MITER支持FDA,已经开发了一个标题,以应对使用CVSS与多学科专家团队合作进行医疗设备脆弱性的严重程度的挑战。
共同的漏洞评分系统(CVSS)是一个开放标准,旨在传达脆弱性的严重性并帮助确定响应的紧迫性和优先级。当在医疗设备中发现脆弱性时,医疗设备制造商通常与国土安全部(DHS)国家网络安全和通信集成中心(NCCIC)合作,请使用CVSS提供一种一致且标准化的方式来传达在交流脆弱性之间的脆弱性的方式多个政党,包括医疗设备制造商,医院,临床医生,患者,NCCIC和脆弱性研究人员。
尽管如此,使用CVSS评估医疗设备中脆弱性的严重性存在挑战。CVSS及其相关的标题和示例是为企业信息技术系统开发的,并不能充分反映临床环境和潜在的患者安全影响。
为了应对这些挑战,MITER Corporation根据与manbetx客户端首页FDA的合同开发了一个标题,该专栏为分析师如何利用CVSS作为医疗设备的风险评估的一部分提供了指导。该主题是由Miter与整个医疗设备生态系统的主题专家合作开发的,包括FDA,医疗设备制造商,医疗保健提供组织,安全专家以及安全/风险评估专家。
医疗设备网络安全生态系统的成员已经开发了计算器,以帮助用户应用该标题评估医疗设备网络安全漏洞。其中一些计算器是桌面工具,例如基于电子表格的计算器,而其他则是在线工具。这些工具可在MITER的GITHUB CVSS Rubric Tools存储库。
2020年10月20日,FDA宣布该标题有资格为医疗设备开发工具(MDDT)。MDDT是FDA评估“并同意该工具在特定使用的使用背景下产生科学成本的测量和工作的工具”。这资格摘要可在MDDT网站上找到。
请发送有关医疗设备CVSS Rubric的评论或建议securemed@mitre.org。