ГОСТ Р МЭК 82304-1-2019. Национальный стандарт Российской Федерации. Медицинское программное обеспечение. Часть 1. Общие требования к безопасности программных продуктов

3 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

При разработке стандартов ИСО и МЭК поддерживают терминологические базы данных, находящиеся по следующим адресам:

- МЭК: онлайн-словарь терминов в области электроники и электротехники Electropedia доступен по адресу http://www.electropedia.org/

- ИСО: платформа для онлайнового поиска и просмотра Online browsing platform доступна по адресу http://www.iso.org/obp

3.1

ЭКСПЛУАТАЦИОННЫЙ ДОКУМЕНТ (ACCOMPANYING DOCUMENT): Документ, прилагаемый к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ и содержащий информацию для ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ или ПОЛЬЗОВАТЕЛЯ, в особенности относительно требований БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ.

[МЭК 60601-1:2005, пункт 3.4, изменение - "МЕ ИЗДЕЛИЕ, МЕ СИСТЕМА или ПРИНАДЛЕЖНОСТИ" заменено на "МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ", "ОПЕРАТОР" заменен на "ПОЛЬЗОВАТЕЛЬ" и добавлено "и/или ЗАЩИЩЕННОСТЬ"]

3.2

АНОМАЛИЯ (ANOMALY): Любая ситуация, отличающаяся от ожидаемой ситуации, основанной на технических требованиях, проектных документах, стандартах и т.д., или от чьего-то восприятия или опыта.

Примечание 1 - АНОМАЛИИ могут быть обнаружены в следующих случаях (но не ограничиваясь ими): при выполнении оценки, тестирования, анализа, компиляции или использования МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ или при использовании соответствующей документации.

[IEEE 1044:1993, пункт 3.1]

3.3

ВРЕД (HARM): Физическая травма, или ущерб здоровью людей, или ущерб имуществу либо окружающей среде.

[ИСО/МЭК Руководство 51:2014, пункт 3.1]

3.4

ОПАСНОСТЬ (HAZARD): Потенциальный источник ВРЕДА.

Примечание 1 - К потенциальным источникам ВРЕДА относятся также нарушение ЗАЩИЩЕННОСТИ и снижение эффективности.

[ИСО/МЭК Руководство 51:2014, пункт 3.2, изменение - добавлено примечание 1]

3.5

ОПАСНАЯ СИТУАЦИЯ (HAZARDOUS SITUATION): Обстоятельства, при которых люди, имущество или окружающая среда могут подвергаться одному или нескольким видам ОПАСНОСТИ.

[ИСО/МЭК Руководство 51:2014, пункт 3.4]

3.6* МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ (* HEALTH SOFTWARE): Программное обеспечение, специально предназначенное для управления, поддержания, или улучшения здоровья отдельных лиц, или оказания медицинской помощи.

Примечание 1 - МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ полностью включает в себя то программное обеспечение, которое рассматривается как медицинское устройство (см. А.1 приложения А).

Примечание 2 - Область применения настоящего стандарта включает вопросы, относящиеся к подмножеству МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, предназначенного для работы на вычислительных платформах общего назначения.

3.7 МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ (HEALTH SOFTWARE PRODUCT): Сочетание МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ и ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ.

3.8

ПРЕДУСМОТРЕННОЕ ПРИМЕНЕНИЕ (INTENDED USE) [ПРЕДУСМОТРЕННОЕ НАЗНАЧЕНИЕ (INTENDED PURPOSE)]: Использование продукта, процесса или услуги в соответствии с их предназначением в соответствии с техническими требованиями, инструкциями и информацией, предоставляемой ИЗГОТОВИТЕЛЕМ.

[ИСО 14971:2007, пункт 2.5]

3.9

ИНФОРМАЦИОННО-ТЕХНОЛОГИЧЕСКАЯ СЕТЬ; ИТ-СЕТЬ (INFORMATION TECHNOLOGY NETWORK; IT-NETWORK): Система или системы, состоящие из коммуникационных узлов и линий передачи данных, используемых для обеспечения физических или беспроводных каналов передачи данных между двумя или несколькими указанными узлами сети.

Примечание 1 - В настоящем стандарте область применения ИТ-СЕТИ устанавливается ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИЕЙ на основании того, где находится МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ в ИТ-СЕТИ, и на основании указанного использования ИТ-СЕТИ. Она может включать в себя ИТ-инфраструктуру, домашние медицинские приборы, или вычислительные компоненты, или системы общего назначения, специально не предназначенные для использования в медицинских учреждениях (см. также 7.2.3.2).

[МЭК 61907:2009, пункт 3.1.1, изменение - это определение переформулировано и добавлено примечание 1]

3.10 ИЗГОТОВИТЕЛЬ (MANUFACTURER): Физическое или юридическое лицо, отвечающее за проектирование, разработку, упаковку или маркировку МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА либо за адаптацию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА до его поступления на рынок или ввода в эксплуатацию независимо от того, выполняются ли указанные операции этим лицом или третьей стороной, действующей от имени данного лица.

Примечание 1 - Определение маркировки приведено в ИСО 13485:2016, пункт 3.8.

Примечание 2 - В контексте медицинских информационных технологий вместо ИЗГОТОВИТЕЛЬ, как правило, используются термины "разработчик" или "организация-разработчик".

3.11

ОСТАТОЧНЫЙ РИСК (RESIDUAL RISK): РИСК, сохраняющийся после принятия мер по УПРАВЛЕНИЮ РИСКОМ.

[ИСО 14971:2007, пункт 2.15]

3.12

ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ (RESPONSIBLE ORGANIZATION): Юридическое или физическое лицо, ответственное за использование и правильное функционирование МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.

Примечание 1 - Ответственной организацией является, например, больница, поставщик медицинской помощи или телемедицинская организация.

[МЭК 60601-1:2005, пункт 3.101, изменение - "обслуживание МЕ ИЗДЕЛИЯ или МЕ СИСТЕМЫ" заменено на "правильное функционирование МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА"]

3.13

РИСК (RISK): Сочетание вероятности нанесения ВРЕДА и тяжести этого ВРЕДА.

Примечание 1 - Вероятность нанесения ущерба включает в себя подверженность воздействию ОПАСНОЙ СИТУАЦИИ и возможность избежать или ограничить УЩЕРБ.

[ИСО/МЭК Руководство 51:2014, пункт 3.9, изменение - примечание 1 откорректировано, и из него удалено упоминание опасного события]

3.14

АНАЛИЗ РИСКА (RISK ANALYSIS): Систематическое использование доступной информации для идентификации ОПАСНОСТЕЙ и оценивания величины РИСКА.

[ИСО/МЭК Руководство 51:2014, пункт 3.10]

3.15

ОЦЕНКА РИСКА (RISK ASSESSMENT): Единый процесс, включающий в себя АНАЛИЗ РИСКА и ОЦЕНИВАНИЕ РИСКА.

[ИСО/МЭК Руководство 51:2014, пункт 3.11]

3.16

УПРАВЛЕНИЕ РИСКОМ (RISK CONTROL): Процесс принятия решений и осуществления защитных мер, направленных на уменьшение РИСКОВ или их поддержание на установленных уровнях.

[ИСО/МЭК Руководство 63:2012, пункт 2.12]

3.17

ОЦЕНИВАНИЕ РИСКА (RISK EVALUATION): Процесс сравнения расчетного РИСКА с заданными критериями РИСКА для определения допустимости РИСКА.

[ИСО/МЭК Руководство 63:2012, пункт 2.14]

3.18

МЕНЕДЖМЕНТ РИСКА (RISK MANAGEMENT): Систематическое применение принципов, процедур и методик менеджмента к задачам анализа, оценивания, управления и МОНИТОРИНГА РИСКА.

[ИСО/МЭК Руководство 63:2012, пункт 2.15]

3.19

БЕЗОПАСНОСТЬ (SAFETY): Отсутствие недопустимого РИСКА.

[ИСО/МЭК Руководство 63:2012, пункт 2.16]

3.20

ЗАЩИЩЕННОСТЬ (SECURITY): Защита информации и данных для того, чтобы неуполномоченные лица или системы не могли их читать или изменять, а уполномоченным лицам или системам не было отказано в доступе к ним.

[ИСО 12207:2008, пункт 4.39]

3.21 СОПРОВОЖДЕНИЕ ПРОГРАММНОГО ПРОДУКТА (SOFTWARE MAINTENANCE): Изменение МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА после его выпуска для ПРЕДУСМОТРЕННОГО ПРИМЕНЕНИЯ по одной или нескольким из следующих причин:

a) корректировка после выявления ошибок;

b) адаптация для настройки под новую аппаратную или программную платформу;

c) совершенствование при внедрении новых требований;

d) предупредительные меры для того, чтобы сделать продукт более удобным в сопровождении.

Примечание 1 - См. также ИСО/МЭК 14764:2006.

3.22 ПОЛЬЗОВАТЕЛЬ (USER): Лицо, взаимодействующее с МЕДИЦИНСКИМ ПРОГРАММНЫМ ПРОДУКТОМ.

Примечание 1 - В общем случае ПОЛЬЗОВАТЕЛЬ не рассматривается в качестве ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ, за исключением потребительского МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, например персональных медицинских приложений, или программных продуктов, рассчитанных на неспециалистов.

3.23

ПРОВЕРКА СООТВЕТСТВИЯ [ВАЛИДАЦИЯ] (VALIDATION): Подтверждение посредством предоставления объективных результатов того факта, что требования к конкретному ПРЕДУСМОТРЕННОМУ ПРИМЕНЕНИЮ или программному приложению выполнены.

Примечание 1 - Объективные результаты, необходимые для ВАЛИДАЦИИ, являются результатами теста или иной формы проверки соответствия, например выполнение альтернативных расчетов или анализ документов.

Примечание 2 - Слово "подтверждено" используется для обозначения соответствующего фактического статуса.

Примечание 3 - Практические условия для ВАЛИДАЦИИ могут быть реальными или имитируемыми.

[ИСО 9000:2015, пункт 3.8.13]

3.24

ПРОВЕРКА ПРАВИЛЬНОСТИ [ВЕРИФИКАЦИЯ] (VERIFICATION): Подтверждение посредством предоставления объективных результатов того факта, что установленные требования выполнены.

Примечание 1 - Объективные результаты, необходимые для ВЕРИФИКАЦИИ, могут быть результатами инспекции или иной формы проверки правильности, например выполнение альтернативных расчетов или анализ документов.

Примечание 2 - Действия, проводимые для ВЕРИФИКАЦИИ, иногда называют процессом определения пригодности.

Примечание 3 - Слово "проверено" используется для обозначения соответствующего статуса.

[ИСО 9000:2015, пункт 3.8.12]