Из чего состоит типовая система IT-безопасности

В статье «Современные киберугрозы » [1] мы рассмотрели спектр существующих на сегодняшний день киберугроз, а также возможные негативные последствия их воздействия на незащищённую IT-инфраструктуру малых и средних предприятий.

Мы пришли к выводу, что для полноценной защиты информационного пространства предприятия, систем хранения и обработки данных требуется не просто установка соответствующего программного обеспечения, но целый комплекс программно-технических, административно-организационных и нормативно-правовых мероприятий.

На этот раз мы попробуем разобраться, что же обычно используется для защиты информации, устройств и носителей, какие технические средства, программное обеспечение, нормативные документы и режимные меры для этого требуются. Причём попытаемся сделать это максимально просто и доступно, не углубляясь в дебри специфических терминов и профессиональные хитрости. Главная наша задача — рассмотреть основные аспекты построения систем IT-безопасности, что уже в какой-то мере позволит, например, руководителю предприятия оценивать степень компетентности ответственного за IT-безопасность специалиста или же выбирать наиболее подходящие предложения от специализирующейся на построении систем защиты компании.

Наиболее известным программным средством защиты является, безусловно, антивирус. Причём современные антивирусы представляют собой уже достаточно сложный, интегрированный продукт, способный защитить непосредственно рабочую станцию, на которую он установлен, не только от вирусов, но и от спама, сетевых вторжений, вредоносных веб-скриптов и тому подобных угроз. В антивирусные пакеты сегодня встраивают даже компоненты, предназначенные для удалённого резервирования важных данных и их шифрования.

В принципе, для применения в малых офисах, где установлено не более пяти компьютеров, и обычного антивируса в ряде случаев может оказаться вполне достаточно. Тем не менее, даже для столь малых компаний удобнее всё-таки специализированное решение — например, Kaspersky Small Office Security (цена — 5900 руб. более чем доступно даже для индивидуальных предпринимателей), рассчитанный на 5 ПК и один сервер и предлагающий в том числе такие функции, отсутствующие у чисто «домашних» продуктов, как централизованное управление безопасностью, ограничение доступа сотрудников к интернету и приложениям, автоматическое резервное копирование по расписанию, хранение ценных данных в зашифрованных файлах-контейнерах, файловый «шредер» для предотвращения восстановления и кражи удалённых документов и так далее. Ключевым же звеном здесь является, пожалуй, именно возможность централизованного управления, поскольку в противном случае на должность системных администраторов приходилось бы набирать как минимум марафонцев-разрядников, способных целый день бегать от компьютера к компьютеру.

Более крупной же компании требуется и более серьёзная функциональность, соответствующая её IT-пространству. Так, довольно распространены в нашей стране бизнес-продукты от компаний Symantec, ESET и всё той же Лаборатории Касперского. На примере пакета «Kaspersky Security для бизнеса» хорошо видна разница между «бытовым» антивирусом и продуктом бизнес-класса. Подобные комплексные решения не только позволяют защищать конечные рабочие станции сотрудников предприятия, но и способны обезопасить почтовые и файловые серверы, интернет-шлюзы, прокси-серверы, серверы совместной работы и так далее. Причём всё это работает не только в среде Windows, но и в других операционных системах и даже на смартфонах.

Тем не менее, как бы ни были многофункциональны подобные программы, абсолютно все задачи IT-безопасности они охватить не в силах. Поэтому в зависимости от того, какие уязвимые точки надо прикрыть в той или иной компании, может потребоваться дополнительное программное обеспечение. Например, одной из часто встречающихся задач в корпоративном секторе является предотвращение утечки конфиденциальных данных. Её решением занимается отдельный класс ПО — так называемые DLP-системы (Data Loss/Leak Prevention). Как правило, они устанавливаются на прокси-серверах, серверах электронной почты, могут присутствовать в сети и в виде отдельных серверов. Устанавливаются их компоненты и на персональных компьютерах работников для контроля таких каналов, как запись информации на компакт-диски, флэш-накопители и т. п. При этом отслеживаются изменение сетевых настроек на рабочих станциях, установка программ для туннелирования, стеганографии и другие возможные методы обхода контроля сотрудниками предприятия. В качестве примера подобной системы приведём ещё один отечественный продукт — InfoWatch Traffic Monitor Enterprise. Он осуществляет мониторинг и анализ данных, отправляемых через почтовые системы, интернет, системы обмена сообщениями, распечатываемых и копируемых на съёмные носители, предотвращая утечку конфиденциальных данных путём блокирования передачи в случае нарушения политик безопасности. Причём, даже если какой-нибудь злоумышленник попробует схитрить и вместо похищения исходного документа сделает его скриншот и уже в виде графического файла попробует переслать или скопировать на внешний носитель, то и в этом случае защита сработает благодаря встроенной технологии распознавания символов.

Точно так же обеспечивается защита и других ключевых процессов — начиная от организации резервного копирования важных данных и шифрования и заканчивая защитой виртуальных машин и облачными технологиями. Не стоит забывать и про системы аутентификации, разграничения и управления доступом, программные решения, осуществляющие аудит и протоколирование действий сотрудников, сетевые экраны и брандмауэры, системы обнаружения и предотвращения вторжений, обеспечение бесперебойного электропитания и так далее. Всё это может потребоваться если не сейчас, то по мере развития информационного пространства компании. Что-то из этого уже «умеют» делать серверные операционные системы, тем не менее, без стороннего, специализированного ПО обойтись, скорее всего, не получится.

Ассортимент такого ПО может в результате получиться чрезвычайно разнообразным, но, разумеется, комплексные интегрированные продукты проще в обслуживании (а следовательно — надёжнее), нежели «сборная солянка» от десятка разных разработчиков. Кроме того, в быстроразвивающихся компаниях меры по информационной безопасности должны соответствовать и растущим запросам предприятия, а потому особое внимание следует обращать на масштабируемые решения. Надо также учитывать, что немаловажным фактором при выборе продукта, обеспечивающего безопасность корпоративной информационной сети, является наличие качественной технической поддержки со стороны разработчика, функционирующей в режиме «24 часа, 7 дней в неделю». Программы эти далеко не так просты, как может показаться, поэтому даже самому выдающемуся администратору может потребоваться помощь в борьбе с очередной вирусной эпидемией или DDoS-атакой.

Многие из подобных решений поставляются не в виде программ, а как уже готовые законченные устройства — высокозащищённые компьютеры и серверы, нередко — на базе специализированных операционных систем. Это могут быть серверы аутентификации, сетевые экраны, спам-фильтры и тому подобное. Подобный подход весьма удобен и позволяет, в частности, создавать многоуровневую систему защиты, однако требует от IT-специалистов весьма высокой квалификации и знаний в самых различных областях — начиная от систем на базе Linux и заканчивая настройкой оборудования Cisco.

Конкретный же набор программно-технических средств, разумеется, зависит от начальных условий. Как мы уже говорили, всё зависит от того, что надо защищать в первую очередь и в каких случаях грозят наиболее существенные потери. В конце концов, дело может дойти и до защиты от «прослушки», когда придётся противостоять не только возможному вибро- и акустическому съёму информации, но и утечке данных по слаботочным цепям, по телефонным линиям, по сетям электропитания. Предела совершенству, как известно, нет.

Административно-организационные мероприятия нацелены в первую очередь на физическое противодействие внутренним угрозам. Если злоумышленник получил прямой доступ к интересующему его компьютеру, то его задача очень серьёзно упрощается, невзирая на то, какое защитное ПО на нём установлено. Поэтому данные мероприятия включают в себя такие компоненты, как организация режима и охраны всего объекта либо каких-то его критически важных узлов, чтобы исключить возможности проникновения на территорию и в помещения (например, серверные) посторонних лиц или несанкционированный доступ к конфиденциальной информации и компьютерной аппаратуре неуполномоченных на то сотрудников.

Работа сотрудников с документами, в том числе электронными, также должна быть строго регламентирована и систематически контролироваться, включая использование носителей конфиденциальной информации, их учёт, возврат, хранение и уничтожение. При этом помещения, в которых производится обработка или хранение конфиденциальных данных, всевозможные серверные должны соответствовать режимным и иным корпоративным требованиям, вплоть до требований по противопожарной защите и организации видеонаблюдения. Должны быть определены лица, ответственные за хранение и использование средств защиты информации, за выполнение криптографической защиты, за другие критически важные процессы.

Также необходимо разработать процедуры подбора, проверки и обучения персонала, допущенного к конфиденциальной и критически важной информации, методы расследования случаев нарушения режима и должностных инструкций.

Отвечающие же за информационную безопасность службы и сотрудники должны на базе анализа возможных угроз и рисков адекватно выработать и настроить политики безопасности в операционных системах и корпоративных приложениях, организовать протоколирование действий пользователей, работающих на компьютерах, обеспечить работу всех сотрудников исключительно с легальным программным обеспечением. Нельзя забывать и о своевременной профилактике и ремонте технических средств, регулярном обновлении программного обеспечения, проверке работоспособности всех систем.

В идеале должна быть выработана чёткая концепция информационной безопасности, увязанная с общей концепцией безопасности компании. Именно от неё следует отталкиваться при разработке и внедрении технологии обеспечения информационной безопасности. Собственно говоря, даже построение самой информационной системы было бы логичнее начинать только после этого, но на уже действующих предприятиях приходится вписываться в уже имеющуюся инфраструктуру.

Одним из важнейших аспектов при организации системы IT-безопасности является обеспечение правовой базы для её функционирования, в основе которой, разумеется, лежит соблюдение законодательства — как национального, так и международного. Например, использование и обслуживание шифровального оборудования в нашей стране регулируется федеральным законом «О лицензировании отдельных видов деятельности». В результате компании, предполагающей применение шифровального оборудования, чтобы избежать риска штрафных санкций, необходимо получить лицензию на техническое обслуживание шифровальных средств или же поручить обслуживание данных средств фирме, уже имеющей такую лицензию. В ряде случаев, например, при организации защищённого канала связи с удалёнными офисами, можно, конечно, отказаться от собственного криптографического оборудования и использовать соответствующие услуги интернет-провайдера, но надо отдавать себе отчёт в том, что риск утечки конфиденциальных данных через провайдера при этом серьёзно возрастает.

Но только лишь законодательством (а это, например, ещё один важный федеральный закон, прямо касающийся IT-безопасности — «О персональных данных») дело не ограничивается. Нельзя оставлять без внимания и другие документы и подзаконные акты, прямо или косвенно касающиеся организации системы информационной безопасности:

• указы Президента РФ;
• постановления правительства РФ;
• нормативные правовые акты федеральных министерств и ведомств;
• нормативные правовые акты субъектов РФ, органов местного самоуправления;
• доктрину информационной безопасности РФ;
• руководящие документы ФСТЭК (Гостехкомиссии России);
• приказы ФСБ;
• международные стандарты;
• государственные (национальные) стандарты РФ;
• рекомендации по стандартизации;
• методические указания.

Например, в банковской сфере предусмотрен целый комплекс документов Банка России, описывающий единый подход к построению системы обеспечения ИБ организаций банковской сферы с учётом требований российского законодательства — Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС).

К организационно-правовым мероприятиям относится и разработка определённых внутренних документов самих предприятий и организаций, регламентирующих степень и порядок допуска собственных сотрудников, а также сторонних лиц и организаций к конкретным информационным ресурсам. Трудовой договор или контракт с сотрудником, а также должностные инструкции (приказы, директивы, положения и т. п.), должны чётко регламентировать права и обязанности сотрудника, касающиеся сферы ИБ, его ответственность в случае их нарушения, конкретизировать другие вопросы защиты конфиденциальной информации на предприятии. Грубо говоря, каждый сотрудник должен знать правила информационной безопасности, что он может делать, а что — нет. Какие программы он может устанавливать на свой рабочий ПК, какими веб-ресурсами может пользоваться, какие санкции предусмотрены за нарушения и так далее. При необходимости можно организовать подписку о сохранении коммерческой тайны. Не обойтись и без установления персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации.

Резюмируя наш беглый обзор, ещё раз скажем, что именно комплексный подход к организации защиты информационного пространства является наиболее эффективным и способен наиболее полно противостоять постоянно растущему числу киберугроз при работе с современными средствами компьютерной связи и электронного документооборота.

Инструкция по обеспечению безопасности персонального компьютера

Содержание.

1. Введение.
2. Физическая безопасность.
3. Использование персональных компьютеров.
4. Отправка и получение электронной почты через Интернет.
5. Рекомендации по работе с Интернетом.
6. Защита и резервное копирование информации.
7. Процедура получения разрешений.

Большинство сотрудников компании BPB используют в своей ежедневной работе персональные компьютеры . На каждого сотрудника возлагается обязанность следить за рабочим состоянием корпуса компьютера, программного обеспечения и введенных данных, которые являются имуществом компании.

Эта инструкция описывает политику компании по соблюдению данных обязательств, а также содержит конкретные инструкции, которым должны следовать все пользователи персональных компьютеров:

• Введение.
• Физическая безопасность.
• Использование персональных компьютеров.
• Отправка и получение электронной почты через Интернет.
• Рекомендации по работе с Интернетом.
• Защита и резервное копирование информации.

Несмотря на то, что данное руководство разработано для пользователей персональных компьютеров, оно в равно степени может быть распространено на тех кто работает с другими видами ЭВМ. Любые нарушения этих инструкций будут рассматриваться в соответствии с обстоятельствами, в которых они имели место, однако в случае серьезных нарушений могут последовать дисциплинарные взыскания, вплоть до увольнения.

2.1. Посторонние лица не должны иметь доступ к Вашему персональному компьютеру:

• Все компьютеры должен быть защищены паролями, которые вводятся при включении компьютера.
• Если пользователь оставляет компьютер включенным на короткое время, он должен убедиться, что доступ к компьютеру ограничен соответствующими программами (например, паролем защиты экрана).
• Если компьютер оставляется на более длительное время, все программы должны быть выключены, все файлы должны быть закрыты и сохранены.
• В конце рабочего дня закройте все приложения, сохраните все файлы, выключите ПК, если от руководителя не было инструкций оставлять компьютер включенным.
• Если Вы используете портативный компьютер, все вышеприведенные правила также должны соблюдаться. Не следует оставлять компьютер в автомобиле.

2.2. Убирайте все диски и дискеты, когда они не используются:

• Магнитные носители (диски и дискеты) не следует оставлять без присмотра на рабочем столе.
• Вся конфиденциальная информация, дискеты, включая лицензированный материал, (например, программные мастер- диски) должны храниться в закрытых коробках для предотвращения их утраты.
• Сами коробки должны храниться под замком в шкафах. Ключевые данные и дискеты рекомендуется хранить в несгораемых сейфах.

2.3.Размещайте свои ПК так, чтобы неуполномоченные лица не могли видеть данные, которые отображаются на мониторе или взять сам компьютер.

• Ели Вы предполагаете вывести на монитор персонального компьютера какую-либо конфиденциальную информацию, его следует разместить так, чтобы изображение видели только уполномоченные лица. В этой связи может возникнуть необходимость в ограничении доступа к некоторым помещениям офиса.
• По возможности, включенные ПК оставляйте в закрытых на ключ помещениях.

3.1. Используйте только программное обеспечение, одобренное компанией:

• Большинство ПК устанавливаются внутри группы компании BPB для использования специальных рабочих программ- приложений.
• Пользователям потребуется также ряд других программ для общих целей (Текстовый редактор, программа табличных вычислений, программа электронной почты, графические программы и т.п.).
• Отдел технической поддержки каждого подразделения ВРВ выпускает список одобренных программ для этих целей.
• Вы не имеете право устанавливать программное обеспечение, включая демонстрационные программы, и использовать его, если это программное обеспечение не разрешено к применению Вашим руководителем или лицом ответственным за IT в компании.
• Экранные заставки и игры должны быть строго ограничены стандартным набором.

3.2. Используйте ПК только в целях ведения бизнеса компании:

• Компьютер, программное обеспечение и данные, используемые Вами в работе, являются собственностью компании. Не следует использовать ПК без письменного разрешения руководителя или технического менеджера для других целей, кроме как в целях ведения бизнеса компании.

3.4. Не следует делать незаконных копий программ:

• Компьютерные программы защищены законом об авторском праве.
• Копирование программ без установленной оплаты лицензии является преступлением.

3.5. Защита от компьютерных вирусов:

1. Политикой компании ВРВ предусмотрена установка антивирусных программ на все ПК. За установку и обновление программ отвечает IT Специалист.
2. Очень важно немедленно информировать IT специалиста о фактах вирусного заражения Вашего компьютера.
3. Вирусом является программа, способная повредить компьютерные программы и хранимые данные. Он может распространяться на другие машины через локальную сеть. Признаки вирусного заражения могут быть следующими:

• необъяснимое увеличение объема использованной памяти
• необъяснимое увеличение размера программы или файла
• необъяснимые изменения в названии программы или файла
• ошибки дисков, другие необъяснимые ошибки, случайности, и т.п.
• необъяснимые или странные сообщения или действия на экране
• продолжительные, необъяснимые повреждения данных.

1. Если вы подозреваете, что Ваш компьютер заражен вирусами :

• выключите компьютер;
• не передавайте никому свои дискеты;
• немедленно свяжитесь со своим IT Специалистом.

1. Самый обычный способ распространения вирусов на компьютере по сети, через дискеты или по электронной почте.
2. Все дискеты, поступающие в компанию из других источников, должны быть проверены антивирусной программой.

Следующие положения отображают политику компании относительно электронной почты. Их необходимо точно соблюдать, если от непосредственного руководителя не поступало других распоряжений.

4.2. Что следует и что не следует делать:

1. Внутренняя система обмена электронными сообщениями считается надежной и безопасной, а Интернет и электронная почта содержит больший риск нежелательного доступа вирусов.
2. Следует соблюдать следующие правила:

• Не отвечайте на письма и не открывайте прикрепленные к ним файлы. если письма кажутся Вам странными и подозрительными, особенно если Вам не знаком адрес отправителя.
• Не отвечайте ни на какие электронные письма, в которых содержатся запросы о раскрытии конфиденциальной информации, независимо от кого направлен запрос. (Это касается паролей, внутренних телефонных номеров и номеров удаленного доступа).
• НЕ ИСПОЛЬЗУЙТЕ адрес Вашей служебной электронной почты в каких-либо целях, результатом реализации которых может стать выдвижение иска против компании (например, для обнародования злонамеренных заявлений).
• НЕ ПЕРЕДАВАЙТЕ адрес Вашей электронной почты на списочный сервер, за исключением тех случаев, когда это необходимо по работе.
• НЕ ИСПОЛЬЗУЙТЕ электронной почты для передачи обычных деловых документов, которые можно отправить по факсу.
• СТРОГО СЛЕДУЙТЕ процедурам защиты с помощью паролей

5.1. Риски, которые содержит в себе Интернет

• Все большему количеству пользователей требуется доступ в Интернет для выполнения определенных видов работ для компании.
• Хотя риски, связанные с работой в Интернете, малы, необходимо руководствоваться следующим инструкциям, чтобы свести их к минимуму:
• Загрузка, установка и распространение материалов и программ из Интернета рассматривается как серьезное нарушение данной инструкции и ведет к дисциплинарным взысканиям, вплоть до увольнения.
• Интернет не следует использовать в нерабочих целях.

• Не раскрывайте свои пароли никому, кроме случаев крайней необходимости, своему непосредственному руководителю.
• Не сообщайте никому своих паролей, за исключением тех случаев, когда на это будет дано специальное разрешение.
• Избегайте использования одинаковых паролей, за исключением ситуаций, когда это необходимо.
• Пароль следует менять не реже 1 раза в 90 дней.
• Подходите внимательно к выбору пароля.
• Необходимо использовать пароль из шести знаков, который бы содержал хотя бы одну букву и одну цифру.
• Не используйте очевидных паролей, таких как Ваше имя, имя Вашего/ей супруга/и или детей, номер машины и т.д.
• Не записывайте свой пароль
• Не давайте никому пароль на время.
• Не храните свой пароль в каких бы то ни было программах, файлах или других материалах Вашего компьютера.
  

• У Вас будет авторизированный доступ к компьютерам, серверам и данным, необходимым для работы. Любые попытки получить другую информацию, внутри или вне компании, строго воспрещаются, за исключением случаев, когда для этого есть указания в письменном виде.
• Иные попытки могут быть рассмотрены как нарушение данной инструкции и повлечь за собой соответствующее наказание.
• Если Вам потребуется доступ к базам данным, Вам следует получить на это разрешение у руководителя и технического менеджера.

6.3.Резервные копии и защита информации:

• Необходимо хранить все рабочие документы в папке «Мои документы», которая синхронизируется с сетевым диском сервера при включении/выключении компьютера из сети. Помните, что Ваш ПК и информация менее защищены, если Вы работаете на портативном компьютере, с которым Вы путешествуете.
• Разработайте совместно с вашим IT специалистом план действий на случай непредвиденных обстоятельств, поломке или существенного сбоя в работе Вашего персонального компьютера.

7.1. Соглашение с пользователем.

• Все пользователи ПК должны подписать Заявление о соблюдении процедур в области информационных технологий.
• Все пользователи должны получить разрешение на доступ к той части информации в локальной сети, которая будет необходима в работе. Соответственно, каждый пользователь будет осуществлять соответствующие операции на своем месте.
• Если работник покидает компанию, руководитель должен информировать об этом Главного бухгалтера Компании, для того, чтобы доступ к данным был закрыт.

7.2.1.Доступ подрядчиков к компьютерной сети.

• Лица, которые в течении ограниченного времени работают в компании по договору о подряде, так же как и сотрудники компании обязаны подписать Заявление о соблюдении процедур в области информационных технологий.
• Компании, которые в соответствии с положениями заключенных договоров. обязаны производить для них загрузку программного обеспечения и его модификацию, должны подписать договор, копия которого храниться в компании. Все работники компании-подрядчика должны выполнять условия этого договора.
• Если какие-либо компании оказывают компаниям BPB услуги, связанные с использованием информационных технологий, и для оказания этих услуг необходим доступ к Интернет и/или компьютерной сети, в договор между этими компаниями и BPB должен быть включен пункт об обеспечении безопасности и защите информации.

Должностная инструкция начальника ИТ отдела

1. Общие положения

1.1 Начальник ИТ отдела относится к категории руководителей.
1.2 На должность начальника ИТ отдела назначается лицо, имеющее высшее профессиональное (инженерно-экономическое или техническое) образование и стаж работы в области автоматизации и механизации обработки информации не менее 5 лет.
1.3 Назначение, перемещение и освобождение от должности начальника ИТ отдела производится приказом директора.
1.4 Начальник ИТ отдела подчиняется заместителю директора.
1.5 начальник ИТ отдела в своей деятельности руководствуется:
— действующим законодательством России,
— приказами и распоряжениями директора,
— Положением об ИТ отделе
— настоящей должностной инструкцией,
— иными внутренними нормативными актами.
1.6 Требуемые специальные знания:
— Законодательные и нормативные правовые акты, методические и нормативные материалы, касающиеся деятельности ИТ отдела, эксплуатации и обслуживания средств вычислительной техники, коммуникаций и связи;
— рынок информационных услуг;
— профиль, специализацию и перспективы развития предприятия;
— средства сбора, передачи и обработки информации;
— технические характеристики, конструктивные особенности, назначение и режимы работы основного и комплектующего оборудования, правила его технической эксплуатации;
— технологию механизированной и автоматизированной обработки информации и проведения вычислительных работ;
— сетевые технологии применения средств вычислительной техники и телекоммуникаций, виды технических носителей информации, правила их хранения и эксплуатации;
— основы проектирования механизированной обработки информации;
— порядок разработки планов работы ИТ отдела, графиков работы оборудования, регламентов решения задач;
— организацию разработки нормативно-методической базы информационно-вычислительных систем;
— законодательство о защите информации;
— перспективы и направления развития средств вычислительной техники;
— действующие положения об оплате труда и формах материального стимулирования работников;
— методы расчета объемов выполняемых работ;
— организацию ремонтного обслуживания оборудования;
— порядок заключения договоров по оказанию информационных услуг и оформления технической документации;
— передовой отечественный и зарубежный опыт использования средств вычислительной техники, коммуникаций и связи;
— экономику, организацию производства, труда и управления;
— трудовое законодательство;
— правила и нормы охраны труда.
1.7 Замещение начальника ИТ отдела на период временного отсутствия (отпуск, временная нетрудоспособность, учеба, командировка и т.д.) производится согласно приказу директора филиала.

II. Должностные обязанности
1.Организует деятельность ИТ отдела по обслуживанию, развитию и информационному обеспечению системы средств вычислительной техники, коммуникаций и связи для механизированной и автоматизированной обработки информации, решения инженерных, экономических и других задач производственного и научно-исследовательского характера.
2.Руководит разработкой планов и графиков проведения работ по обслуживанию в соответствии с заказами подразделений предприятия и техническими возможностями ИТ отдела.
3.Осуществляет выбор основного состава электронно-вычислительного оборудования, производит его обоснование, определяет формы и методы сбора информации, обеспечивает разработку и согласование с соответствующими подразделениями предприятия технологических схем обработки информации по задачам и технологическим процессам обработки информации средствами вычислительной техники.
4.Определяет рациональную загрузку подразделений и исполнителей, обеспечивает контроль за процессами эксплуатации, соблюдением графиков и регламентов решения задач и выполнением работ в установленные сроки, качеством выполнения работ.
5.Обеспечивает обновление технической базы ИТ отдела и информационного обслуживания, внедрение современных методов и средств обработки информации в рамках реализации единой технологии развития информационно-вычислительных систем управления производственной деятельностью.
6.Проводит изучение и анализ рынка информационных услуге целью обеспечения производства и управления предприятием современными информационными технологиями.
7.Осуществляет руководство проектированием структуры баз данных и механизмов доступа к ним, разработкой и обеспечением регламента работы с данными системы, изучением возможных источников информации для обеспечения функционирования информационно-аналитической системы, планированием обеспечения защиты системы в соответствии с концепцией обеспечения Информационной безопасности.
8.Организует участие ИТ отдела в разработке и развитии нормативов и стандартов предприятия на использование программно-аппаратных средств, методической базы для создания и развития информационно-вычислительной системы предприятия, а также разработке организационно-технических мероприятий по внедрению средств вычислительной техники с целью повышения эффективности труда.
9.Обеспечивает техническое обслуживание вычислительных, аппаратных средств локальных вычислительных сетей и коммуникационного оборудования, сопровождение системного программного обеспечения вычислительных средств, инструментальных и прикладных программных средств.
10.Организует проведение профилактических работ, устранение неисправностей, возникающих в процессе эксплуатации средств вычислительной техники. Обеспечивает хранение и обслуживание библиотеки стандартных программ, соблюдение правил хранения и эксплуатации машинных носителей, их своевременную замену в случае непригодности.
11.Осуществляет контроль исполнения договорных обязательств в зоне ответственности.
12.Организует труд работников ИТ отдела в соответствии с требованиями его безопасности и рациональной организации, контролирует соблюдение штатной и финансовой дисциплины. Осуществляет в определении уровня квалификации сотрудников и допуск к работам.
13.Организует предоставление установленной отчетности.
14.Повышение профессионального уровня путем самообразования, изучения передового отечественного и зарубежного опыта, участия в семинарах, конференциях, курсах целевого назначения.
15.Владение методами и приемами работы на современной электронной и компьютерной технике.
16.Соблюдение правил техники безопасности и пожарной безопасности на своем рабочем месте.

Начальник ИТ отдела имеет право:
1.Принимать самостоятельные решения в области создания и развития ИТ инфраструктуры.
2.Участвовать в принятии управленческих решений, контролировать исполнение планов, программ, иных документов по вопросам, входящим в область компетенции отдела технических средств обучения.
3.Принимать самостоятельные решения по оперативному управлению работой ИТ отдела.
4.Информировать руководство о выявленных нарушениях в производственной деятельности.
5.Запрашивать от подразделений информационные, справочные и отчетные материалы по направлениям своей деятельности.
6.Предъявлять обязательные для исполнения требования и предписания о выполнении работ и предоставлении их результатов, если они утвержденных приказами и распоряжениями директора филиала в рамках закрепленных или делегированных ему полномочий.

начальник ИТ отдела при осуществлении своей деятельности несет ответственность за:
1.Достоверность содержания документов, им подготовленных;
2.Обоснованность принятых им решений в рамках его компетенции;
3.Качественное и своевременное выполнение обязанностей, изложенных в настоящей должностной инструкции;
4.Сохранение сведений, относящихся к коммерческой тайне.
5.За ненадлежащее исполнении или неисполнение своих должностных обязанностей, предусмотренных настоящей должностной инструкцией, — в пределах, определенных действующим трудовым законодательством РФ.
6.За правонарушения, совершенные в процессе осуществления своей деятельности, — в пределах, определенных действующим административным, уголовным и гражданским законодательством РФ.
7.За причинение материального ущерба, — в пределах, определенных действующим трудовым и гражданским законодательством РФ

Вы также можете скачать данную должностную инструкция в формате ODT (OpenOffice)
Должностная инструкция начальника ИТ отдела