Skip to content

IEC 81001-5-1:2021 - Health Software and Health IT System Safety, Effectiveness and Security

Der Standard adressiert die Cyber-Sicherheit von Gesundheitsprodukten. Dabei erweitert sich der adressierte Scope gegenüber der MDR von den medizintechnischen Geräten auf alle Gesundheitsprodukte. Der Standard gilt noch nicht als harmonisiert, dennoch hat er bereits in seiner Entstehung Anlehnung an IEC 62304 sowie IEC 62443 genommen und ergänzt diese in pragmatischer Form. Neben den Anforderungen birgt die IEC 81001-5-1 auch eine Vielzahl an Hinweisen und Best Practises, die bei der Umsetzung helfen.

Überblick

  • Segment: Cybersecurity für Gesundheitsprodukte
  • Verabschiedet / Veröffentlicht: Als IEC Standard 2021.
  • Ziel: Der Standard foksiert den Aufbau eines risikobasierten Cybersicherheitsregimes mit dem Fokus auf Software für und in medizinischen Produkten sowie Gesundheitsprodukten.
  • Verwandte Standards:
  • IEC 62304
  • IEC 62443

Zentrale Forderungen

Der Standard erfordert sen Aufbau folgender Kompoetenzen:

  • Sichereitsrisiken-Management:

Spezifisches Sicherheitsrisikenmanagement in Bezug auf die besondere Bedeutung und ddie Nutzung von Gesundheitsdaten. Identifizieren von Schwachstellen und Durchführen von Bewertungen, Controlling des Sicherheitsrisikos, Effektivitätskontrolle der Aktivitäten

  • Umgang mit 3rd party Software:

Erfordrrt das Erkennen der Bedeutung des Risikomanagements bei der Verwendung von 3rd party-Software. Dazu gehören die Identifizierung potenzieller rechtlicher, sicherheitsrelevanter und qualitativer Risiken im Zusammenhang mit zugelieferten Komponenten sowie die Umsetzung von Maßnahmen zur Minderung dieser Risiken.

  • Sicherer Softwareentwicklungsprozess:

Aufbau einer sicheren Entwickungsumgebung, Nutzung und Prüfung der EInhaltung sicherer Coding Standards

  • Sichere Software Architektur:

Defense-In-depth Architektur, Sicherstellen der Anwendung von Secure Deisgn Best Practises, Design Reviews, sicheres Schnittstellendesign, Anfoderungen an die Verifikation, dass vorgehende Anforderungen auch eingehalten werden.

  • Anforderungen an Tests & Validierung:

Sicheres Software Testing, Security Implementation Reviews, Integration Testing, Software System Testing Anforderungen, Schwachstellenidentifikation & Prüfung, Threat Mitigation Testing, Pen-testing

  • Software Release Planung und Organisation

Auflösen der Findings vor Reelase, Anforderungen an die Release Dokumentation, Sicherstellen der Dateiintegrität, Umgang mit privaten Schlüsseln

  • Software Wartung

Aufstellen eines Wartungsplanes, zeitnahes Liefern von Sicherheits-Updates, Umgang mit Probemen, Problem Management, Überwachen öffentlicher Vorfallsberichte, Sicherstellen der Integrität von Updates, Klären des Umgangs mit Änderungen sowie der Analyse von Auswirkungen der Änderungen

  • Einführen eines Schwachstellenmanagements

Aufstellen eines Wartungsplanes, zeitnahes Liefern von Sicherheits-Updates, Umgang mit Probemen, Problem Management, Überwachen öffentlicher Vorfallsberichte, Sciherstellen der Integrität von Updates, Klären des Umgang mit Änderungen sowie der Analyse von Auswirkungen der Änderungen

Lösungsansätze & Hilfestellungen

  • Ein mächtiges Werkzeug zur Unterstützung der Umsetzung gibt es bspw. unter https://github.com/trustsource/ts-core-ce