ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Часть 1

Общие требования к безопасности программных продуктов

(IEC 82304-1:2016, ЮТ)

Издание официальное

Москва

Стандартинформ

2019

Предисловие

1    ПОДГОТОВЛЕН Федеральным государственным унитарным предприятием «Российский научно-технический центр информации по стандартизации, метрологии и оценке соответствия» (ФГУП «СТАНДАРТНЫФОРМ») на основе собственного перевода на русский язык англоязычной версии стандарта. указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 468 «Информатизация здоровья»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 29 августа 2019 г. № 569-ст

4    Настоящий стандарт идентичен международному стандарту МЭК 82304-1:2016 «Медицинское программное обеспечение. Часть 1. Общие требования к безопасности программных продуктов» (IEC 82304-1:2016 «Health software — Pari 1: General requirements for product safety», IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

©Стандартинформ, оформление. 2019

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии II

3.19_

БЕЗОПАСНОСТЬ (SAFETY): Отсутствие недопустимого РИСКА. (ИСО/МЭК Руководство 63:2012, пункт 2.16)

3.20_

ЗАЩИЩЕННОСТЬ (SECURITY): Защита информации и данных для того, чтобы неуполномоченные лица или системы не могли их читать или изменять, а уполномоченным лицам или системам не было отказано в доступе к ним.

[ИСО 12207:2008, пункт 4.39)

3.21    СОПРОВОЖДЕНИЕ ПРОГРАММНОГО ПРОДУКТА (SOFTWARE MAINTENANCE): Изменение МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА после его выпуска для ПРЕДУСМОТРЕННОГО ПРИМЕНЕНИЯ по одной или нескольким из следующих причин:

a)    корректировка после выявления ошибок;

b)    адаптация для настройки под новую аппаратную или программную платформу;

c)    совершенствование при внедрении новых требований;

d)    предупредительные меры для того, чтобы сделать продукт более удобным в сопровождении. Примечание 1—См также ИСО/МЭК 14764 2006

3.22    ПОЛЬЗОВАТЕЛЬ (USER): Лицо, взаимодействующее с МЕДИЦИНСКИМ ПРОГРАММНЫМ ПРОДУКТОМ.

Примечание 1 — В общем случае ПОЛЬЗОВАТЕЛЬ не рассматривается в качестве ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ, за исключением потребительского МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, например персональных медицинских приложений, или программных продуктов, рассчитанных на неспециалистов

3.23 _

ПРОВЕРКА СООТВЕТСТВИЯ [ВАЛИДАЦИЯ] (VALIDATION): Подтверждение посредством предоставления объективных результатов того факта, что требования к конкретному ПРЕДУСМОТРЕННОМУ ПРИМЕНЕНИЮ или программному приложению выполнены.

Примечание 1 —Объективные результаты, необходимые для ВАЛИДАЦИИ, являются результатами теста или иной формы проверки соответствия, например выполнение альтернативных расчетов или анализ документов

Примечание 2 — Слово «подтверждено» используется для обозначения соответствующего фактического статуса

Примечание 3 — Практические условия для ВАЛИДАЦИИ могут быть реальными или имитируемыми [ИСО 9000:2015. пункт 3.8.13)

4* Требования к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ

4.1    Общие требования и начальная ОЦЕНКА РИСКА

ИЗГОТОВИТЕЛЬ должен определить и документировать:

a)    ПРЕДУСМОТРЕННОЕ ПРИМЕНЕНИЕ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, включая заданный профиль ПОЛЬЗОВАТЕЛЯ и предусмотренную операционную среду;

b)    характеристики, связанные с БЕЗОПАСНОСТЬЮ и/или ЗАЩИЩЕННОСТЬЮ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, идентификацией ОПАСНОСТЕЙ и оценкой сопутствующего(их) РИСКА(ОВ). В зависимости от конкретных обстоятельств это включает в себя такие ситуации, при которых МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ может быть сконфигурирован и/или поддерживает интерфейсы сопряжения с другими программными продуктами;

c)    необходимость принятия мер по УПРАВЛЕНИЮ РИСКОМ для расчетных РИСКОВ, которые считаются неприемлемыми.

Примечание 1— Раздел 4 1 не требует совладения формального и полного МЕНЕДЖМЕНТА РИСКА, например соответствующего ИСО 14971 Однако выполнение начальных шагов этого процесса считается полезным

Примечание 2 — Меры по УПРАВЛЕНИЮ РИСКОМ могут быть реализованы с помощью аппаратных средств, независимой системы программного обеспечения, процедур оказания медицинской помощи или иными средствами

Примечание 3 — Источники информации об уязвимостях ЗАЩИЩЕННОСТИ включают в себя общедоступные отчеты ответственных лиц, а также публикации поставщиков, например операционных систем и программного обеспечения сторонних разработчиков

4.2    Требования к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА

ИЗГОТОВИТЕЛЬ должен определить и документировать:

a)    требования, относящиеся к ПРЕДУСМОТРЕННОМУ ПРИМЕНЕНИЮ;

b)    требования к интерфейсу, включая требования к интерфейсу ПОЛЬЗОВАТЕЛЯ, приводимые при необходимости;

Примечание 1 — В отличие от спецификации интерфейса ПОЛЬЗОВАТЕЛЯ как части системных требований к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ, требования к интерфейсу ПОЛЬЗОВАТЕЛЯ не содержат описание технических требований (реализации) Они описывают цель технических требований

Пример — «Отображаемая информация должна быть удобочитаемой с расстояния 3 м в отделении экстренной помощи».

Примечание 2 — МЭК 62366-1 2015 регламентирует процесс установления требований к интерфейсу ПОЛЬЗОВАТЕЛЯ.

c)    требования к устойчивости или чувствительности к непреднамеренному влиянию другого программного обеспечения, использующего те же самые аппаратные ресурсы;

d)    требования к конфиденциальности и ЗАЩИЩЕННОСТИ, касающиеся таких областей, как разрешенное использование, авторизация пользователя, целостность и аутентичность данных о состоянии здоровья и защита от злоумышленных намерений.

Примечание 3 — См 7231и IEC TR 80001-2-2 (список функций ЗАЩИЩЕННОСТИ) для получения дополнительной информации об аспектах ЗАЩИЩЕННОСТИ.

e)    требования к ЭКСПЛУАТАЦИОННЫМ ДОКУМЕНТАМ, например руководствам пользователя (см. 7.2.2);

О требования к поддержке (сопровождению) программного продукта:

1)    обновления предыдущих версий, включая сохранение целостности данных и совместимость с предыдущими версиями,

2)    возврат (откат) к предыдущей версии после обновления.

3)    регулярный выпуск корректировок и обновлений для устранения уязвимостей ЗАЩИЩЕННОСТИ.

4)    способ распространения программного продукта, обеспечивающий целостность установки.

5)    вывод из эксплуатации, необратимое удаление, передача и/или сохранение данных:

д) требования, вытекающие из применяемых норм, включая нормы для защищаемой информации.

Примечание 4 — В некоторых к>рисдикциях нормы защиты данных (например, Европейская директива по защите данных 95/46/ЕС, пересмотренная в 2016 г) обязывают граждан осуществлять контроль над действиями с их личными данными, например над удалением или экспортом данных Европейская директива 95/46/ЕС заменена 25 мая 2018 г Общим регламентом по защите данных (Регламент ЕС 2016/679 — General Data Protection Regulation. GDPR)

4.3    ВЕРИФИКАЦИЯ требований к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО

ПРОДУКТА

ИЗГОТОВИТЕЛЬ должен подтвердить (верифицировать), что требования к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА являются:

a)    требованиями, которые сформулированы и задокументированы в качестве информации для разработки системных требований;

b)    такими установленными требованиями к использованию, которые ИЗГОТОВИТЕЛЬ способен удовлетворить.

Результаты ВЕРИФИКАЦИИ должны быть запротоколированы.

4.4    Обновление требований к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО

ПРОДУКТА

ИЗГОТОВИТЕЛЬ должен следить за тем. чтобы требования к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА обновлялись соответствующим образом, например в результате ВЕРИФИКАЦИИ этих требований (см. 4.3) или их ВАЛИДАЦИИ.

4.5    Системные требования

ИЗГОТОВИТЕЛЬ должен сформулировать и задокументировать системные требования к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ. Они должны включать требования к функциональности для ПРЕДУСМОТРЕННОГО ПРИМЕНЕНИЯ и в соответствующих случаях следующие требования:

a) интероперабельность;

b)    локализация и поддержка языков;

c)    меры по УПРАВЛЕНИЮ РИСКОМ, которые должны быть реализованы в МЕДИЦИНСКОМ ПРОГРАММНОМ ПРОДУКТЕ на системном уровне на основе начальной ОЦЕНКИ РИСКА (см. 4.1);

d)    спецификация интерфейса ПОЛЬЗОВАТЕЛЯ;

e)    требования к программным и аппаратным платформам для МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, обеспечивающие ожидаемое функционирование при ожидаемой нагрузке и с требуемыми уровнями производительности;

f)    средства, позволяющие обнаруживать, распознавать, протоколировать, хронометрировать нарушения ЗАЩИЩЕННОСТИ в процессе нормального использования, а также принимать меры при их выявлении;

д) средства, которые защищают существенные функции, даже если ЗАЩИЩЕННОСТЬ программного обеспечения нарушена;

h) способы сохранения и восстановления конфигурации программного продукта аутентифицированным привилегированным ПОЛЬЗОВАТЕЛЕМ

Системные требования к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ должны соответствовать требованиям к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА (см. 4.2).

Примечание 1 — Веб-сайт http //wvavhimss org/library/interoperability-standards/what-is-interoperability является одним из источников информации об интероперабельности

Примечание 2 — Технические требования к интерфейсу ПОЛЬЗОВАТЕЛЯ могут включать требования к цветам изображения на дисплее, размеру символов или размещению элементов управления

Примечание 3 — Типичная программная платформа включает в себя (но не ограничивается этим) следующие компоненты операционную систему, драйверы устройств, программные библиотеки и другие приложения ПОЛЬЗОВАТЕЛЯ.

Примечание 4 — Необходимость проводить различие между требованиями к ПРОГРАММНОЙ СИСТЕМЕ. сформулированными в МЭК 62304:2006, 5.2.1, и системными требованиями к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ отсутствует

4.6    ВЕРИФИКАЦИЯ системных требований

ИЗГОТОВИТЕЛЬ должен подтвердить (верифицировать), что системные требования:

a)    не противоречат друг другу;

b)    выражены в терминах, позволяющих избежать неоднозначности;

c)    сформулированы в терминах, которые позволяют устанавливать критерии тестирования и производительность тестов для определения того, что критерии выполнены; а также

d)    могут быть однозначно определены.

Результаты ВЕРИФИКАЦИИ должны быть запротоколированы.

4.7    Обновление системных требований к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ

ИЗГОТОВИТЕЛЬ должен следить за тем. чтобы системные требования к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ обновлялись соответствующим образом, например: в результате модификации требований к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, ВЕРИФИКАЦИИ системных требований (см. 4.6) или применения 5.2 МЭК 62304:2006 и МЭК 62304:2006/лолравка 1:2015 (анализ требований к программному обеспечению).

5* МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ — процессы жизненного цикла программного обеспечения

Системные требования к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ, указанные в 4.5. должны быть использованы в качестве исходной информации для разработки процесса жизненного цикла МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.

Требования, указанные в 4.2, 4.3, разделах 5, 6, 7, 8 и 9 МЭК 62304:2006 и МЭК 62304/поправка 1:2015, должны быть применены к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ в дополнение к другим требованиям настоящего стандарта.

В МЭК 62304:2006 и МЭК 62304/поправка 1:2015 приведены нормативные ссылки на ИСО 14971:2007. Следует учитывать, что ИЗГОТОВИТЕЛЬ, возможно, не сможет выполнить все этапы процесса, указанные в ИСО 14971:2007. для каждого составного компонента МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, например для проприетарных компонентов, подсистем, не относящихся к сфере здравоохранения, и для унаследованного программного обеспечения. В этом случае ИЗГОТОВИТЕЛЬ должен учитывать ОСТАТОЧНЫЕ РИСКИ и осуществлять УПРАВЛЕНИЕ РИСКОМ для тех случаев, которые считаются неприемлемыми.

6^й ВАЛИДАЦИЯ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА

6.1 План ВАЛИДАЦИИ

ИЗГОТОВИТЕЛЬ должен составить план ВАЛИДАЦИИ, касающийся всех требований к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, установленных в 4.2.

В этом плане ВАЛИДАЦИИ ИЗГОТОВИТЕЛЬ должен:

a)    определить область проведения ВАЛИДАЦИИ и соответствующие действия по ВАЛИДАЦИИ;

b)    установить ограничения, которые потенциально могут лимитировать осуществимость действий по ВАЛИДАЦИИ;

c)    выбрать соответствующие методы ВАЛИДАЦИИ, входные данные и соответствующие критерии успешной ВАЛИДАЦИИ;

d)    определить обеспечивающие системы или сервисы, например операционную(ые) среду(ы), включая аппаратные и программные платформы, необходимые для поддержки ВАЛИДАЦИИ;

e)    указать необходимую квалификацию персонала, выполняющего ВАЛИДАЦИЮ; в тех случаях, когда требуется обучение, оно должно быть завершено до начала ВАЛИДАЦИИ;

О указать соответствующий уровень независимости группы, осуществляющей ВАЛИДАЦИЮ, от группы разработчиков.

Примечание 1 — Ограничения включают в себя следующее техническую осуществимость, стоимость, время, наличие средств реализации ВАЛИДАЦИИ или квалифицированного персонала, ограничения, установленные в контракте, критичность задачи и т д

Примечание 2 — Методами ВАЛИДАЦИИ являются проверка, анализ, поиск аналогии/сходства, демонстрация. эмуляция, независимая оценка, тестирование или сертификация Соответствующая необходимая информация включает ссылки на стандарты и на другие публикации, например стандарты совместимости, руководящие документы регулирующих органов и клиническую литературу

6.2    Выполнение ВАЛИДАЦИИ

ИЗГОТОВИТЕЛЬ должен подтвердить готовность к выполнению ВАЛИДАЦИИ после того, как:

a)    составлен план ВАЛИДАЦИИ;

b)    группа, осуществляющая ВАЛИДАЦИЮ, укомплектована персоналом требуемой квалификации и

c)    в зависимости от конкретных условий, фазы жизненного цикла разработки согласно разделу 5 полностью выполнены для тех компонентов МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, которые являются объектом ВАЛИДАЦИИ.

Группа, осуществляющая ВАЛИДАЦИЮ, должна выполнить действия по ВАЛИДАЦИИ в предусмотренной(ых) операционной(ых) среде(ах) в соответствии с планом ВАЛИДАЦИИ, приведенным в 6.1. Если отклонения от плана ВАЛИДАЦИИ считаются необходимыми, они должны быть обоснованы в отчете по ВАЛИДАЦИИ.

Если в процессе ВАЛИДАЦИИ в МЕДИЦИНСКОМ ПРОГРАММНОМ ПРОДУКТЕ обнаружены АНОМАЛИИ. они должны быть проанализированы при помощи процесса решения проблем в соответствии с разделом 9 МЭК 62304/поправка 1:2015. В тех случаях, когда этот процесс решения проблем приводит к изменению МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, соответствующая часть процесса ВАЛИДАЦИИ должна быть осуществлена повторно с учетом объема этих изменений.

6.3    Отчет по ВАЛИДАЦИИ

Группа, осуществляющая ВАЛИДАЦИЮ, должна подготовить отчет по ВАЛИДАЦИИ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, являющегося объектом ВАЛИДАЦИИ.

В отчете по ВАЛИДАЦИИ должны быть представлены доказательства того, что:

a)    результаты ВАЛИДАЦИИ имеют прослеживаемую связь с требованиями использования МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, принятыми в качестве исходных данных;

b)    МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ удовлетворяет требованиям, установленным в

4 2. и

c)    ОСТАТОЧНЫЙ РИСК для МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА остается приемлемым.

В отчете по ВАЛИДАЦИИ должны быть указаны условия ВАЛИДАЦИИ и результаты действий по ВАЛИДАЦИИ. Если в процессе ВАЛИДАЦИИ в МЕДИЦИНСКОМ ПРОГРАММНОМ ПРОДУКТЕ обнаружены АНОМАЛИИ, они должны быть отображены в отчете по ВАЛИДАЦИИ.

В отчете по ВАЛИДАЦИИ должны быть перечислены члены группы, осуществляющей ВАЛИДАЦИЮ (фамилия, имя, отчество, должность, должностные обязанности).

Отчет по ВАЛИДАЦИИ должен содержать сводную таблицу результатов ВАЛИДАЦИИ и заключение о том. что данный МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ проверен для ПРЕДУСМОТРЕННОГО ПРИМЕНЕНИЯ на основании требований к использованию.

7 Идентификация МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА и ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ

7.1* Идентификация

МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ должен быть идентифицирован посредством указания наименования или товарного знака ИЗГОТОВИТЕЛЯ, наименования продукта или ссылки на тип и уникального идентификатора версии, например номер версии или дата выпуска/издания.

Примечание 1 — В некоторых юрисдикциях указание уникального идентификатора изделия (Unique Device Identification. UDI) является обязательным

Идентификация МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА должна быть доступна и понятна ПОЛЬЗОВАТЕЛЮ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.

Примечание 2 — Рекомендуется указывать идентификационную информацию на начальной странице или на экране входа в систему

7.2 ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ

7.2.1    Общие положения

ИЗГОТОВИТЕЛЬ должен предоставить ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, позволяющие ПОЛЬЗОВАТЕЛЮ и/или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ внедрить и использовать МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ по целевому назначению.

ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ должны содержать:

a)    наименование и контактную информацию ИЗГОТОВИТЕЛЯ, включая веб-сайт;

b)    идентификацию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА (см. 7.1);

c)    идентификатор(ы) версии МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА(ОВ), например номер версии продукта или дата выпуска/издания, необходимый(ые) для идентификации МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА(ОВ), к которому(ым) это применяется;

d)    идентификатор версии ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ, например номер версии продукта или дата выпуска/издания;

e)    руководство пользователя (см. 7.2.2) и

0 техническое описание (см. 7.2.3).

ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ могут содержать примечания к версии программного обеспечения и указание типичной среды установки.

В ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТАХ должны быть указаны все специальные навыки, подготовка и знания, необходимые предполагаемому ПОЛЬЗОВАТЕЛЮ или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ. любые ограничения в отношении мест или сред, в которых может быть использован МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ, и. при необходимости, любой системный интерфейс, программные платформы и инструменты, а также аппаратные требования или ограничения.

ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ должны быть подготовлены таким образом, чтобы соответствовать уровню образования, подготовки и других специфических особенностей лица (лиц), для которого(ых) они предназначены.

Примечание — Предоставление ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ в электронном виде может улучшить удобство их использования Регулирующие органы могут указывать конкретный формат ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ или их частей, если они предоставляются в электронном виде

7.2.2    Руководство пользователя

7.2.2.1 Общие положения

В руководстве пользователя должно быть задокументировано все. что необходимо для правильной работы МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, включая инструкции по установке.

При необходимости в руководстве пользователя должны быть указаны ограничения (особые требования) для ИТ-СЕТИ, в которой предполагается использовать МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ (см. 7.2.3.2).

Примечание — Руководство пользователя предназначено для определенного ПОЛЬЗОВАТЕЛЯ и определенной ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ и содержит только ту информацию, которая полезна ПОЛЬЗОВАТЕЛЮ или этой ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ Дополнительная информация может содержаться в техническом описании (см также 7 2 3)

7.2.2    2 Описание МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Руководство пользователя должно содержать следующие описания:

a)    ПРЕДУСМОТРЕННОЕ ПРИМЕНЕНИЕ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, предоставляемое ИЗГОТОВИТЕЛЕМ;

b)    краткое описание МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, включая его основные функции;

c)    все операционные настройки ЗАЩИЩЕННОСТИ для использования МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ и

d)    все известные технические проблемы, ограничения, оговорки или противопоказания к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.

7.2.2.3 Предупреждения и уведомления, относящиеся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ

В руководстве пользователя должны быть перечислены все предупреждения и уведомления, относящиеся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ, связанные с использованием ПРОДУКТА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ, а также их объяснение или подробное толкование, если они не являются самоочевидными.

Предупреждения и уведомления общего характера, относящиеся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ. следует размещать в специально выделенном разделе руководства пользователя. Предупреждение или уведомление относящееся к БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ, которое применяется только в конкретной инструкции или процессе, должно предшествовать инструкции, к которой оно относится.

7.2.2    4 Установка

Руководство пользователя должно содержать:

a)    сведения о том. может ли установка быть выполнена ПОЛЬЗОВАТЕЛЕМ или должна быть осуществлена ИЗГОТОВИТЕЛЕМ (или при содействии ИЗГОТОВИТЕЛЯ) или с помощью уполномоченного лица;

b)    системные требования к программным и аппаратным платформам, предназначенным для работы МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ;

c)    оперативные настройки ЗАЩИЩЕННОСТИ для МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. задаваемые во время установки;

d)    все критичные зависимости от других приложений;

e)    требования к конфигурации;

0 требования к системному интерфейсу (как обязательные, так и необязательные);

д) сведения о поддерживаемых программных ппатформах и

h) инструкции по установке ипи ссылку, при переходе по которой можно найти необходимые инструкции по установке.

7.2.2.5 Процедура запуска

Руководство пользователя должно содержать необходимую для ПОЛЬЗОВАТЕЛЯ информацию, которая позволит ему привести в действие МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ.

7.2.2    6 Процедура завершения работы

Руководство пользователя должно содержать необходимую для ПОЛЬЗОВАТЕЛЯ информацию. которая позволит ему безопасно завершить работу МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.

7.2.2.7    Инструкции по применению

Руководство пользователя должно содержать всю информацию, необходимую для применения медицинского ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Эта информация должна включать в себя объяснение функций элементов экранных форм, содержания экранных форм, сигналов и последовательности действий.

В руководстве пользователя должно быть указано и объяснено смысловое содержание и значение рисунков, символов, предупреждающих сообщений и сокращений.

7.2.2.8    Сообщения

В руководстве пользователя должны быть перечислены все системные сообщения, сообщения об ошибках и сообщения об отказах, за исключением тех случаев, когда эти сообщения являются очевидными.

Примечание — Эти сообщения могут быть объединены в группы

Перечень сообщений должен содержать поясняющую информацию, вкпючая важные причины появления сообщений, и возможные действия ПОЛЬЗОВАТЕЛЯ, при необходимости, которые потребуются дня разрешения ситуации, указанной в сообщении.

7.2.2.9    Вывод из эксплуатации и удаление МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

В руководстве пользователя должна содержаться вся информация, необходимая ПОЛЬЗОВАТЕЛЮ или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ для безопасного вывода из эксплуатации и удаления МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. При необходимости она должна включать в себя информацию о защите персональных данных, включая сведения о здоровье, при обеспечении ЗАЩИЩЕННОСТИ и конфиденциапьности.

Примечание — Регулирующие органы могут устанавливать требования к обработке и передаче персональных данных и сведений о здоровье.

7.2.2.10 Ссылка на техническое описание

Руководство пользователя должно содержать техническое описание (см. 7.2.3) или ссылку, по которой можно найти техническое описание.

7.2.3 Техническое описание

7.2.3.1 Общие положения

В техническом описании должны быть указаны все данные, необходимые для безопасной и защищенной эксплуатации, транспортирования и хранения, а также меры или условия, необходимые для установки МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ и его подготовки к использованию. Эта информация должна содержать:

a)    системные требования к программным и аппаратным платформам, предназначенным для выполнения МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ;

b)    сведения о поддерживаемых программных платформах;

c)    допустимые условия окружающей среды для транспортирования и хранения носителей МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ;

d)    все характеристики МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, включая диапазон(ы). точность и разрядность отображаемых величин, или указание о том. где могут быть найдены эти данные;

e)    все специальные требования или ограничения, касающиеся установки;

О все требования к технической поддержке, например файлы протоколов, которые необходимо проверять и, возможно, очищать, требования к технической поддержке баз данных и смене носителей информации;

д) все технические параметры ЗАЩИЩЕННОСТИ, которые могут быть настроены в МЕДИЦИНСКОМ ПРОГРАММНОМ ОБЕСПЕЧЕНИИ и которые являются доступными для ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ. Такие настройки ЗАЩИЩЕННОСТИ могут включать в себя:

1)    параметры конфигурации, например минимальный список требуемых сетевых портов и компьютерных служб;

2)    программные опции, например включение настроек шифрования, изменение учетных данных для входа по умолчанию;

3)    рабочие опции, например настройки управления аудитом и протоколированием;

h) описание того, что делает программное обеспечение при обнаружении отказа в поддержании ЗАЩИЩЕННОСТИ. Оно должно включать любое влияние на рабочие процессы обработки данных, лечения пациента, организации медицинской помощи.

Примечание — При наличии нескольких изменяемых аппаратных и программных платформ, на которых выполняется МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, в отдельных случаях подробное описание успешной реализации или документирование типовых характеристик и ограничений может оказать эффективную помощь

ИЗГОТОВИТЕЛЬ должен включить в техническое описание инструкции, предназначенной для ПОЛЬЗОВАТЕЛЯ и/или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ, действия, которые следует предпринять в случае изменения аппаратных и программных платформ (например, что делать с корректировками/ обновлениями антивируса/межсетевого экрана, системных библиотек, встроенных программ и другого программного обеспечения), и как именно выбрать соответствующие настройки платформы для поддержания требуемого уровня ЗАЩИЩЕННОСТИ и функций ЗАЩИЩЕННОСТИ.

7.2.3.2* МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, предназначенное для использования в ИТ-СЕТИ

Область применения ИТ-СЕТИ может включать в себя поддержку ИТ-инфраструктуры или систем. не предназначенных для использования в медицинских организациях (см. 3.9).

Если МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ предназначено для использования в ИТ-СЕТИ. которая находится вне зоны контроля ИЗГОТОВИТЕЛЯ МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, то в качестве части технического описания ИЗГОТОВИТЕЛЬ должен предоставить инструкции, необходимые для данного использования, включая, но не ограничиваясь, следующий перечень:

а) характеристики и конфигурация ИТ-СЕТИ, необходимые для выполнения МЕДИЦИНСКИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ его целевых задач;

b)    технические спецификации ИТ-СЕТИ, необходимые для выполнения МЕДИЦИНСКИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ его целевых задач, включая требования для обеспечения ЗАЩИЩЕННОСТИ и защиты от вредоносного программного обеспечения или подобных ему программ, нарушающих работу системы;

c)    предполагаемый поток информации между МЕДИЦИНСКИМ ПРОГРАММНЫМ ОБЕСПЕЧЕНИЕМ и другим программным обеспечением или системами, использующими ИТ-СЕТЬ.

Для того чтобы обеспечить характеристики и услуги, необходимые МЕДИЦИНСКОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ при использовании ИТ-СЕТИ. ИЗГОТОВИТЕЛЬ должен включить в техническое описание список ОПАСНЫХ СИТУАЦИЙ, возникающих в результате отказа ИТ-СЕТИ.

В техническом описании ИЗГОТОВИТЕЛЬ должен проинформировать ОТВЕТСТВЕННУЮ ОРГАНИЗАЦИЮ о нижеследующем:

a)    работа МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ в ИТ-СЕТИ может привести к возникновению ранее неустановленных РИСКОВ для пациентов. ПОЛЬЗОВАТЕЛЕЙ или третьих сторон;

b)    ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ рекомендуется выявлять, анализировать, оценивать и контролировать неустановленные РИСКИ;

c)    последующие изменения в ИТ-СЕТИ могут вносить новые РИСКИ, что требует дополнительного анализа;

d)    изменения в ИТ-СЕТИ включают в себя:

1)    изменения конфигурации ИТ-СЕТИ.

2)    добавление элементов (аппаратных и/или программных платформ или программных приложений) в ИТ-СЕТЬ.

3)    удаление элементов из ИТ-СЕТИ.

4)    обновление аппаратных и/или программных платформ или программных приложений в ИТ-СЕТИ.

5)    модернизацию аппаратных и/или программных платформ или программных приложений в ИТ-СЕТИ.

Примечание — В МЭК 80001-1:2010 предусмотрены требования к ИЗГОТОВИТЕЛЮ МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, к поставщику других информационных технологий и к ОТВЕТСТВЕННЫМ ОРГАНИЗАЦИЯМ по оценке РИСКОВ при изменениях в ИТ-СЕТИ

8 Послепродажные действия в отношении МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА

8.1    Общие положения

Настоящий стандарт охватывает весь жизненный цикл МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. В течение своего жизненного цикла МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, вероятнее всего, будет получать ТЕХНИЧЕСКУЮ ПОДДЕРЖКУ, а в конце цикла произойдут вывод из эксплуатации и удаление этого программного обеспечения. В 4.2 перечислены требования к использованию. которые должны быть реализованы и валидированы до того, как продукт будет доступен для использования. Эти требования включают в себя вывод из эксплуатации и удаление МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Когда настоящий стандарт используется для целей объявления соответствия. применяются только послепродажные аспекты, относящиеся к разработке и внедрению программного продукта.

8.2    ТЕХНИЧЕСКАЯ ПОДДЕРЖКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

В тех случаях, когда ИЗГОТОВИТЕЛЬ решает, что ТЕХНИЧЕСКАЯ ПОДДЕРЖКА является уместной или необходимой, например из-за обнаруженных ошибок, которые могут повлиять на БЕЗОПАСНОСТЬ и/или ЗАЩИЩЕНННОСТЬ, ИЗГОТОВИТЕЛЬ должен создать модификацию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА в соответствии с настоящим стандартом (см. раздел 5).

Примечание 1— Техническая поддержка также может включать в себя изменение ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ. касающееся, например, платформы, на которой выполняется МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

Примечание 2 — При выявлении ошибок, влияющих на БЕЗОПАСНОСТЬ и/или ЗАЩИЩЕННОСТЬ, на ТЕХНИЧЕСКУЮ ПОДЦЕРЖКУ могут быть распространены нормативные требования

8.3    Повторная ВАЛИДАЦИЯ

ИЗГОТОВИТЕЛЬ должен обеспечить повторную ВАЛИДАЦИЮ компонентов МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА, на которые повлияла ТЕХНИЧЕСКАЯ ПОДДЕРЖКА, с учетом степени модификации. ИЗГОТОВИТЕЛЬ должен соответствующим образом обновить план ВАЛИДАЦИИ.

ИЗГОТОВИТЕЛЬ должен удостовериться в том. что модифицированная версия МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА функционирует на каждой аппаратной и программной платформе, которая заявлена как поддерживаемая.

8.4    Послепродажное информационное обеспечение МЕДИЦИНСКОГО ПРОГРАММНОГО

ПРОДУКТА

ИЗГОТОВИТЕЛЬ должен информировать ПОЛЬЗОВАТЕЛЕЙ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА и задействованные ОТВЕТСТВЕННЫЕ ОРГАНИЗАЦИИ об уязвимостях ЗАЩИЩЕННОСТИ, о которых стало известно ИЗГОТОВИТЕЛЮ, и об изменениях в нормативных требованиях, которые влияют на использование МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.

В случае выполнения ТЕХНИЧЕСКОЙ ПОДДЕРЖКИ ИЗГОТОВИТЕЛЬ должен предоставить ПОЛЬЗОВАТЕЛЯМ и ОТВЕТСТВЕННЫМ ОРГАНИЗАЦИЯМ информацию о доступности обновленной версии МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА и при необходимости предоставить информацию о следующем:

a)    новые функции;

b)    исправленные ошибки или отказы:

c)    любое влияние модифицированного программного обеспечения на БЕЗОПАСНОСТЬ и/или ЗАЩИЩЕННОСТЬ;

d)    обновления идентификации МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ (см. 7.1);

e)    обновления ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ (см. 7.2).

Решение ПОЛЬЗОВАТЕЛЯ или ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ о том. следует ли устанавливать модифицированную версию МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, должно быть основано на влиянии этих модифицированных версий на БЕЗОПАСНОСТЬ и/или ЗАЩИЩЕННОСТЬ. Если модифицированный МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ положительно влияет на БЕЗОПАСНОСТЬ и/или ЗАЩИЩЕННОСТЬ МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, то ИЗГОТОВИТЕЛЬ может рекомендовать ПОЛЬЗОВАТЕЛЯМ и ОТВЕТСТВЕННЫМ ОРГАНИЗАЦИЯМ в ближайшее время заменить их версию на новую.

8.5    Вывод из эксплуатации и удаление МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА

ПОЛЬЗОВАТЕЛЬ или ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ должны иметь возможность безопасно вывести из эксплуатации МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ и удалить его в конце срока полезного использования, в том числе, при необходимости, для защиты персональных данных и сведений о состоянии здоровья данных в сочетании с ЗАЩИЩЕННОСТЬЮ и конфиденциальностью. МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ должно обеспечивать эту функцию в соответствии с применяемыми требованиями к использованию (см. 4.2).

Содержание

1    Область применения.................................................................1

1.1    Назначение стандарта............................................................1

1.2    Сфера применения...............................................................1

1.3    Соблюдение требований...........................................................2

2    Нормативные ссылки.................................................................2

3    Термины и определения...............................................................2

4* Требования к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ.............................6

4.1    Общие требования и начальная ОЦЕНКА РИСКА......................................6

4.2    Требования к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА..............6

4.3    ВЕРИФИКАЦИЯ требований к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО

ПРОДУКТА.........................................................................7

4.4    Обновление требований к использованию МЕДИЦИНСКОГО ПРОГРАММНОГО

ПРОДУКТА.........................................................................7

4.5    Системные требования............................................................7

4.6    ВЕРИФИКАЦИЯ системных требований..............................................8

4.7    Обновление системных требований к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ПРОДУКТУ......8

5* МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ — процессы жизненного цикла

программного обеспечения..............................................................8

6* ВАЛИДАЦИЯ МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА..............................8

6.1    План ВАЛИДАЦИИ...............................................................8

6.2    Выполнение ВАЛИДАЦИИ.........................................................9

6.3    Отчет по ВАЛИДАЦИИ............................................................9

7    Идентификация МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА и ЭКСПЛУАТАЦИОННЫЕ

ДОКУМЕНТЫ.........................................................................9

7.1* Идентификация.................................................................9

7.2 ЭКСПЛУАТАЦИОННЫЕ ДОКУМЕНТЫ...............................................10

8    Послепродажные действия в отношении МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.......13

8.1    Общие положения...............................................................13

8.2    ТЕХНИЧЕСКАЯ ПОДДЕРЖКА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ.......................13

8.3    Повторная ВАЛИДАЦИЯ..........................................................14

8.4    Послепродажное информационное обеспечение МЕДИЦИНСКОГО ПРОГРАММНОГО

ПРОДУКТА........................................................................14

8.5    Вывод из эксплуатации и удаление МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА........14

Приложение А (справочное) Обоснование требований......................................15

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам...............................................20

Библиография.......................................................................21

Приложение А (справочное)

Обоснование требований

А.1 Общие положения

МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ предназначено его ИЗГОТОВИТЕЛЕМ специально для использования в области здравоохранения К нему относятся приложения, предназначенные для оказания помощи в диагностике, лечении или мониторинге пациента, для оказания помощи в возмещении затрат или для облегчения болезни, травмы или инвалидности

На ранней стадии разработки настоящего стандарта были использованы термины для обозначения программного обеспечения как части (аппаратного) медицинского изделия («medical device software» — «программное обеспечение медицинского изделия») и программного обеспечения, которое считается медицинским изделием («software medical device» — «программное медицинское изделие») Соответствующие определения были следующими программное обеспечение медицинского изделия — программное обеспечение, специально предназначенное для включения в физическое медицинское изделие, и программное медицинское изделие — программное обеспечение, предназначенное быть самостоятельным медицинским изделием Сочетание этих двух подкатегорий было определено следующим образом medical software (программное обеспечение для медицинских целей) — программное обеспечение, специально предназначенное для встраивания в физическое медицинское изделие или являющееся медицинским изделием

МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, определение которого дано в 3 6 «программное обеспечение, специально предназн&юнное для управления, поддержания, или улучшения здоровья отдельных лиц или оказания медицинской помощи», полностью охватывает понятие «программное обеспечение для медицинских целей», но является при этом более широким Понятие «программное обеспечение для медицинских целей» тесно связано с понятием «медицинское изделие», имеющим нормативные определения, которые варьируются в разных юрисдикциях Для целей настоящего стандарта термин «МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ» считается более соответствующим Имея более широкую область применения, настоящий стандарт позволяет применить общий подход к обеспечению БЕЗОПАСНОСТИ. ЗАЩИЩЕННОСТИ и эффективности всех программных продуктов, связанных со здоровьем, независимо от того, рассматриваются ли они в качестве медицинских изделий.

Международный форум регуляторов медицинских изделий (International Medical Device Regulators Forum, IMDRF) опубликовал документ SaMD WG/N10FINAL «Software as a Medical Device (SaMD): Key Definitions» («Программное обеспечение как медицинское изделие ключевые определения*). Если МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ имеет медицинское назначение и не предназначено для работы на специализированном аппаратном обеспечении, оно идентично программному обеспечению, рассматриваемому в качестве медицинского изделия

Следует отметить, что данный документ устанавливает требования только для МЕДИЦИНСКИХ ПРОГРАММНЫХ ПРОДУКТОВ, т е для МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, предоставляемого в качестве самостоятельного продукта (товара) МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ, предназначенное для работы на специализированных аппаратных средствах, иногда называемое «встроенным» программным обеспечением. считается частью физического изделия, а не самостоятельным продуктом (см также А 2).

МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ включает в себя приложения, которые связаны с вопросами здоровья, управления здоровьем и управления ресурсами медицинской помощи В таблице А 1 приведены примеры программных продуктов, которым адресован настоящий стандарт Пробелы в охвате МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ существующими стандартами указаны в техническом отчете 1БОЯЯ 17791, в котором представлен обзор стандартов МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ Для автономных медицинских приложений стандарты, касающиеся вопросов БЕЗОПАСНОСТИ и ЗАЩИЩЕННОСТИ, отсутствовали Настоящий стандарт призван заполнить этот пробел

В пределах каждой юрисдикции должны быть приняты собственные решения о том, какие именно МЕДИЦИНСКИЕ ПРОГРАММНЫЕ ПРОДУКТЫ должны быть рассмотрены как объекты, попадающие под действие нормативных документов, регламентирующих использование медицинских изделий, а если они не считаются медицинскими изделиями, то какие нормы к ним применимы ИЗГОТОВИТЕЛЯМ, собирающимся вывести свои программные продукты на рынок МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ в пределах юрисдикций, принявших настоящий стандарт, рекомендуется выяснить, какая нормативная база, при ее наличии, применяется к их продуктам

Предисловие к МЭК 82304-1

Международная электротехническая комиссия (МЭК) является Всемирной организацией по стандартизации. включающей в себя все национальные комитеты (национальные комитеты МЭК). Цель деятельности МЭК заключается в развитии международного сотрудничества по всем вопросам стандартизации в области электротехники и электроники. Кроме того. МЭК осуществляет публикацию международных стандартов, технических требований, технических отчетов, общедоступных технических требований (ОТТ) и руководств (далее — публикации МЭК). подготовка которых возложена на технические комитеты. Национальные комитеты, входящие в состав МЭК, а также международные, правительственные и неправительственные организации, сотрудничающие с МЭК, могут принимать участие в этой подготовительной работе. МЭК тесно сотрудничает с Международной организацией по стандартизации (ИСО) на условиях, определенных в соответствующем соглашении, заключенном между двумя организациями.

В официальных решениях или соглашениях МЭК по техническим вопросам изложено с учетом текущей ситуации международное согласованное мнение по относящимся к рассматриваемой проблеме вопросам, так как каждый технический комитет имеет своих представителей во всех национальных комитетах МЭК.

Публикации МЭК имеют форму рекомендаций для использования международным сообществом и принимаются национальными комитетами МЭК именно в таком качестве. Несмотря на то что принимаются все необходимые меры, направленные на обеспечение достоверности технического содержания публикаций МЭК. комиссия не может нести ответственность за способ их использования или за ошибочные толкования конечными потребителями.

В целях содействия международной унификации (единой системе) национальные комитеты МЭК обязуются максимально ясно и понятно использовать публикации МЭК в своих национальных и региональных документах. Любое расхождение между стандартами МЭК и соответствующими национальными или региональными стандартами должно быть ясно обозначено в последних.

В компетенцию МЭК не входит предоставление сертификата соответствия. Независимые сертификационные организации оказывают услуги по оценке соответствия и в некоторых сферах деятельности обеспечивают доступ к маркировке соответствия МЭК. МЭК не несет ответственности за оказание услуг подобного рода.

Пользователи должны удостовериться в том, что они используют самое последнее издание данной публикации.

Ответственность за личный ущерб, повреждения имущества или иной урон, прямой или косвенный. или за расходы (включая судебные издержки), а также за расходы, возникшие в результате публикации, использования или доверия сведениям, изложенным в данной публикации МЭК или других публикацях МЭК, не должна возлагаться на МЭК или директоров, сотрудников, служащих или агентов МЭК. включая отдельных экспертов и членов технических комитетов и национальных комитетов МЭК.

Следует уделить внимание нормативным ссылкам, упоминаемым в настоящем стандарте. Использование указанных публикаций является необходимым условием правильного применения настоящего стандарта.

Необходимо обратить внимание на то. что некоторые элементы настоящего стандарта могут быть предметом патентных прав. МЭК не несет ответственности за идентификацию одного или всех патентных прав.

Настоящий стандарт подготовлен подкомитетом МЭК 62А «Общие аспекты электрооборудования, используемого в медицинской практике», входящим в состав Технического комитета МЭК 62 «Электрооборудование в медицинской практике», и Техническим комитетом ИСО 215 «Информатизация здоровья».

Настоящий стандарт публикуется с двумя логотипами.

Текст настоящего стандарта основан на следующих документах МЭК:

FDIS (окончательная редакция проекта международного стандарта)	RVD (отчет о голосовании)
62A/1140FDIS	62A/1151/RVD

Полная информация о проведении голосования для утверждения настоящего стандарта приведена в отчете о голосовании, указанном в приведенной выше таблице. В Международной организации по стандартизации (ИСО) настоящий стандарт одобрен 21 членом из 22. участвовавших в голосовании.

Настоящий стандарт подготовлен в соответствии с Директивами ИСО/МЭК. часть 2.

Термины, определения которых приведены в разделе 3. печатаются МАЛЫМИ ПРОПИСНЫМИ БУКВАМИ.

В рамках настоящего стандарта глагольная форма:

-    «должен» означает, что соблюдение требования является обязательным условием для соответствия настоящему стандарту:

-    «следует» означает, что соблюдение требования рекомендуется, но не является обязательным условием для соответствия настоящему стандарту:

-    «может» используется для описания допустимого способа достижения соответствия требованиям настоящего стандарта:

-    «устанавливает» применяется с целью определения, документирования и реализации.

Звездочка (*) в качестве первой литеры в названии или в начале заголовка раздела или таблицы означает, что в приложении А имеется указание или обоснование требований, связанное с этим пунктом.

Согласно решению Технического комитета содержание данной публикации будет оставаться неизменным вплоть до даты завершения ее действия, указанной на сайте МЭК по адресу http://webstore. iec.ch. К этой дате публикация может быть:

-    подтверждена.

-    прекращена.

-    заменена пересмотренной редакцией или

-    исправлена.

Примечание — Национальным комитетам следует принять во внимание тот факт, что изготовителям и тестирующим организациям может потребоваться переходный период после издания новой, измененной или пересмотренной версии публикации МЭК или ИСО. в течение которого они смогут начать производить продукцию 8 соответствии с новыми требованиями и установить оборудование и приборы, необходимые для проведения новых или пересмотренных испытаний Поэтому комитет рекомендует, чтобы содержание этой публикации объявлялось обязательным на национальном уровне не ранее трех лет после ее публикации

Введение

МЕДИЦИНСКИЕ ПРОГРАММНЫЕ ПРОДУКТЫ, о которых идет речь в настоящем стандарте, представляют собой программные продукты (т. е. программные продукты, реализованные исключительно программными средствами). Данные продукты предназначены для использования компьютерными системами, которые не были специально разработаны для исполнения этих продуктов. Для МЕДИЦИНСКИХ ПРОГРАММНЫХ ПРОДУКТОВ могут потребоваться конкретные специфицированные платформы.

МЕДИЦИНСКИЕ ПРОГРАММНЫЕ ПРОДУКТЫ созданы их ИЗГОТОВИТЕЛЯМИ для управления, поддержания или улучшения здоровья отдельных лиц либо для оказания медицинской помощи. Некоторое МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ может способствовать возникновению ОПАСНОЙ СИТУАЦИИ. Соответственно, в разделе 5 изложены требования в отношении осуществления процесса МЕНЕДЖМЕНТА РИСКА для любого МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Для МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, которое может способствовать возникновению ОПАСНОЙ СИТУАЦИИ, требуется УПРАВЛЕНИЕ РИСКАМИ для предотвращения УЩЕРБА или снижения вероятности возникновения УЩЕРБА. Тестирование готового продукта само по себе не является достаточной мерой для решения проблемы БЕЗОПАСНОСТИ МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, поэтому необходимы требования к процессам разработки МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. Настоящий стандарт в значительной степени опирается на МЭК 62304:2006 и МЭК 62304:2006/поправка 1:2015. регламентирующие процесс разработки программного обеспечения, который может быть применен при создании МЕДИЦИНСКИХ ПРОГРАММНЫХ ПРОДУКТОВ.

Вопрос о том. удовлетворяет ли МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ нормативным требованиям. относится к области национального законодательства. В настоящем стандарте не предпринимается попытка установить, подлежит ли МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ регистрации уполномоченным органом или его следует регистрировать.

Цель настоящего стандарта состоит в том, чтобы предоставить требования к БЕЗОПАСНОСТИ и ЗАЩИЩЕННОСТИ МЕДИЦИНСКИХ ПРОГРАММНЫХ ПРОДУКТОВ, а также сформулировать такого рода требования исключительно для программных продуктов. Отдельные случаи, когда МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ является частью или встроено в физическое устройство, не входят в область применения настоящего стандарта, так как эти комбинированные продукты рассмотрены более конкретно, например в МЭК 60601-1 и связанных с ним вспомогательных и специализированных стандартах.

В настоящем стандарте понятие «здоровье» имеет тот же смысл, что и в определении ВОЗ: «Здоровье — это состояние полного физического, душевного и социального благополучия, а не просто отсутствие болезней или физических дефектов» (ВОЗ. 1946). Это определение не совсем подходит для применения в практических целях: «состояние полного благополучия» или включение в это понятие социального благополучия можно толковать более широко, чем целесообразно на практике, например: программное обеспечение сайтов знакомств, компьютерных игр или авиасимуляторов не соответствует целям настоящего стандарта. Однако точное определение — или даже очерчивание — понятия «здоровье» при применении МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ отсутствует.

МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ означает программное обеспечение, которое вносит вклад в здоровье отдельных людей, что может быть установлено или продемонстрировано, если использовать измеряемые характеристики состояния здоровья или клиническую экспертизу. Это можно рассматривать как некоторое сужение понятия «здоровье», сформулированного ВОЗ. Требования настоящего стандарта относятся к программному обеспечению, которое оказывает влияние на такие характеристики состояния здоровья, и/или к программному обеспечению, нарушение ЗАЩИЩЕННОСТИ которого может привести к нарушению неприкосновенности или конфиденциальности информации. касающейся состояния здоровья и социального благополучия пациентов.

В таблице А.1 приложения А приведены примеры использования медицинского программного обеспечения согласно положениям настоящего стандарта.

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ Часть 1

Общие требования к безопасности программных продуктов

Health software Part 1 General requirements for product safety

Дата введения — 2020—05—01

1 Область применения

1.1    Назначение стандарта

Настоящий стандарт относится к БЕЗОПАСНОСТИ и ЗАЩИЩЕННОСТИ ПРОДУКТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ, разработанных для использования на вычислительных платформах общего назначения и предназначенных для выпуска в продажу без специального оборудования. В настоящем стандарте основное внимание уделяется требованиям, предъявляемым к РАЗРАБОТЧИКАМ.

1.2    Сфера применения

Настоящий стандарт охватывает и регулирует весь жизненный цикл, включая проектирование, разработку, ПРОВЕРКУ СООТВЕТСТВИЯ (ВАЛИДАЦИЮ), инсталляцию (установку), сопровождение и удаление (деинсталляцию) ПРОДУКТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ.

В каждом справочном стандарте термин «медицинское устройство» или «программное обеспечение медицинского устройства» следует, при необходимости, заменить термином «ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ» или «ПРОДУКТ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ» соответственно.

В тех случаях, когда термин «пациент» используется либо в настоящем стандарте, либо в справочном стандарте, он относится к человеку, для которого используется ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ при проведении медицинского обслуживания, назначении медицинских льгот и страховых пособий с целью улучшения показателей его здоровья.

Настоящий стандарт не распространяется на ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ, которое разработано для того, чтобы стать частью специального оборудования, предназначенного для использования в области здравоохранения. В частности, настоящий стандарт не применяется:

a)    к медицинскому электрооборудованию или системам, рассматриваемым в сериях стандартов МЭК 60601/МЭК 80601;

b)    оборудованию для проведения диагностики в лабораторных условиях (диагностики in vitro), рассматриваемому в сериях стандарта МЭК 61010; или

c)    имплантируемым устройствам, рассматриваемым в сериях стандарта ИСО 14708.

Примечание — Настоящий стандарт также применим к ПРОДУКТАМ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ (например, к прикладным программам в области медицины и здравоохранения), предназначенным для использования в сочетании с мобильными вычислительными платформами

Издание официальное

1.3 Соблюдение требований

Соблюдение требований настоящего стандарта определяется путем проверки всей документации. представленной по его содержанию.

Оценку соблюдения требований осуществляет и документирует РАЗРАБОТЧИК. Если к ПРОДУКТУ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ В ОБЛАСТИ ЗДРАВООХРАНЕНИЯ применены нормативные требования, может быть проведена независимая оценка.

Если в настоящем стандарте в нормативном порядке приведены ссылки на части или положения других стандартов, ориентированных на БЕЗОПАСНОСТЬ или ЗАЩИЩЕННОСТЬ. РАЗРАБОТЧИК может использовать альтернативные методы, для того чтобы продемонстрировать соблюдение требований настоящего стандарта. Эти альтернативные методы могут быть применены, если результаты, полученные при их использовании, включая отслеживаемость событий (трассируемость), являются эквивалентными и ОСТАТОЧНЫЙ РИСК остается приемлемым.

Примечание — Термин «соответствие», в ИСО/МЭК 12207, в настоящем стандарте использован в качестве термина «соблюдение».

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

IEC 62304:2006. Medical device software — Software life cycle processes (Изделия медицинские. Программное обеспечение. Процессы жизненного цикла)

IEC 62304:2006/AMD1:2015 Medical device software — Software life cycle processes. Amendment 1 (Изделия медицинские. Программное обеспечение. Процессы жизненного цикла. Изменение 1)

3    Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

При разработке стандартов ИСО и МЭК поддерживают терминологические базы данных, находящиеся по следующим адресам:

-    МЭК: онлайн-словарь терминов в области электроники и электротехники Electropedia доступен по адресу http://www.electropedia.org/

-    ИСО: платформа для онлайнового поиска и просмотра Online browsing platform доступна по адресу http://www.iso.org/obp

3.1_

ЭКСПЛУАТАЦИОННЫЙ ДОКУМЕНТ (ACCOMPANYING DOCUMENT): Документ, прилагаемый к МЕДИЦИНСКОМУ ПРОГРАММНОМУ ОБЕСПЕЧЕНИЮ и содержащий информацию для ОТВЕТСТВЕННОЙ ОРГАНИЗАЦИИ или ПОЛЬЗОВАТЕЛЯ, в особенности относительно требований БЕЗОПАСНОСТИ и/или ЗАЩИЩЕННОСТИ.

(МЭК 60601-1:2005. пункт 3.4. изменение — «МЕ ИЗДЕЛИЕ. ME СИСТЕМА или ПРИНАДЛЕЖНОСТИ» заменено на «МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ». «ОПЕРАТОР» заменен на «ПОЛЬЗОВАТЕЛЬ» и добавлено «и/или ЗАЩИЩЕННОСТЬ»)

3.2_

АНОМАЛИЯ (ANOMALY): Любая ситуация, отличающаяся от ожидаемой ситуации, основанной на технических требованиях, проектных документах, стандартах и т. д.. или от чьего-то восприятия или опыта.

Примечание 1 — АНОМАЛИИ могут быть обнаружены в следующих случаях (но не ограничиваясь ими): при выполнении оценки, тестирования, анализа, компиляции или использования медицинскогоПРОГРАММНОГО ОБЕСПЕЧЕНИЯ или при использовании соответствующей документации

(IEEE 1044:1993, пункт 3.1)

3.3_

ВРЕД (HARM): Физическая травма, или ущерб здоровью людей, или ущерб имуществу либо окружающей среде.

[ИСО/МЭК Руководство 51:2014, пункт 3.1)

3.4 _

ОПАСНОСТЬ (HAZARD): Потенциальный источник ВРЕДА

Примечание 1—К потенциальным источникам ВРЕДА относятся также нарушение ЗАЩИЩЕННОСТИ и снижение эффективности

[ИСО/МЭК Руководство 51:2014. пункт 3.2. изменение — добавлено примечание 1)

3.5 _

ОПАСНАЯ СИТУАЦИЯ (HAZARDOUS SITUATION): Обстоятельства, при которых люди, имущество или окружающая среда могут подвергаться одному или нескольким видам ОПАСНОСТИ. [ИСО/МЭК Руководство 51:2014. пункт 3.4)

3.6* МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ (* HEALTH SOFTWARE): Программное обеспечение, специально предназначенное для управления, поддержания, или улучшения здоровья отдельных лиц. или оказания медицинской помощи.

Примечание 1 — МЕДИЦИНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ полностью включает в себя то программное обеспечение, которое рассматривается как медицинское устройство (см А1 приложения А)

Примечание 2 — Область применения настоящего стандарта включает вопросы, относящиеся к подмножеству МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, предназначенного для работы на вычислительных платформах общего назначения

3.7    МЕДИЦИНСКИЙ ПРОГРАММНЫЙ ПРОДУКТ (HEALTH SOFTW/ARE PRODUCT): Сочетание МЕДИЦИНСКОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ и ЭКСПЛУАТАЦИОННЫХ ДОКУМЕНТОВ.

3.8 _

ПРЕДУСМОТРЕННОЕ ПРИМЕНЕНИЕ (INTENDED USE) [ПРЕДУСМОТРЕННОЕ НАЗНАЧЕНИЕ

(INTENDED PURPOSE)): Использование продукта, процесса или услуги в соответствии с их предназначением в соответствии с техническими требованиями, инструкциями и информацией, предоставляемой ИЗГОТОВИТЕЛЕМ.

[ИСО 14971:2007. пункт 2.5]

3.10 ИЗГОТОВИТЕЛЬ (MANUFACTURER): Физическое или юридическое лицо, отвечающее за проектирование, разработку, упаковку или маркировку МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА либо за адаптацию МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА до его поступления на рынок или ввода в эксплуатацию независимо от того, выполняются ли указанные операции этим лицом или третьей стороной, действующей от имени данного лица.

Примечание 1 — Определение маркировки приведено в ИСО 13485:2016. пункт 3 8

Примечание 2 — В контексте медицинских информационных технологий вместо ИЗГОТОВИТЕЛЬ, как правило, используются термины «разработчик» или «организация-разработчик»

3.11_

ОСТАТОЧНЫЙ РИСК (RESIDUAL RISK): РИСК, сохраняющийся после принятия мер по УПРАВЛЕНИЮ РИСКОМ.

(ИСО 14971:2007, пункт 2.15]

3.12_

ОТВЕТСТВЕННАЯ ОРГАНИЗАЦИЯ (RESPONSIBLE ORGANIZATION): Юридическое или физическое лицо, ответственное за использование и правильное функционирование МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА.

Примечание 1 — Ответственной организацией является, например, больница, поставщик медицинской помощи или телемедицинская организация

(МЭК 60601-1:2005. пункт 3.101, изменение — «обслуживание ME ИЗДЕЛИЯ или ME СИСТЕМЫ» заменено на «правильное функционирование МЕДИЦИНСКОГО ПРОГРАММНОГО ПРОДУКТА»]

3.13_

РИСК (RISK): Сочетание вероятности нанесения ВРЕДА и тяжести этого ВРЕДА.

Примечание 1 — Вероятность нанесения ущерба включает в себя подверженность воздействию ОПАСНОЙ СИТУАЦИИ и возможность избежать или ограничить УЩЕРБ

(ИСО/МЭК Руководство 51:2014. пункт 3.9. изменение — примечание 1 откорректировано, и из него удалено упоминание опасного события]

3.14 _

АНАЛИЗ РИСКА (RISK ANALYSIS): Систематическое использование доступной информации для идентификации ОПАСНОСТЕЙ и оценивания величины РИСКА.

(ИСО/МЭК Руководство 51:2014. пункт 3.10]

3.15 _

ОЦЕНКА РИСКА (RISK ASSESSMENT): Единый процесс, включающий в себя АНАЛИЗ РИСКА и ОЦЕНИВАНИЕ РИСКА.

(ИСО/МЭК Руководство 51:2014, пункт 3.11]

3.16 _

УПРАВЛЕНИЕ РИСКОМ (RISK CONTROL): Процесс принятия решений и осуществления защитных мер. направленных на уменьшение РИСКОВ или их поддержание на установленных уровнях.

(ИСО/МЭК Руководство 63:2012, пункт 2.12]

3.17 _

ОЦЕНИВАНИЕ РИСКА (RISK EVALUATION): Процесс сравнения расчетного РИСКА с заданными критериями РИСКА для определения допустимости РИСКА.

(ИСО/МЭК Руководство 63:2012, пункт 2.14]

3.18 _

МЕНЕДЖМЕНТ РИСКА (RISK MANAGEMENT): Систематическое применение принципов, процедур и методик менеджмента к задачам анализа, оценивания, управления и МОНИТОРИНГА РИСКА

(ИСО/МЭК Руководство 63:2012, пункт 2.15]