделиям цифровой медицинской техники и в общем случае не применимы к программным медицинским изделиям (Software as a Medical Device — SaMD [13—15]).

Для оценки уровня кибербезопасности изделия МТ при его работе в составе МИС конкретной медицинской организации необходимо построить модель угроз — определить перечень актуальных угроз (рисков) безопасности с оценкой возможных последствий в результате их реализации (каналы проникновения, утечки, нарушите-

ли, оценка рисков, ущерба, вреда и т.д.). Для этого можно использовать, например, методы моделирования угроз безопасности информации, изложенные в руководящих документах ФСТЭК и ФСБ России. При этом следует иметь в виду, что основой производственной инфраструктуры современного медицинского учреждения сегодня становятся интегрированные медицинские информационно-технологические комплексы, включающие медицинские аппараты, приборы и оборудование, медицинские территориально распределенные информационные системы, подключенные к внешним телекоммуникационным сетям и «облачным» информационным и вычислительным сервисам и хранилищам данных. Методика построения указанной модели — это отдельная тема.

При определении требований к защите медицинской техники от НСВ необходимо учитывать, что, независимо от того, интегрирована или нет конкретная МТ в состав МИС, она является элементом сложной организационно-технической системы — медицинской организации, в которой реализуется определенная политика информационной безопасности, которая формируется исходя из анализа актуальных угроз кибербезопас-ности, идентификации и оценки рисков, связанных с использованием МИС и цифровой МТ, подключением к внешним телекоммуникационным сетям и т.д.

Проектирование и производство цифровой медицинской техники целесообразно осуществлять, в том числе с использованием подходов и методов создания кибербезопасных информационных систем [26].

ВЫВОДЫ

1. Представляется целесообразным дополнительно к номенклатурной классификации медицинских изделий по видам и степени потенциального риска применения для цифровой медицинской техники предусмотреть еще один классификационный признак — класс кибербе-зопасности, определяемый на основе рассмотренных выше критериев.

2. Классификацию цифровой медицинской техники в зависимости от потенциального риска их применения необходимо осуществлять с учетом их класса кибербезопасности — уровня ис-

ходной защищенности от несанкционированного внешнего кибервоздействия.

3. Необходимо разработать отраслевую базовую модель угроз информационной безопасности для медицинских информационных систем, в состав которых интегрирована цифровая медицинская техника. Указанная модель должна включать типовой перечень организационно-технических мероприятий, мер и средств защиты от кибервоздействия, в том числе для обеспечения групповой, одиночной (индивидуальной) и смешанной системы защиты от НСВ медицинской техники.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В заключение хотелось бы заметить, что после многочисленных публикаций о «взломах» компьютерных систем, кражах и утечках персональных данных, вирусных атаках, нарушающих нормальную работу медицинской техники, информационных систем и баз данных медицинских учреждений, которые имели место в последнее время у определенной части населения, и пациентов, и врачей, начала формироваться своего рода «киберфобия», чувство недоверия к современным ИТ и даже желание запретить обработку и обмен клиническими и персональными данными в электронном виде. Однако, ки-бербезопасность во многом зависит от четкой организации работы администрации, пользователей и технического персонала информационных систем, знания, понимания и соблюдения ими основных принципов обеспечения информационной безопасности, их ответственности и самоконтроля.

ЛИТЕРАТУРА/REFERENCES

1. Advanced Cyber-Physical Systems for National Priorities, 13.03.2014. Доступно по: www.nist.gov/public_affairs/ factsheet/cyberphysicalsystems2015.cfm. Ссылка активна на: 20.03.2016.

2. The prognosis for healthcare payers and providers: Rising cybersecurity risks and costs, 17.12.2014. Доступно по: http://usblogs.pwc .com/cybersecurity/the-prognosis-for-healthcare-payers-and-providers-rising-cybersecurity-risks-and-costs. Ссылка активна на: 20.03.2016.

3. Доступно по: www.mcafee.com/us/resources/reports/ rp-healthcare-iot-rewards-risks-summary Ссылка активна на: 20.03.2016.

4. Двусторонний проект Россия—США по выработке основ критически важной терминологии в области кибербезопасности. Выпуск 1. Апрель 2011 г. Доступно по: www.iisi.msu.ru/UserFiles/File/Terminology_IISI_EW/

Russia-USbilatera_on_terminology_RUS.pdf. Ссылка активна на: 20.03.2016.

5. Столбов А.П. О классах кибербезопасности медицинской техники // Математическая кардиология. Теория, клинические результаты, рекомендации, перспективы. Сб. научн. трудов под ред. В.А. Лищука и Д.Ш. Газизо-вой. М.: ООО «ПРИНТ ПРО». 2015. С. 131 — 142.

6. Столбов А.П. Об отнесении программного обеспечения к медицинским изделиям // Информационно-измерительные и управляющие системы. 2015. № 10. С. 3—7.

7. Защита от несанкционированного доступа к информации. Термины и определения. Руководящий документ Гостехкомиссии от 30.03.1992 г. Доступно по: http:// base .consultant.ru/cons/cgi/online.cgi?base=EXP&n= 513377&req=doc. Ссылка активна на: 20.03.2016.

8. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии от 30.03.1992 г. Доступно по: http://base. consultant.ru/cons/cgi/online.cgi?req=doc;base=EXP; n=514026. Ссылка активна на: 20.03.2016.

9. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Руководящий документ Гостехкомиссии от 30.03.1992 г. Доступно по: http://base.consultant. ru/cons/cgi/online.cgi?base=EXP&n=575668&req=doc. Ссылка активна на: 20.03.2016.

10. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии от 30.03.1992 г. Доступно по: http://base.consultant.ru/ cons/cgi/online.cgi?req=doc;base=EXP;n=514027. Ссылка активна на: 20.03.2016.

11.Zadeh L.A. Fuzzy sets. Information and control. 1965; Vol. 8. Iss. 3: 338—353.

12. Пичкалев А.В. Обобщенная функция желательности Харрингтона для сравнительного анализа технических средств. Исследования наукограда. 2012; 1: 25—28.

13. IMDRF/SaMD WG/N10:2013 Software as a Medical Device: Key Definitions, 9 December 2013. Доступно по: www.imdrf.org. Ссылка активна на: 20.03.2016.

14. IMDRF/SaMD WG/N12:2014 Software as a Medical Device: Possible Framework for Risk Categorization and Corresponding Considerations, 18 September 2014. Доступно по: www.imdrf.org. Ссылка активна на: 20.03.2016.

15. Столбов А.П. Предложения по внесению изменений в Номенклатурную классификацию медицинских изделий ( в части программного обеспечения ). Доступно по: www.gosbook.ru/node/93386 Ссылка активна на: 20.03.2016.

16. Номенклатурная классификация медицинских изделий. Приказ Минздрава России от 06.06.2012 г. № 4н (в ред. приказа от 25.09.2014 г. №557н). Доступно по: http: //www.consultant.ru/document/cons_doc_ law_132477/. Ссылка активна на: 20.03.2016.

17. Решение Коллегии Евразийской экономической комиссии от 22.12.2015 г. № 173 «Об утверждении Правил классификации медицинских изделий в зависимости от

потенциального риска применения». Доступно по: http://base.garant.ru/71296494/. Ссылка активна на: 20.03.2016.

18. ГОСТ 31508—2012 Изделия медицинские. Классификация в зависимости от потенциального риска применения. Общие требования. Доступно по: http://base. garant.ru/70892048/. Ссылка активна на: 20.03.2016.

19. ГОСТ ISO 14971—2011 Изделия медицинские. Применение менеджмента риска к медицинским изделиям. Доступно по: http://standartgost.ru/g/%D0%93%D0% 9E%D0%A1%D0%A2JS0_14971-2011. Ссылка активна на: 20.03.2016.

20. ГОСТ Р 55544—2013 Программное обеспечение медицинских изделий. Часть 1 Руководство по применению ИСО 14971 к программному обеспечению изделий. Доступно по: http : //standartgost .ru/g/%D0%93%D0% 9E%D0%A1%D0%A2_%D0%A0_55544-2013. Ссылка активна на: 20.03.2016.

21. ГОСТ 30324.0.4—2002 Изделия медицинские электрические. Требования безопасности к программируемым медицинским электронным системам. Доступно по: http://standartgost.ru/g/%D0%93%D0%9E%D0%A1% D0%A2_30324.0.4-2002. Ссылка активна на: 20.03.2016.

22. ГОСТ Р 51904—2002 Программное обеспечение встроенных систем. Общие требования к разработке и доку-

ментированию. Доступно по: http://standartgost.ru/g/ %D0%93%D0%9E%D0%A1%D0%A2_%D0%A0_5190 4-2002. Ссылка активна на: 20.03.2016.

23. ГОСТ 34.003—90 Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения. Доступно по: http:// standartgost.ru/g/%D0%93%D0%9E%D0%A1%D0% A2_34.003-90. Ссылка активна на: 20.03.2016.

24. ГОСТ Р МЭК 62304—2013 Изделия медицинские. Программное обеспечение. Процессы жизненного цикла (с 01.01.2015). Доступно по: http://standartgost.ru/ g/%D0%93%D0%9E%D0%A10/oD0%A2_%D0%A0_% D0%9C%D0%AD%D0%9A_62304-2013. Ссылка активна на: 20.03.2016.

25. ГОСТ Р МЭК 62366—2013 Изделия медицинские. Проектирование медицинских изделий с учетом эксплуатационной пригодности (с 01.01.2015). Доступно по: http://standartgost.ru/g/%D0%93%D0%9E%D0%A1% D0%A2_%D0%A0_%D0%9C%D0%AD%D0%9A_6236 6-2013. Ссылка активна на: 20.03.2016.

26. ГОСТ Р 51583—2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Доступно по: http:// standartgost.ru/g/%D0%93%D0%9E%D0%A1%D0%A 2_%D0%A0_51583-2014. Ссылка активна на: 20.03.2016.

Сведения об авторе

Столбов Андрей Павлович — д-р техн. наук, профессор Высшей школы управления здравоохранением Первый МГМУ им. И.М. Сеченова. Москва. Тел.: (499) 762-68-02. E-mail: [email protected]

About the author

Stolbov Andrey Pavlovich — dr. sc. sciences, professor at the Higher School of Management Health First MGMU named after I.M. Sechenov. Moscow. Tel.: (499) 762-68-02. E-mail: [email protected]

i Надоели баннеры? Вы всегда можете отключить рекламу.