Upload
vungoc
View
219
Download
0
Embed Size (px)
Citation preview
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Wydział Inżynierii Mechanicznej i Mechatroniki
Zarządzanie bezpieczeństwem
Wykład 1 – wprowadzenie, analiza ryzyka
dr inż. Agnieszka Terelak-Tymczyna
Zasady zaliczania
Zaliczenie odbędzie się w formie testu Konsultacje: pok. 230
Kontakt: [email protected] [email protected] Materiały dostępne na stronie : www.zzswiij.zut.edu.pl Termin zaliczenia wykładów: 26.05.2014 – termin podstawowy I
Literatura
1. Szopa T.: Niezawodność i bezpieczeństwo. Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa, 2009.
2. Pamuła W.: Niezawodność i bezpieczeństwo. Wydawnictwo Politechniki Śląskiej, Gliwice, 2011.
3. K. Liderman: „Analiza ryzyka i ochrona informacji w systemach komputerowych”, Mikom PWN, 2008
4. Y. Y. Chong, E. M.Brown: „Zarządzanie ryzykiem projektu”, Dom Wydawniczy ABC, 2001
5. A. Białas: Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, WNT, 2007
6. W. Zawieska (red.), Ocena ryzyka zawodowego Tom 1 - Podstawy metodyczne, wydanie III zaktualizowane, Centralny Instytut Ochrony Pracy - Państwowy Instytut Badawczy, Warszawa, 2004
7. J. Kowalski: Podstawy prawne ochrony pracy w Polsce. W: Bezpieczeństwo pracy i ergonomia., Red. nauk. D. Koradecka. Warszawa, CIOP 1999
8. K. Szczepańska: Metody i techniki TQM, Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa 2009,
9. J. Szlązak, N. Szlązak: Bezpieczeństwo i higiena pracy, Uczelniane Wydawnictwo Naukowo-Dydaktyczne AGH, Kraków 2005
10. Dyrektywy nowego podejścia UE – www.oznaczenie-ce.pl
11. PN-N-18001:2004 Systemy zarządzania bezpieczeństwem i higieną pracy. Wymagania.
12. PN-N-18002:2000 Systemy zarządzania bezpieczeństwem i higieną pracy. Ogólne wytyczne oceny ryzyka zawodowego.
13. PN-N-18004:2001 Systemy zarządzania bezpieczeństwem i higieną pracy. Wytyczne.
Definicja
Zarządzanie bezpieczeństwem określa się jako pakiet działań dążących do osiągnięcia zamierzonego stanu bezpieczeństwa oraz utrzymywania go na określonym poziomie. Działania te dążą do minimalizacji prawdopodobieństwa wystąpienia zdarzeń niepożądanych oraz stwarzają możliwość do jego kontrolowania i monitorowania poprzez identyfikację zagrożeń oraz ocenę występującego ryzyka.
Andrzej Białas
Zarządzanie bezpieczeństwem jest to identyfikacja, ocena i ustalenie priorytetów wystąpienia ryzyka poprzez takie koordynowanie działaniami w przedsiębiorstwie aby zminimalizować, monitorować i kontrolować prawdopodobieństwo wystąpienia zjawisk niepożądanych.
Definicja
„Zagrożenie jest to możliwość powstania określonych strat, ustalana dla sytuacji powstałej po zajściu pojedynczego zdarzenia niepożądanego w rozpatrywanym systemie człowiek-technika-środowisko…”
Tadeusz Szopa
„Zagrożenie – to sytuacja niebezpieczna, w której występuje obiekt mogący doznać szkody lub obiekt, który może ponieść stratę w efekcie uaktywnienia się niebezpieczeństwa. Strata odnoszona jest do przedmiotów, które w wyniku niebezpiecznego zdarzenia mogą ulec uszkodzeniu lub zniszczeniu. Z kolei szkoda lub krzywda odnosi się do człowieka…”
Jan i Nikodem Szlązak
Definicja
Zagrożenie spowodowane może być niżej wymienionymi przyczynami:
• niesprzyjającym wpływem otoczenia,
• błędami użytkownika popełnianymi w eksploatacji, szczególnie błędami sterowania,
• niewłaściwym działaniem obiektu, na skutek uszkodzeń jego podzespołów.
Definicja
„Ryzyko jest to możliwość pojawienia się określonych strat (szkód) w rozważanym systemie człowiek-technika-otoczenie w określonym czasie jego funkcjonowania…”. Tadeusz Szopa
Przykład: Ryzyko i zagrożenie w odniesieniu do kierowcy pojazdu z nieaktualnym przeglądem technicznym
Przejazd człowieka samochodem z miejsca pracy do miejsca zamieszkania związany jest z pewnym ryzykiem doznania uszczerbku na zdrowiu z powodu złego stanu technicznego pojazdu. Do takiej szkody raczej nie dochodzi jeżeli samochód przechodzi regularnie przeglądy techniczne z wynikiem pozytywnym. Kiedy natomiast pojawi się awaria hamulca, jako zdarzenia niepożądanego, sytuacja zmienia się diametralnie. W tym przypadku ryzyko doznania uszczerbku na zdrowiu przez kierującego pojazdem zwiększa się zaskakująco szybko. To właśnie to ryzyko poniesienia szkód, które łączy się z wystąpieniem zdarzenia niepożądanego, tj. awarii hamulca określa się jako zagrożenie.
Ryzyko można zdefiniować na dwa sposoby:
1. definicja dystrybucyjna, w której ryzyko jest związane z wielkością możliwego rozkładu wyników;
2. definicja parametryczna związana z prawdopodobieństwem powstania straty i jej wielkości.
Definicje
Definicje parametryczne można podzielić na trzy rodzaje:
1. Ryzyko jest to prawdopodobieństwo powstania straty.
2. Ryzyko jest tym większe, im większa może być strata w wyniku podjętego działania
3. Ryzyko jest to iloczyn prawdopodobieństwa poniesienia straty i jej wielkości.
Ryzyko = (szansa zaistnienia, czyli
prawdopodobieństwo) x (konsekwencje – czyli strata)
Definicje
Definicje
MDR (Maksymalne Dopuszczalne Ryzyko) – wielkość funduszy, jakie organizacja może ponieść w przypadku występienia niekorzystnych zdarzeń i w dalszym ciągu
utrzymać się na rynku.
MDR = αFW + βZysk + γGwarancje
α – część funduszy własnych (FW) ustalona jako maksymalny limit
strat w przypadku totalnej katastrofy;
β – część rocznego zysku operacyjnego brutto, pozwalającego na
wchłonięcie skutków katastrofy;
γ – szacunkowy wskaźnik odszkodowań jako ewentualnej
rekompensaty pieniężnej lub technicznej w przypadku powstałych szkód.
Rodzaje ryzyka
Rodzaj ryzyka Opis
Obiektywne Wynik analizy części pożądanych i niepożądanych zdarzeń. Przykład: częstość występowania powodzi na danym obszarze
Subiektywne Inaczej subiektywna ocena ryzyka, nacechowane jest indywidualnym spojrzeniem na sytuację. Przykład:
Czyste Takie, którego wielkość można pomniejszyć przez ograniczenie strat, np. w wyniku ubezpieczenia się od ryzykownej czynności. Przykład: kradzież mienia zakładu pracy, awarie urządzeń
Spekulacyjne Występuje w sytuacji, w której można zarówno zyskać, jak i stracić. Ryzyko to jest charakterystyczne dla działalności inwestycyjnej, giełdowej ale także zawodowej i pozazawodowej. Przykład: pominięcie wymaganych przepisami zabezpieczeń w cyklu technologicznym (ryzyko zawodowe)
Statyczne Ryzyko wynikające ze statystyki zdarzeń mogących powodować szkody. Przykład: powódź występująca na określonym obszarze ze ściśle określoną częstotliwością i konsekwencjami.
Rodzaje ryzyka
Rodzaj ryzyka Opis
Dynamiczne Towarzyszące zmianom samego społeczeństwa, jest następstwem zmian zachodzących w gospodarce. Przykład: rozwój transportu lotniczego i związane z nim ryzyko terrorystyczne.
Podstawowe Dotyczy całego społeczeństwa lub znacznej jego części. Przykład: recesja gospodarcza kraju i związane z nią skutki.
Szczegółowe Dotyczy tylko niektórych grup ludzi a nawet jednostek. Przykład: ryzyko związane z pracą policji, górników
Indywidualne Ryzyko na jakie wystawione są pojedyncze osoby, które rzadziej niż ogół decydują się na podjęcie ryzykownej czynności
Zbiorowe Ryzyko to podejmują całe grupy ludzi lub nawet całe społeczeństwa. Przykład: kibice piłkarscy wszczynający bójki.
Kumulowanie ryzyka strat procesu
NIEPEWNOŚĆ
WEWNĘTRZNA ZEWNĘTRZNA
RYZYKO
ANALIZA RYZYKA DECYZJE W ZARZĄDZANIU
RYZYKIEM
DECYZYJNE
ZASOBOWE
STRUKTURALNE
Rodzaje ryzyka
Rodzaje ryzyka w przedsiębiorstwie:
1. Zewnętrzne:
– Ryzyko operacyjne (ustawodawstwo, łańcuch zaopatrzeniowy),
– Ryzyko finansowe (stopy procentowe, kursy walutowe, ryzyko kredytowe),
– Ryzyko strategiczne (konkurencja, fluktuacja popytu, zmiany struktury podmiotowej rynku),
– Niebezpieczeństwa ( umowy, otoczenie, majątek)
2. Wewnętrzne: – Płynność finansowa,
– Przepływy pieniężne,
– Systemy informatyczne,
– Kapitał intelektualny.
Rodzaje ryzyka
Rodzaje ryzyka w przedsiębiorstwie:
1. Ryzyko polityczne (menedżerskie, strategiczne, etyczne)
2. Ryzyko instytucjonalne (ekonomiczne, finansowe, rynkowe)
3. Ryzyko techniczne (operacyjne, środowiskowe, systemów informacyjnych)
Niepewność w zarządzaniu
Ryzyko procesu
Ryzyko technologii
Kumulowanie ryzyka
Różne rodzaje ryzyka cząstkowego
Kumulowanie ryzyka
Ryzyko organizacji Ryzyko zarządzania
Bezpieczeństwo a analiza ryzyka
Bezpieczeństwo wiąże się z ograniczeniem ryzyka,
czyli wyeliminowaniem nieakceptowalnego ryzyka utraty życia lub zdrowia ludzkiego, bezpośrednio lub pośrednio, na wskutek wystąpienia zniszczeń w obiekcie lub w jego otoczeniu.
Bezpieczeństwo funkcjonalne – część bezpieczeństwa zależna od samego systemu lub poprawnego działania urządzenia i jest związane z właściwą odpowiedzią na pobudzenie jego wejść.
Bezpieczeństwo funkcjonalne
Przykład :
Czujnik w uzwojenie silnika, który wykrywa stan przegrzania i umożliwia wyłączenie silnika, zanim ulegnie on uszkodzeniu.
Bezpieczeństwo funkcjonalne
Bezpieczeństwo funkcjonalne powinno spełniać dwa rodzaje wymagań:
1. Na funkcje bezpieczeństwa, opracowane na podstawie wyników analizy hazardów (zagrożeń) określające, co funkcje powinny realizować i w jaki sposób.
2. Na integralność, wypracowane na podstawie wyników szacowania ryzyka, a określających prawdopodobieństwo, że funkcja bezpieczeństwa zadziała niepoprawnie.
Identyfikacja i wycena wartości chronionych
Pierwszym etapem analizy ryzyka jest identyfikacja i wycena wartości chronionych. Warunkiem koniecznym, aby zbudować efektywny system zarządzania ryzykiem, jest zidentyfikowanie aktywów narażonych na ryzyko oraz ustalenie, jakiego rodzaju wartości mogą zostać utracone.
Aktywa organizacji są to wszelkie wartości materialne i niematerialne mające znaczenie dla osiągnięcia wyznaczonych celów organizacji.
Dla każdego rodzaju aktywów należy rozważyć, na czym polega ich wartość dla organizacji i które cechy aktywów powinny być chronione w warunkach ryzyka.
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy zarządzania
Zarządzanie polityką i strategią
Zapewnienie spójności Polityki Ryzyka z polityką przedsiębiorstwa. Zapewnienie jedności planowanych zadań strategicznych i celów procesów
– zmienność otoczenia politycznego i gospodarczego
– system informatyczny – ocena czynników sukcesu (trafność w
prowadzeniu analizy swot) – skłonność kardy menadżerskiej do
ryzyka – wiedza i zaangażowanie pracowników
Zarządzanie finansami i wynikami
Zapewnienie płynności finansowej i dodatnich wyników finansowych przedsiębiorstwa
– Zmiany fiskalne przepisów bankowych – terminowość opłacania faktur przez
klientów – stabilność rynków zbytu – decyzje inwestycyjne kierownictwa – system informacyjny – wiedza i umiejętności pracowników
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy zarządzania
Zarządzanie strukturą organizacyjną
Zapewnienie adekwatności organizacyjnej do strategii i zadań operacyjnych oraz wymagań otoczenia prawne-go przedsiębiorstwa
– system informacyjny – zmienność relacji prawnych – opór przed zmianami – kultura organizacyjna – wiedza i zaangażowanie pracowników
Zarządzanie Systemem Zarządzania Ryzykiem (utrzymanie i rozwój systemu)
Utrzymanie Systemu Zarządzania Ryzykiem
– kwalifikacje menedżerów – decyzje kierownictwa – bazy danych – system informatyczny
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy doskonalenia
Audity wewnętrzne
Zapewnienie sprawności funkcjonowania Systemu Zarządzania Ryzykiem przez bieżące monitorowanie procesów i wskazania dotyczące podwyższania jakości ich funkcjonowania
– system informatyczny – zaangażowanie i umiejętności auditorów
Działania korygujące i zapobiegawcze
Korygowanie wad procesów jak też zapobieganie im z wykorzystaniem wyników auditów wewnętrznych
– bazy danych – system komunikacji wewnętrznej – elastyczność procesów – kwalifikacje pracowników
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy tworzące wartość dodaną
Marketing Rozpoznawanie potrzeb rynku budowlanego oraz zachowań klientów (potrzeb, wymagań, satysfakcji), a także rynku dostawców surowców i materiałów oraz usług. Celem dodatkowym jest budowanie dobrego wizerunku przedsiębiorstwa
– system informacyjny – zmienność popytu – potencjał rynku – pozycja konkurencyjna – siła oddziaływania środków promocji – kwalifikacje marketerów
Projektowanie i rozwój produktów
Zapewnienie stosowania nowoczesnych rozwiązań wyrobów i usług, będących w zakresie działalności przedsiębiorstwa
– system informatyczny – ocena możliwości spełnienia wymagań
klientów – kwalifikacje pracowników – możliwości techniczne – elastyczność linii produkcyjnych – ocena oddziaływania produktów na
środowisko naturalne – dostępność nowoczesnych technologii – środki finansowe
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy tworzące wartość dodaną
Planowanie produkcji
Zapewnienie, że proces planowania produkcji przebiega w kontrolowanych warunkach tak, aby w pełni osiągnąć zgodność wyrobu/usługi z wymaganiami uzgodnionymi pomiędzy klientem a dostawcą (wewnętrznymi i zewnętrznymi)
– system informatyczny – bazy danych — w tym bazy normatywne
niezbędnych zasobów pracy (robocizny, materiałów, sprzętu)
– kwalifikacje pracowników – dokładność w precyzowaniu wymagań
klienta
Logistyka Zapewnienie zakupów, dostaw i transportu surowców, materiałów i usług o cechach spełniających wymagania poszczególnych procesów
– oszacowanie potrzeb materiałowych (ilościowe i jakościowe)
– stosunki z kontrahentami – zmienność cen materiałów – zmiany warunków dostaw – terminowość dostaw – Zapasy – system kontroli jakości materiałów – przestrzeganie przez dostawców norm
technicznych – awarie maszyn i urządzeń – warunki przechowywania surowców i
wyrobów
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy tworzące wartość dodaną
Wytwarzanie wyrobów
Realizacja procesów wy-twórczych w sposób bezpieczny dla pracowników i otoczenia, a także gwarantujący wymaganą jakość produktów
– zapewnienie materialnych czynników produkcji
– możliwość naboru pracowników – zaangażowanie pracowników w
wykonywaną pracę – kwalifikacje i doświadczenie pracowników – awarie maszyn i urządzeń technicznych – bezpieczeństwo osób — bhp (oświetlenie,
hałas, wibracja, temperatura, czynniki chemiczne, stres)
– zanieczyszczenie środowiska naturalnego
Obsługa klienta
Tworzenie wartości dla klienta przez zapewnienie wysokiej jakości obsługi we wszystkich fazach kontaktu z klientem zewnętrznym
– system informatyczny – procedury dotyczące spisania umowy – komunikacja i relacje z klientem w czasie
produkcji wyrobu czy świadczenia usługi – terminowość dostaw – obsługa posprzedażna – kwalifikacje i zaangażowanie
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy wspomagające
Zarządzanie infrastrukturą techniczną
Zapewnienie poprawnego funkcjonowania infrastruktury technicznej w celu spełniania wymagań jakości obsługiwanych procesów
– postęp techniczny – kradzieże – zanieczyszczenie środowiska
naturalnego
Zarządzanie zasobami ludzkimi
Zapewnienie prawidłowego dostosowania liczby i kwalifikacji pracowników do wypełniania zadań stanowiskowych
– dobór liczbowy pracowników – kwalifikacje i zaangażowanie
pracowników – rynek pracy – system komunikacji wewnętrznej
Czynniki ryzyka w procesach przedsiębiorstwa wytwórczego
Proces Cel procesu Czynniki ryzyka
Procesy wspomagające
Nadzór nad środowiskiem pracy i środowiskiem naturalnym
Zapewnienie, wymaganego prawem i dobrem pracowników, stanu środowiska pracy, umożliwiającego poprawne wykonywanie zadań produkcyjnych (bhp), a także minimalizować zagrożeń dla środowiska naturalnego oraz uniezależnienie
– system informatyczny – narażenia pracowników w procesie
pracy – aktualność stanowiskowych kart
ryzyka zawodowego – zanieczyszczenie środowiska
naturalnego – zmienność wymagań
środowiskowych – polityka środowiskowa państwa
Zarządzanie komunikacją wewnętrzną - system informatyczny
Sprawne zarządzania komunikacją wewnętrzną w celu zapewnienia jednoznaczności wymagań klientów wewnętrznych i zewnętrznych
– system informatyczny – kultura organizacyjna – stabilność kadry
Identyfikacja zagrożeń
Aspekt ryzyka Źródło ryzyka
Techniczny
Własności fizyczne Własności materiałowe Własności radiacyjne Testowanie i modelowanie Integracja i interfejs Architektura oprogramowania Bezpieczeństwo
Zmiany wymogów Wykrywanie błędów Środowisko operacyjne Sprawdzone/niesprawdzone technologie Złożoność systemu Rzadkie lub specjalne zasoby
Programowy
Dostępność materiałów Dostępność personelu Umiejętność personelu Bezpieczeństwo Zabezpieczenia Wpływ środowiskowy Problemy komunikacyjne
Przerwy w pracy Zmiany wymogów Wsparcie polityczne Stabilność kontrahentów Struktura finansowania Zmiany regulacyjne
Identyfikacja zagrożeń
Aspekt ryzyka Źródło ryzyka
Obsługowy
Niezawodność i utrzymywalność Szkolenie i wsparcie szkolenia Sprzęt Kwestie dotyczące zasobów ludzkich Bezpieczeństwo systemu Dane techniczne
Udogodnienia Zgodność operacyjna Łatwość transportu Wsparcie zasobów informatycznych Pakowanie, przeładunek, przechowywanie
Kosztowy
Wrażliwość na ryzyko − Techniczne − Programowe − Obsługowe
Wrażliwość na ryzyko harmonogramowe Wielkość kosztów ogólnych i kosztów ogólnego zarządu Błąd szacowania
Harmonogramowy
Wrażliwość na ryzyko − Techniczne − Programowe − Obsługowe
Wrażliwość na ryzyko kosztowe Stopień równoczesności Liczba elementów tworzących ścieżkę krytyczną Błąd szacowania
Przykład
Pewna maszyna ma niebezpieczne wirujące ostrze, osłonięte pokrywą umocowaną na zawiasach, która musi być odchylana podczas konserwacji urządzenia. Podniesienie pokrywy powinno wyłączyć napęd, zanim dojdzie do zranienia operatora.
Podczas analizy hazardu zidentyfikowano hazard towarzyszący czyszczeniu ostrza. Należy
zapewnić by uniesienie pokrywy o wyżej niż 5 mm doprowadzało do wyłączenia napędu i zadziałania hamulca. Ponadto wyznaczono czas hamowania - 1 s. W ten sposób powstała specyfikacja funkcji bezpieczeństwa, czyli pewnego elementu automatyki wbudowanego do systemu, który w ciągu 1 s od uniesienia pokrywy na wysokość 5 mm ma zatrzymać maszynę.
Oszacowanie ryzyka sprowadza sic do oceny skuteczności funkcji bezpieczeństwa. Jego
celem jest uzyskanie przekonania, ze zachowanie integralności funk j i bezpieczeństwa jest wystarczające, by nikt nie był narażany na nieakceptowalne ryzyko podczas konserwacji maszyny, wynikające z istnienia hazardu.
Szkodą może tu być zranienie ręki operatora, a nawet jej utrata. W tym wypadku
wielkość ryzyka zależy takie od częstości prowadzenia prac konserwacyjnych. Wymagany w tym przypadku poziom integralności sił zależy od rodzaju uszkodzenia i częstości, z jaką operator jest w ten sposób narażany.
Czynniki zagrożeń
1. Zależne od konstruktora: – Błędy w specyfikacjach systemu, sprzętu , oprogramowania;
– Niekompletne specyfikacje bezpieczeństwa, np. nie uwzględnienie pewnych trybów pracy.
2. Sprawcze:
– Błąd ludzki
– Przypadkowe uszkodzenie sprzętowe
– Błąd oprogramowania
– Wahania zasilania
– Zjawiska zachodzące w środowisku ( zakłócenia elektromagnetyczne, przegrzanie itp.)
Metodyka procesu zarządzania ryzykiem
Etapy postępowania
Kolejność etapów Nazwa etapu
Analiza Kwestionariusz Wywiad
Etap I Wybór obszaru
badawczego
Identyfikacja ryzyka
Możliwe do wykorzystania metody lub techniki
Etap II
Etap III
Etap IV
Ustalenie indykatorów ryzyka
Budowa katalogu ryzyka
Ocena ryzyka
Manipulowanie ryzykiem
Metody inwentyczne Analiza portfelowa: -analiza orientacji przedsiębiorstwa -- arkusz punktowej oceny ryzyka -- wielostopniowa analiza portfelowa -Arkusze szans i ryzyka
Katalog ryzyka
Metody probablistyczno-statystyczne Analiza wrażliwości Metody scenariuszowe Analiza profilowa Metody operacyjne
Unikanie Redukcja lub eliminacja Przeniesienie Podjęcie
Analiza ryzyka
Analiza ryzyka – czynności identyfikacji (środowiska, zagrożeń, podatności, potencjalnych strat) oraz oszacowania i oceny ryzyka
Ocena ryzyka
Metody oceny ryzyka:
1. indeksowa – tzw. metoda częstościowa
2. ilościowa, gdzie oszacowanie wartości ryzyka wiąże się z wykorzystaniem miar liczbowych – wartość zasobów informacyjnych jest określana kwotowo, częstotliwość wystąpienia zagrożenia liczbą przypadków, a podatność wartością prawdopodobieństwa ich utraty,
3. jakościowa, gdzie oszacowanie wartości ryzyka wiąże się z:
– opisem jakościowym wartości aktywów, określeniem skal jakościowych dla częstotliwości wystąpienia zagrożeń i podatności na dane zagrożenie, albo
– opisem tzw. scenariuszy zagrożeń poprzez przewidywanie głównych czynników ryzyka, które powodują i wskazują, w jaki sposób system kontroli wewnętrznej może zostać ominięty przez oszustwo lub nieszczęśliwy wypadek.
Szacowanie ryzyka – metoda częstościowa
Przykład:
Niech możliwość całkowitego spalenia serwerowni wynosi
raz na 20 lat, a poniesione w takim przypadku całkowite
straty wynoszą 100 tys. zł.
Niech możliwość kradzieży służbowego laptopa o wartości
10 tys. zł wynosi raz na 2 lata.
Jaka będzie wartość ryzyka?
Szacowanie ryzyka - metoda częstościowa
Przykład: Niech możliwość całkowitego spalenia serwerowni wynosi raz na 20 lat,
a poniesione w takim przypadku całkowite straty wynoszą 100 tys. zł.
R = 100 000 x 1/20 = 5 000
Niech możliwość kradzieży służbowego laptopa o wartości 10 tys. zł
wynosi raz na 2 lata.
R = 10 000 x ½ = 5 000
Szacowanie ryzyka - metoda ilościowa
Metoda ilościowa oznacza, że prawdopodobieństwo
interesującego zdarzenia wyliczane jest na podstawie
danych statystycznych.
Prawdopodobieństwo w przypadku kradzieży laptopa na
poziomie 0,1 może oznaczać, że w ciągu 2 lat było 10 prób
kradzieży , z których tylko jedna się powiodła.
Szacowanie ryzyka - metoda ilościowa
Pracownicy pewnej instytucji w trakcie angażowania do pracy dostają kartę
magnetyczną ze zdjęciem, wypisanymi danymi osobowymi, służbowymi oraz
PIN-em. Karta magnetyczna służy jako przepustka okazywana strażnikowi przy
bramie oraz jako elektroniczny klucz otwierający te drzwi ( i tylko te), które wolno
otworzyć danemu pracownikowi. Hipotetyczny system komputerowy jest
chroniony następującymi zabezpieczeniami fizycznymi i programowymi {b1, b2,
b4,b4,b5}
1. strażnik przy wejściu do budynku sprawdzający przepustki (b1),
2. elektroniczne zabezpieczenia wejść (czytnik karty magnetycznej + PIN) do
korytarzy (b2),
3. elektroniczne zabezpieczenia wejść do pomieszczeń służbowych (j.w. – b3)
4. elektroniczne zabezpieczenie komputera (b4: czytnik kart _ klawiatura
wprowadzania PIN-u)
5. login i hasło (b5) konieczne do uruchomienia sesji.
Szacowanie ryzyka - metoda ilościowa
Zdarzenie inicjujące (próba fizycznego dostępu do komputera)
Strażnik zatrzymał intruza Strażnik nie zatrzymał intruza
Zabezpieczenia korytarza nie przepuściły intruza
Zabezpieczenia korytarza przepuściły intruza
Zabezpieczenia pomieszczenia nie przepuściły intruza
Zabezpieczenia pomieszczenia przepuściły intruza
Login i hasło niepoprawne
Zabezpieczenia komputera przepuściły intruza
Zabezpieczenia komputera nie przepuściły intruza
Login i hasło poprawne
Penetracja systemu nie powiodła się
Penetracja systemu skuteczna
0,8 0,2
0,7
0,7
0,7
0,6
0,3
0,3
0,3
0,4
Szacowanie ryzyka - metoda ilościowa
Nieupoważniona osoba dostała się do komputera i
uruchomiła w nim sesje z uprawnieniami legalnego
użytkownika
P= 0,2 *0,3*0,3*0,3*0,4 = 0,00216
Ocena ryzyka
Metody jakościowe oceny ryzyka:
1. Metoda wstępnej analizy ryzyka i hazardu (PRA/PHA)
2. Metoda HAZOP
3. Metoda FMEA
4. Metoda drzewa błędów FTA
5. Metoda drzewa zdarzeń ETA
6. Analiza przyczynowo-skutkowa CCA
Szacowanie ryzyka - metoda jakościowa
Założenia:
1. Wartości zasobów zostały ocenione w skali liczbowej od 0 do 4.
2. Zostały wypełnione ankiety, w których każdemu rodzajowi wcześniej
zidentyfikowanego zagrożenia i każdej grupie zasobów, których
dotyczy zagrożenie:
a) Przypisano miarę poziomu zagrożenia w skali (niski, średni,
wysoki)
b) Przypisano miarę poziomu podatności zasobu w skali (niski,
średni, wysoki)
3. Przyjęto arbitralnie punktową skalę miary ryzyka w postaci liczb
całkowitych z przedziału (0-8).
Szacowanie ryzyka - metoda jakościowa
Poziom zagrożenia
Niski Średni Wysoki
Poziom podatności
N Ś W N Ś W N Ś W
Wartość zasobu
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
FMEA metodyka przeprowadzania analizy Definicja celu analizy
Powołanie grupy roboczej
Zakres i termin badania
Dekompozycja funkcjonalna
Zbieranie danych
Analiza jakościowa wad
Analiza ilościowa wad
Liczba priorytetowa R wyższa od
przyjętego poziomu
Aktualny stan zadowalający – brak działań zaradczych
Plan działań zaradczych
Analiza ilościowa – ponowne szacowanie
czynników ryzyka
Liczba priorytetowa R mniejsza od
przyjętego poziomu
Wdrożenie działań zaradczych
Nadzór nad działaniami zaradczymi
Wyniki zgodne z założeniami
Zakończenie analizy FMEA
TAK
TAK
TAK
NIE
NIE
NIE
Szacowanie ryzyka – mapa ryzyka
Wysokie szkody w razie realizacji zagrożenia i niska możliwość jego realizacji
(średnie ryzyko)
Niskie szkody w razie realizacji zagrożenia i niska możliwość jego realizacji
(niskie ryzyko)
Wysokie szkody w razie realizacji zagrożenia i
wysoka możliwość jego realizacji
(wysokie ryzyko)
Niskie szkody w razie realizacji zagrożenia i
wysoka możliwość jego realizacji
(średnie ryzyko)
Niska Wysoka
Możliwość realizacji zagrożenia
Szkody
Nis
kie
W
ysokie
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Wydział Inżynierii Mechanicznej i Mechatroniki
Zarządzanie bezpieczeństwem
Wykład 3 – bezpieczeństwo i higiena pracy
dr inż. Agnieszka Terelak-Tymczyna
BHP
Podstawowe definicje:
Według W. Szuberta, ochrona pracy jest to: system środków
prawnych, ekonomicznych, organizacyjnych i technicznych,
służących zapewnieniu pracownikom bezpieczeństwa i
ochrony zdrowia w procesie pracy, przy czym przez system
należy rozumieć zbiór uporządkowanych jednostek
tworzących całość organizacyjną, służących jednemu celowi
OCHRONA PRACY – system środków prawnych,
ekonomicznych, organizacyjnych i technicznych służących
zapewnieniu pracownikom bezpieczeństwa i ochrony zdrowia
w procesie pracy.
BHP
Podstawowe definicje:
BEZPIECZEŃSTWO I HIGIENA PRACY – ogół norm
prawnych oraz środków badawczych, organizacyjnych i
technicznych mających na celu stworzenie pracownikowi
takich warunków pracy, aby mógł on wykonywać pracę w
sposób produktywny, bez narażania go na nieuzasadnione
ryzyko wypadku lub choroby zawodowej oraz nadmierne
obciążenie fizyczne i psychiczne.
BHP
Podstawowe definicje:
PRACOWNIK – osoba zatrudniona napodstawie umowy o
pracę, powołania, wyboru, mianowania lub spółdzielczej
umowy o pracę (art.2 k.p.)
PRACODAWCA – jednostka organizacyjna, choćby nie
posiadała osobowości prawnej, a także osoba fizyczna, jeżeli
zatrudnia pracowników (art.3 k.p.).
BHP
W systemie zarządzania wdrażanym zgodnie z normą PN-N-18001
wymagania przepisów prawa mają wpływ przede wszystkim na
ukształtowanie następujących elementów:
identyfikacja zagrożeń i ocena ryzyka zawodowego,
struktura, odpowiedzialność i uprawnienia,
szkolenie, świadomość, kompetencje i motywacja,
komunikowanie się, partycypacja pracowników,
dokumentacja systemu zarządzania bezpieczeństwem i higieną
pracy
sterowanie operacyjne pracami i działaniami związanymi ze
znaczącymi zagrożeniami,
gotowość do reagowania na wypadki przy pracy i awarie,
monitorowanie,
zapisy.
BHP
PN-N-18001:2004 Systemy zarządzania bezpieczeństwem i
higieną pracy. Wymagania.
PN-N-18002:2011 Systemy zarządzania bezpieczeństwem i
higieną pracy. Ogólne wytyczne oceny ryzyka zawodowego.
PN-N-18004:2001 Systemy zarządzania bezpieczeństwem i
higieną pracy. Wytyczne.
PN-N-18011:2006 Systemy zarządzania bezpieczeństwem i
higieną pracy. Wytyczne auditowania.
BHP
Model systemu zarządzania BHP przyjęty w normie PN-N
18001:2004
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
4.2. Zaangażowanie kierownictwa oraz polityka BHP
4.2.1. Zaangażowanie najwyższego kierownictwa
4.2.2 Polityka BHP 4.2.3. Współudział pracowników
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
4.3 Planowanie 4.3.1 Wymagania ogólne
4.3.2 Wymagania prawne i inne 4.3.3. Cele ogólne i szczegółowe
4.3.4. Planowanie działań
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
4.4 Wdrażanie i funkcjonowanie 4.4.1 Struktura, odpowiedzialność i
uprawnienia 4.4.2. Zapewnienie zasobów 4.4.3 szkolenie, świadomość,
kompetencje i motywacja 4.4.4. Komunikowanie się
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
4.4.5 Dokumentacja systemu zarządzania bezpieczeństwem i higieną pracy
4.4.5.1 Poszanowania ogólne 4.4.5.2. Nadzór nad dokumentami
4.4.5.3 Nadzór nad zapisami 4.4.6 Zarządzanie ryzykiem zawodowym
4.4.7 Organizowanie zagrożeń
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
4.4.8 Zapobieganie, gotowość i reagowanie na wypadki i awarie
4.4.9 Zakupy 4.4.10 Podwykonawstwo
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
4.5 Sprawdzanie oraz działania korygujące
4.5.1. Monitorowanie 4.5.2 Badanie wypadków przy pracy,
chorób zawodowych, zdarzeń potencjalnie wypadkowych
4.5.3 Audyt 4.5.4 Niezgodności oraz działania
korygujące i zapobiegawcze
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
4.6 Przegląd zarzadzania 4.7. Ciągłe doskonalenie
Ciągłe doskonalenie
Przegląd dokonywany przez kierownictwo
Sprawdzanie oraz działania korygujące i
zapobiegawcze
Zaangażowanie kierownictwa oraz
polityka BHP
Planowanie
Wdrażanie i funkcjonowanie
BHP
PN-N-18001 może być stosowana przez organizacje,
których celem jest:
wdrożenie, utrzymywanie i doskonalenie systemu
zarządzania bezpieczeństwem i higieną pracy
postępowanie zgodne z ustaloną we własnym zakresie
polityką bezpieczeństwa i higieny pracy
zadeklarowanie postępowania zgodnego z
wymaganiami tej normy
dążenie do uzyskania potwierdzenia przez organizację
zewnętrzną zgodność systemu zarządzania bhp z
wymaganiami niniejszej normy.
BHP
Ryzyko zawodowe – to prawdopodobieństwo wystąpienia
niepożądanych zdarzeń związanych z wykonywaną pracą
powodujących straty w szczególności wystąpienia u
pracowników niekorzystnych skutków zdrowotnych w wyniku
zagrożeń zawodowych w środowisku pracy lub sposobu
wykonywania pracy
BHP
Do identyfikacji zagrożeń, a następnie oceny ryzyka
zawodowego wykorzystywane są informacje dotyczące:
1. lokalizacji stanowiska pracy i realizowanych na nim zadań
2. osób pracujących na tym stanowisku
3. stosowanych środków, materiałów i operacji
technologicznych
4. wykonywanych czynności oraz sposobu i czasu ich
wykonywania
5. wymagań przepisów i norm dotyczących stanowiska pracy
6. zidentyfikowanych zagrożeń
7. możliwych skutków występujących zagrożeń
8. stosowanych środków ochronnych
9. wypadków przy pracy oraz chorób zawodowych
Norma 18002:2000
Źródłami tych informacji mogą być:
• dane techniczne o stosowanych na stanowisku maszynach
i urządzeniach:
• dokumentacja techniczno-ruchowa i instrukcje
stanowiskowe,
• wyniki pomiarów czynników szkodliwych i/lub
niebezpiecznych, a także uciążliwych, występujących na
stanowisku pracy,
• dokumentacja dotycząca wypadków przy pracy, zdarzeń
potencjalnie wypadkowych, chorób zawodowych oraz
awarii,
• przepisy prawne i inne dokumenty normatywne,
• literatura naukowo-techniczna,
• karty charakterystyk substancji chemicznych itp.
Norma 18002:2000
Informacji o analizowanym stanowisku mogą dostarczyć
również:
• obserwacja środowiska pracy,
• obserwacja zadań wykonywanych na stanowisku pracy,
• obserwacja zadań wykonywanych poza stanowiskiem
pracy,
• wywiady z pracownikami,
• obserwacja czynników zewnętrznych, które mogą
wpłynąć na stanowisko pracy (np. prace wykonywane
przez pracowników na innych stanowiskach pracy,
czynniki atmosferyczne),
• analiza organizacji działań, których celem jest
zapewnienie właściwych warunków pracy.
Norma 18002:2000
Metodę przeprowadzenia analizy ustala zespól oceniający ryzyko
zawodowe.
Do identyfikacji zagrożeń można zastosować metodę list kontrolnych,
które mogą być opracowywane na przykład z wykorzystaniem wykazów
czynników szkodliwych i/lub niebezpiecznych, zawartych w
odpowiednich przepisach i normach. W niektórych przypadkach może
się okazać potrzebne przyjęcie bardziej zaawansowanych metod
identyfikacji zagrożeń.
Na etapie identyfikacji przydatna jest przede wszystkim dotychczasowa
wiedza na temat zagrożeń występujących na analizowanym stanowisku.
W każdym przypadku zaleca się sprawdzić, czy wszystkie zagrożenia
zostały zidentyfikowane i czy dostępne na ich temat informacje (jak np.
wyniki pomiarów i obliczeń wartości wielkości charakteryzujących
zagrożenie) są wystarczające do oceny ryzyka zawodowego.
BHP
Do oceny stanu faktycznego pracodawca powinien prowadzić
wcześniej następujące rejestry (katalogi), które pozwalają na
ocenę tegoż stanu i identyfikację zagrożeń:
1. rejestr pomiarów czynników szkodliwych i
niebezpiecznych na stanowiskach pracy, na których
takie czynniki występują przy czym dla każdego
wytypowanego stanowiska powołany jest oddzielny rejestr.
Rejestry te powinny być przechowywane przez 40 lat, mają
one postać odpowiednich formularzy że wskazaniem:
czasu, miejsca, rodzaju pomiaru i osoby dokonującej
pomiaru. Jeżeli czynnikami szkodliwymi są czynniki
rakotwórcze wówczas należy prowadzić rejestr tych
czynników oraz rejestr pracowników narażonych na
działanie tych czynników.
BHP
2. rejestr wypadków przy pracy zawierający:
1. nazwiska poszkodowanych
2. opis wypadków
3. skutki dla poszkodowanego w wypadku przy pracy
4. świadczenia, które przysługują poszkodowanemu z
tytułu wypadku przy pracy (unormowane w Kodeksie
Pracy)
5. miejsce i data wypadku
3. rejestr chorób zawodowych zawiera zarówno
stwierdzone, jak i przypuszczalne przypadki chorób
zawodowych oraz ich skutków. W rejestrze tym powinny się
znajdować:
1. nazwiska chorych
2. rodzaj choroby zawodowej
3. wyniki postępowania
4. skutki choroby zawodowej
BHP
4. dokumentacja związana z eksploatacją obiektu, gdzie
zostało zlokalizowane stanowisko pracy, w której
odnotowywane są okresowe wyniki kontroli stanu
sprawności technicznej (budynku i instalacji) – na ogół raz
na trzy miesiące
Konieczne jest również posiadanie dokumentacji związanej z
samym procesem technologicznym, maszynami i
urządzeniami oraz materiałami stosowanymi w produkcji.
Norma 18002:2011
Ogólne zasady przygotowania oceny ryzyka
zawodowego
Zaleca się przeprowadzać ocenę ryzyka zawodowego
okresowo i zawsze wówczas, gdy wykorzystywane do jego
oceny informacje straciły swoją aktualność, a w
szczególności w następujących sytuacjach:
• przy tworzeniu nowych stanowisk pracy,
• przy wprowadzaniu zmian na stanowiskach pracy (np.
technologicznych lub organizacyjnych),
• po zmianie obowiązujących wymagań, odnoszących się
do ocenianych stanowisk pracy.
• po wprowadzeniu zmian w stosowanych środkach
ochronnych.
Norma 18002:2000
Schemat oceny ryzyka zawodowego oraz wynikających z niej
działań
1.Zebranie informacji potrzebnych do oceny ryzyka zawodowego
2.Identyfikacja zagrożeń
3.Oszacowanie ryzyka zawodowego
4.Wyznaczanie dopuszczalności ryzyka zawodowego
5.Czy są potrzebne działania korygujące i/lub zapobiegawcze
6.Opracowanie planu działań korygujących i/lub zapobiegawczych
7.Okresowe przeprowadzanie oceny ryzyka zawodowego
8.Realizacja planu
Norma 18002:2000
Oszacowanie ryzyka zawodowego związanego z poszczególnymi
zagrożeniami zidentyfikowanymi na stanowiskach pracy polega na
ustaleniu:
• prawdopodobieństwa wystąpienia zagrożeń,
• ciężkości szkodliwych następstw tych zagrożeń.
Oszacowanie ryzyka zawodowego można przeprowadzać w różny
sposób, w zależności od potrzeb organizacji. Zaleca się przede
wszystkim takie sposoby szacowania ryzyka zawodowego, których
stosowanie nie wymaga wiedzy specjalistycznej i które mogą być w
prosty sposób wykorzystywane przez osoby przeprowadzające oceny.
Równocześnie istotne jest, aby otrzymane wyniki oszacowania były w
pełni wystarczające do wyznaczenia jego dopuszczalności i właściwego
planowania działań korygujących i zapobiegawczych.
Norma 18002:2011
Prawdopodobieństwo
Ciężkość następstw
Mała Średnia Duża
Mało prawdopodobne małe małe średnie
1 1 2
Prawdopodobne małe średnie duże
1 2 3
Wysoce
prawdopodobne
średnie duże duże
2 3 3
Tablica 1 - Oszacowanie ryzyka zawodowego w skali trójstopniowej
Norma 18002:2011
Prawdopodobieństwo
Ciężkość następstw
Mała Średnia Duża
Mało prawdopodobne bardzo małe małe średnie
1 2 3
Prawdopodobne małe średnie duże
2 3 4
Wysoce
prawdopodobne
średnie duże bardzo duże
3 4 5
Tablica 1 - Oszacowanie ryzyka zawodowego w skali pięciostopniowej
Norma 18002:2011
Przy oszacowaniu ryzyka zawodowego zgodnie z tablicami 1 i 2 ciężkość
szkodliwych następstw zagrożenia i prawdopodobieństwo ich wystąpienia można
określić stosując niżej wymienione wskazówki:
• do następstw o małej szkodliwości zalicza się te urazy i choroby, które nie
powodują długotrwałych dolegliwości i absencji w pracy; są to czasowe
pogorszenia stanu zdrowia, takie jak niewielkie stłuczenia i zranienia,
podrażnienia oczu, objawy niewielkiego zatrucia, bóle głowy itp.
• do następstw o średniej szkodliwości zalicza się te urazy i choroby, które
powodują niewielkie, ale długotrwałe lub nawracające okresowo dolegliwości i
są związane z okresami absencji; są to np. zranienia, oparzenia II stopnia na
niewielkiej powierzchni ciała, alergie skórne, nieskomplikowane złamania,
zespoły przeciążeniowe układu mięśniowo-szkieletowego (np. zapalenie
ścięgna) itp.,
• do następstw o dużej szkodliwości zalicza się te urazy i choroby, które
powodują ciężkie i stale dolegliwości i/lub śmierć: są to np. oparzenia III
stopnia, oparzenia II stopnia dużej powierzchni ciała, amputacje,
skomplikowane złamania z następową dysfunkcją, choroby nowotworowe,
toksyczne uszkodzenia narządów wewnętrznych i układu nerwowego w
wyniku narażenia na czynniki chemiczne, zespół wibracyjny, zawodowe
uszkodzenia słuchu, astma, zaćma itp.
Norma 18002:2011
• do mało prawdopodobnych zalicza się te następstwa zagrożeń,
które nie powinny wystąpić podczas całego okresu aktywności
zawodowej pracownika,
• do prawdopodobnych zalicza się te następstwa zagrożeń, które
mogą wystąpić nie więcej niż kilkakrotnie podczas okresu
aktywności zawodowej pracownika,
• do wysoce prawdopodobnych zalicza się te następstwa zagrożeń,
które mogą wystąpić wielokrotnie podczas okresu aktywności
zawodowej pracownika,
Tam, gdzie jest to możliwe, zaleca się oszacować ryzyko zawodowe na
podstawie wartości wielkości charakteryzujących narażenie.
Norma 18002:2011
Wartość wielkości
charakteryzującej Oszacowanie ryzyka
narażenie (P) zawodowego
P> Pmax duże
Pmax > P > 0,5 Pmax średnie
P < 0,5 Pmax małe
UWAGA - P max - wartość dopuszczalna wielkości charakteryzującej narażenie, ustalana na ogół na podstawie
odpowiednich przepisów (może to być odpowiednia wartość NDS - najwyższego dopuszczalnego stężenia lub
NDN -najwyższego dopuszczalnego natężenia). W przypadku braku ustalonych wymagań przy jej ustalaniu
można wykorzystać opinie ekspertów i/lub wziąć pod uwagę opinie pracowników,
Tablica 3 - Ogólne zasady oszacowania ryzyka zawodowego w skali
trójstopniowej na podstawie wartości wielkości charakteryzujących
narażenie
Norma 18002:2011
Wyznaczenie dopuszczalności ryzyka zawodowego
Podstawowym kryterium dopuszczalności ryzyka zawodowego są
wymagania odpowiednich przepisów prawnych i innych dokumentów
normatywnych. W przypadku braku takich wymagań , zaleca się, aby
organizacje ustalały własne kryteria dopuszczalności ryzyka
zawodowego z uwzględnieniem opinii ekspertów z dziedziny
bezpieczeństwa i higieny pracy, własnych doświadczeń, oraz opinii
pracowników i/lub ich przedstawicieli, Dążąc do poprawy warunków
pracy, organizacje mogą również ustalać własne kryteria
dopuszczalności ryzyka zawodowego, oparte na wymaganiach
wyższych niż wymagania przepisów prawnych i innych dokumentów
normatywnych,
Norma 18002:2011
Oszacowanie ryzyka
zawodowego
Dopuszczalność
ryzyka
zawodowego
Niezbędne działania
Duże niedopuszczalne
Jeżeli ryzyko zawodowe jest związane z
pracą już wykonywaną, działania w celu
jego zmniejszenia należy podjąć
natychmiast (np. przez zastosowanie
środków ochronnych). Planowana praca
nie może być rozpoczęta do czasu
zmniejszenia ryzyka zawodowego do poziomu dopuszczalnego.
Średnie
dopuszczalne
Zaleca się zaplanowanie i podjęcie
działań, których celem jest zmniejszenie
ryzyka zawodowego.
Małe Konieczne jest zapewnienie. że ryzyko
zawodowe pozostaje co najwyżej na tym
samym poziomie.
Tablica 4 - Ogólne zasady wyznaczania dopuszczalności ryzyka zawodowego
oraz zalecenia dotyczące działań wynikających z oceny tego ryzyka
(oszacowanie w skali trójstopniowej)
Norma 18002:2011
Tablica 5 - Ogólne zasady wyznaczania dopuszczalności ryzyka
zawodowego oraz zalecenia dotyczące działań wynikających z oceny tego
ryzyka (oszacowanie w skali pięciostopniowej)
Oszacowanie
ryzyka
zawodowego
Dopuszczalność
ryzyka
zawodowego
Niezbędne działania
Bardzo duże
niedopuszczalne
Praca nie może być rozpoczęta ani kontynuowana do
czasu zmniejszenia ryzyka zawodowego do poziomu
dopuszczalnego.
Duże
Jeżeli ryzyko zawodowe jest związane z pracą już
wykonywaną. działania w celu jego zmniejszenia należy
podjąć natychmiast (np. przez zastosowanie środków
ochronnych). Planowana praca nie może być rozpoczęta do
czasu zmniejszenia ryzyka zawodowego do poziomu
dopuszczalnego.
Średnie
dopuszczalne
Zaleca się zaplanowanie i podjęcie działań, których celem
jest zmniejszenie ryzyka zawodowego.
Małe
Zaleca się rozważenie możliwości dalszego zmniejszania
poziomu ryzyka zawodowego lub zapewnienie. że
ryzyko zawodowe pozostaje najwyżej na tym samym
poziomie.
Bardzo małe Nie jest konieczne prowadzenie żadnych działań.
Norma 18002:2011
Działania wynikające z oceny ryzyka zawodowego
Wyniki oceny ryzyka zawodowego stanowią podstawę planowania
działań korygujących i zapobiegawczych na stanowiskach pracy.
Przy planowaniu i podejmowaniu działań korygujących lub
zapobiegawczych w celu eliminacji lub ograniczenia zagrożeń i
związanego z nimi ryzyka zawodowego, zaleca się stosować środki
ochronne w następującej kolejności:
1. środki techniczne eliminujące lub ograniczające zagrożenia u źródła;
2. środki ochrony zbiorowej;
3. środki organizacyjne i proceduralne (procedury lub instrukcje
bezpiecznej pracy);
4. środki ochrony indywidualnej.
Norma 18002:2011
PRZYKŁAD Przy pracach w wykopach jednym z zagrożeń jest zasypanie pracownika. Skutkiem takiego zdarzenia może być śmierć. Pracownik sporadycznie pracuje w głębokich wykopach. W ciągu ostatnich 10 lat w zakładzie nie zdarzył się taki wypadek. Szacowanie parametrów ryzyka: • ciężkość następstw: duża szkodliwość - śmierć, • prawdopodobieństwo następstw: mało prawdopodobne – następstwa zagrożenia,
które nie powinno wystąpić podczas całego okresu aktywności zawodowej pracownika.
Wartościowanie ryzyka: Na przecięciu wartości (tablica 4 – skala trójstopniowa) poziomo „mało prawdopodobne” i pionowo „szkodliwość duża” otrzymujemy wartość ryzyka „ryzyko średnie” – dopuszczalne. Działania profilaktyczne: Dla ryzyka średniego o poziomie dopuszczalnym zaleca się zaplanowanie i podjęcie działań, których celem jest zmniejszenie ryzyka zawodowego.
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Wydział Inżynierii Mechanicznej i Mechatroniki
Zarządzanie bezpieczeństwem
Bezpieczeństwo informacji
dr inż. Agnieszka Terelak-Tymczyna
Bezpieczeństwo informacji
Wraz ze wzrostem znaczenia informacji we
współczesnym świecie oraz z rozwojem technik
przetwarzania informacji istotnym zagadnieniem
w dzisiejszym świecie jest zapewnienie
bezpieczeństwa informacji. Informacje będące w
posiadaniu firm i urzędów posiadają swoją realną
wartość i mogą być podatne na zagrożenia takie
jak, np.: kradzież, zniszczenie czy zafałszowanie.
Bezpieczeństwo informacji
Ustawa o ochronie danych osobowych.
Ustawa o ochronie informacji niejawnych.
Ustawa o dostępie do informacji publicznej.
Ustawa o prawie autorskim i prawach
pokrewnych.
Bezpieczeństwo informacji
PN-ISO/IEC 27001:2007 - Technika informatyczna -Techniki
bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji -
Wymagania.
PN-ISO/IEC 27001:2007/Ap1:2010 - Technika informatyczna -Techniki
bezpieczeństwa -Systemy zarządzania bezpieczeństwem informacji –
Wymagania
PN-ISO/IEC 27005:2010 - Technika informatyczna -Techniki
bezpieczeństwa -Zarządzanie ryzykiem w bezpieczeństwie informacji
PN-ISO/IEC 27006:2009 -Technika informatyczna - Techniki
bezpieczeństwa -Wymagania dla jednostek prowadzących audyt i
certyfikację systemów zarządzania bezpieczeństwem informacji
Rodzina norm z serii 27000
Bezpieczeństwo informacji
PN-ISO/IEC 17799:2007 - Technika informatyczna -Techniki
bezpieczeństwa -Praktyczne zasady zarządzania
bezpieczeństwem informacji
PN-I-13335-1:1999 - Technika informatyczna -Wytyczne do
zarządzania bezpieczeństwem systemów informatycznych -
Pojęcia i modele bezpieczeństwa systemów informatycznych
Inne normy dotyczące techniki informatycznej
Bezpieczeństwo informacji
PN-ISO/IEC 27001:2007 - Technika
informatyczna -Techniki bezpieczeństwa -
Systemy zarządzania bezpieczeństwem
informacji - Wymagania.
Norma ta zastąpiła PN-I-07799-2:2005 czyli polską
wersję brytyjskiego standardu BS 7799-2.
Bezpieczeństwo informacji
Poszczególne rozdziały normy poświęcone są takim
zagadnieniom, jak:
1. Polityka bezpieczeństwa;
2. Organizacja bezpieczeństwa informacji;
3. Zarządzanie aktywami;
4. Bezpieczeństwo zasobów ludzkich;
5. Bezpieczeństwo fizyczne i środowiskowe;
6. Zarządzanie systemami i sieciami;
7. Kontrola dostępu;
8. Zarządzanie ciągłością działania;
9. Pozyskiwanie, rozwój i utrzymanie systemów
informatycznych;
10.Zarządzanie incydentami związanymi z bezpieczeństwem
informacji;
11.Zgodność z wymaganiami prawnymi i własnymi
standardami.
Bezpieczeństwo informacji
Planuj - ustanowienie SZBI - ustanowienie polityki
SZBI, celów, procesów i procedur istotnych dla
zarządzania ryzykiem oraz doskonalenia
bezpieczeństwa informacji tak, aby uzyskać wyniki
zgodne z ogólnymi politykami i celami organizacji.
Wykonuj - wdrożenie i eksploatacja SZBI -
wdrożenie i eksploatacja polityki SZBI,
zabezpieczeń, procesów i procedur.
Bezpieczeństwo informacji
Sprawdzaj - monitorowanie i przegląd SZBI -
pomiar wydajności procesów w odniesieniu do
polityki SZBI, celów i doświadczenia praktycznego
oraz dostarczania raportów kierownictwu do
przeglądu.
Działaj - utrzymanie i doskonalenie SZBI -
podejmowanie działań korygujących i
zapobiegawczych na podstawie wyników
wewnętrznego auditu SZBI i przeglądu
realizowanego przez kierownictwo lub innych
istotnych informacji, w celu zapewnienia ciągłego
doskonalenia SZBI.
Bezpieczeństwo informacji
Poza zdefiniowaniem modelu zarządzania
bezpieczeństwem informacji, norma PN-ISO/IEC
27001 zawiera opis zabezpieczeń, które należy
stosować w celu ograniczenia ryzyka (Załącznik A,
Tablica A.1). Załącznik A jest obligatoryjny.
Bezpieczeństwo informacji
PN-ISO/IEC 17799:2007 - Technika
informatyczna -Techniki bezpieczeństwa -
Praktyczne zasady zarządzania
bezpieczeństwem informacji. Norma ta zawiera
zestaw najlepszych praktyk, które można
zastosować w organizacji w celu podniesienia
poziomu bezpieczeństwa informacji.
Bezpieczeństwo informacji
Norma PN-ISO/IEC 17799:2007 jest podzielona na
następujące rozdziały:
1. Polityki bezpieczeństwa informacji.
2. Organizacji bezpieczeństwa informacji.
3. Zarządzanie aktywami.
4. Bezpieczeństwo osobowe.
5. Bezpieczeństwo fizyczne i środowiskowe.
6. Zarządzanie systemami i sieciami.
7. Kontrola dostępu.
8. Uzyskiwanie, rozwój i utrzymanie systemów
informacyjnych.
9. Zarządzanie incydentami związanymi z
bezpieczeństwem informacji.
10.Zarządzanie ciągłością działania.
11.Zgodność.
Bezpieczeństwo informacji
Norma ISO/IEC w odróżnieniu od norm z serii ISO
TR 13335
(polski odpowiednik PN-I-13335-1:1999 Technika
informatyczna -Wytyczne do zarządzania
bezpieczeństwem systemów informatycznych -
Pojęcia i modele bezpieczeństwa systemów
informatycznych)
nie dotyczy tylko i wyłącznie zagadnień
teleinformatycznych, lecz obejmuje także inne
obszary takie jak bezpieczeństwo osobowe i
fizyczne.
Bezpieczeństwo informacji
Nazwa Określenie
Poufność Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom
Autentyczność Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana; dotyczy użytkowników, procesów, systemów lub nawet instytucji; autentyczność jest związana z badaniem, czy ktoś lub coś jest tym lub czym za kogo lub za co się podaje
Dostępność Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie w założonym czasie przez kogoś lub coś, kto lub co ma do tego prawo
Integralność danych
Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany
Integralność systemu
Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej
Integralność Integralność danych oraz integralność systemu
Rozliczalność Właściwość zapewniająca, że działania podmiotu mogą być jednoznacznie przypisane tylko temu podmiotowi
Niezawodność Właściwość oznaczająca spójne, zamierzone zachowanie i skutki
Właściwości ( atrybuty) bezpieczeństwa wg PN-13335-1
Bezpieczeństwo informacji
Korzyści
1. bezpieczeństwo wszystkich informacji
korporacyjnych, zwiększenie wartości firmy
2. jasne określenie uprawnień i odpowiedzialności
pracowników
3. realizacja celów firmy poprzez eliminowanie
zagrożeń
4. zagwarantowanie kontrahentom, powierzającym
certyfikowanym organizacjom swoje
dane/informacje, że są one bezpieczne
5. pełna integracja z systemem zarządzania
jakością i informatycznym w firmie
Bezpieczeństwo informacji
1. poufność - daje gwarancję, że informacje są
dostępne tylko i wyłącznie dla autoryzowanych
osób - pracowników, posiadających prawo
dostępu do danych
2. integralność - zabezpiecza ona dokładność i
kompletność zarówno informacji, jak też i
stosowanych metod jej ochrony
3. dostępność - gwarancja, że użytkownicy
posiadający stosowne uprawnienia mają stały
dostęp do informacji i zgromadzonych zasobów.
Bezpieczeństwo informacji
Polityka bezpieczeństwa informacji
Jest to zbiór spójnych, precyzyjnych i zgodnych z
obowiązującym prawem przepisów, reguł i
procedur, według których dana organizacja
buduje, zarządza oraz udostępnia zasoby i
systemy informacyjne i informatyczne. Określa
ona, które zasoby i w jaki sposób mają być
chronione.
Bezpieczeństwo informacji
Polityka bezpieczeństwa informacji
Powinna obejmować wskazanie możliwych
rodzajów naruszenia bezpieczeństwa (jak np.
utrata danych, nieautoryzowany dostęp),
scenariusze postępowania w takich sytuacjach i
działania, które pozwolą uniknąć powtórzenia się
danego incydentu. Polityka bezpieczeństwa
definiuje ponadto poprawne i niepoprawne
korzystanie z zasobów (np. kont użytkowników,
danych, oprogramowania).
Bezpieczeństwo informacji
Polityka bezpieczeństwa informacji
Projektując mechanizmy ochrony informacji należy określić
następujące elementy:
• model bezpieczeństwa
• mechanizmy kontroli dostępu
• poziomy uprawnień (jakie poziomy uprawnień istnieją i
jakie są zasady ich przyznawania)
• mechanizmy identyfikacji i zapewnienie autentyczności
(na poziomie fizycznym i systemów)
• śledzenie zdarzeń w systemie (jakie
mechanizmy/programy/procedury stosowane są do
śledzenia zmian w systemach)
Bezpieczeństwo informacji
Polityka bezpieczeństwa informacji
Do podstawowych elementów polityki bezpieczeństwa
zaliczamy:
• Zabezpieczenia lokalizacyjne,
• Zabezpieczenie sprzętowe (serwer i stacje robocze),
• Zabezpieczenia programowe,
• Analiza architektury sieci lokalnej,
• Archiwizacja danych,
• Kontrola dostępu do systemu (system haseł i praw),
• Szkolenia użytkowników systemu.
Bezpieczeństwo informacji
Zabezpieczenia lokalizacyjne
Pod pojęciem zabezpieczenia lokalizacyjne rozumieć należy:
Lokalizację serwerów: bazy danych, plików, aplikacji
(pomieszczenie przestronne, wentylowane, ognioodporne, itp.),
Usytuowanie stacji roboczych,
Dostęp tylko osób upoważnionych
Bezpieczeństwo informacji
Zabezpieczenie sprzętowe
Zabezpieczenia sprzętowe stanowią jeden z podstawowych
elementów polityki bezpieczeństwa przedsiębiorstwa.
Najważniejszym obiektem zabezpieczeń jest serwer danych.
Podstawowym zabezpieczeniem sprzętowym jest
zagregowanie dysków w macierz dyskową RAID (Redundant
Array of Inexpensive Disks), co umożliwia ochronę pamięci
masowej przed awarią dysku, a tym samym stanowi to
ochronę przed utratą danych.
Bezpieczeństwo informacji
Zabezpieczenie programowe
Zabezpieczenia programowe zorientowane są głównie na zapewnienie
wysokiego poziomu ochrony: infrastruktury teleinformatycznej,
przetwarzanych i przechowywanych informacji, treści pochodzących z
Internetu.
Do podstawowych zabezpieczeń programowych zaliczamy:
• Systemy Firewall (ang. ściana ogniowa)
• Systemy przeciwdziałania włamaniom IDS (Intrusion Detection System)
• Systemy kontroli treści (www , e- mail)
• Systemy antywirusowe
Bezpieczeństwo informacji
Analiza architektury sieci lokalnej
Schemat architektury
sieci lokalnej przy
wykorzystaniu sieci
pośredniczącej
Bezpieczeństwo informacji
Archiwizacja danych
Archiwizacja danych jest jednym z podstawowych zadań jakie powinno
być realizowane przez administratora systemu informatycznego. Kopia
bezpieczeństwa umożliwia odtworzenie danych w razie uszkodzenia
sprzętu, kradzieży, pożaru, itp. Dlatego zaleca się wykonywanie
archiwizacji codziennie.
Archiwizacja może być wykonywana na różnego rodzaju nośnikach:
• Magnetycznym,
• Magnetooptycznym,
• Optycznym.
Bezpieczeństwo informacji
Kontrola dostępu do systemu
W wielu systemach operacyjnych istnieje standardowe oprogramowanie
służące do uwierzytelniania użytkowników. Najczęściej spotykane metody
wykorzystują hasła.
Ponadto dostęp do Zintegrowanego Informatycznego Systemu
Zarządzania powinien wymagać osobnego logowania.
Oprócz haseł w systemach stosowane mogą być inne sposoby
zabezpieczenia przed nielegalnym dostępem. Należą do nich:
• Automatyczne kończenie sesji roboczej użytkownika w przypadku
długiego okresu braku sygnałów z terminala świadczących o pracy,
• Blokowanie konta, do którego wykonano wiele kolejnych nieudanych
prób dostępu,
• Prowadzenie historii haseł i uniemożliwienie ponownego używania
hasła wykorzystanego w przeszłości,
• Blokowanie konta, na którym nie pracowano dłuższy okres czasu,
• Wymuszenie zmiany hasła co określony czas.
Bezpieczeństwo informacji
Szkolenia użytkowników systemu Użytkownicy systemu IT odgrywają kluczową rolę w zachowaniu
bezpieczeństwa tego systemu oraz danych przedsiębiorstwa.
Dlatego podstawową rolą administratora w zakresie bezpieczeństwa
systemu informatycznego jest zorganizowanie szkoleń dla użytkowników
dotyczących prawidłowego i bezpiecznego korzystania z systemu IT oraz
możliwych zagrożeń.
Przyczyny awarii systemów IT
Źródło: opracowanie dr hab. P. Bała, Uniwersytet Mikołaja Kopernika w Toruniu, 2005 r.
Bezpieczeństwo informacji
Obowiązki administratora bezpieczeństwa
informacji Do głównych obowiązków administratora bezpieczeństwa informacji
zgodnie z treścią zawartą w §3 rozporządzenia MSWiA z dnia 3 czerwca
1998 r należy:
• Zabezpieczenie i kontrola pomieszczeń, w których przetwarzane są dane
osobowe,
• Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń
mających wpływ na bezpieczeństwo przetwarzania danych,
• Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane
osobowe zabezpieczone były hasłem dostępu przed nieautoryzowanym
uruchomieniem oraz nie były udostępniane osobom nieupoważnionym,
• Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń
komputerowych,
• Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów
służących do przetwarzania danych osobowych oraz wszystkimi innymi
czynnościami wykonywanymi na bazach danych osobowych,
Bezpieczeństwo informacji
Obowiązki administratora bezpieczeństwa
informacji • Nadzór nad systemem komunikacji w sieci komputerowej oraz
przesyłaniem danych za pośrednictwem urządzeń teletransmisji,
• Dopilnowanie, aby ekrany monitorów stanowisk komputerowych, na
których przetwarzane są dane osobowe, automatycznie się
wyłączały po upływie ustalonego czasu nieaktywności użytkownika,
• Dopilnowanie pomieszczeń, w których znajdują się monitory
stanowisk dostępu do danych osobowych i ustawienie w sposób aby
uniemożliwić osobom niepowołanym wgląd w dane,
• Podjęcie działań zabezpieczających stan systemu informatycznego w
przypadku otrzymania informacji o naruszeniu zabezpieczeń systemu
informatycznego lub informacji o zmianach w sposobie działania
programu lub urządzeń wskazujących na naruszenie bezpieczeństwa
danych.
Bezpieczeństwo informacji
Wybrane metody i komputerowe narzędzia
wspomagające:
1. Metodyka opracowana w instytucie NIST (National Institute of
Standards and Technology)
2. Metodyka szacowania zagrożeń i ryzyka (TRA)
opracowana w CSE (Communications Security Establishment)
3. Metodyka CORA i komputerowe narzędzia wspierające
4. Metodyka i oprogramowanie CRAMM
5. Oprogramowanie COBRA
6. Metoda IRIS
7. Oprogramowanie RiskPAC
8. Oprogramowanie ASSET
9. i in.
Przebieg analizy ryzyka wg metodyki NIST
• Sprzęt • Oprogramowanie • Interfejsy systemowe • Dane informacyjne • Czynnik ludzki • Zadania systemu (misja)
Charakterystyka systemu
• Granice systemu • Funkcje systemu • Dane krytyczne • Dane wrażliwe
WEJŚCIE WYJŚCIE
1
• Historia ataków • Informacje z centrów reagowania, środki masowego przekazu
Identyfikacja zagrożeń Raport dotyczący zagrożeń
2
• Prognozy ryzyka • Wnioski z audytów • Wymagania bezpieczeństwa • Wyniki testów bezpieczeństwa
Identyfikacja podatności
Lista podatności
3
Zabezpieczenie istniejące i planowane
Analiza zabezpieczeń Lista zabezpieczeń istniejących i planowanych
4
Zabezpieczenia wg metodyki NIST
Zabezpieczenia
Wspierające Prewencyjne Detekcyjne Odtwarzające
Techn
iczne
Identyfikacja Uwierzytelnienie Audyt
Zarządzanie kluczami kryptograficznymi
Autoryzacja Wykrywanie włamań
Zarządzanie zabezpieczeniami w systemach
Kontrola dostępu Kontrola integralności systemu
Ochrona systemu (pozostałości informacji, separacja procesów)
Niezaprzeczalność Powrót do stanu bezpiecznego
Ochrona transmisji (np. VPN)
Ochrona antywirusowa
Prywatność transakcji
Zabezpieczenia wg metodyki NIST
Zabezpieczenia
Wspierające
Prewencyjne Detekcyjne Odtwarzające
Ad
min
istracyjne
Zasady odpowiedzialności
Okresowy audyt Zapewnienie ciągłego wsparcia działania
Plany zabezpieczeń Przeglądy zabezpieczeń
Reagowanie
Zabezpieczenia osobowe – rozdzielenie obowiązków, minimalne przywileje, rejestracja dostępu
Zabezpieczenia osobowe – rotacja personelu i obowiązków, weryfikacja personelu
Uświadamianie i szkolenia
Zarządzanie ryzykiem
Autoryzacja , akceptacja ryzyka szczątkowego
Zabezpieczenia wg metodyki NIST
Zabezpieczenia
Wspierające Prewencyjne Detekcyjne Odtwarzające
Op
eracyjne
Ochrona fizyczna nośników, wymazywanie
Instalacja przeciwwłamaniowa, monitorująca
Etykietowanie Detektory dymu, ognia
Kontrola wirusów
Ochrona fizyczna pomieszczeń, okablowania
Archiwizacja danych
Kontrola parametrów środowiska eksploatacji
Zasilanie awaryjne
Przebieg analizy ryzyka wg metodyki NIST
• Motywacja sprawcy zagrożenia • Wymagany potencjał ataku • Istniejące zabezpieczenia • Charakter podatności
Oszacowanie możliwości
występowania incydentów
• Wartości prawdopodobieństw (możliwości wystąpienia)
WEJŚCIE WYJŚCIE
5
• Wpływ na funkcjonowanie instytucji (na realizację jej misji) • Ocena zasobów krytycznych • Krytyczność danych • Wrażliwość danych
Analiza następstw dotycząca utraty:
• integralności • dostępności • poufności
Oszacowanie następstw
6
• Prawdopodobieństwo objawienia się zagrożeń • Wielkość następstw • Adekwatność istniejących lub planowanych zabezpieczeń
Wyznaczenie ryzyka Ryzyko i jego poziom
7
Rekomendacja zabezpieczeń
Zalecane zabezpieczenia
8
Udokumentowanie Raport oceny ryzyka
9
Przebieg analizy ryzyka wg metodyki NIST
Poziom- możliwości
Znaczenie
Wysoki Czynnik sprawczy o wysokiej motywacji, posiadający wystarczający potencjał rażenia, zabezpieczenia zaś mające chronić przed wykorzystaniem podatności są nieskuteczne
Średni Czynnik sprawczy posiada motywację i możliwości, lecz zabezpieczenia są w stanie skutecznie przeciwstawić się wykorzystaniu podatności
Niski Czynnik sprawczy nie ma motywacji lub wystarczającego potencjału rażenia, albo zabezpieczenia są skuteczne, albo przynajmniej w wystarczający sposób chronią przed wykorzystaniem podatności
Poziomy określające możliwości wystąpienia naruszeń według NIST
Przebieg analizy ryzyka wg metodyki NIST
• Motywacja sprawcy zagrożenia • Wymagany potencjał ataku • Istniejące zabezpieczenia • Charakter podatności
Oszacowanie możliwości
występowania incydentów
• Wartości prawdopodobieństw (możliwości wystąpienia)
WEJŚCIE WYJŚCIE
5
• Wpływ na funkcjonowanie instytucji (na realizację jej misji) • Ocena zasobów krytycznych • Krytyczność danych • Wrażliwość danych
Analiza następstw dotycząca utraty:
• integralności • dostępności • poufności
Oszacowanie następstw
6
• Prawdopodobieństwo objawienia się zagrożeń • Wielkość następstw • Adekwatność istniejących lub planowanych zabezpieczeń
Wyznaczenie ryzyka Ryzyko i jego poziom
7
Rekomendacja zabezpieczeń
Zalecane zabezpieczenia
8
Udokumentowanie Raport oceny ryzyka
9
Przebieg analizy ryzyka wg metodyki NIST
Poziom Znaczenie
Wysoki Wykorzystanie podatności może: • Spowodować najwyższe możliwe straty dla ważnych zasobów • Wstrzymać lub znacząco zakłócić realizację misji • Poważnie zaszkodzić interesom lub reputacji instytucji • Spowodować utratę życia lub zdrowia ludzkiego
Średni Wykorzystanie podatności może: • Spowodować duże straty dla ważnych zasobów • Zakłócić realizację misji • Zaszkodzić interesom lub reputacji instytucji • Spowodować utratę zdrowia ludzkiego
Niski Wykorzystanie podatności może: • Spowodować straty niektórych ważnych zasobów • Zakłócić w sposób zauważalny realizację misji • Wpłynąć negatywnie na interesy lub reputację instytucji
Umowne poziomy następstw według NIST
Przebieg analizy ryzyka wg metodyki NIST
• Motywacja sprawcy zagrożenia • Wymagany potencjał ataku • Istniejące zabezpieczenia • Charakter podatności
Oszacowanie możliwości
występowania incydentów
• Wartości prawdopodobieństw (możliwości wystąpienia)
WEJŚCIE WYJŚCIE
5
• Wpływ na funkcjonowanie instytucji (na realizację jej misji) • Ocena zasobów krytycznych • Krytyczność danych • Wrażliwość danych
Analiza następstw dotycząca utraty:
• integralności • dostępności • poufności
Oszacowanie następstw
6
• Prawdopodobieństwo objawienia się zagrożeń • Wielkość następstw • Adekwatność istniejących lub planowanych zabezpieczeń
Wyznaczenie ryzyka Ryzyko i jego poziom
7
Rekomendacja zabezpieczeń
Zalecane zabezpieczenia
8
Udokumentowanie Raport oceny ryzyka
9
Przebieg analizy ryzyka wg metodyki NIST
Możliwość (Prawdopodobieństwo wystąpienia zagrożenia)
Następstwa
Niskie (10) Średnie (50) Wysokie (100)
Wysokie (1,0) Niskie (10) Średnie (50) Wysokie (100)
Średnie (0,5) Niskie (5) Średnie (25) Średnie (50)
Niskie (0,1) Niskie (1) Niskie (5) Niskie (10)
Przebieg analizy ryzyka wg metodyki NIST
• Motywacja sprawcy zagrożenia • Wymagany potencjał ataku • Istniejące zabezpieczenia • Charakter podatności
Oszacowanie możliwości
występowania incydentów
• Wartości prawdopodobieństw (możliwości wystąpienia)
WEJŚCIE WYJŚCIE
5
• Wpływ na funkcjonowanie instytucji (na realizację jej misji) • Ocena zasobów krytycznych • Krytyczność danych • Wrażliwość danych
Analiza następstw dotycząca utraty:
• integralności • dostępności • poufności
Oszacowanie następstw
6
• Prawdopodobieństwo objawienia się zagrożeń • Wielkość następstw • Adekwatność istniejących lub planowanych zabezpieczeń
Wyznaczenie ryzyka Ryzyko i jego poziom
7
Rekomendacja zabezpieczeń
Zalecane zabezpieczenia
8
Udokumentowanie Raport oceny ryzyka
9
Przebieg analizy ryzyka wg metodyki NIST
Poziom Interpretacja poziomu i zalecane działania
Wysoki Silna potrzeba redukcji, działań korygujących, wdrożenia systemu zabezpieczeń. System może kontynuować pracę, jednak plan zabezpieczeń powinien zostać wdrożony niezwłocznie
Średni Działania korygujące są konieczne. Plan zabezpieczeń powinien zostać wdrożony w rozsądnym horyzoncie czasowym.
Niski Osoba odpowiedzialna za akredytacje systemu powinna niezwłocznie podjąć decyzję o podjęciu działań korygujących lub akceptacji i dopuszczeniu systemu do eksploatacji.
Przykład określania poziomów ryzyka i zalecanych działań według NIST
Przebieg analizy ryzyka wg metodyki NIST
• Motywacja sprawcy zagrożenia • Wymagany potencjał ataku • Istniejące zabezpieczenia • Charakter podatności
Oszacowanie możliwości
występowania incydentów
• Wartości prawdopodobieństw (możliwości wystąpienia)
WEJŚCIE WYJŚCIE
5
• Wpływ na funkcjonowanie instytucji (na realizację jej misji) • Ocena zasobów krytycznych • Krytyczność danych • Wrażliwość danych
Analiza następstw dotycząca utraty:
• integralności • dostępności • poufności
Oszacowanie następstw
6
• Prawdopodobieństwo objawienia się zagrożeń • Wielkość następstw • Adekwatność istniejących lub planowanych zabezpieczeń
Wyznaczenie ryzyka Ryzyko i jego poziom
7
Rekomendacja zabezpieczeń
Zalecane zabezpieczenia
8
Udokumentowanie Raport oceny ryzyka
9
Strategia ograniczania ryzyka wg metodyki NIST
Projekt systemu
Jest podatność?
Ogranicz możliwość jej wykorzystania
Brak ryzyka
Do wykorzystania
?
Występuje podatność na
atak
Istnieje sprawca zagrożenia
Oraz
Istnieje ryzyko
Ochrona wielowarstwowa – zmniejsz ryzyko lub
możliwości
TAK
TAK
NIE
NIE
Strategia ograniczania ryzyka wg metodyki NIST
Koszt ataku < korzyści?
Zmniejsz motywacje
sprawcy Ryzyko akceptowane
Straty > limit?
Ograniczaj zasięg incydentu i
potencjalne straty
Ryzyko nieakceptowane
TAK
TAK
NIE
NIE
Nie dotyczy zagrożeń środowiskowych (sił wyższych) oraz przypadkowych działań ludzkich
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Wydział Inżynierii Mechanicznej i Mechatroniki
Zarządzanie bezpieczeństwem
Wykład 2 – bezpieczeństwo wyrobu
dr inż. Agnieszka Terelak-Tymczyna
Ogólne bezpieczeństwo produktu
Akty prawne dotyczące ogólnego
bezpieczeństwa produktu:
Dyrektywa 2001/95/WE - Ogólne bezpieczeństwo produktu
Ustawa z dnia 12 grudnia 2003 r. o ogólnym
bezpieczeństwie produktów (Dz. U. Nr 229, poz. 2275, z
późn. zm.)
Ogólne bezpieczeństwo produktu
Niniejszą dyrektywę stosuje się w odniesieniu do wszystkich
produktów. Każdy z jej przepisów stosuje się w przypadku
braku przepisów szczególnych ustawodawstwa Wspólnoty,
regulujących bezpieczeństwo danych produktów.
W przypadku gdy produkty podlegają szczególnym
wymogom związanym z bezpieczeństwem, narzuconym
przez ustawodawstwo wspólnotowe, niniejszą dyrektywę
stosuje się wyłącznie w odniesieniu do aspektów i zagrożeń
lub kategorii zagrożeń nieobjętych tymi wymogami.
Ogólne bezpieczeństwo produktu
Ustawa z dnia 12 grudnia 2003 r. o ogólnym
bezpieczeństwie produktów (Dz. U. Nr 229, poz. 2275, z
późn. zm.)
Ustawa określa ogólne wymagania dotyczące
bezpieczeństwa produktów, obowiązki producentów i
dystrybutorów w zakresie bezpieczeństwa produktów oraz
zasady i tryb sprawowania nadzoru w celu zapewnienia
bezpieczeństwa produktów wprowadzanych na rynek.
Ogólne bezpieczeństwo produktu
Ustawę stosuje się do:
1. produktów, dla których przepisy odrębne nie określają szczegółowych
wymagań dotyczących bezpieczeństwa;
2. zagrożeń związanych z produktami, dla których przepisy odrębne
określają szczegółowe wymagania dotyczące bezpieczeństwa, jeżeli
zagrożenia te nie są objęte przez przepisy odrębne.
3. w odniesieniu do produktów, dla których przepisy odrębne określają
szczegółowe wymagania dotyczące bezpieczeństwa - w zakresie, w
jakim nie regulują tego przepisy odrębne
4. Przepisów ustawy nie stosuje się do urządzeń używanych w celu
świadczenia usług na rzecz konsumentów, w szczególności do
urządzeń obsługiwanych przez usługodawcę, którymi konsumenci
przemieszczają się lub podróżują.
Ogólne bezpieczeństwo produktu
Definicje:
produkt - rzecz ruchomą nową lub używaną, jak i
naprawianą lub regenerowaną przeznaczoną do użytku
konsumentów lub co do której istnieje prawdopodobieństwo,
że może być używana przez konsumentów, nawet jeżeli nie
była dla nich przeznaczona, dostarczaną lub udostępnianą
przez producenta lub dystrybutora, zarówno odpłatnie, jak i
nieodpłatnie, w tym również w ramach świadczenia usługi;
produktem nie jest rzecz używana dostarczana jako antyk
albo jako rzecz wymagająca naprawy lub regeneracji przed
użyciem, o ile dostarczający powiadomił konsumenta o tych
właściwościach rzeczy;
Ogólne bezpieczeństwo produktu
producent:
a) przedsiębiorcę prowadzącego na terytorium Rzeczypospolitej
Polskiej lub w Unii Europejskiej działalność polegającą na
wytwarzaniu produktu albo każdą inną osobę, która występuje jako
wytwórca, umieszczając na produkcie bądź do niego dołączając
swoje nazwisko, nazwę, znak towarowy bądź inne odróżniające
oznaczenie, a także osobę, która naprawia lub regeneruje produkt,
b) przedstawiciela wytwórcy, a jeżeli wytwórca nie wyznaczył
przedstawiciela - importera produktu, w przypadkach gdy wytwórca
nie prowadzi działalności na terytorium Rzeczypospolitej Polskiej ani
w Unii Europejskiej,
c) przedsiębiorcę uczestniczącego w dowolnym etapie procesu
dostarczania lub udostępniania produktu, jeżeli jego działanie może
wpływać na właściwości produktu związane z jego
bezpieczeństwem;
Ogólne bezpieczeństwo produktu
dystrybutor - przedsiębiorcę uczestniczącego w
dowolnym etapie procesu dostarczania lub
udostępniania produktu, którego działalność nie
wpływa na właściwości produktu związane z jego
bezpieczeństwem;
Ogólne bezpieczeństwo produktu
wypadek konsumencki - zaistniałe w związku z
używaniem produktów zdarzenie nagłe, którego
następstwem jest zgon albo uszkodzenie ciała
wymagające udzielenia pomocy medycznej, w
szczególności skaleczenie, zatrucie, oparzenie,
ugryzienie lub użądlenie;
Ogólne bezpieczeństwo produktu
wprowadzenie na rynek - dostarczanie lub
udostępnianie przez producenta lub dystrybutora produktu
dystrybutorowi lub konsumentowi;
wprowadzenie na rynek polski - dostarczenie lub
udostępnienie produktu po raz pierwszy na terytorium
Rzeczypospolitej Polskiej
Ogólne bezpieczeństwo produktu
Produktem bezpiecznym jest produkt, który w zwykłych lub
w innych, dających się w sposób uzasadniony przewidzieć,
warunkach jego używania, z uwzględnieniem czasu
korzystania z produktu, a także, w zależności od rodzaju
produktu, sposobu uruchomienia oraz wymogów instalacji i
konserwacji, nie stwarza żadnego zagrożenia dla
konsumentów lub stwarza znikome zagrożenie, dające się
pogodzić z jego zwykłym używaniem i uwzględniające
wysoki poziom wymagań dotyczących ochrony zdrowia i
życia ludzkiego.
Ogólne bezpieczeństwo produktu
Przy ocenie bezpieczeństwa produktu uwzględnia się:
1. cechy produktu, w tym jego skład, opakowanie, instrukcję montażu i
uruchomienia, a także - biorąc pod uwagę rodzaj produktu -
instrukcję instalacji i konserwacji;
2. oddziaływanie na inne produkty, jeżeli można w sposób uzasadniony
przewidzieć, że będzie używany łącznie z innymi produktami;
3. wygląd produktu, jego oznakowanie, ostrzeżenia i instrukcje
dotyczące jego użytkowania i postępowania z produktem zużytym
oraz wszelkie inne udostępniane konsumentowi wskazówki lub
informacje dotyczące produktu;
4. kategorie konsumentów narażonych na niebezpieczeństwo w
związku z używaniem produktu, w szczególności dzieci i osoby
starsze.
Ogólne bezpieczeństwo produktu
Produkt, który nie spełnia ww. wymagań, nie jest produktem
bezpiecznym.
Do stwierdzenia, że produkt nie jest bezpieczny, nie wystarcza
możliwość osiągnięcia wyższego poziomu bezpieczeństwa lub
dostępność innych produktów stwarzających mniejsze zagrożenia dla
konsumentów.
Przy dokonywaniu oceny, czy produkt stwarza poważne zagrożenie,
przez które rozumie się wymagające natychmiastowych działań
naruszenie wymagań bezpieczeństwa, uwzględnia się bezpośrednie
lub odsunięte w czasie skutki używania produktu, w tym stopień i
prawdopodobieństwo utraty zdrowia lub życia przez konsumentów,
stopień narażenia poszczególnych kategorii konsumentów oraz
możliwość prawidłowej oceny ryzyka przez konsumentów i możliwości
jego uniknięcia.
Ogólne bezpieczeństwo produktu
W przypadku gdy brak jest szczegółowych przepisów
Wspólnoty Europejskiej dotyczących bezpieczeństwa
określonego produktu, produkt wprowadzony na rynek polski
uznaje się za bezpieczny, jeżeli spełnia określone odrębnymi
przepisami polskimi szczegółowe wymagania dotyczące
bezpieczeństwa produktów.
Domniemywa się, że produkt zgodny z normami
zharmonizowanymi w rozumieniu przepisów o systemie
oceny zgodności jest produktem bezpiecznym w zakresie
wymagań objętych tymi normami.
Ogólne bezpieczeństwo produktu
W przypadku braku przepisów lub norm zharmonizowanych, albo jeżeli produkt
nie jest zgodny z normami zharmonizowanymi, bezpieczeństwo produktu ocenia
się w szczególności z uwzględnieniem:
1. spełniania przez produkt dobrowolnych norm krajowych państw
członkowskich Unii Europejskiej przenoszących normy europejskie, innych niż
normy zharmonizowane w rozumieniu przepisów o systemie oceny
zgodności;
2. spełniania przez produkt Polskich Norm;
3. zaleceń Komisji Europejskiej określających wskazówki co do oceny
bezpieczeństwa produktu;
4. obowiązujących w danym sektorze zasad dobrej praktyki odnoszących się do
bezpieczeństwa produktów;
5. aktualnego stanu wiedzy i techniki;
6. uzasadnionych oczekiwań konsumentów co do bezpieczeństwa produktu.
Ogólne bezpieczeństwo produktu
Spełnianie przez produkt powyższych wymagań, nie
wyłącza możliwości stosowania środków określonych
ustawą, jeżeli organ nadzoru stwierdzi, że pomimo
zgodności z tymi wymaganiami produkt nie jest
bezpieczny.
Ogólne bezpieczeństwo produktu
Obowiązki producenta:
Producent jest zobowiązany wprowadzać na rynek wyłącznie produkty
bezpieczne. W zakresie prowadzonej działalności, jest zobowiązany
dostarczać konsumentom informacje:
1. umożliwiające im ocenę zagrożeń związanych z produktem w czasie
zwykłego lub możliwego do przewidzenia okresu jego używania, jeżeli
takie zagrożenia nie są, przy braku odpowiedniego ostrzeżenia,
natychmiast zauważalne;
2. dotyczące możliwości przeciwdziałania tym zagrożeniom.
Ponadto zobowiązany jest podejmować działania odpowiednie do
właściwości dostarczanego produktu:
• umożliwiające uzyskiwanie przez tego producenta wiedzy o
zagrożeniach, które produkt może stwarzać;
• mające na celu uniknięcie zagrożeń, w tym - o ile jest to niezbędne -
umożliwiające wycofanie produktu z rynku, właściwe i skuteczne
ostrzeżenie konsumentów lub wycofanie produktu od konsumentów.
Ogólne bezpieczeństwo produktu
Działania, te mogą w szczególności polegać na:
umieszczeniu na produkcie lub jego opakowaniu nazwy i
adresu producenta oraz oznaczenia identyfikującego
produkt lub, w razie potrzeby, partię produktu, chyba że
nieumieszczenie takich informacji jest uzasadnione;
przeprowadzaniu badań próbek wprowadzonych na rynek
produktów, analizowaniu skarg konsumentów oraz, w miarę
potrzeby, prowadzeniu rejestru tych skarg oraz bieżącym
informowaniu dystrybutorów o prowadzonej w ten sposób
kontroli.
Ogólne bezpieczeństwo produktu
Obowiązki dystrybutora:
Dystrybutor jest zobowiązany działać z należytą
starannością w celu zapewnienia bezpieczeństwa
produktów, w szczególności przez niedostarczanie
produktów, o których wie lub o których, zgodnie z
posiadanymi informacjami i doświadczeniem zawodowym,
powinien wiedzieć, że nie spełniają one wymagań
bezpieczeństwa. Jest zobowiązany uczestniczyć w
monitorowaniu bezpieczeństwa produktów wprowadzonych
na rynek
Ogólne bezpieczeństwo produktu
Organem sprawującym nadzór nad ogólnym
bezpieczeństwem produktów w zakresie określonym ustawą
jest Prezes Urzędu Ochrony Konkurencji i
Konsumentów, który wykonuje swoje zadania przy pomocy
Inspekcji Handlowej.
Ogólne bezpieczeństwo produktu
W przypadku stwierdzenia, że produkt nie jest bezpieczny, organ
nadzoru w drodze decyzji:
1. w przypadku produktów, które nie zostały wprowadzone na rynek:
a. nakazuje wyeliminowanie zagrożeń stwarzanych przez produkt,
b. zakazuje wprowadzania produktu na rynek i nakazuje podjęcie
czynności niezbędnych do zapewnienia przestrzegania tego
nakazu;
2. w przypadku produktów wprowadzonych na rynek, nakazuje:
a. wyeliminowanie zagrożeń stwarzanych przez produkt,
b. natychmiastowe wycofanie produktu z rynku,
c. ostrzeżenie konsumentów, określając termin i formę ostrzeżenia,
d. wycofanie produktu od konsumentów i jego zniszczenie
Ogólne bezpieczeństwo produktu
Wycofanie produktu z rynku polega na odebraniu przez
producenta produktu od dystrybutorów oraz zakazaniu
prezentowania i oferowania przez dystrybutorów takiego
produktu konsumentom.
Wycofanie produktu od konsumentów i jego zniszczenie
może zostać nakazane wyłącznie w przypadku, gdy inne
działania byłyby niewystarczające dla zapobieżenia
poważnym zagrożeniom powodowanym przez produkt.
Ogólne bezpieczeństwo produktu
Konsumentowi będącemu w posiadaniu produktu, w
odniesieniu do którego wydano decyzję nakazującą
wycofanie od konsumentów, przysługuje roszczenie o
odkupienie produktu za kwotę, za jaką produkt został nabyty,
bez względu na stopień jego zużycia.
Roszczenie to przysługuje konsumentowi:
1. wobec dystrybutora, od którego konsument nabył
produkt, o ile konsument posiada dowód zakupu
produktu;
2. wobec producenta produktu, jeżeli konsument nie
dysponuje dowodem zakupu.
Ogólne bezpieczeństwo produktu
Kto, w związku z prowadzoną działalnością,
wprowadza na rynek produkty niespełniające
wymagań bezpieczeństwa, podlega:
• grzywnie,
• karze ograniczenia wolności albo
• pozbawienia wolności do roku.
Jeżeli sprawca działa nieumyślnie, podlega
grzywnie.
Bezpieczeństwo wyrobu
Znak bezpieczeństwa „B” jest
znakiem dobrowolnym, producent nie
ma obowiązku umieszczania tego znaku
na swoich wyrobach.
Oznaczenie „CE” jest znakiem
obowiązkowym, jeśli wyrób podlega
jednej z dyrektyw unijnych.
Bezpieczeństwo wyrobu
Znak B umieszczony na wyrobie:
stanowi dla klienta i sprzedawcy informację, że
bezpieczeństwo wyrobu zostało potwierdzone przez
niezależną od producenta jednostkę oceniającą,
świadczy o tym, że wyrób spełnia wymagania
określone przez krajowe i europejskie standardy i
przepisy prawne.
Bezpieczeństwo wyrobu
Znak B stanowi dla konsumenta istotną gwarancję
bezpieczeństwa, ponieważ w procesie oceny
bierze udział niezależna jednostka o
potwierdzonych kompetencjach, a oceny,
według określonej procedury, dokonują
niezależni od producenta eksperci.
Badaniu podlega nie tylko wyrób gotowy ale także
proces produkcji co gwarantuje, że produkt będzie
miał takie same właściwości, gwarantuje
niezmienność jakości produktu.
Bezpieczeństwo wyrobu
Znak bezpieczeństwa B jest potwierdzeniem, że
dany wyrób, używany zgodnie z zasadami
określonymi przez producenta, nie stanowi
zagrożenia dla życia, zdrowia, mienia i środowiska.
Bezpieczeństwo wyrobu
Korzyści wynikające ze stosowania znaku B:
• potwierdzenie bezpieczeństwa użytkowania wyrobu i
stabilności jego produkcji przez niezależną, znaną na
rynku unijnym jednostkę certyfikującą (oceniającą),
• wzrost zaufania klientów krajowych i zagranicznych do
wyrobu,
• gwarancja dla konsumentów, że zakupiony towar jest w
najwyższym stopniu bezpieczny.
Bezpieczeństwo wyrobu
Oznakowanie CE jest formą deklaracji producenta,
że jego wyrób spełnia wymagania wszystkich
mających do niego zastosowanie dyrektyw Nowego
Podejścia.
O ile dyrektywy nie przewidują inaczej, oznakowanie
CE jest obowiązkowe i musi być umieszczone na
wyrobie, zanim zostanie on wprowadzony na rynek
lub oddany do użytku.
Bezpieczeństwo wyrobu
Oznakowanie CE symbolizuje zgodność ze wszystkimi
wymaganiami nałożonymi na wytwórcę wyrobu poprzez
dyrektywy wymagające takiego znakowania. Jeśli
oznakowanie jest umieszczone na wyrobie, stanowi
deklarację osoby fizycznej lub prawnej (nanoszącej lub
odpowiedzialnej za jego naniesienie), że wyrób jest zgodny
ze wszystkimi mającymi do niego odniesienie wymaganiami
oraz że został poddany właściwym procedurom oceny
zgodności. Dlatego też państwa członkowskie nie mogą
ograniczać dostępu do rynku i zezwalania na eksploatację
wyrobom oznakowanym CE, jeśli nie można udowodnić, że
wyrób nie spełnia postawionych mu warunków.
Bezpieczeństwo wyrobu
Oznakowanie CE jest obowiązkowe i musi być umieszczone
zanim wyrób zostanie wprowadzony na rynek, chyba że
konkretna dyrektywa stanowi inaczej.
Jeśli wyrób podlega kilku dyrektywom, z których każda
wymaga umieszczenia oznakowania CE, oznakowanie to
oznacza, że wyroby są zgodne ze wszystkimi wymaganiami
tych dyrektyw.
Wyrób nie może być oznakowany symbolem CE, jeśli nie jest
objęty żadną dyrektywą, która wymaga jego umieszczenia
Bezpieczeństwo wyrobu
Znak CE musi być umieszczony przez producenta lub upoważnionego
przedstawiciela ustanowionego na terytorium Wspólnoty.
Jeśli z różnych względów oznakowanie musi zostać powiększone lub zmniejszone,
należy zachować odpowiednie proporcje. Znak CE umieszczony na samym
wyrobie lub na tabliczce znamionowej musi znajdować się w widocznym miejscu,
być czytelny i nieusuwalny. Jeśli jest to niemożliwe lub nie może być
zagwarantowane ze względu na rodzaj wyrobu, oznakowanie CE powinno być
umieszczone na opakowaniu (jeżeli takie istnieje) oraz w dołączonych do wyrobu
dokumentach (jeżeli odpowiednia dyrektywa wymaga takich dokumentów).
Jeżeli w fazę kontroli produkcji zaangażowana jest jednostka notyfikowana, jej
numer identyfikacyjny powinien być umieszczony za oznakowaniem CE. Numer
jednostki notyfikowanej musi być umieszczony na odpowiedzialność tej jednostki
przez producenta lub jego upoważnionego przedstawiciela
Bezpieczeństwo wyrobu
Oznakowanie CE jest jedynym oznakowaniem
symbolizującym wypełnienie przez producenta wyrobu
wszystkich ciążących na nim obowiązków, wynikających z
dyrektyw przewidujących oznakowanie CE i mających
zastosowanie do tego wyrobu. Państwa członkowskie winny
powstrzymać się od wprowadzania do swoich przepisów
jakichkolwiek odniesień do innych oznaczeń zgodności niż
oznakowanie CE, które byłyby sprzeczne z zadaniami
oznakowania CE.
Bezpieczeństwo wyrobu
Wyrób może posiadać dodatkowe oznakowania i
znaki, jeśli:
1. pełnią one inną funkcję niż oznakowanie CE;
2. nie będą mylone ze znakiem CE;
3. nie ograniczają czytelności i widoczności
oznakowania CE.
Bezpieczeństwo wyrobu
Zgodnie z dyrektywami Nowego Podejścia producentem jest
osoba odpowiedzialna za zaprojektowanie i
wyprodukowanie wyrobu z zamiarem wprowadzenia go na
rynek pod własnym nazwiskiem lub pod własną nazwą.
Odpowiedzialność producenta ciąży również na każdej
osobie fizycznej lub prawnej, która składa, pakuje,
przetwarza lub etykietuje gotowe wyroby z zamiarem
umieszczenia ich na rynku Wspólnoty pod własnym
nazwiskiem lub własną nazwą. Co więcej, odpowiedzialność
producenta dotyczy każdego, kto zmienia przeznaczenie
wyrobu w taki sposób, że zachodzi potrzeba dostosowania
się do innych wymagań zasadniczych, lub też tego, kto
istotnie modyfikuje lub odnawia wyrób (tworzy więc nowy
wyrób) z zamiarem wprowadzenia go na rynek Wspólnoty.
Bezpieczeństwo wyrobu
Aktywne implanty medyczne
Active implantable medical devices Aktywny implantowany wyrób medyczny
oznacza każdy aktywny wyrób medyczny, przeznaczony do wprowadzania do
ciała ludzkiego oraz częściowo wprowadzone do ciała drogą zabiegu
chirurgicznego lub poprzez interwencję medyczną do otworu naturalnego i
przeznaczony do pozostawania w nim po zakończeniu procedury
Dźwigi
Lifts Dźwig oznacza urządzenie obsługujące określone poziomy, posiadające
kabinę poruszającą się wzdłuż prowadnic, które są sztywne, nachylone pod
kątem większym niż 15o do poziomu i przeznaczone do transportu osób, osób i
towarów, włącznie towarów, jeśli kabina jest dostępna (to znaczy, jeśli osoba
może wejść do niej bez trudności) i wyposażona w urządzenia sterujące
umieszczone wewnątrz kabiny lub w zasięgu osoby będącej wewnątrz.
Kompatybilność elektromagnetyczna
Electromagnetic compatibility (EMC) Niniejsza Dyrektywa dotyczy urządzeń,
które mogą powodować zakłócenia elektromagnetyczne lub na których
działanie mogą mieć wpływ takie zakłócenia.
Bezpieczeństwo wyrobu
Maszyny
Machinery Maszyna oznacza zestaw połączonych wzajemnie części lub
podzespołów, z których przynajmniej jeden jest ruchomy, przy czym
odpowiednie człony wykonawcze, obwody sterowania i zasilania itp., połączone
są w całość dla wykonania konkretnej czynności, szczególnie dla
przetwarzania, obróbki, przemieszczania lub pakowania materiałów.
Materiały wybuchowe do użytku cywilnego
Explosives for civil uses Materiały wybuchowe oznaczają materiały i artykuły
uważane za takie przez zalecenia Organizacji Narodów Zjednoczonych
dotyczące transportu towarów niebezpiecznych oraz należące do klasy 1
określonej w tych zaleceniach.
Nieautomatyczne urządzenia ważące
Non-automatic weighing instruments Waga jest to przyrząd pomiarowy służący
do określenia masy ciała przez wykorzystanie działania na to ciało siły
grawitacji. Waga może także służyć do określania innych, związanych z masą
wielkości, ilości, parametrów albo właściwości. Waga nieautomatyczna jest to
waga, wymagająca interwencji operatora podczas ważenia.
Bezpieczeństwo wyrobu
Niskonapięciowe wyroby elektryczne
Low voltage electrical equipment (LVD) Sprzęt elektryczny oznacza każdy
sprzęt przeznaczony do użytku przy napięciu w zakresie pomiędzy 50 V i 1000
V prądu przemiennego oraz pomiędzy 75 V i 1500 V prądu stałego
Proste zbiorniki ciśnieniowe
Simple pressure vessels Niniejsza dyrektywa dotyczy prostych zbiorników
ciśnieniowych wytwarzanych seryjnie. Prosty zbiornik ciśnieniowy oznacza
dowolny zbiornik spawany podlegający nadciśnieniu wewnętrznemu większemu
niż 0,5 bar, przeznaczony do przechowywania powietrza lub azotu i nie
przeznaczony do ogrzewania płomieniem.
Sprawność energetyczna chłodziarek i zamrażarek
Energy efficiency for electric refrigerators and freezers Dyrektywa "Sprawność
energetyczna chłodziarek i zamrażarek" odnosi się do nowych chłodziarek,
urządzeń przechowalniczych i zamrażarek do użytku domowego i ich
zestawów, zasilanych z sieci energetycznej.
Bezpieczeństwo wyrobu
Sprawność energetyczna kotłów wodnych
Energy efficiency of hot water boilers Dyrektywa "Sprawność energetyczna
kotłów wodnych" ustala wymagania w odniesieniu do sprawności nowych
kotłów wodnych grzewczych opalanych paliwami ciekłymi lub gazowymi,
których moc nominalna jest nie mniejsza niż 4 kW i nie większa niż 400 kW.
Sprawność energetyczna stabilizatorów do oświetlenia jarzeniowego
Energy efficiency requirements for ballasts for fluorescent lighting Niniejsza
dyrektywa ma zastosowanie do zasilanych z sieci elektrycznej stabilizatorów dla
źródeł światła jarzeniowego (zgodnie z określeniem podanym w Normie
Europejskiej EN 50294 z grudnia 1998 r., punkt 3.4)
Nie są objęte niniejszą dyrektywą następujące rodzaje stabilizatorów:
stabilizatory wbudowane w lampach, stabilizatory zaprojektowane specjalnie do
opraw oświetleniowych, przeznaczonych do montażu w meblach, stanowiące
niewymienialną część oprawy oświetleniowej, która nie może być badana
oddzielnie od oprawy (zgodnie z Normą Europejską EN 60920, klauzula 2.1.3), i
stabilizatory przeznaczone na eksport poza Wspólnotę, albo jako samodzielne
elementy, albo wbudowane w oprawy oświetleniowe.
Bezpieczeństwo wyrobu
Środki ochrony indywidualnej
Personal protective equipment (PPE) Środki ochrony indywidualnej - urządzenia lub
wyposażenie przeznaczone do noszenia bądź trzymania przez użytkownika tych
środków, w celu jego ochrony przed jednym lub większą liczbą zagrożeń, które
mogą mieć wpływ na jego bezpieczeństwo i zdrowie podczas wykonywania
czynności, jak również wszelkie akcesoria i dodatki przeznaczone do tego celu.
Urządzenia do użytku w atmosferach wybuchowych
Equipment for use in explosive atmospheres Niniejsza dyrektywa ma zastosowanie
do urządzeń i systemów ochronnych, przeznaczonych do użytku w przestrzeniach
zagrożonych wybuchem oraz urządzeń zabezpieczających, sterujących i
regulacyjnych przeznaczonych do użytku na zewnątrz przestrzeni zagrożonych
wybuchem, lecz które są wymagane lub przyczyniają się do bezpiecznego
funkcjonowania urządzeń i systemów ochronnych wobec zagrożeń wybuchowych.
Urządzenia ciśnieniowe
Pressure equipment Dyrektywa "Urządzenia ciśnieniowe" odnosi się do
projektowania, wytwarzania i oceny zgodności urządzeń ciśnieniowych i ich
zespołów, dla których najwyższe dopuszczalne ciśnienie PS jest większe niż 0,5
bara.
Bezpieczeństwo wyrobu
Urządzenia gazowe
Gas appliances W zakresie dyrektywy "Urządzenia gazowe" znajdują się:
urządzenia spalające paliwa gazowe używanych do gotowania, ogrzewania,
przygotowywania gorącej wody, chłodzenia, oświetlenia lub prania, w których - w
odpowiednich przypadkach - temperatura wody nie przekracza 105 oC, zwanych
dalej "urządzeniami". Za urządzenia uważa się również palniki z wymuszonym
ciągiem oraz urządzenia grzewcze przeznaczone do wyposażenia w takie palniki,
urządzenia zabezpieczające, urządzenia sterujące lub urządzenia regulacyjne i
podzespoły, oprócz palników z wymuszonym ciągiem i urządzeń grzewczych
przeznaczonych do wyposażenia w takie palniki, umieszczanych na rynku
oddzielnie w celach handlowych i zaprojektowanych w celu wbudowania do
urządzenia spalającego paliwo gazowe lub zmontowania w celu stworzenia
takiego urządzenia.
Zabawki
Toys Zabawka oznacza dowolny produkt lub materiał zaprojektowany lub wyraźnie
przewidziany do używania w czasie zabawy przez dzieci do 14 lat.
Bezpieczeństwo wyrobu
Urządzenia medyczne
Medical devices Urządzenie medyczne oznacza dowolny przyrząd, aparat,
urządzenie, materiał lub inny artykuł, stosowany samodzielnie lub w połączeniu,
obejmujący oprogramowanie niezbędne do jego właściwego zastosowania
zamierzonego przez wytwórcę, który ma być używany dla istot ludzkich w celu:
diagnozy, prewencji, monitorowania leczenia lub złagodzenia choroby,
diagnozy, monitorowania, leczenia, łagodzenia lub rekompensaty zranienia albo
upośledzenia; badania, wymiany lub zmiany anatomii lub procesu
fizjologicznego; kontroli urodzin
Urządzenia diagnostyczne in vitro
In vitro diagnostic medical devices Wyrób medyczny do diagnostyki in vitro -
wyrób medyczny będący odczynnikiem, produktem odczynników, wzorcem
odniesienia, materiałem kontrolnym, zestawem, przyrządem, sprzętem lub
systemem stosowanym samodzielnie lub w połączeniu, przeznaczonym przez
wytwórcę do stosowania in vitro, w celu badania próbek pobranych z organizmu
ludzkiego, włączając próbki krwi i tkanek. Do wyrobów medycznych do
diagnostyki in vitro zalicza się także pojemniki na próbki.
Bezpieczeństwo wyrobu
Urządzenia linowe do przewozu osób
Cableway installations for persons Urządzenia linototorowe do przewozu osób są to
wszelkie urządzenia, które są projektowane, wytwarzane, montowane i użytkowane
w celu transportu osób. Urządzenia te wykorzystują elementy nośne albo
mechanizmy do ciągnięcia, przy czym elementem zapewniającym zawieszenie i/lub
trakcję jest lina ułożona w osi ruchu.
Wyposażenie radiowe i terminali telekomunikacyjnych
Radio and telecommunications terminal equipment Niniejsza dyrektywa odnosi się
do urządzeń końcowych. Urządzenie końcowe oznacza urządzenie przeznaczone
do podłączenia do sieci telekomunikacji publicznej, tj.: do podłączenia
bezpośredniego do końcówki sieci telekomunikacji publicznej lub do współpracy z
publiczną siecią telekomunikacyjną dołączoną bezpośrednio lub pośrednio do
końcówki sieci telekomunikacji publicznej w celu nadawania, przetwarzania lub
odbierania informacji. System połączeń może być kablowy, radiowy, optyczny lub
inny elektromagnetyczny,
Wyroby budowlane
Construction products Wyrób budowlany oznacza każdy wyrób wyprodukowany w
celu wbudowania go na stałe w obiekty budowlane obejmujące zarówno budynki,
jak i budowle inżynierskie.
Bezpieczeństwo wyrobu
Ustawa z dnia 30 sierpnia 2002 r. o systemie oceny zgodności (Dz. U. z 2004
r. Nr 204, poz. 2087 j.t., z późn. zm.).
85/374/EWG - Odpowiedzialność za produkt niebezpieczny
98/34/WE - Procedura informowania w zakresie norm i przepisów technicznych
2001/95/WE - Ogólne bezpieczeństwo produktu
2002/49/WE - Ocena i zarządzanie poziomem hałasu w środowisku
2009/105/WE (przedtem: 87/404/EWG - Proste zbiorniki ciśnieniowe (SPVD))
89/106/EWG - Wyroby budowlane (CPD)
89/686/EWG - Środki ochrony indywidualnej (PPED)
90/396/EWG - Urządzenia gazowe (GAD)
92/42/EWG - Efektywność energetyczna kotłów (BED)
94/9/WE - Atmosfery wybuchowe (ATEX)
95/16/WE - Dźwigi (Lifts)
97/23/WE - Urządzenia ciśnieniowe (PED)
2006/42/WE - Maszyny (MD) (z dniem 29.12.2009 r. zastąpiła dyrektywę
98/37/WE)
2004/108/WE - Kompatybilność elektromagnetyczna (EMC) (z dniem 20.07.2007
zastąpiła dyrektywę 89/336/EWG)
2006/95/WE - Niskie napięcia (LVD) (z dniem 16.01.2007 r. zastąpiła dyrektywę
73/23/WE)
Zachodniopomorski Uniwersytet Technologiczny w Szczecinie Wydział Inżynierii Mechanicznej i Mechatroniki
Zarządzanie bezpieczeństwem
Wykład – bezpieczeństwo żywności
dr inż. Agnieszka Terelak-Tymczyna
Bezpieczeństwo żywności
Produkowanie bezpiecznej żywności,
oznacza produkowanie żywności, która jest
wolna od skażenia czynnikami fizycznymi,
chemicznymi, biologicznymi i
mikrobiologicznymi,
Bezpieczeństwo żywności
HACCP (Hazard Analysis and Critical
Control Point, Analiza Zagrożeń i
Krytycznych Punktów Kontroli).
W systemie HACCP główny nacisk kładzie
się na wykrywanie potencjalnych przyczyn
zagrożeń bezpośrednio w miejscu ich
powstania, a następnie podejmowaniu
działań w celu ich uniknięcia.
Bezpieczeństwo żywności
Zasady HACCP uwzględniają w pełni:
1. ustawodawstwo międzynarodowe dotyczące prawa
żywnościowego, w tym Kodeksu Żywnościowego
będącego najważniejszym dokumentem dotyczącym
żywności,
Kodeks Żywnościowy (Codex Alimentanus) jest zbiorem przyjętych na arenie
międzynarodowej standardów środków spożywczych przedstawionych w
ujednoliconej formie. Zawiera on zasady postępowania (tzw. kodeksy praktyki),
przepisy i inne zalecane czynności służące pomocą w wypełnianiu celów tych
standardów.
2. ustawodawstwo Unii Europejskiej dotyczące prawa
żywnościowego, w tym dokumenty legislacyjne
(dyrektywy) z zakresu higieny żywności i jej
przetwórstwa.
Bezpieczeństwo żywności
System HACCP można wprowadzać według
różnorodnych standardów. Ujednolicenie w tym
zakresie powinno przynieść opublikowanie w 2005r.
normy ISO 22000 ,,Systemy zarządzania
bezpieczeństwem żywności - Wymagania dla
każdej organizacji należącej do łańcucha
żywnościowego". Norma ta w pełni uwzględnia
zasady HACCP oraz jest dostosowana do wymagań
normy IS0 9001:2000.
Bezpieczeństwo żywności
Warunkiem spełnienia wymagań HACCP jest przestrzeganie
wytycznych zapisanych w tzw. kodeksach dobrych praktyk.
Do najważniejszych należą:
Dobra Praktyka Rolnicza (GAP, Good Agricultural
Practice) - zbiór praktyk pozwalających wyprodukować
bezpieczną żywność przy użyciu wszelkich dostępnych
metod i środków. GAP zobowiązuje rolników m.in. do
przestrzegania okresów karencji po zastosowaniu nawozów,
środków ochrony roślin czy leków, aby pozostałości użytego
środka nie dostały się do żywności. Określa również ściśle,
czym i w jaki sposób należy karmić zwierzęta hodowlane.
Zapewnia tym samym bezpieczeństwo konsumentowi na
etapie produkcji podstawowej;
Bezpieczeństwo żywności
Dobra Praktyka Produkcyjna (GMP, Good Manufacturing
Practice) – może być zdefiniowana jako połączenie
efektywnych procedur produkcyjnych oraz skutecznej
kontroli i nadzoru produkcji, co gwarantuje, że
wyprodukowane wyroby spełnią ustalone wcześniej
wymagania jakościowe. Zasadą jest, ze zalecenia zawarte w
procedurach GMP muszą zawierać wymagania dotyczące
Dobrej Praktyki Higienicznej (GHP) oraz być zgodne z
obowiązującymi w danym kraju przepisami sanitarnymi i
weterynaryjnymi dotyczącymi pozyskiwania, przetwarzania i
obrotu żywnością.
Bezpieczeństwo żywności
Dobra Praktyka Produkcyjna odnosi się do:
higienicznych warunków środowiska,
zapobiegania przenikaniu do przedsiębiorstwa owadów,
gryzoni, ptaków,
warunków magazynowania sprzętu, substancji
chemicznych, surowców i wyrobów,
rozmieszczenia urządzeń produkcyjnych i
magazynowych,
wentylacji pomieszczeń,
oświetlenia pomieszczeń,
gospodarki wodno-ściekowej,
mycia i dezynfekcji,
higieny osobistej pracowników przeciwdziałającej
zakażeniom wyrobów;
Bezpieczeństwo żywności
Dobra Praktyka Higieniczna (GHP, Good Higienic
Practice) - obejmuje węższy zakres niż GMP, bo tylko jej
higieniczne aspekty. Dotyczy najczęściej opracowania i
wdrożenia instrukcji higieniczno-sanitarnej;
Bezpieczeństwo żywności
Dobra Praktyka Laboratoryjna (GLP, Good Laboratory
Practice) – sposób planowania, przeprowadzania i
dokumentowania badan laboratoryjnych, zapewniający
wykorzystanie najnowszej wiedzy biologicznej i technicznej
oraz wiarygodność i pewność uzyskanych wyników. Dobra
Praktyka Laboratoryjna oznacza:
regularnie sprawdzaną i wzorcowaną aparaturę,
standardowe, sprawdzone metody analityczne,
plan częstotliwości pobierania i badania próbek,
system zapisów, ich przechowywania i dostępność,
odpowiednio wyszkolony personel,
niezależny personel laboratoryjny podległy ścisłemu
kierownictwu.
Bezpieczeństwo żywności
Zgodnie z ustaleniami Kodeksu Żywnościowego HACCP działa na
podstawie siedmiu zasad, które nie powinny być rozpatrywane
jako reguły, lecz jako zadania do wykonania.
Zasada 1: Przeprowadź analizę zagrożenia
Należy zidentyfikować zagrożenia, jakie mogą wystąpić podczas
pozyskiwania surowców, ich dystrybucji, przechowywania i
przetwarzania, konsumpcji itp. Zagrożenia mogą być natury:
1. mikrobiologicznej (np. mikroorganizmy),
2. chemicznej (np. antybiotyki, pestycydy, pozostałości środków
myjących),
3. fizycznej (pozostałości ciał obcych).
W analizie zagrożeń należy uwzględnić prawdopodobieństwo ich
wystąpienia, potencjalną szkodliwość, a także możliwość podjęcia
działań zapobiegawczych.
Bezpieczeństwo żywności
Zasada 2: Określ krytyczne punkty kontroli (CCP)
Miejsca, w których poprzez działania kontrolne możliwe jest
wyeliminowanie zagrożenia lub przynajmniej
zminimalizowanie prawdopodobieństwa jego wystąpienia, są
nazywane punktami kontroli, a miejsca do tego celu
szczególnie odpowiednie to krytyczne punkty kontroli (CPP,
Critical Control Point). Do ich wyznaczenia służy tzw.
drzewko decyzyjne
Bezpieczeństwo żywności
Krytyczność zagrożenia jest określana na podstawie
wskaźnika:
P=AB, gdzie:
A - prawdopodobieństwo wystąpienia zagrożenia
(3 - duże, 2 - średnie, 1 - małe),
B - potencjalna szkodliwość zagrożenia
(3 - duża, 2 - średnia, 1 - mała).
Jeżeli:
P >3: uznaje się, że jest konieczne znalezienie w cyklu
produkcyjnym miejsca, w którym dane zagrożenie będzie pod
stałą kontrolą, czyli krytycznego punktu kontroli,
P<3: wystarczy zastosowanie działań zapobiegawczych.
Należy zauważyć, że metodyka wyznaczania wskaźnika P jest podobna do
metodyki wyznaczania wskaźnika WPR w analizie FMEA.
Bezpieczeństwo żywności
Zasada 3: Ustal wartości krytyczne
Każdy punkt krytyczny musi mieć określone wielkości
kontrolne (cechy), które będą podlegały kontroli i
monitorowaniu. Wielkości te powinny być łatwo mierzalne.
Należy im przypisać wartości krytyczne, które nie mogą być
przekraczane. Po przekroczeniu należy podjąć odpowiednie
działania korygujące lub zapobiegawcze.
Bezpieczeństwo żywności
Zasada 4: W punktach kontroli zaprojektuj i wprowadź
system monitorowania
System monitorowania musi uwzględniać systematyczne
testowanie lub obserwację wielkości kontrolowanych. Wyniki
pomiarów powinny być przetwarzane metodami
statystycznymi.
Bezpieczeństwo żywności
Zasada 5: Ustal działania korygujące
Działania korygujące są podejmowane w przypadku
przekroczenia przez wielkości kontrolowane wartości
krytycznych.
Bezpieczeństwo żywności
Zasada 6: Ustal procedury weryfikacyjne
Weryfikacja pozwala się upewnić, że pomiary, obserwacje,
działania korygujące są przeprowadzane w sposób właściwy
i skutecznie. Jest przeprowadzona poprzez audyty
wewnętrzne lub zewnętrzne.
Bezpieczeństwo żywności
Zasada 7: Prowadź dokumentację dotyczącą wszystkich
procedur i zapisów
Dokumentacja powinna zawierać:
zapisy analizy zagrożeń,
opisy wyznaczania CCP oraz wartości krytycznych
wielkości kontrolowanych,
rejestry zmian,
protokoły z przeprowadzonych weryfikacji,
zapisy wyników pomiarów i badań.
Bezpieczeństwo żywności
W przykładzie przedstawiono wyznaczanie krytycznych
punktów kontroli oraz schemat ich monitorowania w wytwórni
pasz. Analizę ograniczono do etapu dostawy surowców.
Kolejne etapy postępowania opisano w tabelach 3.z 6, 3.7 i
3.8 oraz na rysunku 3.17.
Przykład wzięty Hamrol