개요
의료 기기 보안 테스트는 펌웨어, 무선 인터페이스, 컴패니언 앱, 백엔드 서비스를 아우르는 연결된 의료 기기에 대한 규제 기관 기반 사이버보안 평가입니다. 개발팀과 독립적으로 수행되며, FDA가 시판 전 제출에서 기대하는 위협 모델링, 취약점, 침투 테스트 산출물을 생성하고 시판 후 보안을 지원합니다. 침투 테스트는 하드웨어, 펌웨어, 소프트웨어, 무선 통신, 연결된 헬스케어 생태계 전반의 약점을 식별하여 기기 수준 및 연결된 시스템 보안을 모두 평가합니다. 이는 제조사가 사이버보안 위험을 이해하고 전반적인 보안 성숙도를 향상하는 데 도움이 됩니다.
방법론 및 표준
FDA 시판 전 사이버보안 지침(2023) 및 524B항, AAMI TIR57, ISO 14971, IEC 62304, IEC 81001-5-1, 그리고 해당되는 경우 IEC 62443 및 UL 2900.
포함 내용
하드웨어, 펌웨어, 무선, 소프트웨어 전반의 독립 테스트
위협 모델 및 보안 위험 평가로의 추적성
시판 전 및 시판 후 테스트 지원
하드웨어 및 펌웨어 보안 평가
무선 및 통신 프로토콜 테스트
컴패니언 애플리케이션 및 백엔드 검토
헬스케어 위험 관리에 부합하는 보안 검증
제공 산출물
FDA 제출용 패키지: 보안 위험 평가, 위협 모델, SBOM
추적성을 갖춘 취약점 및 침투 테스트 보고서
조치 증거 및 재테스트
경영진 보고, 우선순위가 매겨진 조치 가이드, 재테스트 검증 지원
OWASP 부합경영진 보고개선 가이던스재테스트 포함증명서스캐너 덤프 없음
자주 묻는 질문
당사의 테스트와 산출물은 현행 FDA 시판 전 지침, 524B항, AAMI TIR57에 부합하도록 구성되며, 위협 모델 및 위험 평가에 추적 가능하여 미비점 서한의 위험을 줄입니다.
AAMI TIR57과 FDA의 기대는 제품 개발에 관여하지 않은 팀이 테스트를 수행할 것을 요구하며, 이는 편향 없는 결과와 규제 신뢰성을 보장합니다.
의료 기기는 안전하지 않은 통신, 취약한 인증, 펌웨어 취약점, 소프트웨어 결함, 연결된 헬스케어 시스템을 통한 노출과 같은 위험에 직면할 수 있습니다. 보안 테스트는 배포 전에 이러한 위험을 식별하고 줄이는 데 도움이 됩니다.