Вибір технологій
Критерії оцінки безпеки технологій, оцінка ризиків supply chain, списки затверджених постачальників для AI-розробки
technology-selectionvendorsupply-chainevaluationapproved-list
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Вибір технологій у Zero Trust
Вибір AI-інструментів та технологій повинен базуватися на оцінці безпеки. В архітектурі Zero Trust кожний новий компонент -- потенційний вектор атаки.
Критерії оцінки безпеки
Security Evaluation Checklist
При оцінці нового AI-інструменту перевірте:
Детальний чекліст
| Категорія | Питання | Вага |
|---|---|---|
| Data Privacy | Чи дані використовуються для тренування моделей? | Critical |
| Data Privacy | Де географічно обробляються дані? | High |
| Data Privacy | Чи є Data Processing Agreement (DPA)? | High |
| Auth | Підтримка enterprise SSO (SAML/OIDC)? | High |
| Auth | Підтримка MFA? | High |
| Compliance | SOC 2 Type II certification? | High |
| Compliance | ISO 27001 certification? | Medium |
| Compliance | GDPR compliance? | High (для EU) |
| Security | Bug bounty program? | Medium |
| Security | Регулярні penetration tests? | High |
| Security | Incident response SLA? | High |
| Integration | API для audit/logging? | Medium |
| Availability | SLA uptime guarantee? | Medium |
| Exit | Data export та portability? | Medium |
Supply Chain Risk Assessment
Оцінка ризиків постачальника
Рівні ризику
| Рівень | Критерії | Дії |
|---|---|---|
| Low | SOC 2 + ISO 27001, no data access | Standard review, annual reassessment |
| Medium | SOC 2 OR ISO 27001, limited data | Enhanced review, semi-annual reassessment |
| High | No certifications, data access | Full security audit, quarterly reassessment |
| Critical | PII/sensitive data processing | On-site audit, continuous monitoring |
Списки затверджених постачальників
Approved AI Tools
ℹ️Інформація
Організація повинна вести список затверджених AI-інструментів. Використання несанкціонованих інструментів (shadow AI) заборонене.
Приклад списку затверджених інструментів:
| Категорія | Інструмент | Статус | Обмеження |
|---|---|---|---|
| Code Generation | GitHub Copilot | Approved | Enterprise plan only |
| Code Generation | Claude Code | Approved | Max plan only |
| Local LLM | Ollama | Approved | Approved models only |
| Cloud AI Chat | ChatGPT | Conditional | No confidential data |
| Code Analysis | SonarQube | Approved | Self-hosted only |
| SAST | Semgrep | Approved | Cloud or self-hosted |
Процес додавання нового інструменту
- Request -- розробник подає запит з обґрунтуванням
- Security Review -- security team оцінює інструмент
- Privacy Review -- data privacy team перевіряє data handling
- Legal Review -- юристи перевіряють DPA та ліцензію
- POC -- пілотне тестування з обмеженою групою
- Decision -- approve або reject з документуванням
- Onboarding -- налаштування та навчання
Vendor Management
Ongoing Monitoring
- Quarterly review -- перегляд compliance статусу
- Incident tracking -- відстеження інцидентів безпеки у постачальника
- Contract review -- щорічний перегляд контрактів
- Exit strategy -- план виходу від постачальника
Red Flags
Негайно переоцініть постачальника при:
- Публічний breach або data leak
- Зміна terms of service щодо data usage
- Втрата compliance certification
- Відсутність відповіді на security questionnaire
- Придбання іншою компанією
Див. також
Валідація AI-коду
Supply chain security та SBOM
Комплаєнс
ISO 27001, SOC 2, GDPR
Принципи Zero Trust
Основи архітектури Zero Trust