Основная статья: Информационная безопасность
Разбираемся, как провести теперь уже обязательную процедуру: как выявить опасности, какие документы разрабатывать, как часто проводить и что делать с результатами.
Что такое профессиональный риск работников
Согласно статье 209 ТК РФ, профессиональный риск работников – это вероятность причинения вреда здоровью в результате воздействия вредных и (или) опасных производственных факторов при исполнении работником обязанностей по трудовому договору или в иных случаях.
Проще говоря, это тот риск вреда для здоровья работников – будь то травма, профзаболевание или даже смерть, – который возникает при исполнении ими своих должностных обязанностей.
Некоторые работодатели могут сами обучать сотрудников охране труда, но должны уведомлять об этом. Разбираемся с экспертом в процессе: регистрации, оформления и подачи данных.
Работодатель, который обучает подчиненных охране труда, должен сообщить об этом Министерству труда: для этого он регистрируется в реестре обучающих организаций и затем подгружает данные об обучении в соответствующий реестр.
Если организация не внесена в один или оба реестра:
Что такое оценка профессионального риска в организации
Оценка рисков – это выявление опасностей, возникающих в ходе работы сотрудника, определение их величины и тяжести потенциальных последствий. При правильном применении оценка профессиональных рисков на рабочих местах на предприятии – мощный инструмент по охране труда и обеспечении безопасности.
Процедура позволяет узнать и спрогнозировать:
- Виды и степень опасности для здоровья работников
- Группы работников, подверженных риску
- Тяжесть последствий в случае происшествия
Оценка рисков – часть комплекса мероприятий по управлению профессиональными рисками. Последний, помимо оценки/выявления рисков, также включает в себя их контроль и снижение. Грамотное проведение оценки и управления профессиональными рисками является неотъемлемой частью системы управления охраной труда (СУОТ). Процедура позволяет не только проработать существующие риски, но и не допустить возникновения новых, что представляет собой ответственный проактивный подход к охране труда.
Не только рассказываем о СОУТ, но и проводим по цене от 300 ₽ за рабочее место. Узнайте подробнее и оставьте заявку.
Каждая вторая компания в регионах РФ подверглась успешной кибератаке
Специалисты Positive Technologies 26 декабря 2018 года опубликовали результаты опроса, проведенного среди 192 российских компаний из различных регионов. 87% участников опроса признали, что применяемых в их организациях мер защиты недостаточно, а 27% организаций отмечают, что руководство не выделяет необходимые средства на кибербезопасность.
Исследование показало, что каждая вторая из опрошенных компаний-респондентов подвергалась успешным кибератакам. Среди них — 43% предприятий сферы энергетики. Эксперты отмечают, что истинное положение дел может быть еще хуже, поскольку 30% респондентов из сферы энергетики признались, что практика выявления инцидентов в их компаниях отсутствует.
Инфографика: Результаты опроса о кибербезопасности в российских компаниях
Несмотря на то, что подразделение ИБ есть в большинстве компаний, принявших участие в опросе, регулярные тесты на проникновение в корпоративную инфраструктуру проводят только 30% компаний, три четверти которых составляют финансовые организации.
По данным опроса, к помощи сторонних специалистов для расследования инцидентов обращались 16% организаций, бюджет на ИБ в большинстве из них превышает 10 млн рублей. Лишь 6% компаний-респондентов имеют собственный SOC (центр управления безопасностью).
Недостаточная защита
Отсутствие комплексных систем защиты компании пытаются компенсировать внедрением антивирусного ПО и межсетевых экранов — они используются практически во всех опрошенных организациях. Более трети респондентов не смогли отразить атаки с использованием ВПО и предотвратить заражение своих ресурсов, несмотря на использование антивирусного программного обеспечения. 57% компаний считают причиной успеха кибератак отсутствие или неэффективность средств защиты.
Виды атак
По данным исследования, чаще всего организации сталкивались с попытками заражения рабочих станций сотрудников и серверов различным вредоносным программным обеспечением (шифровальщиками, майнерами и т.п.): доля таких компаний составила 60%. С фишингом столкнулись 57% опрошенных компаний.
Причины успешных атак
Более половины респондентов возможной причиной успеха кибератак назвали неосведомленность персонала в вопросах информационной безопасности, немного меньше респондентов отметили непреднамеренные действия сотрудников. Большая часть компаний не видит угрозы в инсайдерах — нелояльных сотрудниках, за деньги раскрывающих конфиденциальную информацию о своей компании или помогающих в проведении на нее атак.
Реакция на инциденты
Опрос показал, что большинство организаций, раскрывающих информацию о произошедших инцидентах, ограничиваются сообщениями регулятору и не сообщают об атаках своим клиентам и партнерам.
Последствия кибератак
Прямые финансовые потери от кибератак понесли 32% участников опроса. Каждая четвертая компания пострадала от простоя инфраструктуры, в том числе 30% промышленных компаний. Большинство компаний-респондентов уверены, что смогут устранить последствия кибератаки в течение суток. Однако специалисты считают эту оценку чересчур оптимистичной, указывая на возможность простоя до 10 суток и более.
| Результаты опроса: | |
|---|---|
| Регулярные тесты ПОС | 30% компаний |
| Обращение к сторонним специалистам | 16% организаций |
| Бюджет на ИБ > 10 млн рублей | Большинство |
| Компании с собственным SOC | 6% респондентов |
| Антивирусное ПО и межсетевые экраны | Во всех организациях |
| Столкновения с шифровальщиками и майнерами | 60% компаний |
| RFI Attack | 10% companies |
Результаты исследования кибербезопасности в региональных организациях
Результаты исследования показывают, что защищенность региональных организаций в нашей стране находится на низком уровне, — отметил директор региональных продаж Positive Technologies Дмитрий Сивоконь.
Большинство компаний-респондентов (82%) стали мишенью для хакеров в 2018 году. Треть респондентов отмечает прямые финансовые потери от кибератак. Убытки особенно остро ощущаются на фоне скромного бюджетирования в большинстве опрошенных организаций: инвестиции в информационную безопасность каждой второй компании не превышают 5 млн рублей.
В связи с этим многие используют только базовые средства защиты. В условиях ограниченного бюджета мы советуем выделить наиболее ценные активы и обеспечить их комплексную защиту.
Информационная безопасность: человек и квалификация
Также Дмитрий Сивоконь отметил, что слабым звеном в защите информации по-прежнему остается человек. По его мнению, руководителям бизнеса необходимо прививать своим сотрудникам культуру информационной безопасности.
Необходимы квалифицированные кадры, дефицит которых в регионах ощущается в разы сильнее, чем в Центральном федеральном округе. Нехватку специалистов по защите информации отметил каждый четвертый участник опроса. В случае если в компании нет выделенного подразделения ИБ, стоит рассмотреть возможность делегирования части задач сторонним специалистам, имеющим соответствующие лицензии.
Неготовность компаний к кибератакам Пятого поколения
Согласно отчету 2018 Security Report, подготовленному компанией Check Point Software Technologies, более 300 мобильных приложений, распространяющихся через официальные магазины, содержат вредоносный код.
Количество облачных угроз, атак криптомайнеров, уязвимостей MacOS и IoT-устройств продолжает расти. Мы наблюдаем следующее поколение кибератак — это многовекторные, крупномасштабные и стремительно распространяющиеся атаки Пятого поколения (Gen V), — отметил Питер Александер, директор по маркетингу Check Point Software Technologies.
77% ИБ-директоров выразили обеспокоенность тем, что организации не готовы к таким современным кибератакам, и что подавляющее большинство инфраструктур безопасности компаний безнадежно устарело.
Отставание защиты от современных киберугроз
Чтобы получить больше информации о современном ландшафте киберугроз, Check Point опросил 443 ИТ- и ИБ-специалистов по всему миру о вызовах, с которыми они сталкиваются, отражая атаки Пятого поколения.
Результаты исследования показали, что защита большинства компаний отстаёт на 10 лет и как минимум на два поколения от современных кибератак Gen V. Это говорит о глобальной повсеместной уязвимости перед атаками Пятого поколения.
Согласно данным 2018 Security Report, кибератаки Gen V становятся все более частыми, — отметил Дуг Кахил, руководитель группы и старший аналитик по кибербезопасности Enterprise Strategy Group.
Риску подвержены все: медицинские учреждения, государственные сервисы, крупные корпорации и т.д. 97% компаний не обладают решениями, способными противостоять кибератакам Gen V, и это нужно менять.
Распространенные уязвимости IT-систем
Отсутствие обновлений: одной из самых распространенных уязвимостей является неприменение обновлений для операционных систем и прикладного программного обеспечения. Это открывает возможности для злоумышленников эксплуатировать известные уязвимости.
Использование слабых паролей: многие пользователи предпочитают использовать слабые пароли, что делает их учетные данные уязвимыми для взлома.
Недостаточная защита мобильных устройств: с ростом использования мобильных устройств в корпоративной среде, защита данных на этих устройствах становится все более важной. Но не все компании обеспечивают должный уровень безопасности для мобильных устройств сотрудников.
Недостаточная обученность сотрудников: бесконечное звено в цепи информационной безопасности — это сотрудники компании. Если сотрудники не обучены основам безопасности в сети, они могут стать уязвимой точкой для атак.
Примеры эксплуатации уязвимостей
Кейс 1: Хакеры смогли получить доступ к конфиденциальным данным клиентов крупной телекоммуникационной компании из-за уязвимости в управлении доступом.
Кейс 2: В компании, специализирующейся на финансовых услугах, злоумышленники использовали недостаточно защищенную сеть Wi-Fi для получения доступа к бухгалтерским данным.
Кейс 3: Несанкционированные лица смогли провести атаку через незащищенную точку входа в корпоративной сети одной из крупных торговых сетей.
Меры по укреплению защиты
Регулярное обновление программного обеспечения и операционных систем.
Использование многофакторной аутентификации.
Обучение сотрудников правилам безопасного поведения в сети.
Контроль и ограничение доступа к корпоративным ресурсам.
Внедрение систем мониторинга и обнаружения инцидентов.
Однако в ходе скрупулёзного тестирования внутренних систем «в ручном режиме» выявлялись различные архитектурные промахи, обеспечивавшие потенциальным хакерам широчайшие возможности для компрометации. Все приведённые примеры — совершенно реальны. По само собой разумеющимся причинам названия конкретных фирм и организаций приводиться не будут.
Эпизод I: Крупная страховая компания обращается с просьбой провести аудит её внутренних систем. Таковых сразу несколько. Отдельная система отвечает за учёт данных, другая — за генерацию отчётности, третья — за введение операционной деятельности и так далее.
В процессе исследования эксперты натыкаются на ряд уязвимостей, позволяющих проводить целый ряд мошеннических действий в обход действующих инструментов разграничения доступа и нанести немалый ущерб всему бизнесу компании.
Например, одна из таких архитектурных уязвимостей позволяла красть авторизационные токены и использовать их для проведения атаки типа межсайтовой подделки запроса, притом что эти токены как раз и нужны для защиты от подобных атак. Проблема была в том, что в старом Java-приложении, написанном ещё в прошлом десятилетии, отсутствовала защита от CSRF-атак; разработчики не захотели полностью отказываться от этого приложения, вместо этого в него интегрировали готовое стороннее решение для защиты от CSRF, однако несмотря на эти изменения система осталась порядком уязвимой.
Как следствие, злоумышленник мог либо скрытно создавать в системе аккаунты с администраторскими полномочиями, либо захватывать большое количество учетных записей и совершать из-под них реальную операционную деятельность.
В частности, существовала возможность обходить верхний лимит страхового возмещения: сумма компенсации проверялась только на стороне клиента, серверная часть спокойно принимала значения, посланные с приложения-клиента. Под контролем злоумышленника могло оказаться множество учётных записей, и мошеннические действия он мог совершать из-под любой из них или даже сразу нескольких, что заметно затрудняло бы расследование инцидента.
Потенциально всё вместе это могло означать огромный ущерб, причём не только финансовый, но и репутационный.
Эпизод II: Крупная сервисная компания, предоставляющая услуги швейцарским телекомам, запрашивает проверку интернет-приложения, написанного для своих сотрудников.
Это приложение оказалось весьма проблемным само по себе. Уязвимости носили преимущественно типичный характер; некоторые недочёты были связаны с использованием «умолчательных» настроек, которые надо было менять при каждом развёртывании приложения.
Например, по умолчанию пользователям был доступен не только функционал SCP (Secure Copy), но и shell-доступ. Его необходимо было отключать, однако этого сделано не было.
Однако в процессе дальнейших исследований выявилось немало проблем с настройками серверов, обеспечивавших злоумышленникам самые широкие возможности.
Например, на сервере настройки фаерволла отсутствовали, что означало возможность инициировать любые соединения, входящие и исходящие, без ограничений; сохранялась активной функция проброса портов (port forwading), а это, по сути, аналог VPN-канала внутрь сети всей организации.
В целом при наличии доступа к аккаунту рядового сотрудника злоумышленник мог бы авторизоваться по SSH на одном из серверов компании (при этом у него появлялась ещё и возможность повысить свои привилегии до уровня суперпользователя) и развивать атаку на внутренние системы фирмы. Со всеми вытекающими.
Эпизод III: Сеть гипермаркетов запросила тестирование своего приложения для программы лояльности. Как и у многих других крупных торговых сетей, у нашего клиента существует собственная программа лояльности, с мобильным приложением в качестве одного из основных инструментов, и собственная платёжная система. Инфраструктура использовала ресурсы облачного сервиса Azure, используя предлагаемые им инструменты защиты.
Как выяснилось, в этой программе лояльности существуют весьма серьёзные уязвимости, позволяющие, в частности, компрометировать пользовательские аккаунты, подбирать секретные коды защиты, используемые при аутентификации платежей.
Была выявлена также проблема с проверочными транзакциями, которые осуществляются при привязке кредитной карты пользователя к программе лояльности. Как оказалось, такие транзакции (объёмом в один евроцент) можно проводить многократно, причём единственным ограничением на такой вывод средств могут послужить лишь фрод-мониторинг на стороне платёжного процессинга владельца карты. Если антифрод-средств нет, то нет и ограничений на количество таких транзакций.
Эксплуатация этой уязвимости могла бы означать огромный репутационный ущерб для торговой сети.
Эпизод IV: Крупный банк поручил провести аудит своего специализированного приложения, предназначенного для управления инвестициями.
Приложение представляет собой «толстый клиент», то есть обычное десктоп-приложение, доступное через VPN. Приложение оказалось полно уязвимостей разного рода, причём некоторые из них были абсолютно критическими, обеспечивающими огромную «поверхность атаки» для потенциальных злоумышленников.
Например, для развертывания приложения использовалась технология виртуального окружения, развертываемая при помощи Citrix XenApp. Разработки Citrix снабжены довольно эффективными средствами защиты, и в данном случае они были надлежащим образом активированы.
Однако во время аудита безопасности приложения удалось обнаружить в нём возможность совершать так называемый «побег» (breakout) из защищённой среды и получать доступ к серверу, находящемуся в соответствующем сегменте сети, что само по себе открывает огромные возможности по развитию атаки.
При дальнейшем аудите приложения удалось узнать аутентификационные данные базы данных Oracle: приложение общалось с базой напрямую, минуя какие-либо программные интерфейсы — подобный подход нельзя назвать безопасным.
Нетрудно представить себе, что это может означать для банка — организации, работающей с личными данными и деньгами множества людей и организаций. Успешная эксплуатация выявленных уязвимостей означала бы огромные финансовые, и, что не менее существенно, репутационные потери.
Вопрос не в том, есть ли в инфраструктуре той или иной компании уязвимые места. Критичные или некритичные, но уязвимости есть и будут, и это объективная данность.
Вопрос в том, как к этому относятся сами владельцы бизнеса и технические специалисты. Готовы ли они рассматривать это как некую «абстрактную данность», то есть, игнорировать и, как следствие, рисковать и деньгами, и репутацией ради малозначимой экономии, или же делают то, что и следует делать — регулярно проводят аудит своей защищённости, собственными силами или привлекая внешних экспертов.
Внешний аудит — куда более продуктивный подход, уже в силу того, что сторонние эксперты могут посвящать проверке максимум ресурсов, — отметил Георгий Лагода, генеральный директор компании SEQ (ранее SEC Consult Services), проводившей описываемые исследования. — А значит, очень маловероятно, что они упустят что-либо.
Респондентов считают свои организации недостаточно защищенными от сложных и целевых атак
Компания Positive Technologies 12 марта 2024 года представила результаты исследования защищенности конечных точек российских компаний. По данным опроса, 74% респондентов считают свои организации недостаточно защищенными от сложных и целевых атак. При этом 76% оценили подход компании к защите конечных устройств с помощью комбинации различных продуктов информационной безопасности как «серьезный». Обнаружение и предотвращение целевых атак важно при построении защиты конечных точек, отметили 73% опрошенных. Около 14% респондентов сказали, что уже сталкивались с целевыми атаками на их компании.
Цель исследования — узнать, насколько российские компании защищены от целевых атак, как они выстраивают защиту конечных точек (например, компьютеров, серверов и сетевого оборудования), с какими трудностями при этом сталкиваются и на какие функции продуктов ИБ обращают внимание в первую очередь.
Почти 80% наших респондентов серьезно относятся к выстраиванию защиты конечных точек, комбинируя разные решения, — отметил Егор Назаров, руководитель направления развития бизнеса защиты от комплексных атак Positive Technologies. — Такой подход чаще используют крупные организации с выстроенными процессами информационной безопасности. Для защиты конечных точек на рынке представлены различные средства: классические антивирусы, EPP, EDR-решения. При этом на практике одного антивируса недостаточно для обнаружения целевых атак. Его технологии основаны на анализе уже известных угроз, и он может пропустить атаку, развивающуюся по принципу цепочки комбинации различных действий, исполняемых на конечной точке и скрытых под легитимными процессами. Кроме того, недостаточно просто выявить инцидент — необходим большой инструментарий, позволяющий быстро реагировать на действия злоумышленников.
EDR-решения предоставляют информацию, сгруппированную по событиям на основе поведенческого, статического и других методов анализа, а также предлагают большой выбор действий по реагированию, включая автоматические. Это помогает освободить специалистов по ИБ от выполнения рутинных задач, переключив их на решение более важных и стратегических вопросов информационной безопасности организации.Российский рынок HR-tech: оценки, перспективы, крупнейшие поставщики. Обзор TAdviser
При построении защиты конечных точек респонденты выделяют три основные сложности. Первая связана с большой нагрузкой на рабочие станции, что затрудняет работу с приложениями. Важно, чтобы они были легковесными и не перегружали конечные точки. Вторая трудность касается невозможности гибко настроить глубину анализа событий. Часто вендоры поставляют «коробочные» продукты без возможности доработки под потребности клиентов. Наконец, третья — это несовместимость агентов разных средств защиты: при мультивендорном подходе инструменты могут конфликтовать между собой, что приводит к перебоям в работе операционной системы. Поэтому необходимо, чтобы разработчики обеспечивали совместимость своих продуктов с другими системами защиты информации.
Российские компании осознают значимость защиты конечных точек и подходят к этому вопросу индивидуально. Многие из них ограничиваются использованием одного класса продуктов, хотя современный уровень угроз требует более продвинутых решений. Такие средства защиты конечных точек от целевых атак, как MaxPatrol EDR, помогут оперативно выявлять сложные угрозы, обеспечат уверенное реагирование и автоматизацию рутинных операций с учетом особенностей инфраструктуры и процессов построения ИБ в компании.
При выборе EDR-решения важно обратить внимание на поддержку российских операционных систем, включенных в единый реестр отечественного ПО, способность к интеграции в различные виртуальные среды, гибкость настройки и возможность автономной работы. Кроме того, необходимо встраивать технологии продвинутых методов обнаружения и анализа ВПО, а также инструменты реагирования в процессы проактивного поиска угроз, — отметил Никита Юдин, менеджер по развитию и продвижению решений для защиты конечных точек Positive Technologies.
График проведения оценки профессиональных рисков
График очень удобен для крупных организаций с разветвленной структурой, чтобы не запутаться в порядке действий и разбить большую задачу на более мелкие этапы. Бонусом идет возможность продемонстрировать инспектору ГИТ, посетившему компанию в середине ОПР, что процесс запущен, выполнена такая-то часть, завершен будет в такие-то сроки.
План мероприятий по снижению уровня профессиональных рисков
Из выбранных корректирующих мер составляется план мероприятий по устранению или снижению уровня профессиональных рисков. В этот план стоит включить следующие пункты:
Образец плана управления рисками можно найти в Приложении № 16 Приказа Минтруда № 926.
Стоит добавить, что после реализации мероприятий необходимо повторно провести оценку рисков, чтобы оценить эффективность принятых мер.
Выбор методики оценки уровня профессиональных рисков
В мире разработаны и применяются более 70 методов анализа и оценки рисков, российский ГОСТ Р 58771-2019 рассматривает более 40. Выбрать подходящую методику помогут рекомендации из приказа Минтруда от 28.12.2021 №926. В нем описаны виды методик и примеры их применения.
Например, методы могут классифицироваться по:
Все методы также делятся на прямые и косвенные. Прямые основаны на данных статистики и применяются к отрасли в целом. Их используют, например, службы статистики и страховые компании для расчета базовых тарифов и коэффициентов «бонус-малус», корректирующих размер взноса в зависимости от страховой истории.
Косвенные же методы подразумевают аудит рабочих мест и процессов, интервьюирование работников и другие практические способы получения данных – их в организациях используют чаще всего. Самый распространенный косвенный метод – метод «контрольных листов» («check-list») в сочетании с «матрицей последствий и вероятностей», или «матрицей риска».
Для оценки рисков производственных процессов и технологических систем рекомендуют пользоваться различными видами анализа: причинно-следственных связей, сценариев, «дерева решений», уровней защиты (Layers of Protection Analysis, LOPA). Для малого и микробизнеса рекомендуются контрольные листы и матричный метод.
Для оценки безопасности продукции и оборудования советуют применять анализ опасности и критических контрольных точек, а также метод исследования HAZOP (от англ. hazard и operability, опасность и работоспособность).
Ждем внесения в реестр обучающих организаций Минтруда
Если вы все оформили правильно, ваше Уведомление получит статус «Принято», «Ожидает внесения в Реестр» или «Внесено в реестр». В ином случае – «Отклонено».
Положение по оценке профессиональных рисков на предприятии
Положение по ОПР на предприятии – один из основополагающих документов в ходе процедуры. В нем организация устанавливает все основные данные по ней: порядок и срок проведения, цели, выбранную методику, всю терминологию, ответственных лиц. Положение можно дополнить примерами с формами документов, которые будут фигурировать в ходе процедуры: приказа о создании комиссии, реестра опасностей, карт рисков и т.д.
Помимо структурирующей и организационной функции такое положение будет еще и хорошим подспорьем при проверке надзорных органов. Изучив документ, инспектор ГИТ получит представление о том, как планировалась и проходила процедура и – в идеале – удостоверится в ответственном отношении работодателя к охране труда.
Выявление опасностей на рабочих местах
В отличие от многих других пунктов процедуры, для выявления опасностей есть рекомендации Минтруда РФ, зафиксированные в приказе от 31.01.2022 N 36. Основные из них касаются источников, из которых можно получить информацию об опасностях. К ним относятся:
Реестр опасностей
Необходимо составить единый перечень идентифицированных опасностей, причем располагаться они должны начиная от более приоритетных к менее. Приоритетными считаются опасности с наибольшей вероятностью происшествия и самыми тяжелыми последствиями для здоровья сотрудников.
Реестр опасностей составляется в свободной форме. Целесообразно указать в нем наименование опасности, число работников или РМ, которые ей подвержены, уровень риска и интегральную оценку уровня риска.
Образец наименований опасностей есть в п. 27 Приказа Минтруда № 776н. Их удобно брать оттуда и в таком виде сразу вставлять в реестр. Не стоит делать реестр громоздким и многословным, чтобы впоследствии по нему было проще составлять план мероприятий по снижению уровней рисков.
Перечень мер по исключению и снижению уровня рисков
Мероприятия по исключению и снижению рисков могут представлять собой:
Начинать выбирать корректирующие меры лучше с более приоритетных рисков, которые требуют безотлагательного вмешательства. Чем более долгосрочный риск необходимо ликвидировать, тем более высокого уровня сотрудников необходимо привлекать к разработке мер по снижению этого риска.
Например, если речь идет о рисках в ходе важного производственного процесса, которые нельзя снизить, не поменяв кардинально сам процесс, логично привлечь к разработке корректирующих мер высшее руководство.
Периодичность проведения оценки профессиональных рисков в организациях
Как уже было упомянуто выше, оценка рисков – это постоянный процесс. Отслеживание опасностей должно вестись непрерывно, в режиме мониторинга.
Если же говорить о полноценной процедуре оценки профессиональных рисков, то, согласно ГОСТ 12.0.230.5-2018, ОПР проводится при любых изменениях либо если она ранее никогда не проводилась. В остальном никаких нормативных указаний на время и периодичность проведения оценки профессиональных рисков нет, поэтому организация вправе сама устанавливать частоту и длительность процедуры.
Сбор исходных данных для оценки профессиональных рисков
Сбор исходных данных – важный этап, от его полноты зависит успех и эффективность всей оценки профессиональных рисков. Прежде чем приступать к сбору информации, убедитесь, что сформирован полный перечень рабочих мест, подлежащих оценке. Это поможет более индивидуально подойти к выявлению опасностей на каждом рабочем месте.
Вот примерный список инструментов и источников, которые можно использовать для сбора исходных данных о рисках.
При заказе СОУТ у нас вы получите полные списки документов. Поможем с оформлением и подачей деклараций.
Ответственность работодателя за отсутствие оценки профрисков
За непроведение оценки профрисков предусмотрена административная ответственность. Часть 1 ст. 5.27.1 КоАП РФ предусматривает следующие штрафы:
Кто может проводить оценку рисков?
Оценку профессиональных рисков может проводить как сам работодатель, так и нанятая им внешняя экспертная организация. Нормативных требований к последним в законодательстве пока нет, т.е. компания не обязана состоять ни в каких реестрах или обладать специфическими лицензиями на проведение оценки рисков.
Наиболее компетентными можно считать:
Привлечение внешних экспертов значительно упрощает процедуру для работодателя, однако не дает ему возможность совсем не участвовать в процессе. Эксперт сторонней организации может оценивать риски, но не может сформировать реестр опасностей без участия сотрудников, чьи рабочие места оцениваются, как не может и составить план мероприятий по снижению рисков без согласования с заказчиком.
Тем не менее, независимость, беспристрастность и опыт сторонней организации делают вариант ее привлечения к оценке рисков более чем целесообразным. EcoStandard group – российский лидер на рынке СОУТ, охраны труда и оценки рисков. В составе компании есть собственная аккредитованная испытательная лаборатория, в штате – более сотни экспертов, включая врачей-гигиенистов. Узнайте подробнее и рассчитайте цену на оценку рисков на сайте компании.
В чем суть нового процесса?
Разбираемся в вопросе вместе с экспертом
Работодатели передают на сайт Минтруда информацию о своих подчиненных, завершивших обучение по охране труда. Эти данные вносятся в соответствующий реестр.
Кому не нужно отправлять данные о внутреннем обучении? Микропредприятиям, если обучение представляет собой инструктаж по ОТ на рабочем месте: использование средств индивидуальной защиты (СИЗ), оказание первой помощи, требования охраны труда и т. д.
На кого он распространяется? На работодателей, которые самостоятельно – то есть внутри компании – обучают сотрудников ОТ.
Как это нововведение влияет на охрану труда? Оно делает обучение в сфере более открытым и контролируемым для органов власти – а это, в свою очередь, требует более ответственного отношения к обучению по ОТ со стороны работодателей.
Как все работало раньше? До недавнего времени процесс обучения сотрудников по ОТ внутри организации не был четко регламентирован: например, для проверки знаний достаточно было создать комиссию. Сейчас работодатель должен иметь:
С чем могут возникнуть проблемы?
Все это несет материальные и трудовые затраты. Наша организация может помочь в организации обучения сотрудников – как в рамках аутсорсинга, так и в рамках Учебного центра.
В первом случае специалист подберет материалы для обучения и поможет организовать учебный кабинет, сам будет передавать данные об обучении в реестр Минтруда. Также есть материалы которые мы предоставляем через нашу программу EcoStandard.soft – бесплатно. В ней можно организовать обучение и проверку знаний сотрудников – вся информация, статистика и документы будут под рукой.
Во втором случае обучение в Учебном центре освобождает работодателя от всех организационных забот, в том числе от передачи сведений в реестр. Нужно просто подать заявку на обучение – все остальное наши эксперты сделают за вас.
Расчет уровня профессионального риска
В каждой методике используется свой способ расчета уровня риска. Например, в матричном методе применяется таблица-матрица или система координат, где по одной оси идет тяжесть ущерба для здоровья работников, а по другой – вероятность опасного события. На пересечении двух показателей и будет лежать значение уровня риска.
Тяжесть возможных последствий для здоровья и вероятность происшествия выбирается из нескольких возможных, например, из пяти: незначительный, низкий, средний, высокий и экстремальный. Для каждого вида риска, т.е. для каждой выявленной опасности определяется свой итоговый уровень риска, который может быть низким, средним и высоким.
Приказ о создании комиссии по оценке профессионального риска
Как и для проведения спецоценки условий труда, для оценки профессиональных рисков рекомендуют сформировать комиссию. О создании комиссии необходимо подготовить и выпустить приказ.
Комиссия должна состоять из нечетного количества членов, минимум из трех. В нее могут входить специалисты по охране труда, начальники отделов и департаментов, административно-управленческие кадры, инженерный персонал, представители профсоюза и другие сотрудники. Включать в комиссию имеет смысл тех сотрудников, которые непосредственно знакомы с вопросами безопасности и с производственно-технологическими процессами.
Как подать сведения об обучении по ОТ в реестр Минтруда
Регистрируемся как обучающая организация
Разработка документов по оценке профессиональных рисков
Несмотря на то, что проводить процедуру оценки рисков стало обязательно, в законодательстве нет четкого списка документов, которые работодатель должен иметь в ходе и в результате процедуры. Примерный список документов может выглядеть так:
Помимо этих документов, в процессе ОПР может быть и много других: заполненные опросные листы, сведения об экспертной организации, проводящей оценки профрисков (при наличии таковой), заключение с результатами процедуры, реестр средних и высоких рисков. Конечный набор зависит от выбранной методики ОПР, привлечения или не привлечения внешних специалистов и в целом от усмотрений работодателя.
Процесс подачи сведений
Кратко опишем алгоритм подачи данных по обучению ОТ в реестр Минтруда. В следующем блоке разберем каждый шаг подробно.
Мы разработали цифровой помощник, который быстро конвертирует Excel-файл в XML. Это бесплатно.
Для работы с каждым реестром потребуется электронная цифровая подпись (ЭЦП) или усиленная квалифицированная электронная подпись (УКЭП). Различие между двумя зашифрованными подписями заключается только в наличии квалифицированного сертификата в случае УКЭП. Юридические лица, индивидуальные предприниматели и нотариусы могут получить ЭЦП бесплатно в налоговой; УКЭП делают платно в аккредитованных удостоверяющих центрах.
Оба процесса – регистрация и подача сведений – достаточно просты. Большая часть данных заполняется автоматически из портала Госуслуг, а с нашей инструкцией вы точно не заблудитесь на сайте Минтруда.
Если вы хотите делегировать мероприятия по охране труда опытным специалистам, можете обратиться к EcoStandard group. Мы полностью закрываем требования в этой сфере – проводим аудиты, обучения и тренинги, помогаем разработать документы и инструкции, оцениваем риски и предлагаем удобную систему для хранения данных, готовим к проверке ГИТ. Заполните форму, и мы свяжемся с вами.
Вносим сведения об обученных сотрудниках
Массовое добавление (через импорт XML-файла):
Порядок проведения оценки профессиональных рисков
Оценка рисков должна проводиться в четыре этапа: подготовка, выявление опасностей, собственно оценка и управление профессиональными рисками. Каждый из них важно полностью пройти, потому что он будет являться базой для следующего.
В первый этап, как следует из его названия, входит в основном подготовка процедурных документов. Необходимо сделать следующее.
Во время второго этапа работодатель выявляет опасности на рабочих местах (РМ). Необходимо:
Третий этап – непосредственно оценка рисков. Здесь нужно выбрать метод оценки профрисков, определить их степень и допустимость, оценить профессиональные риски и составить карты рисков для каждого рабочего места.
Последний, четвертый этап предназначен для управления рисками. Нужно составить план мероприятий, которые позволят снизить или полностью устранить риск и – самое главное – реализовать эти мероприятия.
Помните, что даже после завершения четвертого этапа работа над ОПР не заканчивается. Ответственный работодатель постоянно контролирует безопасность рабочего процесса и стремится вовремя снизить вероятность травм, заболеваний и несчастных случаев для своих сотрудников. В соответствии с проактивным подходом к безопасности работодатель старается не только минимизировать уже существующие риски, но и предотвратить возникновение новых.
Карты оценки профессиональных рисков
Карты помогают эффективно и быстро знакомить сотрудника с рисками, которые присутствуют на его рабочем месте. Одна карта на одно рабочее место.
За образец можно взять такой набор данных для карты:
Оценка профессиональных рисков в 2023 – что необходимо знать
В 2022 году оценка профессиональных рисков (ОПР) на рабочих местах стала обязательной процедурой для всех работодателей в РФ. Статья 214 ТК РФ обязала всех работодателей в РФ систематически выявлять опасности и профессиональные риски (ПР), регулярно их анализировать и оценивать.
В рамках риск-ориентированного подхода к бизнесу многие российские предприятия проводили оценку рисков и до 2022 года. Однако теперь эта процедура по охране труда получила законодательные обязательства. Рассмотрим подробнее основные из них.
Результаты оценки рисков
Основной результат процедуры, конечно, не отчеты и даже не прохождение проверок, а структурированные качественные или количественные данные о существующих опасностях и рисках для здоровья работников на всех рабочих местах в организации. Руководство принимает решения по улучшению условий труда, снижению рисков, внедрению культуры безопасности на рабочем месте и в целом по охране труда на основе этих данных.