Методические рекомендации по порядку проведения экспертизы качества, эффективности и безопасности медицинских изделий (в части программного обеспечения) для государственной регистрации в рамках национальной системы (утв. ФГБУ "Национальный институт качества" Росздравнадзора, ФГБУ "ВНИИИМТ" Росздравнадзора 9 июня 2020 г.)

Дата введения 09 июня 2020 г.

Настоящие Методические рекомендации разработаны:

- специалистами ФГБУ "ВНИИИМТ" Росздравнадзора: заместителем генерального директора, д.м.н. Тарасенко О.А., начальником отдела экспертизы Нерсесян Т.И., заведующим лабораторией испытаний программного обеспечения медицинских изделий Кутичевым В.А.

Рецензенты: генеральный директор ФГБУ "Национальный институт качества" Росздравнадзора Иванов И.В.

Методические рекомендации предназначены для использования экспертными организациями Росздравнадзора, специалистами Росздравнадзора, для информирования субъектов обращения медицинских изделий.

Нет никаких ограничений на воспроизведение, распространение или использование этого документа, однако его включение, частично или полностью, в любой другой документ должно сопровождаться обязательной ссылкой на данный документ.

Экспертные организации:

- Федеральное государственное бюджетное учреждение "Всероссийский научно-исследовательский и испытательный институт медицинской техники" Федеральной службы по надзору в сфере здравоохранения (ФГБУ "ВНИИИМТ" Росздравнадзора);

- Федеральное государственное бюджетное учреждение "Национальный институт качества" Федеральной службы по надзору в сфере здравоохранения (ФГБУ "Национальный институт качества" Росздравнадзора).

Настоящие Методические рекомендации разработаны в дополнение к действующим Методическим рекомендациям по экспертизе качества, эффективности и безопасности медицинских изделий для государственной регистрации, утвержденным ФГБУ "ВНИИИМТ" Росздравнадзора и ФГБУ "Национальный институт качества" Росздравнадзора.

Введение

Методические рекомендации разработаны и утверждены для целей реализации следующих документов:

- Федеральный закон от 21 ноября 2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";

- Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ;

- Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ;

- Федеральный закон "О техническом регулировании" от 27 декабря 2002 N 184-ФЗ;

- Постановление Правительства Российской Федерации от 27 декабря 2012 N 1416 "Об утверждении Правил государственной регистрации медицинских изделий";

- Постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

- Постановление Правительства Российской Федерации от 12.04.2018 N 447 "Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями";

- Постановление Правительства Российской Федерации от 6 июля 2015 года N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации";

- Приказ Министерства здравоохранения Российской Федерации от 21 декабря 2012 N 1353н "Порядок экспертизы качества, эффективности и безопасности медицинских изделий";

- Приказ Министерства здравоохранения Российской Федерации от 06.06.2012 N 4н "Об утверждении номенклатурной классификации медицинских изделий";

- Приказ Министерства здравоохранения Российской Федерации от 16.05.2013 N 300н "Об утверждении требований к медицинским организациям, проводящим клинические испытания медицинских изделий, и порядка установления соответствия медицинских организаций этим требованиям";

- Приказ Министерства здравоохранения Российской Федерации от 09.01.2014 N 2н "Об утверждении порядка проведения оценки соответствия медицинских изделий в форме технических испытаний, токсикологических исследований, клинических испытаний в целях государственной регистрации медицинских изделий";

- Приказ Министерства здравоохранения Российской Федерации от 21.02.2014 N 81н "Об утверждении Перечня измерений, относящихся к сфере государственного регулирования обеспечения единства измерений, выполняемых при осуществлении деятельности в области здравоохранения, и обязательных метрологических требований к ним, в том числе показателей точности измерений";

- Приказ Министерства здравоохранения Российской Федерации от 15.08.2012 N 89н "Об утверждении Порядка проведения испытаний в целях утверждения типа средств измерений, а также перечня медицинских изделий, относящихся к средствам измерений в сфере государственного регулирования обеспечения единства измерений, в отношении которых проводятся испытания в целях утверждения типа средств измерений";

- Приказ Министерства здравоохранения Российской Федерации от 19 января 2017 N 11н "Об утверждении требований к содержанию технической и эксплуатационной документации производителя (изготовителя) медицинского изделия".

При подготовке настоящих Методических рекомендаций применялись, в том числе, положения нижеперечисленных документов:

Руководящий документ (РД) "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года;

Руководящий документ (РД) "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года;

Руководящий документ (РД) "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 года;

Руководящий документ (РД) "Средства вычислительной техники. Межсетевые экраны Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 года;

Руководящий документ (РД) "Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации Классификация по уровню контроля отсутствия недекларированных возможностей", утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 года N 114;

Руководящий документ (РД) "Безопасность информационных технологий. Руководство по формированию семейств профилей защиты", Гостехкомиссия России, 2003 год;

ГОСТ 19.301-79 "Единая система программной документации (ЕСПД). Программа и методика испытаний. Требования к содержанию и оформлению";

ГОСТ Р ИСО/МЭК 9126-93 "Информационная технология (ИТ). Оценка программной продукции. Характеристики качества и руководства по их применению";

ГОСТ Р ИСО 9127-94 "Системы обработки информации. Документация пользователя и информация на упаковке для потребительских программных пакетов";

ГОСТ Р ИСО/МЭК 12119-2000 "Информационная технология (ИТ). Пакеты программ. Требования к качеству и тестирование";

ГОСТ Р ИСО 14155-2014 "Клинические исследования. Надлежащая клиническая практика";

ГОСТ ISO 14971-2011 "Изделия медицинские. Применение менеджмента риска к медицинским изделиям";

ГОСТ 28195-89 "Оценка качества программных средств. Общие положения";

ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство";

ГОСТ Р 55544-2013/IEC/TR 80002-1:2009 "Программное обеспечение медицинских изделий. Часть 1. Руководство по применению ИСО 14971 к программному обеспечению изделий";

ГОСТ Р 56430-2015 /GNTF/SG3/N18:2010 "Система менеджмента качества. Изделия медицинские. Руководство по корректирующим и предупреждающим действиям и связанным процессам системы менеджмента качества";

ГОСТ Р МЭК 62304-2013 "Изделия медицинские. Программное обеспечение. Процессы жизненного цикла";

IMDRF/SaMD WG/N41 (PF):2017 "Программное обеспечение как медицинское изделие (SaMD); Клиническая оценка";

Информационное письмо Федеральной службы по надзору в сфере здравоохранения (Росздравнадзор) от 13.02.2020 N 02И-297/20 "О программном обеспечении";

Действующие Методические рекомендации по экспертизе качества, эффективности и безопасности медицинских изделий для государственной регистрации, утвержденные ФГБУ "ВНИИИМТ" Росздравнадзора и ФГБУ "Национальный институт качества" Росздравнадзора (далее - основные Методические рекомендации).

1 Общие положения

1.1. Настоящие Методические рекомендации, как и основные Методические рекомендации, предназначены для использования специалистами ФГБУ "ВНИИИМТ" Росздравнадзора и ФГБУ "Национальный институт качества" Росздравнадзора, осуществляющими экспертизу качества, эффективности и безопасности программного обеспечения, являющегося медицинским изделием, проводимую для целей государственной регистрации в рамках национальной системы.

1.2. Методические рекомендации разработаны в целях:

- установления единообразных подходов при проведении экспертизы качества, эффективности и безопасности программного обеспечения, являющегося медицинским изделием;

- унификации оценки соответствия программного обеспечения, являющегося медицинским изделием, требованиям нормативных документов в части состава и содержания документации, представляемой на экспертизу в рамках регистрационных процедур.

1.3. Список сокращений, применяемых в Методических рекомендациях:

ЭВМ - электронно-вычислительная машина;

SaaS - англ. Software as a Service - программное обеспечение как услуга для удаленного ("облачного") использования;

Web браузер - прикладное программное обеспечение для просмотра страниц, содержания веб-документов, компьютерных файлов и их каталогов; управления веб-приложениями;

АД - артериальное давление;

ЧСС - частота сердечных сокращений;

Программное обеспечение - программное обеспечение, являющееся самостоятельным медицинским изделием.

2 Экспертиза для определения возможности (невозможности) проведения клинических испытаний (этап I) Программного обеспечения

2.1 Применяются все положения основных Методических рекомендаций с некоторыми дополнениями и уточнениями.

2.2 Отнесение заявленного к регистрации программного обеспечения к медицинским изделиям.

При отнесении заявленного для государственной регистрации программного обеспечения к медицинским изделиям применяется определение пункта 1 статьи 38 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее - Федеральный закон от 21.11.2011 N 323-ФЗ).

В случаях, если программное обеспечение невозможно однозначно отнести к медицинским изделиям, основываясь на определении, содержащемся в ч. 1 ст. 38 Федерального закона от 21.11.2011 N 323-ФЗ, рекомендуется руководствоваться информационным письмом Росздравнадзора от 13.02.2020 N 02И-297/20 "О программном обеспечении", содержащим позицию Комиссии ФГБУ "ВНИИИМТ" Росздравнадзора по выдаче заключений на запросы, связанные с обращением медицинских изделий, по вопросу отнесения программного обеспечения к медицинским изделиям. Согласно данному письму:

1. Программное обеспечение является медицинским изделием при условии соответствия его всем следующим критериям:

- представляет собой программу для ЭВМ или ее модули вне зависимости от используемой аппаратной платформы, а также способов размещения программного обеспечения и предоставления доступа к нему;

- не является составной частью другого медицинского изделия;

- предназначено производителем для оказания медицинской помощи;

- результат действия программного обеспечения заключается в интерпретации в автоматическом режиме, в том числе с использованием технологий искусственного интеллекта, или по заданным медицинским работником параметрам, влияющим на принятие клинических решений, набора данных, полученных от медицинских изделий, допущенных к обращению в установленном порядке или введенных медицинскими работниками в целях оказания медицинской помощи.

2. Примеры методов и технологий, применяемых в функциях программного обеспечения, которые не являются интерпретацией данных:

- отображение данных, полученных от медицинского изделия, в том числе в заданном формате;

- расчет по заданным формулам;

- перевод между единицами измерения;

- построение статистических отчетов и графиков;

- растровый или векторный редактор изображений;

- сигнализация отклонений в данных при наличии возможности отображения исходных данных и при условии задания параметров сигнализации отклонений пользователем;

- функции создания экранных форм, бизнес-процессов, отчетности и иных представлений, которые используются для автоматизации бизнес-процессов медицинской организации в процессе эксплуатации программного обеспечения.

3. Некоторые примеры программного обеспечения (в том числе примеры функций, источников набора данных, предназначений, платформ, способов представления доступа и т.д.), которое относится к медицинским изделиям:

1) Программное обеспечение для просмотра врачом индивидуальной анатомической 3Д-модели на основе изображений компьютерной томографии:

а) функция интерпретации - вычисление дистанции между двумя точками анатомической 3Д-модели;

б) источник набора данных - компьютерный томограф;

в) предназначение - использование врачами-рентгенологами, в том числе при оказании экстренной помощи;

г) аппаратная платформа - мобильные устройства (например, смартфон или планшет);

д) способ предоставления доступа - магазин приложений.

2) Программное обеспечение поддержки принятия врачебных решений при инсульте:

а) функция интерпретации - дифференциация между ишемическим и геморрагическим инсультом на основе диагностических изображений;

б) источник набора данных - компьютерный или магнитно-резонансный томограф;

в) предназначение - использование врачами-реаниматологами, нейрохирургами и неврологами в нейрореанимациях и сосудистых центрах, в том числе при оказании экстренной помощи;

г) аппаратная платформа - любая с поддержкой Web браузера;

д) способ предоставления доступа - интернет сайт по SaaS модели лицензирования.

3) Программное обеспечение для помощи врачу в диагностике злокачественных новообразований:

а) функция интерпретации - построение карты патологических изменений поверхности кожи, вычислении их фрактальной размерности для оценки степени вероятности их злокачественности;

б) источник набора данных - медицинские работники посредством фотографирования встроенной камерой смартфона;

в) предназначение - использование врачами-дерматовенерологами на первичном приеме;

г) аппаратная платформа - мобильные устройства (например, смартфон или планшет);

д) способ предоставления доступа - сайт разработчика.

4) Программное обеспечение для помощи врачу в диагностике туберкулезного или вирусного менингита у детей:

а) функция интерпретации - анализ данных спектроскопии спинномозговой жидкости с целью диагностики туберкулезного или вирусного менингита у детей;

б) источник набора данных - спектрограф;

в) предназначение - использование медицинским работником;

г) аппаратная платформа - персональный компьютер;

д) способ предоставления доступа - приобретение лицензии и электронного носителя.

5) Программное обеспечение поддержки принятия врачебных решений по риску развития колоректального рака:

а) функция интерпретации - оценка риска развития колоректального рака на основе имеющихся данных о пациенте из группы высокого риска при разработке его индивидуального плана профилактических мероприятий;

б) источник набора данных - медицинские работники и диагностическое оборудование;

в) предназначение - использование врачами различных специальностей на первичном или повторном приеме;

г) аппаратная платформа - персональный компьютер;

д) способ предоставления доступа - приобретение лицензии и электронного носителя.

6) Программное обеспечение для помощи врачу в диагностике аритмии:

а) функция интерпретации - анализ данных о сердечном ритме для диагностики аритмии;

б) источник набора данных - пульсоксиметры с интерфейсом беспроводной передачи данных;

в) предназначение - использование врачами любой специальности, в том числе при оказании экстренной помощи;

г) аппаратная платформа - мобильные устройства (например, смартфон или планшет);

д) способ предоставления доступа - магазин приложений.

7) Программное обеспечение для помощи врачу в планировании техники проведения хирургических операций:

а) функция интерпретации - построение и визуализация индивидуальной анатомической 3Д-модели на основе изображений компьютерной томографии, используемой для определения мест размещения катетеров на внутренней части бронхиального дерева и в легочной ткани или для размещения маркеров в мягкой легочной ткани;

б) источник набора данных - компьютерный томограф;

в) предназначение - использование врачами-хирургами (торакальная хирургия, радиохирургия);

г) аппаратная платформа - персональный компьютер;

д) способ предоставления доступа - приобретение права использования программы в течение одного года с возможностью скачивания дистрибутива с сайта разработчика.

8) Программное обеспечение для помощи врачу в выполнении морфометрических измерений:

а) функция интерпретации - распознавание изображений и морфометрия цитологических и гистологических препаратов;

б) источник набора данных - цифровые микроскопы;

в) предназначение - использование медицинским работником;

г) аппаратная платформа - персональный компьютер;

д) способ предоставления доступа - приобретение права использования программы на неограниченный срок с возможностью скачивания дистрибутива с сайта разработчика.

9) Программное обеспечение дистанционного мониторинга состояния здоровья пожилых пациентов с коморбидными хроническими заболеваниями:

а) функция интерпретации - автоматическое выявление патологических изменений АД и ЧСС, признаков нарушения ритма с последующим оповещением лиц, осуществляющих наблюдение и(или) уход за пациентом, по собранным и полученным на центральный сервер данным в автоматическом режиме;

б) источник набора данных - тонометры с интерфейсом беспроводной передачи данных;

в) предназначение - использование медицинским работником;

г) аппаратная платформа - персональный компьютер;

д) способ предоставления доступа - приобретение права использования программы на неограниченный срок с возможностью скачивания дистрибутива с сайта разработчика.

10) Программное обеспечение для разработки индивидуальной программы реабилитации:

а) функция интерпретации - прогнозирование и оценка степени запланированного результата на основе имеющихся данных о пациенте;

б) источник набора данных - медицинские работники и диагностическое оборудование;

в) предназначение - используется врачами-реабилитологами;

г) аппаратная платформа - персональный компьютер;

д) способ предоставления доступа - приобретение лицензии и электронного носителя у разработчика.

11) Программное обеспечение, применяемое по назначению врача, для расчета пациентом, страдающим диабетом с высоким риском гипогликемии, болюсной дозы инсулина на основе данных о потреблении углеводов, ожидаемой физической активности и уровне глюкозы в крови перед едой:

а) функция интерпретации - подбор дозы прандиального инсулина;

б) источник набора данных - пациент и диагностическое оборудование;

в) предназначение - использование пациентом по назначению лечащего врача;

г) аппаратная платформа - любая с поддержкой Web браузера;

д) способ предоставления доступа - интернет сайт по SaaS модели лицензирования.

12) Программное обеспечение радиологической системы архивации и передачи изображений для получения, хранения, передачи, обработки (изменения качества изображения, сжатия) и просмотра изображений врачом:

а) функция интерпретации - определение морфометрических показателей изображения;

б) источник набора данных - различные виды оборудования лучевой диагностики;

в) предназначение - использование врачами для оказания медицинской помощи;

г) аппаратная платформа - персональный компьютер;

д) способ предоставления доступа - приобретение лицензии и электронного носителя у разработчика.

4. Примеры программного обеспечения, которое не относится к медицинским изделиям:

1) Программное обеспечение, предназначенное для автоматизации административно-хозяйственной деятельности медицинской организации.

2) Программное обеспечение, включая мобильные приложения, предназначенное производителем для целей содействия здоровому образу жизни и для формирования у людей ответственного отношения к сохранению и укреплению здоровья, поддержанию активного долголетия, которое измеряет/рассчитывает количество шагов, скорость ходьбы/бега, пульс, количество потраченных и/или потребленных калорий/жидкости, вес, индекс массы тела и т.п.

3) Медицинские информационные системы медицинской организации, лабораторные информационные системы, программное обеспечение для ведения электронных медицинских карт, системы архивирования и передачи изображений, если такое программное обеспечение не содержит функций интерпретации данных.

4) Программное обеспечение, включая его обновление, применяемое для управления медицинским изделием и контроля за его работоспособностью.

5) Программное обеспечение, которое использует данные, полученные от одного или нескольких медицинских изделий, но не предназначено для оказания медицинской помощи. Например, программное обеспечение, которое шифрует и(или) объединяет данные (в том числе и данные пациентов), полученные от одного или нескольких медицинских изделий, для их дальнейшей передачи.

6) Программное обеспечение для обмена текстовыми и(или) голосовыми сообщениями, электронными документами, фотографическими изображениями, видео-, аудио- записями/потоками и иными данными между медицинским работником и пациентом, их регистрации, хранения и предоставления к ним доступа при оказании медицинской помощи, в том числе с применением телемедицинских технологий, или для записи на прием.

7) Программное обеспечение для учета, планирования и контроля за выполнением мероприятий регламентного технического обслуживания и планового ремонта медицинских изделий.

8) Программное обеспечение для неограниченного круга пользователей в образовательных, научно-популярных, справочно-информационных целях, в том числе для выбора медицинского специалиста.

2.3 Назначение Программного обеспечения.

Проверяется назначение Программного обеспечения, указанное в Заявлении, а также его соответствие данным технической и эксплуатационной документации.

Критерии несоответствия определяются по основным Методическим рекомендациям с учетом следующего:

- не конкретизировано назначение Программного обеспечения, в том числе в части отсутствия информации о применении Программного обеспечения в медицинских целях или о его предназначении для оказания медицинской помощи, сведений о функции интерпретации набора данных и возможности ее влияния на различные медицинские процессы ¹⁾.

------------------------------

¹⁾Примечание:

Например, указано "Программное обеспечение предназначено для сбора, хранения, архивирования и передачи данных", а должно быть указано "Программное обеспечение предназначено для сбора, хранения, архивации и передачи, автоматического распознавания рентгеновских и ультразвуковых изображений и выявления патологических изменений в легких".

------------------------------

2.4 Вид (или виды) Программного обеспечения в соответствии с действующей Номенклатурной классификацией.

Проверяется вид Программного обеспечения, указанный в Заявлении о государственной регистрации, и в случае если выявляется несоответствие, эксперт устанавливает другой вид (или виды) медицинского изделия в соответствии с действующей номенклатурной классификацией (с обязательным обоснованием). Применяются критерии отнесения к видам в соответствии с основными Методическими рекомендациями.

2.5 Класс Программного обеспечения в соответствии с действующей Номенклатурной классификацией.

Проверяется указанный в Заявлении класс в зависимости потенциального риска применения медицинского изделия в соответствии с действующими правилами классификации.

В случае если выявляется несоответствие, эксперт устанавливает другой класс в зависимости потенциального риска применения Программного обеспечения в соответствии с действующей номенклатурной классификацией (с обязательным обоснованием). При этом обязательно учитывается следующее.

В соответствии с Номенклатурной классификацией медицинских изделий по классам в зависимости от потенциального риска их применения, утвержденной приказом Минздрава России от 06.06.2012 N 4н (пункты 7 и 12) установлено, что:

- для специального программного обеспечения, являющегося самостоятельным продуктом и используемого с медицинским изделием, устанавливают тот же класс, что и для самого медицинского изделия;

В соответствии с ГОСТ Р МЭК 62304-2013 Программное обеспечение должно классифицироваться следующим образом:

а) каждой Программной системе изготовитель должен присвоить класс безопасности (А, В или С) согласно возможным воздействиям на пациента, пользователя или иных лиц, исходя из опасности, возникновению которой может способствовать система программного обеспечения.

Классы безопасности программного обеспечения должны быть разделены по степени тяжести следующим образом:

- класс А: невозможны никакие травмы или ущерб здоровью;

- класс В: возможны незначительные травмы;

- класс С: возможны серьезные травмы или смерть.

Если опасность может происходить из-за отказа в работе Программной системы, то вероятность такого отказа должна быть принята как стопроцентная.

ГАРАНТ:

Здесь и далее по тексту нумерация приводится в соответствии с источником

3.30 СИСТЕМА (SYSTEM): совокупная композиция, состоящая из одного или более процессов, аппаратных средств, Программного обеспечения, людей и средств, которая обеспечивает способность удовлетворить заявленную потребность или цель.

2.6 Код ОКПД2 по Общероссийскому классификатору продукции по видам экономической деятельности ОК 034-2014 (КПЕС 2008) с изменением 25/2017 ОКПД2.

В случае если выявляется несоответствие, эксперт рекомендует другой код ОКПД2 Программного обеспечения в соответствии с действующим классификатором (с обязательным обоснованием).

2.7 Оценка сведений о нормативной документации.

При оценке документа "Сведения о нормативной документации" применяются все положения основных Методических рекомендаций с учетом перечня рекомендуемых стандартов для проведения технических испытаний. Перечень стандартов, рекомендуемых для подтверждения соответствия при проведении технических испытаний в аккредитованной испытательной организации, приведен в разделе Введение настоящих Методических рекомендаций.

2.8 Оценка технической документации на Программное обеспечение.

Применяются положения основных Методических рекомендаций с учетом применения требований к Программному обеспечению, в том числе установленных приказом Минздрава России от 19 января 2017 N 11н, а именно:

4. Техническая документация производителя (изготовителя) на медицинское изделие (далее - техническая документация), представляемая производителем (изготовителем) медицинского изделия или уполномоченным представителем производителя (изготовителя) медицинского изделия в составе регистрационного досье на медицинское изделие, должна содержать:

18) информацию о процессе проектирования, разработки и валидации программного обеспечения, используемого в готовом медицинском изделии (в случае наличия в медицинском изделии программного обеспечения, обеспечивающего его правильную эксплуатацию и (или) применение по назначению);

При проверке, представленной в рамках технической документации информации о процессах проектирования и разработки Программного обеспечения, следует учитывать рекомендации и требования ГОСТ Р МЭК 62304-2013:

Краткий обзор процессов разработки программного обеспечения и работ

Проверяется наличие и содержание файла менеджмента риска Программного обеспечения. В соответствии с ГОСТ Р МЭК 62304-2013:

3.14 процесс (process): совокупность взаимосвязанных и взаимодействующих видов деятельности, преобразующая входы в выходы.

3.20 файл менеджмента риска (risk management file): совокупность записей и других документов, создаваемых в процессе менеджмента риска.

Критерии несоответствия - по основным Методическим рекомендациям (всё по применимости к конкретному Программному обеспечению), с учетом следующих особенностей:

а) отсутствуют сведения, регламентирующие конструкцию медицинского изделия - Программного обеспечения ¹⁾;

------------------------------

¹⁾ Примечания:

К сведениям, регламентирующим конструкцию Программного обеспечения, относятся:

- состав Программного обеспечения, взаимосвязь частей (модулей - при их наличии) и программных элементов конфигурации;

- описание конструктивных (архитектурных) особенностей, взаимосвязь с другими медицинскими и не медицинскими изделиями и другим Программным обеспечением;

- особенности управления, имеющиеся потенциальные опасности (при необходимости),

- информация о Программном обеспечении (в том числе о его составных частях (модулях)) должна позволять осуществлять однозначную идентификацию;

- технические характеристики, требования и нормы, определяющие показатели качества, функциональные и эксплуатационные характеристики Программного обеспечения;

- перечень опасностей, связанных с применением Программного обеспечения, и описание мер/способов, принятых с целью обеспечения допустимости остаточных рисков (анализ рисков);

- основные принципы методов контроля и тестирования Программного обеспечения.

------------------------------

б) отсутствуют сведения, устанавливающие технические требования, данные для разработки и производства, надежность (безопасность) и данные для эксплуатации (применения) медицинского изделия - Программного обеспечения ²⁾;

------------------------------

²⁾ Примечание:

К таким сведениям относятся:

- требования к потенциальным возможностям и функциональности;

- функциональные характеристики Программного обеспечения должны содержать требования, влияющие на его способность действовать по назначению;

- физические характеристики (например, язык машинного кода, платформу, операционную систему);

- компьютерные характеристики (например, аппаратные средства, размер памяти, процессор, инфраструктуру сети);

- необходимость совместимости с модернизациями или другими версиями Программного обеспечения;

- входные и выходные данные Программного обеспечения (системы);

- средства взаимодействия между модулями (элементами) Программного обеспечения и (или) другими изделиями;

- требования к защите информации, в том числе в отношении конфиденциальности (например, авторизация, идентификация пользователя, ведение журналов доступа и т.п.);

- определение данных (базы данных) и требование к ним (форма, размерность, функция и т.п.).

- описание условий и особенностей применения Программного обеспечения;

- порядок применения Программного обеспечения.

------------------------------

в) отсутствуют сведения о мерах, предпринимаемых производителем при разработке и производстве Программного обеспечения для обеспечения информационной безопасности. ¹⁾

------------------------------

¹⁾ Примечание:

К таким сведениям относятся:

- возможные риски при использовании Программного обеспечения по назначению в условиях, предусмотренных производителем;

- необходимые данные для применения, обосновывающие качество, безопасность и эффективность Программного обеспечения;

- не представлены формулировки надежности (защита против серьезных последствий ошибки пользователя, восстановление при ошибках, проверки достоверности исходных данных и т.п.);

- отсутствуют указания о порядке идентификации и проверки подлинности пользователей с санкционированным доступом при включении (начало/ конец работы) Программного обеспечения по идентификатору (коду) и паролю условно-постоянного действия, определяемого производителем Программного обеспечения;

- отсутствуют указания о порядке регистрации входа (выхода) пользователей с санкционированным доступом при включении (начало/ конец работы) Программного обеспечения, либо регистрация загрузки и инициализации Программного обеспечения;

------------------------------

г) отсутствует информация о подтверждении качества достаточности средств защиты информации.

Производитель Программного обеспечения должен по возможности максимально обеспечить применение такой совокупности условий, возникающих в процессе разработки, производства, а в дальнейшем и эксплуатации в результате взаимодействия пользователей, интернет сервисов, технологических устройств и сетевых связей, при которых все составляющие защищены от максимально возможного числа угроз и воздействий с нежелательными последствиями.

Производитель Программного обеспечения при разработке изделия и технической документации может руководствоваться действующими нормативными документами и действующими стандартами в части обеспечения информационной защиты, например, указанными во Введении к настоящим методическим рекомендациям.

Производитель должен самостоятельно определить распространение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и постановления Правительства Российской Федерации от 01.11.2012 N 1119 в отношении Программного обеспечения, представленного для государственной регистрации. При определении распространения требований указанных федеральных законов следует учитывать следующие основные понятия статьи 3 N 152-ФЗ, в том числе:

1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

При определении распространения требований указанных Федеральных законов следует учитывать следующие основные положения и понятия статьи 1 и статьи 2 N 149-ФЗ, в том числе то, что Федеральный закон регулирует отношения, возникающие при:

1) осуществлении права на поиск, получение, передачу, производство и распространение информации;

3) обеспечении защиты информации.

Статья 2. Основные понятия, используемые в настоящем Федеральном законе:

информация - сведения (сообщения, данные) независимо от формы их представления;

3) информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц.

Статья 14. Государственные информационные системы:

8. Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

В Федеральном законе от 27 декабря 2002 года N 184-ФЗ в статье 4 указано "федеральные органы исполнительной власти наделены правом издавать в сфере технического регулирования акты обязательного характера, в случаях, установленных статьей 5".

Статья 5 Федерального закона от 27 декабря 2002 N 184-ФЗ касается, в том числе и продукции, используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа (в том числе "служебная информация госорганов").

Уполномоченным органом, наделенным правом устанавливать обязательные требования по защите информации, в соответствии со ст. 15 N 149-ФЗ является Федеральная служба по техническому и экспортному контролю (ФСТЭК России).

В случае, если производитель устанавливает возможность взаимодействия Программного обеспечения с иными информационными системами (определение "иных информационных систем" приведено в постановлении Правительства Российской Федерации от 12.04.2018 N 447), он должен обеспечить защиту своего медицинского изделия от возможных угроз со стороны таких иных информационных систем. Защита должна обеспечиваться с учетом требований постановления Правительства Российской Федерации от 01.11.2012 N 1119.

Для подтверждения качества и достаточности средств защиты Программного обеспечения необходимо предоставить сведения от уполномоченного Правительством Российской Федерации федерального органа власти.

В случае если выявляется несоответствие (в том числе опечатки и неточности), эксперт указывает об этом в том пункте заключения комиссии экспертов, который содержит анализ соответствия технической документации (Приложение А основных Методических рекомендаций).

2.9 Оценка эксплуатационной документации на Программное обеспечение.

Применяются положения основных Методических рекомендаций с учетом применения требований к Программному обеспечению, в том числе установленных приказом Минздрава России от 19 января 2017 N 11н:

6. Эксплуатационная документация производителя (изготовителя) на медицинское изделие (далее - эксплуатационная документация), представляемая производителем (изготовителем) или уполномоченным представителем производителя (изготовителя), в составе регистрационного досье на медицинское изделие, должна содержать:

11) информацию для проверки правильности установки (монтажа) медицинского изделия и его готовности к безопасной работе эксплуатации, включая:

б) перечень предоставленных производителем (изготовителем) медицинского изделия сведений, ключей, паролей доступа, программ, необходимых для монтажа, наладки, эксплуатации и технического обслуживания медицинского изделия;

Критерии несоответствия - по основным Методическим рекомендациям (всё по применимости к конкретному Программному обеспечению), с учетом следующих особенностей:

а) отсутствуют сведения, регламентирующие конструкцию, условия и правила эксплуатации Программного обеспечения ¹⁾;

------------------------------

¹⁾ Примечание:

- в соответствии с Примечанием" пункта 2.8 настоящих Методических рекомендаций;

- в описании Программного обеспечения не определены все целевые рабочие задачи, которые могут быть выполнены данным Программным обеспечением;

- не определена система (технические и программные средства и их конфигурация), необходимая для ввода Программного обеспечения в эксплуатацию, включая наименования изготовителей и обозначения типов всех ее частей, например: процессоры, объем основной (оперативной) памяти, типы и объемы (памяти) периферийных запоминающих устройств, оборудование ввода и вывода, сетевое оборудование, системные и прочие программные средства;

- не указаны программные средства управления предупреждением и оповещением оператора;

- не определен каждый физический компонент Программного обеспечения, в частности, все печатные документы и все носители данных;

- не предусмотрено (или недостаточно предусмотрено) удобство и простота использования (эксплуатационная пригодность), которые чувствительны к человеческим ошибкам и обучению (поддержка операций, выполняемых вручную, взаимодействие между человеком и оборудованием, ограничения в отношении персонала, сведения о том, где требуется пристальное человеческое внимание);

- не установлен (не определен) план (или планы) технической поддержки Программного обеспечения, для выполнения деятельности и задач процесса технической поддержки;

- не представлены сведения о порядке инсталляции Программного обеспечения;

- не приведен обзор функций Программного обеспечения, вызываемых пользователем, необходимых для них данных и предоставляемых средств;

- не установлены граничные значения Программного обеспечения (минимальные или максимальные значения, длины ключей, максимальное число записей в файле, максимальное число критериев поиска, минимальный объем выборки и т.п.);

- не определены конкретные знания, которые необходимо усвоить пользователю для применения соответствующего Программного обеспечения (знание соответствующей технической области, знание операционной системы, знания, получаемые в результате специального обучения, знание языков, отличных от языка, на котором написано описание продукта;

- не указаны инструментальные средства для проведения настройки Программного обеспечения (в случае, если возможна настройка пользователем) и условия их применения.

------------------------------

б) отсутствуют сведения о наличии, наименовании и местонахождении на территории Российской Федерации уполномоченного представителя производителя, в том числе авторизованного сервиса;

в) отсутствуют сведения о мерах, предпринимаемых пользователем Программного обеспечения для обеспечения информационной безопасности. ¹⁾

------------------------------

¹⁾ Примечание:

К таким сведениям относятся:

- не указан порядок применения имеющихся ключей доступа, а также порядок определения пользователей с санкционированными доступом;

- отсутствуют сведения об уровне конфиденциальности информации, в том числе информации о пациенте, применяемой для осуществления функционирования Программного обеспечения;

- отсутствуют сведения о надлежащем кодировании (при необходимости) информации, предназначенной для передачи по интернет-сетям открытого доступа (например, в режиме телемедицинских консультаций);

- отсутствуют сведения о порядке обеспечения пользователем защиты информации, предназначенной для длительного хранения, от несанкционированного удаления;

- отсутствуют критерии оценки возможного повреждения и нарушения архитектуры Программного обеспечения, для свидетельства попытки несанкционированного доступа.

------------------------------

В случае, если производитель устанавливает возможность взаимодействия Программного обеспечения с иными информационными системами (определение "иных информационных систем" приведено в постановлении Правительства Российской Федерации от 12.04.2018 N 447), он должен информировать потребителя о возможных угрозах со стороны таких иных информационных систем. Информирование потребителя должно обеспечиваться с учетом требований постановления Правительства Российской Федерации от 01.11.2012 N 1119.

2.10 Оценка фотографических изображений медицинского изделия.

Проверяется наличие фотографий, предусмотренных подпунктом "д)" пункта 10 Правил государственной регистрации.

В качестве фотографий Программного обеспечения рассматриваются:

а) фотографическое изображение материального носителя (при поставке Программного обеспечения на материальном носителе);

б) фотографическое изображение (скриншот) экрана, в случае поставки Программного обеспечения без участия материального носителя (по сети Интернет).

Фотография должна позволять четко и однозначно идентифицировать Программное обеспечение, включая его версию/дату выпуска.

2.11 Оценка объема и полноты проведенных технических испытаний Программного обеспечения.

Применяются положения основных Методических рекомендаций с учетом применения требований к Программному обеспечению. Перечень стандартов, рекомендуемых для подтверждения соответствия при проведении технических испытаний в аккредитованной испытательной организации, приведен в разделе Введение настоящих методических рекомендаций.

Для проведения испытаний системы Программного обеспечения должны быть определены и выполнены испытания, выраженные как входные данные, ожидаемые результаты, критерии приемки и процедуры, с целью учета всех требований Программного обеспечения.

Критерии несоответствия - по основным Методическим рекомендациям (всё по применимости к конкретному Программному обеспечению), с учетом следующих особенностей, в результирующих документах по техническим испытаниям:

- не определены тестируемые функции, тестовые данные, процедура тестирования, среда тестирования и другие условия (уточнение конфигурации средств испытаний и подготовительная работа);

- не представлены сведения о программных модулях, которые должны быть интегрированы в программные элементы и программные системы;

- не определены и не испытаны аппаратные элементы, программные элементы и поддержка ручного управления (например, интерфейс, приспособленный для человека, диалоговые меню подсказки, распознавание речи, речевое управление системой), интегрированные в систему;

- не приведены результаты тестирования комбинаций требований, для случаев если между требованиями существуют зависимости.

2.12 Оценка проведения тестирования информационной безопасности.

Под информационной безопасностью Программного обеспечения понимается состояние сохранности полноты, целостности, точности полученных данных и конфиденциальности при передаче, хранении и анализе данных пациентов. Неверный анализ или нарушенная передача информации о пациенте может привести к неправильной или несвоевременной диагностике и терапии.

При проведении оценки информационной безопасности рекомендуется опираться на положения ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство". Испытательная организация может применять для тестирования защищенности Программного обеспечения и другие действующие нормативные документы и стандарты, в соответствии со своей областью аккредитации.

Проверяются результаты технических испытаний Программного обеспечения на наличие оценки, представленной производителем (изготовителем) технической и эксплуатационной документации в части:

- соблюдения норм информационной безопасности при сохранении необходимого объёма и своевременной доступности информации;

- наличия идентификации и внедрения безопасных и формализованных способов получения, хранения, преобразования и передачи данных;

- использования надлежащих мер контроля для обеспечения целостности данных в тех случаях, когда доступ к общей информации осуществляется несколькими видами Программного обеспечения;

- определения всех возможных опасностей при обновлении Программного обеспечения;

- обеспечения защиты конфиденциальной информации, в том числе в части достаточного контроля доступа и соответствующих ограничений системных настроек и процессов;

- обеспечения и учета возможных неблагоприятных взаимодействий Программного обеспечения с другими системами с включением соответствующих мер устойчивости и надежности.

2.13 Оценка документов, подтверждающих результаты испытаний медицинского изделия в целях утверждения типа средств измерений (в отношении медицинских изделий, относящихся к средствам измерений в сфере государственного регулирования обеспечения единства измерений, перечень которых утверждается Министерством здравоохранения Российской Федерации).

Применяются положения основных Методических рекомендаций.

2.14 Оформление результатов экспертизы.

Результаты экспертизы оформляются в соответствии с основными Методическими рекомендациями.

3 Экспертиза полноты и результатов проведенных технических испытаний, клинических испытаний, а также испытаний в целях утверждения типа средств измерений Программного обеспечения (этап II)

3.1 Применяются все положения основных Методических рекомендаций с некоторыми дополнениями и уточнениями.

3.2 Оценка результатов технических испытаний и испытаний для целей утверждения типа средств измерений проводится в соответствии с разделом 2 настоящих Методических рекомендаций.

3.3 Программное обеспечение - медицинское изделие должно проходить клинические исследования, целью которых должно служить подтверждение эффективности, безопасности использования, а также соответствие его характеристик использованию по назначению, указанному изготовителем.

3.4 В ходе клинических исследований должна быть дана клиническая оценка клинической связи (научной обоснованности), т.е. степени адекватности подбора данных и системы их анализа (концепция, измерения, заключение) целевому назначению. Оценка клинической значимости может подтвердить, что:

- Программное обеспечение имеет устойчивую клиническую связь, базирующуюся на документально подтверждённых результатах, как это определено в клинических рекомендациях, клинических исследованиях в рецензируемых журналах, согласии на использование Программного обеспечения, международных справочных материалах или других подобных хорошо зарекомендовавших себя данных;

- Программное обеспечение имеет новую клиническую значимость, базирующуюся на способности использовать новые входные данные, алгоритмы или результаты, новую целевую группу или новое предназначение.

3.5 Определение клинического значения является необходимым компонентом клинической оценки для любого Программного обеспечения и может быть продемонстрировано ссылками:

а) на существующие данные исследований, проведенных для того же предполагаемого использования,

б) на существующие данные исследований, проведенных для другого предполагаемого использования, где может быть оправдана экстраполяция таких данных;

в) генерацией и определением новых клинических данных для конкретного предполагаемого использования Программного обеспечения.

3.6 Необходимость проведения клинических испытаний Программного обеспечения с участием человека в качестве субъекта устанавливается в соответствии с критериями пункта 37 Порядка, установленного приказом Минздрава России от 09.01.2014 N 2н.

Блок-схема проведения клинической оценки

3.7 Результаты клинических испытаний Программного обеспечения (как и любого другого медицинского изделия) должны быть оформлены в соответствии с Приложениями к приказу Минздрава России от 09.01.2014 N 2н.

3.8 Для проведения клинических испытаний необходимость инсталляции Программного обеспечения с применением технических средств клинической организации определяется испытательной клинической организацией и отражается в Программе проведения клинических испытаний.

В случае инсталляции (де инсталляции) программного обеспечения для проведения клинических испытаний медицинской организации следует руководствоваться положениями постановления Правительства Российской Федерации от 6 июля 2015 года N 676.

3.9 При оценке результатов клинических испытаний следует учитывать следующее:

- при проведении клинических испытаний Программного обеспечения как медицинского изделия для диагностики in vitro Программное обеспечение проверяется с применением необходимого оборудования (в том числе медицинских изделий, баз данных), предназначенного для обеспечения надлежащей работы Программного обеспечения;

- при проведении испытаний с участием человека в качестве субъекта Программное обеспечение проверяется с применением необходимого оборудования (в том числе медицинских изделий, баз данных), предназначенного для обеспечения надлежащей работы Программного обеспечения;

- в процессе проведения клинических испытаний Программного обеспечения как медицинского изделия для диагностики in vitro или испытаний с участием человека в качестве субъекта должны быть задействованы все модули Программного обеспечения (при модульной архитектуре), опробованы все функции, указанные производителем в эксплуатационной документации (в случае невозможности такого опробования должны представляться подробные пояснения причин);

- в связи с тем, что Программное обеспечение для проведения клинических испытаний инсталлируется (устанавливается) на соответствующем оборудовании до получения регистрационного удостоверения, в Протоколе клинических испытаний медицинских изделий для диагностики in vitro или испытаний с участием человека в качестве субъекта должны быть сведения о деинсталляции Программного обеспечения;

- при проведении клинических испытаний Программного обеспечения без участия человека в качестве субъекта должны быть оценены все позиции доказательных баз (клинические данные, анализ взаимозаменяемых медицинских изделий и т.п.), представленных производителем (изготовителем) в медицинскую организацию;

- при проведении клинических испытаний Программного обеспечения (любых) испытательная медицинская организация в обязательном порядке оценивает эксплуатационный документ (руководство пользователя) и делает вывод как о том, что содержание документа доступно и понятно специалистам соответствующего профиля, так и о том, что его содержание обеспечивает надлежащее эффективное и безопасное медицинское применение.

4 Экспертиза качества, эффективности и безопасности Программного обеспечения (медицинского изделия) 1 класса потенциального риска и медицинских изделий для диагностики in vitro.

4.1 Применяются все положения основных Методических рекомендаций с некоторыми дополнениями и уточнениями.

4.2 Для изделий 1-го класса потенциального риска и медицинских изделий для диагностики in vitro осуществляется экспертиза заявления о регистрации и документов, указанных в пункте 10 Правил государственной регистрации, полноты и результатов проведенных технических испытаний, токсикологических исследований, клинических испытаний, а также испытаний в целях утверждения типа средств измерений. ¹⁾

------------------------------

¹⁾ Примечание: в случае, если программное обеспечение для диагностики in vitro (например, Лабораторная информационная система (ЛИС) с функцией интерпретации данных) входит в состав (как модуль) другого программного обеспечения, имеющего в назначении, кроме диагностики in vitro, и другие функции (например Медицинская информационная система (МИС)), то к нему не применяются положения Правил регистрации, установленные для медицинских изделий для диагностики in vitro в части одноэтапности экспертизы, а экспертиза выполняется на общих основаниях, в два этапа.

------------------------------

4.3 Результаты экспертизы оформляются Заключением комиссии экспертов в соответствии с формой Приложения 3 Порядка проведения экспертизы, порядок заполнения формы Заключения приведен в Приложении А основных Методических рекомендаций.

4.4 Экспертиза документов, указанных в пункте 10 Правил государственной регистрации, полноты и результатов проведенных технических испытаний, токсикологических исследований, а также испытаний в целях утверждения типа средств измерений осуществляется в порядке, указанном в разделе 2 настоящих Методических рекомендаций.

4.5 Экспертиза полноты и результатов проведенных клинических испытаний осуществляется в порядке, указанном в разделе 3 настоящих Методических рекомендаций.

5 Экспертиза для определения возможности (невозможности) внесения изменений в документы, входящие в регистрационное досье на Программное обеспечение

5.1 Применяются все положения основных Методических рекомендаций.

5.2 В соответствии с пунктом 39 Правил государственной регистрации и Порядком проведения экспертизы, экспертиза комплекта документов проводится в порядке, аналогичном порядку проведения экспертизы качества, эффективности и безопасности медицинского изделия для его государственной регистрации со следующими дополнениями:

5.2.1 Производитель (изготовитель) предоставляет сведения об изменении в документации регистрационного досье (прежде всего, в технической и эксплуатационной документации) в случае обновления Программного обеспечения, если такое обновление затрагивает:

- порядок установки (инсталляции) Программного обеспечения;

- функциональные технические характеристики (например, расширение и (или) уменьшение функций);

- внешний вид ярлыка (значка), обычно располагаемого на "рабочем столе" Программного обеспечения;

- порядок работы с Программным обеспечением (в этом случае необходимо предоставление новой версии руководства пользователя с идентификационным номером версии);

- любые другие изменения, которые необходимо принимать во внимание пользователю (в том числе медицинской организации) при применении Программного обеспечения.

5.2.2 Производитель (изготовитель) предоставляет сведения в случае изменения носителя Программного обеспечения и предоставляет соответствующие фотографические изображения.

5.3 В соответствии с пунктом 39 Правил государственной регистрации регистрирующий орган оформляет и выдает задание на проведение экспертизы качества, эффективности и безопасности медицинского изделия экспертному учреждению.

5.4 Результаты экспертизы оформляются в соответствии с формой Приложения 4 Порядка проведения оценки. Детализированный пример и порядок заполнения формы Заключения приведен в Приложении А основных Методических рекомендаций.

Генеральный директор ФГБУ "Национальный институт качества" Росздравнадзора

Иванов И.В

Генеральный директор ФГБУ "ВНИИИМТ" Росздравнадзора

Щарикадзе Д.Т.