ГОСТ Р МЭК 82304-1-2019. Национальный стандарт Российской Федерации. Медицинское программное обеспечение. Часть 1. Общие требования к безопасности программных продуктов

7.2 ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ

 

7.2.1 Общие положения

ИЗГОТОВИТЕЛЬ должен предоставить ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, позволяющие ПОЛЬЗОВАТЕЛЮ и/или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ внедрить и использовать МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ по целевому назначению.

ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ должны содержать:

a) наименование и контактную информацию ИЗГОТОВИТЕЛЯ, включая веб-сайт;

b) идентификацию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА (см. 7.1);

c) идентификатор(ы) версии МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА(ОВ), например номер версии продукта или дата выпуска/издания, необходимый(ые) для идентификации МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА(ОВ), к которому(ым) это применяется;

d) идентификатор версии ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ, например номер версии продукта или дата выпуска/издания;

e) руководство пользователя (см. 7.2.2) и

f) техническое описание (см. 7.2.3).

ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ могут содержать примечания к версии программного обеспечения и указание типичной среды установки.

В ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТАХ должны быть указаны все специальные навыки, подготовка и знания, необходимые предполагаемому ПОЛЬЗОВАТЕЛЮ или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ, любые ограничения в отношении мест или сред, в которых может быть использован МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ, и, при необходимости, любой системный интерфейс, программные платформы и инструменты, а также аппаратные требования или ограничения.

ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ должны быть подготовлены таким образом, чтобы соответствовать уровню образования, подготовки и других специфических особенностей лица (лиц), для которого(ых) они предназначены.

Примечание - Предоставление ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ в электронном виде может улучшить удобство их использования. Регулирующие органы могут указывать конкретный формат ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ или их частей, если они предоставляются в электронном виде.

 

7.2.2 Руководство пользователя

7.2.2.1 Общие положения

В руководстве пользователя должно быть задокументировано все, что необходимо для правильной работы МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, включая инструкции по установке.

При необходимости в руководстве пользователя должны быть указаны ограничения (особые требования) для ИТ-СЕТИ, в которой предполагается использовать МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ (см. 7.2.3.2).

Примечание - Руководство пользователя предназначено для определенного ПОЛЬЗОВАТЕЛЯ и определенной ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ и содержит только ту информацию, которая полезна ПОЛЬЗОВАТЕЛЮ или этой ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ. Дополнительная информация может содержаться в техническом описании (см. также 7.2.3).

 

7.2.2.2 Описание МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Руководство пользователя должно содержать следующие описания:

a) ПРЕДУСМОТРЕННОЕ ПРИМЕНЕНИЕ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, предоставляемое ИЗГОТОВИТЕЛЕМ;

b) краткое описание МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, включая его основные функции;

c) все операционные настройки ЗАЩИЩЕННОСТИ для использования МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ и

d) все известные технические проблемы, ограничения, оговорки или противопоказания к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.

7.2.2.3 Предупреждения и уведомления, относящиеся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ

В руководстве пользователя должны быть перечислены все предупреждения и уведомления, относящиеся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ, связанные с использованием ПРОДУКТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ, а также их объяснение или подробное толкование, если они не являются самоочевидными.

Предупреждения и уведомления общего характера, относящиеся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ, следует размещать в специально выделенном разделе руководства пользователя. Предупреждение или уведомление относящееся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ, которое применяется только в конкретной инструкции или процессе, должно предшествовать инструкции, к которой оно относится.

7.2.2.4 Установка

Руководство пользователя должно содержать:

a) сведения о том, может ли установка быть выполнена ПОЛЬЗОВАТЕЛЕМ или должна быть осуществлена ИЗГОТОВИТЕЛЕМ (или при содействии ИЗГОТОВИТЕЛЯ) или с помощью уполномоченного лица;

b) системные требования к программным и аппаратным платформам, предназначенным для работы МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ;

c) оперативные настройки ЗАЩИЩЕННОСТИ для МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, задаваемые во время установки;

d) все критичные зависимости от других приложений;

e) требования к конфигурации;

f) требования к системному интерфейсу (как обязательные, так и необязательные);

g) сведения о поддерживаемых программных платформах и

h) инструкции по установке или ссылку, при переходе по которой можно найти необходимые инструкции по установке.

7.2.2.5 Процедура запуска

Руководство пользователя должно содержать необходимую для ПОЛЬЗОВАТЕЛЯ информацию, которая позволит ему привести в действие МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ.

7.2.2.6 Процедура завершения работы

Руководство пользователя должно содержать необходимую для ПОЛЬЗОВАТЕЛЯ информацию, которая позволит ему безопасно завершить работу МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.

7.2.2.7 Инструкции по применению

Руководство пользователя должно содержать всю информацию, необходимую для применения медицинского ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Эта информация должна включать в себя объяснение функций элементов экранных форм, содержания экранных форм, сигналов и последовательности действий.

В руководстве пользователя должно быть указано и объяснено смысловое содержание и значение рисунков, символов, предупреждающих сообщений и сокращений.

7.2.2.8 Сообщения

В руководстве пользователя должны быть перечислены все системные сообщения, сообщения об ошибках и сообщения об отказах, за исключением тех случаев, когда эти сообщения являются очевидными.

Примечание - Эти сообщения могут быть объединены в группы.

 

Перечень сообщений должен содержать поясняющую информацию, включая важные причины появления сообщений, и возможные действия ПОЛЬЗОВАТЕЛЯ, при необходимости, которые потребуются для разрешения ситуации, указанной в сообщении.

7.2.2.9 Вывод из эксплуатации и удаление МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

В руководстве пользователя должна содержаться вся информация, необходимая ПОЛЬЗОВАТЕЛЮ или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ для безопасного вывода из эксплуатации и удаления МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. При необходимости она должна включать в себя информацию о защите персональных данных, включая сведения о здоровье, при обеспечении ЗАЩИЩЕННОСТИ и конфиденциальности.

Примечание - Регулирующие органы могут устанавливать требования к обработке и передаче персональных данных и сведений о здоровье.

 

7.2.2.10 Ссылка на техническое описание

Руководство пользователя должно содержать техническое описание (см. 7.2.3) или ссылку, по которой можно найти техническое описание.

7.2.3 Техническое описание

7.2.3.1 Общие положения

В техническом описании должны быть указаны все данные, необходимые для безопасной и защищенной эксплуатации, транспортирования и хранения, а также меры или условия, необходимые для установки МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ и его подготовки к использованию. Эта информация должна содержать:

a) системные требования к программным и аппаратным платформам, предназначенным для выполнения МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ;

b) сведения о поддерживаемых программных платформах;

c) допустимые условия окружающей среды для транспортирования и хранения носителей МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ;

d) все характеристики МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, включая диапазон(ы), точность и разрядность отображаемых величин, или указание о том, где могут быть найдены эти данные;

e) все специальные требования или ограничения, касающиеся установки;

f) все требования к технической поддержке, например файлы протоколов, которые необходимо проверять и, возможно, очищать, требования к технической поддержке баз данных и смене носителей информации;

g) все технические параметры ЗАЩИЩЕННОСТИ, которые могут быть настроены в МЕДИЦИНСКОМ ПРОГРАММНОМ ОБЕСПЕЧЕНИИ и которые являются доступными для ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ. Такие настройки ЗАЩИЩЕННОСТИ могут включать в себя:

1) параметры конфигурации, например минимальный список требуемых сетевых портов и компьютерных служб;

2) программные опции, например включение настроек шифрования, изменение учетных данных для входа по умолчанию;

3) рабочие опции, например настройки управления аудитом и протоколированием;

h) описание того, что делает программное обеспечение при обнаружении отказа в поддержании ЗАЩИЩЕННОСТИ. Оно должно включать любое влияние на рабочие процессы обработки данных, лечения пациента, организации медицинской помощи.

Примечание - При наличии нескольких изменяемых аппаратных и программных платформ, на которых выполняется МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, в отдельных случаях подробное описание успешной реализации или документирование типовых характеристик и ограничений может оказать эффективную помощь.

 

ИЗГОТОВИТЕЛЬ должен включить в техническое описание инструкции, предназначенной для ПОЛЬЗОВАТЕЛЯ и/или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ, действия, которые следует предпринять в случае изменения аппаратных и программных платформ (например, что делать с корректировками/обновлениями антивируса/межсетевого экрана, системных библиотек, встроенных программ и другого программного обеспечения), и как именно выбрать соответствующие настройки платформы для поддержания требуемого уровня ЗАЩИЩЕННОСТИ и функций ЗАЩИЩЕННОСТИ.

7.2.3.2* МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, предназначенное для использования в ИТ-СЕТИ

Область применения ИТ-СЕТИ может включать в себя поддержку ИТ-инфраструктуры или систем, не предназначенных для использования в медицинских организациях (см. 3.9).

Если МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ предназначено для использования в ИТ-СЕТИ, которая находится вне зоны контроля ИЗГОТОВИТЕЛЯ МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, то в качестве части технического описания ИЗГОТОВИТЕЛЬ должен предоставить инструкции, необходимые для данного использования, включая, но не ограничиваясь, следующий перечень:

a) характеристики и конфигурация ИТ-СЕТИ, необходимые для выполнения МЕДИЦИНСКИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ его целевых задач;

b) технические спецификации ИТ-СЕТИ, необходимые для выполнения МЕДИЦИНСКИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ его целевых задач, включая требования для обеспечения ЗАЩИЩЕННОСТИ и защиты от вредоносного программного обеспечения или подобных ему программ, нарушающих работу системы;

c) предполагаемый поток информации между МЕДИЦИНСКИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ и другим программным обеспечением или системами, использующими ИТ-СЕТЬ.

Для того чтобы обеспечить характеристики и услуги, необходимые МЕДИЦИНСКОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ при использовании ИТ-СЕТИ, ИЗГОТОВИТЕЛЬ должен включить в техническое описание список ОПАСНЫХ СИТУАЦИЙ, возникающих в результате отказа ИТ-СЕТИ.

В техническом описании ИЗГОТОВИТЕЛЬ должен проинформировать ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ о нижеследующем:

a) работа МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ в ИТ-СЕТИ может привести к возникновению ранее неустановленных РИСКОВ для пациентов, ПОЛЬЗОВАТЕЛЕЙ или третьих сторон;

b) ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ рекомендуется выявлять, анализировать, оценивать и контролировать неустановленные РИСКИ;

c) последующие изменения в ИТ-СЕТИ могут вносить новые РИСКИ, что требует дополнительного анализа;

d) изменения в ИТ-СЕТИ включают в себя:

1) изменения конфигурации ИТ-СЕТИ,

2) добавление элементов (аппаратных и/или программных платформ или программных приложений) в ИТ-СЕТЬ,

3) удаление элементов из ИТ-СЕТИ,

4) обновление аппаратных и/или программных платформ или программных приложений в ИТ-СЕТИ,

5) модернизацию аппаратных и/или программных платформ или программных приложений в ИТ-СЕТИ.

Примечание - В МЭК 80001-1:2010 предусмотрены требования к ИЗГОТОВИТЕЛЮ МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, к поставщику других информационных технологий и к ОТВЕТСТВЕННЫМ ОРГАНИЗАЦИЯМ по оценке РИСКОВ при изменениях в ИТ-СЕТИ.