Требования к технологии управления безопасностью

Рубрики Статьи

Корпоративная система управления безопасностью труда. Корпоративная система стандартизации

Корпоративная система управления безопасностью труда
Корпоративная система стандартизации

А.Ф. Борисов, зав. кафедрой,
И.А. Кислицина, инж. Кафедры
«Безопасность жизнедеятельности» Нижегородского
государственного архитектурно-строительного университета,

Одно из главных направлений в работе по улучшению состояния безопасности труда в России — упорядочение работ по охране труда, разработка программ с использованием современных методических подходов в форме системного комплексного целевого планирования и создание на этой основе корпоративных систем безопасности труда (КСБТ) в организациях. Разработанные программы реализуются в виде локальных нормативных актов по отдельным направлениям — стандартов предприятия (СТП), а в интегральной форме образуют единую систему стандартов безопасности труда.

Ключевое значение придается специальным вопросам, психологии интеллектуальным формам работы.

Основной мотивацией работ по созданию КСБТ в организации являются снижение уровня травматизма и профзаболеваний, упорядочение всей работы по охране труда в организации, создание образцовой системы — модели управления, которая способствует повышению имиджа организации, привлечение инвесторов и заказчиков, улучшение главных производственных показателей — повышение качества продукции и увеличение производительности труда, уменьшение материальных потерь предприятия.

Проектирование работ по охране труда, обеспечению его безопасности представляет собой сложную, многоплановую задачу, которая предусматривает использование интеллектуально-аналитических методов решения многочисленных проблем, формирование объемной информационной и нормативно-правовой базы, а также разработку 150-200 конкретных документов по организации и управлению безопасностью труда. При этом необходима разработка унифицированных методических подходов.

На практике в организациях, где охране труда уделяется большое внимание, разрабатывается более 30 стандартов по безопасности труда и постоянно используется не менее 150 различных документов по управлению охраной труда.

Документально оформленная КСБТ представляет собой макет нормативных требований , составляющих по объему не более 5-10% всей массы требований, но охватывающих системно все вопросы управления охраной и безопасностью труда.

Создание такого макета требует изучения нормативных и законодательных требований, которые позволяют определить в дальнейшем номенклатуру документации — приказы, декларации, обязательства, должностные обязанности, планы мероприятий по охране и безопасности труда, положения, акты, формы различных документов (проверки, контроля, инструктажей, журналов), программы, структурные схемы управления по отдельным разделам охраны труда.

Все документы утверждаются руководителем организации и являются обязательными для исполнения руководителями, специалистами и рабочим персоналом.

Одним из основных требований, предъявляемых к этим документам, являются объем и лаконичность их изложения.

Основным базовым документам при разработке современной СУОТ является ГОСТ Р 12.0.006-2002 «ССБТ. Общие требования к управлению охраной труда в организации», интегрированный с требованиями базового международного стандарта OHSAS 18001-99 «Системы управления охраной здоровья и безопасностью персонала».

Принципы и содержание ГОСТ Р 12.0.006-2002 соответствуют международным требованиям и основным требованиям Федерального закона от 27.12.02 № 184-ФЗ «О техническом регулировании». Стандарты (системы, программы), разработанные на его основе, могут быть в дальнейшем сертифицированы в международной системе OHSAS 18001-99.

В соответствии с ГОСТ Р 12.0.006-2002 одним из ведущих стандартов предприятия является «Политика организации по сохранению здоровья и обеспечению безопасности труда«. Этот стандарт определяет стратегию предприятия в области охраны и безопасности труда. Ниже приведен макет такого стандарта.

Утверждаю
Руководитель предприятия
________________ / ________ /
« ___ » ____________ 200 __ г.

«Политика организации по сохранению здоровья и обеспечению безопасности труда»

Утвержден и введен в действие
приказом от « ___ » __________ 200 __ г. № ____

Согласован решением профсоюзного собрания

Протокол от « ___ » __________ 200 __ г. № ____
Дата введения « ___ » __________ 200 __ г.

Утверждаю
Директор ________________
« ___ » __________ 200 __ г.

Положение о работе по реализации политики предприятия ________________________

в области обеспечения безопасности труда

В системе стандартов ССБТ предприятия _________________________ стандарт «Политика» является важнейшим направлением в работе по охране труда.

Политика организации определяет общие цели и задачи по созданию, реализации и непрерывному совершенствованию всей системы безопасности труда. Положение устанавливает приоритетность следующих стратегических целей в организации:

— постоянное улучшение условий труда;

— уменьшение профессионального риска;

— сохранение жизни и здоровья;

— создание оптимальных условий труда;

— утверждение в коллективе психологии приоритетности безопасности труда.

Высшее руководство организации совместно с отделом охраны труда и общественными организациями разрабатывают трудовой договор, обязательства работодателя, декларацию коллектива о безопасности труда в организации, а также создают условия и проводят работу по принятию обязательств работниками производственного управления.

Ознакомление и доведение принятой политики и важнейшей документации до всех работников организации осуществляется путем экспонирования ее на специальных стендах, а также в форме издания тиражом, который полностью обеспечивает всех работающих материалами СУОТ и, в т. ч., разделом «Политика». При проведении обучения по охране труда руководителей и специалистов, а также рабочего персонала в программу обучения включается раздел по разъяснению политики, организации в области охраны труда. Содержание политики, ее цели, приоритеты, связанное с политикой формирование психологии являются обязательными разделами при обучении.

Обеспечение широкой поддержки принятой политики на всех уровнях достигается:

— за счет включения в должностные обязанности руководителей всех уровней заданий по формированию психологии необходимости строгого соблюдения требований локальных нормативных актов системы КСБТ, психологии приоритетности обеспечения безопасности труда при выполнении производственных заданий, психологии безусловной приоритетности жизни и здоровья работающих;

— контрольных проверок комиссией по проведению внутреннего аудита и анализа реализации основных положений политики в подразделениях организации;

— рассмотрения на производственных совещаниях с участием высшего руководства (не реже двух раз в год) результатов внедрения системы управления охраной труда и реализации политики в коллективах подразделений.

Корректировка политики и обеспечение ее постоянного соответствия потребностям организации проводится:

— на основе результатов обсуждения эффективности внедрения КСБТ при проведении ежегодных совещаний с участием высшего руководства;

— результатов аудиторских проверок;

— анализа результатов проведения аттестации рабочих мест по условиям труда и итогов проведения сертификации работ по охране труда, разработки корректирующих мероприятий.

Разработка предложений по корректировке политики поручается специальной комиссии, которая обобщает материалы по состоянию и реализации политики и, если это необходимо, проводит оптимизацию работ, предлагая новые дополнительные актуальные направления, мероприятия инженерно-технического или организационно-управленческого содержания.

Корректировка политики предусмотрена также при существенной структурной перестройке, введении новых, более совершенных технологий.

Корректировка политики, являющейся структурообразующим элементом, влечет за собой анализ и корректировку других направлений работы по безопасности труда.

Количественное выражение целей и задач, анализ и количественная оценка состояния охраны труда, комплексная оценка условий труда, оптимизация работ по охране труда и решение других вопросов, обозначенных в нормативных государственных требованиях, невозможны без создания соответствующей базы данных, а также общепринятой методологии расчета. Положение предусматривает разработку стандарта «Профессиональные риски: оценка и управление».

Эффективность реализации вопросов, сформулированных в СТП-Политика, во многом зависит от отношения к этим вопросам руководителей и специалистов, их гражданской позиции, т. е. от комплекса тех состояний и личных качеств, которые определяются понятием «психология». В связи с этим Положение предусматривает разработку стандарта «Психология в обеспечении безопасности труда».

Разработку основных положений политики, ее документальное оформление осуществляет руководство, ответственное за обеспечение безопасности труда в организации.

КСБТ в целом декларирует соответствие требованиям российских и международного стандартов.

Предприятие ____________________ подтверждает свои намерения и решимость к постоянному совершенствованию деятельности в области обеспечения безопасности труда на основе следующих принципов и целевых установок:

— рассматривать как высшую ценность человека его жизнь и здоровье, сохранение которых представляет генеральную цель предприятия;

— считать важнейшей задачей коллектива утверждение психологии приоритетности вопросов и производственных заданий по обеспечению безопасности труда. В связи с этим рассматривать систему охраны труда как единое целое и один из главных разделов всей работы по управлению производственной деятельностью предприятия;

— обеспечить создание абсолютно безопасной продукции, не уступающей лучшим мировым стандартам;

— неукоснительно выполнять требования законодательных актов, коллективных соглашений, технических регламентов, локальных нормативных актов и других документов, составляющих основу управления производством и безопасностью труда в особенности;

— обеспечить гарантированные консультации, участие и тесное взаимодействие руководителей, специалистов, рабочего персонала и общественных представителей во всех элементах системы управления охраной труда.

Для реализации политики и достижения поставленных в декларации целей разработать (или руководствоваться, если разработана) программу менеджмента по управлению охраной труда в форме всеобъемлющей системы стандартов безопасности труда (ССБТ), содержание которой соответствует требованиям Международного стандарта OHSAS 18001-99 и ГОСТ Р 12.0.006-2002 «Общие требования к управлению охраной труда в организации».

Считать основными формами непрерывной работы по уменьшению профессионального риска и улучшению условий труда проведение идентификации опасных и вредных факторов, их количественную оценку, профилактику и разработку опережающих действий.

Обязательства генерального директора по обеспечению безопасности труда в организации

Читайте так же:  Оформить социальную карту студента мфц

Подтверждая свою приверженность основополагающим принципам политики, определяющей жизнь человека самой высокой ценностью, а также необходимость ее защиты, защиты здоровья человека, постоянного уменьшения профессионального риска, я возлагаю на себя следующие обязательства:

— последовательно внедрять в коллективе психологию приоритетности безопасности труда, психологию самой высокой значимости работ, направленных на сохранение жизни человека, его здоровья и создание оптимальных условий труда;

— постоянно добиваться соответствия условий труда требованиям законодательных актов и нормативных документов;

— ежегодно анализировать политику, подводить итоги по реализации ее основных положений и вводить корректирующие действия;

— обеспечить интеграцию вопросов по управлению охраной труда с управлением производственными процессами;

— создать условия, обеспечивающие стопроцентную информированность работников об условиях труда, существующих производственных рисках и полагающихся компенсациях за вредные условия труда;

— считая важнейшей задачей реализацию политики в области охраны труда, обеспечить ее поддержку на всех уровнях производственного управления и рабочего персонала;

— обеспечить необходимую финансовую поддержку для создания и внедрения системы стандартов безопасности труда на предприятии;

— обеспечить постоянное участие органов и службы охраны труда в решении важнейших вопросов безопасности труда на предприятии и в подразделениях, широкое представительство и участие общественных организаций, комиссий и уполномоченных по охране труда;

— создать основу для обоснованного установления целей и задач для каждого уровня управления и стандарта (СТП), постоянного их анализа и, при необходимости, обновления;

— добиться снижения травматизма в текущем году не менее чем на 10% за счет улучшения условий труда и упорядочения работы путем реализации системы стандартов безопасности труда.

Обязательства руководителей среднего звена

Подтверждая свою приверженность политике организации по обеспечению безопасности труда, возлагаю на себя следующие обязательства:

— рассматривать безопасность как элемент столь же важный, как и себестоимость продукции, производительность труда и качество работ;

— строго выполнять требования законодательных, нормативных актов и локальных нормативных актов системы стандартов безопасности труда организации;

— проводить в своем подразделении разъяснительную работу о приоритетности вопросов сохранения жизни, здоровья и создания оптимальных условий труда;

— внедрять психологию под девизом: «Достойный труд — это в первую очередь безопасный труд»;

— нести личную ответственность за достижение целей и задач, установленных в декларации предприятия;

— установить тактические цели и задачи по охране труда, учитывающие специфику производства нашего подразделения, а также разработать план действий по охране труда;

— систематически обсуждать вопросы безопасности с работниками организации и подразделений.

Утверждаю
Директор ________________
« ___ » __________ 200 __ г.

Программа раздела «Политика и психология в обеспечении безопасности труда»
(при обучении по охране труда руководителей, специалистов и рабочего персонала)

1. Содержание СТП-1 «Политика предприятия по обеспечению здоровья и безопасности». Структурная схема стандарта.

2. Основные принципы проектирования СТП-1 «Политика предприятия по обеспечению здоровья и безопасности».

3. Разработка документации по реализации политики.

4. Психология в производственной деятельности руководителей и специалистов в улучшении условий охраны труда.

5. Декларация, положение о работе по реализации политики по охране труда. Должностные обязанности и ответственность руководителей и специалистов в области реализации политики.

6. Обязательства по охране труда высшего руководства предприятия, руководителей подразделений и специалистов.

7. Формы воспитательной работы в коллективе по формированию психологии безопасности.

8. Мотивация проведения работ по созданию системы стандартов безопасности труда.

Директор ________________
« ___ » __________ 200 __ г.

Придавая большое значение нравственному воспитанию руководителей, специалистов и рабочего персонала в духе приоритетности вопросов обеспечения безопасности труда в производственной деятельности нашей организации и выполняя требования ГОСТ Р 12.0.006-2002 и OHSAS 180001-99, приказываю:

Разработать стандарт предприятия СТП-1 «Политика предприятия по обеспечению здоровья и безопасности».

Ответственный — главный инженер ________________

Уделить внимание разработке номенклатуры документации стандарта, документальному закреплению основных приоритетов в работе по обеспечению безопасности труда, последовательному, постоянному проведению разъяснительной работы по методике реализации политики и формированию психологии безопасности, используя для этого личный пример, разные формы обучения, собрания, совещания.

Уделить внимание проведению контроля за реализацией политики, закрепленной в стандарте. Включить в должностные обязанности руководителей и специалистов ответственность за реализацию политики по обеспечению безопасности труда в своих подразделениях.

Контроль возложить на начальника отдела охраны труда ___________________

Требования к технологии управления безопасностью

Так, по данным этих исследований, ущерб от неосторожных и неправомерных действий сотрудников в несколько раз превышает объем причиненного вреда от действий вирусов и хакерских атак. И это несмотря на то, что, согласно отчету Computer Crime and Security Survey, количество инцидентов по вине внешних и внутренних нарушителей спокойствия соизмеримо.

Этот результат вполне закономерен. Хотя внешних злоумышленников действительно значительно больше, но, во-первых, они меньше мотивированны. Отбросив малое число наемных профессионалов, мы получим огромную массу школьников и студентов, которые просто из любопытства пробуют скачанные утилиты, не преследуя каких-либо определенных целей и порой даже не зная, что делать с полученной информацией. Во-вторых, им противостоят мощные и зрелые технологии периметровой защиты, то есть внешнему злоумышленнику нужна большая квалификация, чтобы преодолеть все эти барьеры.

У внутреннего нарушителя, особенно если его действия сознательны, а не являются ошибкой, стимулов может быть больше: от банальной обиды до материальной выгоды в случае подкупа со стороны конкурентов. А возможностей — не в пример больше. Он уже является легальным пользователем сети, имеет доступ в том числе и к конфиденциальным ресурсам организации, может пользоваться корпоративными приложениями и обрабатываемыми в них данными на законных основаниях.

Но если это так, почему большие усилия тратятся именно на защиту от внешних угроз? Есть несколько причин.

Строить систему защиты от внешнего врага гораздо проще. Это хорошо известный и уже проторенный путь. Любой из нас готов начать перечислять необходимые средства защиты. Кроме того, занимаясь построением этого рубежа обороны, мы не влияем на работоспособность нашей информационной системы. Все бизнес-приложения работают нормально, цена ошибки администрирования — по большому счету, лишь кратковременное отсутствие доступа в Интернет.

Защита от внутреннего врага сложнее и требует больших усилий. Она складывается из обеспечения безопасности самих приложений и грамотного администрирования, которое прежде всего подразумевает под собой наличие четких привилегий сотрудников компании на доступ к ресурсам информационной системы (в сформулированном виде — это политика безопасности).

Данные привилегии должны быть достаточны для обеспечения нормальной работы и в то же время минимальны с точки зрения доступа и возможности манипулирования информацией.

И зачастую при появлении подобной задачи, проблем видится больше, чем решений.

Перечислять их можно долго, проблемы цепляются друг за друга. Например, незащищенность ряда приложений вынуждает нас использовать дополнительные средства защиты. Однако эти средства нужно не только приобрести и правильно внедрить, но и сопровождать. И если с процессом внедрения обычно проблем не возникает (справляются либо штатные специалисты, либо нанятые консалтинговые компании), трудности появляются потом, в процессе администрирования системы. Ведь управление средствами защиты осуществляется зачастую отдельно от уже используемых в компании, в том числе и штатных механизмов. А это означает, что рано или поздно (в зависимости от масштаба информационной системы) наступает момент, когда настройки системы защиты и настройки штатных механизмов начинают расходиться.

Расхождение происходит еще и потому, что отсутствуют процедуры, регламентирующие внесение изменений в информационную систему и в настройки механизмов безопасности. А внести изменения в реальные настройки системы гораздо проще и быстрее, чем оформить их. Да и набрать номер администратора или забежать к нему по пути проще, чем написать заявку. В результате — в заданный момент времени практически невозможно воссоздать реальную картину происходящего, невозможно ответить на вопрос: «Почему к определенному ресурсу имеют доступ эти пользователи и группы пользователей?». Теряется история всех производимых изменений, и уже нельзя определить — правильно или неправильно сконфигурированы, пусть даже самые совершенные, механизмы защиты.

Цена ошибки за неправильное администрирование измеряется либо предоставлением пользователю необоснованно больших компетенций (а равно — созданием огромной уязвимости в информационной системе), либо ограничением необходимого ему в какой то момент доступа (при этом, возможно, срывается выполнение задач организации).

Кстати, среди этих вариантов невозможно выбрать предпочтительный…

Что предпринимаем?

Но универсальная консоль управления всеми приложениями не спасает, поскольку не дает ответ на вопрос — на каком основании, кто и как должен принимать решения о том, какие изменения нужны.

Для упорядочения деятельности по администрированию на предприятии рано или поздно вырабатываются регламенты и прочие документы, описывающие правила работы и взаимодействия всех субъектов информационной системы.

Но решить эту проблему только организационными методами не удается. Виной всему нехватка и недостаточная квалификация администраторов, перегруженность специалистов и, самое главное — отсутствие механизмов проверки фактического положения дел. Все это приводит к тому, что даже при наличии некоторой формальной системы управления контроль над информационной системой и вопросами безопасности данных в ней все равно теряется.

Читайте так же:  Молить прошение

Кстати, порой простое увеличение штата IT-подразделения и подразделения информационной безопасности только усугубляют проблемы. В этих структурах, в свою очередь, появляются подразделения, специализирующиеся на отдельных подсистемах, взаимодействие структур нарушается еще больше.

Осознавая всю сложность решения задачи, а так же отсутствие инструментов, специалисты по информационной безопасности зачастую медлят с устранением проблемы.

Применительно к обеспечению безопасности информационной системы (ИС) это можно представить следующим образом.

  1. Иметь в наличии документ, в котором должно быть четко описано, кто и на каком основании должен иметь доступ к ресурсам информационной системы.
  2. Иметь единую точку взаимодействия сотрудников организации с информационной системой, через которую они смогут формулировать свои пожелания на предоставление доступа к тем или иным ресурсам ИС.
  3. Иметь инструменты контроля правильности настроек ИС.

Разработками такого рода в последнее время занимается несколько крупных корпораций. Свои решения предлагают Oracle и IBM. Отрадно, что в ряду гигантов IT-индустрии есть и отечественный разработчик, компания «Информзащита», котороая имеет свою систему комплексного управления безопасностью (КУБ).

Особенность предлагаемых решений в том, что в них соединяются не работающие по отдельности технический и организационный подходы к управлению безопасностью.

При внедрении таких систем предполагается, что организация уже имеет сформулированную политику безопасности. Эта политика вместе с информацией об ИС служит в дальнейшем фундаментом системы управления.

Для описания информационной системы обычно необходимо знать следующее.

  • Перечень информационных ресурсов. Под ресурсом могут пониматься конкретные серверы и папки на них, эксплуатируемые приложения, оборудование и даже сегменты сети.
  • Ответственный за безопасность этих ресурсов. Это могут быть владельцы ресурсов, главы подразделений, кураторы со стороны службы безопасности и другие.
  • Ответственный за администрирование этих ресурсов.
  • Как ресурсы информационной системы взаимосвязаны между собой. Порой для нормальной работы приложения необходим комплекс настроек — от настроек самого приложения до коммутационного оборудования. Ведь даже если мы выполним все настройки, но забудем прописать разрешающее правило на внутреннем межсетевом экране, решение всей задачи будет сорвано.
  • Штатная структура компании. Какой доступ и к каким ресурсам имеет сотрудник, занимающий на определенную должность.

На базе полученной информации система управления выстраивает идеальную модель ИС. Этот момент можно считать стартовым в работе системы управления безопасностью.

Отныне все общение по вопросам изменений настроек информационной системы начинает происходить через специализированную систему документооборота, входящую в состав системы управления безопасностью.

Кстати, от зарубежных аналогов отечественную систему КУБ отличает специальный транслятор, который позволяет преодолевать языковой барьер и предоставляет возможность каждому работать с понятными ему терминами: менеджменту компании — с терминами «сотрудник», «должность», IT-специалистам — с терминами типа «учетная запись», «права доступа» и т. п.

Заявка на изменение доступа, составленная в системе управления безопасностью, будет проверена на непротиворечивость требованиям политики безопасности, согласована с владельцами ресурсов и направлена на выполнение администраторам.

Выявлять несоответствие модели ИС и ее текущего состояния системе управления безопасностью позволяют агенты-сенсоры. Такие агенты регулярно следят за всеми связанными с безопасностью ИС настройками операционных систем, приложений, средств защиты, сетевого оборудования.

Под несоответствием системы управления безопасностью ИС предприятия следует понимать либо невыполненные администратором необходимых действий по администрированию информационной системы, либо действия, совершенные им в обход принятого и утвержденного в организации порядка. Например, предоставление лишних полномочий какому-либо пользователю или неправомерное ограничение пользователя в правах.

Информация о несоответствиях тут же поступает в службы безопасности и в службу IT. Ведь каждое из них связано с тем, что кто-то из сотрудников либо приобретает права на доступ к ресурсам ИС, либо теряет их. Это означает, что он может получить лишнюю информацию или лишиться доступа к необходимых ему сведений. А это, как уже отмечалось, равнозначно недопустимо, поскольку таит угрозу безопасности или же приводит к срыву выполнения бизнес-задач.

Наличие в системе документооборота механизма архивирования заявок на изменения доступа к информационной системе позволит в любой момент понять, кто имеет доступ к ресурсам информационной системы и кто запрашивал предоставление этого доступа.

Но затраченные усилия с лихвой окупятся. Выгоды от внедрения систем управления безопасностью очевидны. И прежде всего это повышение защищенности ИС, поскольку отныне все производимые изменения настроек будут контролироваться и производиться в точном соответствии с политикой информационной безопасности организации. Дополнительным бонусом будет сокращение издержек на сопутствующий управлению документооборот.

Кроме того, после внедрения подобной системы управления обеспечение информационной безопасности перестает быть уделом, ответственностью и обязанностью только узких специалистов. В управлении информационной системой начинает действительно активно принимать участие менеджмент организации:. ведь именно они теперь формируют требования к настройкам посредством механизма заявок.

Понятие технологии обеспечения информационной безопасности;

Под технологией обеспечения информационной безопасности в АС понимается определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.

Требования к технологии управления безопасностью:

соответствие современному уровню развития информационных технологий;

учет особенностей построения и функционирования различных подсистем АС;

точная и своевременная реализация политики безопасности организации; минимизация затрат на реализацию самой технологии обеспечения безопасности.

Для реализации технологии обеспечения безопасности в АС необходимо:

наличие полной и непротиворечивой правовой базы (системы взаимоувязанных нормативно – методических и организационно-распорядительных документов) по вопросам ОИБ; распределение функций и определение порядка взаимодействия

подразделений и должностных лиц организации по вопросам ОИБ на всех этапах жизненного цикла подсистем АС, обеспечивающее четкое разделение их полномочий и ответственности;

наличие специального органа (подразделения защиты информации, обеспечения информационной безопасности), наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности организации и осуществляющего контроль и координацию действий всех подразделений и сотрудников организации по вопросам ОИБ.

Реализация технологии обеспечения информационной безопасности предполагает:

назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

строгий учет всех подлежащих защите ресурсов системы (информации, ее носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты; разработку реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения безопасности информации;

реализацию (реорганизацию) технологических процессов обработки информации в АС с учетом требований по информационной безопасности; принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищенности компонентов АС;

применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования; регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС.

Действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утвержденных организационно-распорядительных документов по вопросам обеспечения безопасности информации;

четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;

эффективный контроль за соблюдением сотрудниками подразделений -пользователями и обслуживающим АС персоналом, – требований по обеспечению безопасности информации;

проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.

Требования к технологии управления безопасностью

В настоящее время в связи с использованием устаревшего оборудования, его значительной изношенностью, а также в связи с применением устаревших технологий на многих машиностроительных предприятиях отмечается неудовлетворительное положение в области охраны труда [1, 2]. Исходя из сложившейся ситуации, можно выделить два основных пути улучшения показателей деятельности, которые не требуют значительных финансовых вложений, так как не связаны с быстрым обновлением станочного парка или внедрением в производство инновационных технологий. Первый путь состоит в применении методов прогнозирования вероятных сбоев технологического процесса, приводящих к авариям и несчастным случаям. Второй путь состоит в улучшении системы управления за счет применения процессного подхода и обеспечения качества производственных процессов и процессов системы охраны труда. Одновременная реализация этих двух подходов позволила бы значительно повысить уровень безопасности уже существующих производств.

Процессный и риск-ориентированный подходы положены также в основу другой системы менеджмента – системы менеджмента качества. В стандартах менеджмента качества содержатся наиболее современные требования и рекомендации по системам управления.

Целью настоящей статьи является обоснование необходимости использования процессного подхода для создания риск-ориентированных систем управления безопасностью труда на основе действующих стандартов системы управления охраной труда.

Читайте так же:  Загс грязовец подать заявление

Нужно отметить, что системы управления безопасностью труда (СУБТ) и система менеджмента качества (СМК) значительно отличаются друг от друга, но являются частями единой системы менеджмента предприятия. Система управления охраной труда представляет собой одну из наиболее старых и распространенных систем управления, существующих в промышленности. Отличительная черта такой системы состоит в том, что всему, что касается охраны жизни и здоровья работников, придан единый государственный нормативно-правовой характер. Согласно ст. 211 Трудового кодекса РФ государственные нормативные требования охраны труда обязательны для исполнения юридическими и физическими лицами при осуществлении ими любых видов деятельности. К нормативным правовым актам, содержащим государственные нормативные требования охраны труда, относятся стандарты безопасности труда, правила и типовые инструкции по охране труда, государственные санитарно-эпидемиологические правила и нормативы (санитарные правила и нормы, санитарные нормы, санитарные правила и гигиенические нормативы, устанавливающие требования к факторам производственной среды и трудового процесса) [3]. Ни одна из существующих на предприятиях систем менеджмента не работает в таком насыщенном правовом поле. Создание, структуру, требования, задачи и функции системы охраны труда, порядок выполнения действий внутри системы одновременно регламентируют различные документы от Конституции РФ, постановлений правительства и федеральных законов до национальных, межгосударственных и международных стандартов. Подходы, цели, объем требований, задачи создания и область применения этих документов отличаются, хотя и направлены на достижение одной общей цели – поддержание приемлемого уровня безопасности на производстве.

Для нужд государственного контроля систем безопасности труда используются требования, изложенные в Типовом положении о системе управления охраной труда, утвержденном в Приказе Минтруда России от 19.08.2016 № 438н, и формы статистической отчетности по охране труда [4].

Методические функции по созданию систем управления выполняют стандарты. В настоящее время на территории РФ одновременно действуют национальные и межгосударственные стандарты, как в области управления безопасностью труда, так и в области менеджмента качества.

Создание систем менеджмента качества описано в национальных стандартах РФ [5, 6], и межгосударственных стандартах [7, 8]. Требования по реализации процессного подхода изначально были основой СМК, т.к. он позволяет рассматривать любую деятельность в виде процесса, направленного на достижение запланированного результата. Он дополнен системным подходом и предполагает применение цикла PDCA. Нужно отметить, что такой подход может применяться в любой системе менеджмента. Это значит, что система менеджмента управляет взаимодействующими процессами (системой процессов) и ресурсами, требуемыми для обеспечения значимых результатов для соответствующих заинтересованных сторон. Такой подход позволяет высшему руководству оптимизировать использование ресурсов, учитывая долгосрочные и краткосрочные последствия принятых решений. Деятельность системы ориентирована на удовлетворение потребностей внутренних и внешних потребителей и заинтересованных сторон, так как это гарантирует конкурентоспособность предприятия [5–8]. В стандартах сделан особый акцент на необходимость сочетания оценки рисков, цикла PDCA и процессного подхода.

Основное отличие СМК от систем управления охраной труда состоит в том, что результаты ее деятельности не настолько жестко регламентированы законодательством. Ограничения и требования определяются состоянием внешней среды организации и требованиями заинтересованных сторон, то есть носят экономический характер. Они в гораздо меньшей степени регламентируются государством, что предполагает большую свободу действий при проведении изменений. И, кроме того, применение стандартов системы менеджмента качества носит добровольный характер, а сами стандарты содержат методические рекомендации по созданию, эксплуатации СМК и требования, необходимые для сертификации. Для этих систем разработаны специфические средства и методы управления, которые могут быть полезны для всех систем менеджмента.

Рассмотрим наличие требований по процессному подходу в стандартах на системы управления безопасностью труда (СУБТ).

Близкие подходы к менеджменту предлагаются в стандарте системы безопасности труда ГОСТ Р 12.0.007-2009 [9]. Во введении к этому стандарту содержится прямое указание на необходимость применения одинаковых принципов и методологии при построении СМК и СУБТ. В основу модели системы управления безопасностью труда положен цикл, аналогичный циклу PDCA. Деятельность СУБТ основана на принципе последовательного выполнения функций управления: «организация – планирование и применение – оценка (контроль) – действия по совершенствованию» [9]. Стандарт предназначен для создания на предприятии эффективной системы управления охраной труда, элементы которой могут быть объединены с элементами других систем управления с тем, чтобы содействовать формированию интегрированной системы менеджмента. Стандарт содержит определение процессного подхода, системного подхода, а также определение понятия «система охраны труда». Согласно этому документу, применение в организации управляемой системы непрерывных взаимодействующих процессов, влияющих на охрану труда (при производстве), с использованием ресурсов называется «процессным подходом». Системный подход в нем рассматривается как управление системой процессов. Но этот стандарт относит процессы, связанные с охраной труда, к производственным процессам предприятия, а не к процессам системы управления охраной труда. В нем объединены понятия функция и действие, что характерно для перехода от функциональной системы управления к процессной.

В то же время в нем прямо говорится, что системный подход «позволяет сосредотачивать усилия на наиболее важных процессах и осуществлять непрерывное улучшение системы управления охраной труда посредством проверки (аудита), оценки и последующих модернизаций. В результате повышается результативность и эффективность деятельности организации в этой сфере» [9]. В стандарте прослеживается связь традиционных функций системы охраны труда и современных принципов процессного управления.

Таким образом, понимание «процессного подхода» отличается от трактовок, предложенных Международной организацией по стандартизации (ISO). В стандартах менеджмента качества ISO «любая деятельность, в которой используются ресурсы для преобразования входов в выходы, может рассматриваться как процесс. Систематическое определение и менеджмент процессов, применяемых организацией, и особенно взаимодействие этих процессов могут рассматриваться как «процессный подход» [8]. Более позднее определение рассматривает «процессный подход» следующим образом: «Последовательные и прогнозируемые результаты достигаются более эффективно и результативно, когда деятельность осознается и управляется как взаимосвязанные процессы, которые функционируют как согласованная система. Система менеджмента качества предназначена для управления взаимосвязанными процессами, для достижения целей организации в области качества. Понимание того, каким образом этой системой создаются результаты, позволяет организации оптимизировать систему и ее результаты деятельности» [5]. Стандарт подчеркивает важность участия работников всех уровней и определяет эти уровни. Участие работников является важнейшим элементом системы управления охраной труда в организации. В этом он близок к представлениям альтернативного менеджмента.

В национальном стандарте РФ ГОСТ Р 54934-2012 [10] приняты во внимание соответствующие положения из ISO 9001, ILO-ОSH и других стандартов или публикаций, касающихся систем менеджмента безопасности труда и охраны здоровья. Документ разработан с учетом совместимости с ГОСТ Р ИСО 9001. Модель, предложенная в стандарте, близка к модели менеджмента качества ISO, т.к. основана на применении цикла PDCA и позволяет управлять деятельностью на основе процессного подхода. но не содержит каких-либо определений или указаний по этому вопросу. Основным в этой системе менеджмента является идентификация опасностей и рисков, и все виды деятельности строятся на ее базе. Таким способом реализуется мышление, основанное на оценке рисков. В первую очередь рассматриваются те процессы, которые связаны с идентифицированными опасностями. Тем не менее рекомендуемые подходы очень близки к принципам и требованиям системы менеджмента качества. Можно ожидать, что применение в полной мере процессного подхода может значительно повысить эффективность и прозрачность систем менеджмента безопасности труда и охраны здоровья.

Требования по применению процессного подхода в действующих стандартах на системы менеджмента качества и управления охраной труда