AI Wiki

Корпоративні стандарти безпеки при роботі з AI

Правила класифікації даних, допустимого використання AI інструментів та процедури реагування на інциденти

corporate standardsdata classificationAI safetycompliance

📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ

Корпоративні стандарти безпеки при роботі з AI

Цей документ визначає правила та процедури безпечного використання AI-інструментів в організації. Він охоплює класифікацію даних, матрицю допустимого використання, чек-листи для співробітників та процедури реагування на інциденти.

⚠️Увага

Цей стандарт є обов'язковим для всіх співробітників організації, які використовують будь-які AI-інструменти у робочих цілях -- від Microsoft 365 Copilot до ChatGPT та локальних моделей.

Класифікація даних

Перед використанням будь-якого AI-інструменту необхідно визначити рівень чутливості даних, з якими ви працюєте. В організації діє чотирирівнева система класифікації:

ℹ️Інформація

Якщо ви не впевнені в рівні класифікації даних -- завжди обирайте вищий рівень і зверніться до свого керівника або відділу інформаційної безпеки для уточнення.

Матриця допустимого використання AI

Не всі AI-інструменти однакові з точки зору безпеки. Ця матриця визначає, які дані можна використовувати з якими інструментами:

Примітки:

* ChatGPT Enterprise / Claude for Work з обмеженнями -- дозволено тільки якщо: (1) підписаний корпоративний договір з постачальником, (2) підтверджено, що дані не використовуються для навчання моделей, (3) отримано погодження відділу ІБ.

** Microsoft 365 Copilot для конфіденційних даних -- дозволено, оскільки Copilot працює всередині тенанта Microsoft 365 і дотримується sensitivity labels та DLP-політик. Але переконайтесь, що відповідні labels налаштовані.

*** Локальні моделі для конфіденційних даних -- дозволено, оскільки дані не покидають корпоративну інфраструктуру. Але: (1) модель повинна бути розгорнута на корпоративному сервері (не на особистому ноутбуці), (2) сервер повинен відповідати корпоративним вимогам безпеки.

Порівняння безпеки AI-сервісів

* Мінімальний ризик витоку для локальних моделей -- за умови правильної конфігурації сервера та мережі.

Правила для кожного рівня класифікації

🟢 Публічні дані (PUBLIC)

Дозволено:

  • Використовувати будь-які AI-інструменти
  • Копіювати результати AI у зовнішні документи
  • Ділитися відповідями AI з зовнішніми контрагентами

Обов'язково:

  • Перевіряти фактичну точність відповідей AI перед публікацією
  • Зазначати використання AI при створенні публічних матеріалів (якщо це вимагає корпоративна політика)

🔵 Внутрішні дані (INTERNAL)

Дозволено:

  • Microsoft 365 Copilot -- без обмежень
  • Локальні моделі -- без обмежень
  • Корпоративні підписки AI (ChatGPT Enterprise, Claude for Work) -- з погодження ІБ

Заборонено:

  • Безкоштовні публічні AI-сервіси (ChatGPT Free, Gemini Free, Copilot у браузері без корпоративного входу)
  • Копіювання внутрішніх даних у промпти незатверджених AI-сервісів

Обов'язково:

  • Використовувати корпоративний обліковий запис
  • Не включати у промпти імена, посади та контактні дані співробітників (де це можливо -- анонімізуйте)

🟡 Конфіденційні дані (CONFIDENTIAL)

Дозволено:

  • Microsoft 365 Copilot -- за умови наявності sensitivity labels
  • Локальні моделі на корпоративному сервері

Заборонено:

  • Будь-які хмарні AI-сервіси, крім Microsoft 365 Copilot
  • Копіювання конфіденційних даних у промпти
  • Збереження відповідей AI, що містять конфіденційні дані, у незахищених місцях

Обов'язково:

  • Перевірити sensitivity label документа перед використанням з AI
  • Не зберігати відповіді AI на незахищених пристроях
  • Повідомити ІБ при підозрі на витік

🔴 Таємні дані (SECRET)

⚠️Увага

Використання AI-інструментів з таємними даними суворо обмежене і потребує письмового дозволу керівника та відділу інформаційної безпеки.

Заборонено:

  • Будь-які хмарні AI-сервіси, включаючи Microsoft 365 Copilot
  • Копіювання таємних даних у будь-які AI-системи без спеціального дозволу

За спеціальним дозволом:

  • Локальні моделі на ізольованому сервері (air-gapped або в захищеному сегменті мережі)

Процедура отримання дозволу:

  1. Подайте заявку до відділу ІБ з обґрунтуванням необхідності
  2. Вкажіть, які саме дані та з якою метою будуть використані
  3. Вкажіть, яка модель та на якому сервері буде використана
  4. Дочекайтеся письмового погодження

Чек-лист для співробітника

Перед кожним використанням AI-інструменту пройдіть цей чек-лист:

Крок 1: Визначте рівень даних

  • Я знаю рівень класифікації даних, з якими збираюся працювати
  • Якщо не знаю -- я зверну до керівника або ІБ для уточнення

Крок 2: Оберіть інструмент

  • Обраний AI-інструмент дозволений для цього рівня даних (див. матрицю вище)
  • Я використовую корпоративний обліковий запис (не особистий)

Крок 3: Підготуйте промпт

  • Я не включаю у промпт дані вищого рівня класифікації, ніж дозволено
  • Я анонімізував персональні дані, де це можливо (замінив імена на "Співробітник А")
  • Я не вставляю паролі, ключі, токени доступу у промпт

Крок 4: Перевірте результат

  • Я перевірив фактичну точність відповіді AI
  • Відповідь не містить даних вищого рівня класифікації, ніж очікувалося
  • Я не пересилаю відповідь AI стороннім особам без перевірки класифікації

Процедура реагування на інциденти

Що вважається інцидентом

Інцидент безпеки при роботі з AI -- це ситуація, коли:

  1. Конфіденційні або таємні дані були введені в незатверджений AI-сервіс
  2. AI видав конфіденційну інформацію, до якої ви не повинні мати доступ
  3. Результати AI з конфіденційними даними були відправлені зовнішнім особам
  4. Виявлено несанкціоноване використання AI-інструментів з корпоративними даними

Процедура реагування

⚠️Увага

Час критичний. Повідомте про інцидент якнайшвидше -- це дозволить мінімізувати наслідки.

Крок 1: Зупиніться (негайно)

  • Припиніть роботу з AI-інструментом
  • Не видаляйте історію чату -- вона потрібна для розслідування
  • Не намагайтеся "виправити" ситуацію самостійно

Крок 2: Повідомте (протягом 30 хвилин)

  • Повідомте свого безпосереднього керівника
  • Надішліть повідомлення до відділу інформаційної безпеки
  • Вкажіть: що сталося, коли, який AI-інструмент, які дані були задіяні

Крок 3: Задокументуйте (протягом 2 годин)

  • Зробіть знімки екрану (якщо можливо)
  • Зафіксуйте точний час та послідовність дій
  • Зберіть інформацію про промпти, які були використані

Крок 4: Співпрацюйте (за запитом ІБ)

  • Надайте доступ до історії чату AI (якщо запитають)
  • Відповідайте на запитання відділу ІБ
  • Виконуйте рекомендації щодо пом'якшення наслідків

Матриця критичності інцидентів

Спеціальні вимоги до AI-генерованого контенту

Маркування AI-контенту

Документи та матеріали, створені за допомогою AI, повинні мати відповідне маркування:

  • Внутрішні документи: рекомендовано зазначати "Підготовлено за допомогою AI" у метаданих або примітках
  • Зовнішні документи: обов'язково зазначати, якщо це вимагається законодавством або контрактними зобов'язаннями
  • Юридичні документи: AI-генерований текст обов'язково перевіряється юристом перед використанням
  • Фінансові звіти: AI-генеровані дані обов'язково перевіряються фахівцем

Верифікація результатів AI

ℹ️Інформація

Правило двох перевірок: кожен результат AI, що використовується в офіційних документах, повинен бути перевірений (1) автором запиту та (2) незалежним фахівцем з предметної області.

Оновлення стандарту

Цей стандарт переглядається щоквартально або при:

  • Впровадженні нових AI-інструментів в організації
  • Зміні регуляторних вимог (GDPR, EU AI Act тощо)
  • Після значних інцидентів безпеки
  • При зміні архітектури IT-інфраструктури

Відповідальний за стандарт: відділ інформаційної безпеки спільно з IT-відділом.

Безпека Microsoft 365 Copilot

Детальний огляд безпеки корпоративного AI-помічника
Захист даних

Класифікація даних, DLP-політики та шифрування
Комплаєнс

Стандарти та регуляції кібербезпеки