Комплаєнс
ISO 27001, SOC 2, GDPR, NIS2 та українські вимоги КСЗІ для AI-розробки та кібербезпеки
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Комплаєнс у кібербезпеці
Відповідність стандартам та регуляціям є обов'язковою для організацій, які використовують AI у розробці. Різні стандарти мають різні вимоги, але всі фокусуються на захисті даних та управлінні ризиками.
ISO 27001
Огляд
ISO 27001:2022 -- міжнародний стандарт системи управління інформаційною безпекою (ISMS).
Ключові вимоги для AI-розробки:
| Домен | AI-специфічні вимоги |
|---|---|
| A.5 Organizational | Політики використання AI, roles & responsibilities |
| A.6 People | Навчання з AI-безпеки, awareness |
| A.7 Physical | Захист серверів з AI-моделями |
| A.8 Technological | Access control, шифрування, логування AI |
Процес сертифікації
SOC 2
Trust Service Criteria
SOC 2 базується на п'яти критеріях довіри:
AI-специфічні контролі для SOC 2
- AI Governance -- політики та процедури використання AI
- AI Output Validation -- процеси перевірки AI-коду
- AI Access Control -- управління доступом до AI-інструментів
- AI Monitoring -- логування та аудит використання AI
- AI Vendor Management -- оцінка AI-провайдерів
GDPR
Вимоги GDPR для AI
General Data Protection Regulation має прямий вплив на використання AI:
| Стаття | Вимога | AI-контекст |
|---|---|---|
| Art. 5 | Мінімізація даних | Не використовувати зайві PII в промптах |
| Art. 13-14 | Інформування | Повідомлення про AI-обробку |
| Art. 22 | Автоматизовані рішення | Право на пояснення AI-рішень |
| Art. 25 | Privacy by Design | Вбудований захист приватності |
| Art. 32 | Технічні заходи | Шифрування, access control |
| Art. 33-34 | Повідомлення про breach | 72 години на повідомлення регулятора |
| Art. 35 | DPIA | Оцінка впливу на приватність |
При використанні cloud AI-сервісів (ChatGPT, Claude, Copilot) переконайтеся, що дані не передаються за межі EU (якщо це вимога вашої організації). Перевірте Data Processing Agreement (DPA) з провайдером.
DPIA для AI-систем
Data Protection Impact Assessment обов'язковий при:
- Автоматизованому прийнятті рішень, що впливають на людей
- Обробці великих обсягів PII
- Систематичному моніторингу
- Використанні нових технологій (включно з AI)
NIS2
Огляд NIS2 Directive
NIS2 (Network and Information Security Directive 2) -- оновлена директива EU з кібербезпеки:
Ключові вимоги:
- Risk Management -- обов'язкові заходи з управління ризиками
- Incident Reporting -- 24 години на початкове повідомлення, 72 години на повний звіт
- Supply Chain Security -- безпека ланцюга постачання
- Business Continuity -- плани безперервності бізнесу
- Encryption -- обов'язкове шифрування
- MFA -- багатофакторна автентифікація
Штрафи: до 10 млн EUR або 2% від глобального обороту.
Кого стосується
- Essential entities: енергетика, транспорт, банки, охорона здоров'я, IT-інфраструктура
- Important entities: пошта, waste management, виробництво, харчова промисловість, digital providers
Українські вимоги (КСЗІ)
Комплексна система захисту інформації
КСЗІ -- це сукупність організаційних та технічних заходів для захисту інформації в інформаційно-телекомунікаційних системах.
Нормативна база:
- Закон України "Про захист інформації в інформаційно-телекомунікаційних системах"
- НД ТЗІ 1.1-002 -- загальні положення
- НД ТЗІ 2.5-004 -- критерії оцінки захищеності інформації
- НД ТЗІ 3.7-003 -- порядок проведення робіт зі створення КСЗІ
Вимоги для AI:
| Вимога | Опис |
|---|---|
| Класифікація інформації | Визначення категорії інформації, що обробляється AI |
| Модель загроз | Розробка моделі загроз з урахуванням AI |
| Політика безпеки | Документована політика використання AI |
| Контроль доступу | Управління доступом до AI-систем |
| Аудит | Логування та аудит використання AI |
| Атестація | Атестація КСЗІ за участі ДССЗЗІ |
Для державних органів України створення КСЗІ є обов'язковим. Для приватних компаній -- рекомендованим, але може бути обов'язковим при обробці персональних даних або інформації з обмеженим доступом.
Compliance Roadmap
Для організацій, що впроваджують AI
- Аудит поточного стану -- які стандарти вже впроваджені
- Gap analysis -- які вимоги не покриті
- AI-специфічні контролі -- додавання контролів для AI
- Документація -- оновлення політик та процедур
- Навчання -- awareness training для співробітників
- Регулярний review -- щорічний перегляд відповідності
Див. також
DLP, шифрування та класифікація
Логування для compliance
Вимоги до звітності