{ "@context": "https://schema.org", "@graph": [ { "@type": "BreadcrumbList", "@id": "https://in4security.com/ocenka-zrelosti-zashchity-ii#breadcrumb", "itemListElement": [ { "@type": "ListItem", "position": 1, "name": "Главная", "item": "https://in4security.com/" }, { "@type": "ListItem", "position": 2, "name": "Безопасность ИИ", "item": "https://in4security.com/bezopasnost-ii" }, { "@type": "ListItem", "position": 3, "name": "Оценка зрелости практик защиты искусственного интеллекта", "item": "https://in4security.com/ocenka-zrelosti-zashchity-ii" } ] }, { "@type": "Service", "@id": "https://in4security.com/ocenka-zrelosti-zashchity-ii#service", "name": "Оценка зрелости практик защиты искусственного интеллекта", "serviceType": "Оценка зрелости кибербезопасности ИИ-систем", "description": "Независимая проверка процессов управления и обеспечения безопасности систем с искусственным интеллектом, направленная на выявление потенциальных угроз и определение достаточности принятых мер защиты", "url": "https://in4security.com/ocenka-zrelosti-zashchity-ii", "provider": { "@id": "https://in4security.com/#organization" }, "areaServed": { "@type": "Country", "name": "Россия" }, "hasOfferCatalog": { "@type": "OfferCatalog", "name": "Этапы проведения оценки зрелости", "itemListElement": [ { "@type": "Offer", "itemOffered": { "@type": "Service", "name": "Анализ контрольной среды (as-is)" } }, { "@type": "Offer", "itemOffered": { "@type": "Service", "name": "Выявление трендовых рисков ИИ" } }, { "@type": "Offer", "itemOffered": { "@type": "Service", "name": "Формирование дорожной карты развития безопасности ИИ (to-be)" } } ] } }, { "@type": "FAQPage", "@id": "https://in4security.com/ocenka-zrelosti-zashchity-ii#faq", "inLanguage": "ru-RU", "mainEntity": [ { "@type": "Question", "name": "Чем оценка зрелости ИИ отличается от классического аудита ИБ?", "acceptedAnswer": { "@type": "Answer", "text": "Аудит ИБ проверяет соответствие применимым требованиям и общим практикам в области информационной безопасности. Оценка зрелости кибербезопасности ИИ-систем фокусируется на специфике ИИ: управлении датасетами и моделями, LLMSecOps, контроле изменений модели, безопасности RAG и API, мониторинге ИИ-инцидентов." } }, { "@type": "Question", "name": "Что потребуется от нашей стороны?", "acceptedAnswer": { "@type": "Answer", "text": "В ходе проекта с вашей стороны требуется участие ключевых сотрудников (Бизнес, ИТ/ИБ) в интервью, а также предоставление проектной и эксплуатационной документации по ИИ-системам и связанным процессам. Подробный перечень согласуется на этапе подготовки проекта." } }, { "@type": "Question", "name": "Можно ли провести оценку зрелости, если у нас всего одна экспериментальная ИИ-система?", "acceptedAnswer": { "@type": "Answer", "text": "Да. Для пилотных и экспериментальных ИИ-систем оценка зрелости особенно полезна, поскольку помогает заранее заложить управляемость и контроль до перехода в промышленную эксплуатацию." } }, { "@type": "Question", "name": "Как долго выполняется оценка зрелости?", "acceptedAnswer": { "@type": "Answer", "text": "Сроки зависят от масштаба компании, количества ИИ-систем и подразделений в области оценки, наличия документации и доступности ответственных лиц. Типовой проект занимает от 2 до 4 недель." } }, { "@type": "Question", "name": "Сколько стоит оценка зрелости?", "acceptedAnswer": { "@type": "Answer", "text": "Стоимость проекта начинается от 800 000 рублей. Итоговая цена зависит от количества ИИ-систем и обследуемых процессов." } }, { "@type": "Question", "name": "Можно ли заказать оценку зрелости только по части процессов или одной ИИ-системе?", "acceptedAnswer": { "@type": "Answer", "text": "Да. Объём и глубина обследования адаптируются под задачи и бюджет заказчика." } }, { "@type": "Question", "name": "Можно ли использовать результаты для подготовки к ISO/IEC 42001?", "acceptedAnswer": { "@type": "Answer", "text": "Да. Отчёт об оценке зрелости содержит наблюдения и рекомендации, которые напрямую используются как вход для подготовки к сертификации ISO/IEC 42001, в частности, для формирования области действия, плана мероприятий и распределения ролей и ответственности." } }, { "@type": "Question", "name": "Какие методы обследования вы используете?", "acceptedAnswer": { "@type": "Answer", "text": "Мы используем анализ существующих артефактов (документация, схемы, скриншоты), интервью с сотрудниками компании, анализ свидетельств выполнения процессов (отчёты, настройки, заявки) и анализ интерфейсов систем и СЗИ." } }, { "@type": "Question", "name": "По каким стандартам вы выполняете оценку зрелости?", "acceptedAnswer": { "@type": "Answer", "text": "Мы не ограничиваемся одним стандартом. При оценке зрелости используем лучшие практики из OWASP, MITRE, NIST, CIS Controls, ISO." } }, { "@type": "Question", "name": "Как передаются результаты?", "acceptedAnswer": { "@type": "Answer", "text": "Отчёты предоставляются в электронном или бумажном виде, отправляются по защищённым каналам. Проводится онлайн-презентация с ответами на вопросы команды." } }, { "@type": "Question", "name": "Как происходит взаимодействие с вами в процессе проекта?", "acceptedAnswer": { "@type": "Answer", "text": "Мы всегда находимся на связи с помощью различных каналов – почта, мессенджеры, обычные звонки. Конкретный вид связи зависит от предпочтений и пожеланий заказчика." } }, { "@type": "Question", "name": "Что нужно от нас, чтобы начать работу?", "acceptedAnswer": { "@type": "Answer", "text": "На старте проекта мы проводим установочную встречу, где знакомимся с командой заказчика, определяем основные каналы взаимодействия и обозначаем ближайшие шаги, включая запрос документации и планирование встреч." } } ] } ] }

Оценка зрелости практик защиты искусственного интеллекта

Независимая проверка процессов управления и обеспечения безопасности систем с искусственным интеллектом, направленная на выявление потенциальных угроз и определения достаточности принятых мер защиты.
Получить консультацию Заказать оценку
портфель из 320 проектов в информационной безопасности
Более 320 проектов
реализовано
Команда инженеров по иб
Более 250 инженеров
в команде
15 лет на рынке информационной безопасности
Более 15 лет
на рынке ИБ

Что такое оценка зрелости практик защиты ИИ

Оценка зрелости — это комплексное обследование ключевых процессов управления, разработки и эксплуатации ИИ-систем с целью проверки их соответствия лучшим отраслевым практикам, стандартам безопасности ИИ и требованиям регуляторов. Услуга определяет реальный уровень зрелости Компании в части безопасного внедрения и использования искусственного интеллекта.

Зачем нужна оценка зрелости кибербезопасности ИИ-систем

  • 88%
    Компаний используют
    ИИ как минимум в одной функции бизнеса
  • 45%
    Специалистов считают, что их организации
    не готовы к ИИ-угрозам
  • 60%
    Компаний уже внедряют комплексные меры по защите своих ИИ-систем
По данным исследований Финтех, Сбер, Lakera

Оценка зрелости позволяет

Этапы оценки зрелости кибербезопасности ИИ

увидеть фактическое состояние процессов управления ИИ-системами и их безопасности – без догадок и формальных самооценок

обнаружить «слепые зоны»: ИИ-системы, эксплуатируемые без явных владельцев, без контроля изменений и мониторинга

сопоставить текущие практики с международными и отраслевыми стандартами (OWASP, NIST, MITRE, Google, ISO, Сбер)

обосновать перед руководством объём и направления инвестиций в безопасность ИИ

сформировать дорожную карту развития процессов безопасности ИИ – с учётом уровня зрелости организации, актуальных угроз и критичности ИИ-систем

получить отправную точку для дальнейшего развития в области безопасности ИИ — построения процессов управления ИИ, подготовки к сертификации ISO/IEC 42001 и т.д.

Не понятно «с чего начинать» кибербезопасность ИИ
Бесконтрольное использование внешних ИИ-сервисов (Теневой ИИ)
Множество несинхронизированных ИИ-инициатив
проблемы ИИ-компаний
Разрабатываем дорожную карту мероприятий по кибербезопасности ИИ
Дорожная карта мероприятий по кибербезопасности ИИ
Формируем комплексный отчёт по различным направлениям безопасности ИИ
Отчет по направлениям безопасности ИИ
Определяем преимущества и «точки роста»
Преимущества и точки роста ИИ компаний
Фиксируем текущее состояние кибербезопасности ИИ
текущее состояние кибербезопасности ИИ

Кому нужна оценка зрелости кибербезопасности ИИ-систем

Услуга актуальна для Компаний, которые:
  • разрабатывают собственные ИИ-решения, используют внешние ИИ-сервисы (Chat GPT, DeepSeek, Claude)

  • предоставляют ИИ-решения в составе сервиса, внедряют ИИ в бизнес-процессы Заказчиков

  • обрабатывают конфиденциальную информацию и персональные данные в ИИ-системах

  • работают в отраслях с высокими требованиями к надёжности (финтех, ритейл, государственный сектор)

  • стремятся исключить риски использования ИИ в качестве вектора атаки

  • готовятся к сертификации на соответствие международному стандарту ISO/IEC 42001:2023

Что мы оцениваем

Оценка зрелости охватывает процессы управления и обеспечения кибербезопасности ИИ-систем на всём их жизненном цикле – от формирования идеи до эксплуатации системы.

Ключевые процессы, в отношении которых проводится аудит, включают в себя:
Безопасная разработка ИИ-систем

Безопасная разработка ИИ-систем

Применяемые практики безопасной разработки, используемые средства защиты, источники ПО, среды разработки и тестирования, а также подходы к проектированию архитектуры ИИ-систем

Организация и управление ИИ

Организация и управление ИИ

Политики в области ИИ, распределение ролей и ответственности по вопросам безопасности ИИ, юридические и договорные требования. Оценка рисков, внутренние аудиты и цели в области ИИ

Управление доступом

Управление доступом

Управление доступом пользователей, сервисов и подрядчиков к ИИ-системам. Идентификация и аутентификация ИИ-компонентов. Применение шифрования. Управление удалённым доступом

Защита конфиденциальности и управление ПДн

Защита конфиденциальности и управление ПДн

Соответствие требованиям по защите ПДн и иной конфиденциальной информации на всех этапах ЖЦ ИИ-систем. Контроль обработки чувствительных данных в промптах и ответах модели

Безопасность обучающих данных LLM

Безопасность обучающих данных LLM

Источники, состав, фильтрация и актуальность обучающих данных, контроль наличия в них чувствительной и конфиденциальной информации. Процедуры дополнения и обновления датасетов

Безопасность цепочки поставок

Безопасность цепочки поставок

Контроль источников моделей, фреймворков, библиотек и датасетов, проверка целостности и подлинности ИИ-компонентов. Управление поставщиками ИИ-сервисов и моделей

Управление ИИ-активами

Управление ИИ-активами

Инвентаризация и классификация моделей, датасетов, промптов, вычислительных ресурсов и иных активов ИИ-системы. Определение владельцев активов и уровней критичности

Контроль поведения и устойчивости моделей

Контроль поведения и устойчивости моделей

Механизмы фильтрации пользовательского ввода и ответов модели, контроль системных промптов и конфигураций моделей. Обнаружение атак и аномалий, защита от враждебных воздействий на ИИ

Безопасность инфраструктуры, конфигурации и развертывания

Безопасность инфраструктуры, конфигурации и развертывания

Стандарты безопасного конфигурирования ИИ-систем и поддерживающей ИТ-инфраструктуры. Безопасность сред обучения, тестирования и эксплуатации. Контроль конфигураций и привилегий

Контроль со стороны человека

Контроль со стороны человека

Требования к участию человека в принятии критичных решений ИИ, ограничения на автономные действия ИИ-агентов, механизмы экстренной остановки работы, контроль случаев ручного вмешательства

Резервирование и доступность ИИ-систем

Резервирование и доступность ИИ-систем

Процесс резервирования и восстановления ИИ-систем, моделей, конфигураций и данных. Обеспечение отказоустойчивости и непрерывности функционирования, планы аварийного восстановления ИИ-систем

Мониторинг, регистрация событий и обнаружение аномалий

Мониторинг, регистрация событий и обнаружение аномалий

Сбор журналов работы ИИ и событий ИБ. Отслеживание изменений модели, и обучающих данных. Обнаружение аномалий в поведении модели и пользователей, реагирование на инциденты, связанные с ИИ

Этапы проведения оценки зрелости

Услуга реализуется в виде последовательного проекта продолжительностью около 1 – 2 месяца. Каждый этап завершается согласованием промежуточных результатов с Заказчиком.

Этап 1. Анализ контрольной среды (as-is)

Что мы делаем:
  • Выполняем сбор данных о процессах управления и обеспечения кибербезопасности ИИ путем:

    • проведения интервью с ответственными представителями Заказчика;
    • анализа проектной, эксплуатационной и нормативной документации по ИИ-системам и процессам управления ИИ;
    • выборочной проверки свидетельств реализации контролей (журналы, конфигурации сред, отчёты по инцидентам и др.);
    • анализа интерфейсов систем и средств защиты информации.
  • По каждому наблюдению, выявленному в ходе обследования, определяем уровень зрелости в соответствии с моделью CMMI.

  • После присвоения баллов каждому контролю консолидируем данные по доменам для определения итоговой оценки зрелости практик безопасности ИИ.

  • Формируем Отчет по результатам обследования, включая мероприятия для повышения уровня безопасности ИИ в Компании.

Артефакты на выходе:

  1. Протоколы интервью;
  2. Отчет по результатам обследования;
  3. Диаграмма зрелости процессов.
Безопасная разработка ИИ Организация и управление ИИ Управление доступом Защита конфиденциальности и управление ПДн Безопасность цепочки поставок Безопасность обучающих данных Безопасность инфраструктуры и конфигураций Контроль поведения и устойчивости моделей Управление ИИ-активами Контроль со стороны человека Резервирование и доступность ИИ Мониторинг и управление событиями ИИ
Диаграмма зрелости процессов (пример)
Шкала оценки контролей
Шкала оценки контролей
OWASP AI SVS C8.2.2 Безопасность памяти, эмбеддингов и векторных баз данных, OWASP AI SVS C11.7.2 Поведение модели и управление выходными данными
Отчет по результатам оценки зрелости практик безопасности ИИ (пример)

Этап 2. Выявление трендовых рисков ИИ

Что такое трендовые риски ИИ

Трендовые риски ИИ – это класс рисков, формирующихся под воздействием стремительного развития технологий искусственного интеллекта, появления новых сценариев использования ИИ и эволюции актуальных киберугроз. Такие риски отличаются высокой изменчивостью: регулярно возникают новые методы атак на модели и данные, меняются техники злоупотребления ИИ, выявляются ранее неизвестные уязвимости и ограничения ИИ-систем.

В рамках обследования наши специалисты выполнят анализ наиболее актуальных трендовых рисков ИИ с учётом специфики бизнеса Компании, применяемых ИИ-решений, уровня зрелости процессов управления ИИ и кибербезопасностью, а также особенностей ИТ- и ИИ-инфраструктуры Компании.

Источники информации о трендовых рисках:

Исследования по трендам ИИ

Positive Technologies, BI.ZONE, IBM, ENISA, Gartner и др.

Базы данных угроз и уязвимостей

CAPEC, OWASP,
ФСТЭК России и др.

Методологии и фреймворки

MITRE ATLAS,
MITRE ATT&CK и др.

Артефакты на выходе:

  1. Отчет по результатам анализа трендовых рисков ИИ

Трендовые риски для LLM из OWASP TOP10:2025 (пример)

  • Неконтролируемая обработка чувствительных данных

    ИИ работает с конфиденциальной информацией, что повышает риски утечек
  • Уязвимость чат-ботов
    к промпт-инъекциям

    Злоумышленники манипулируют ответами ИИ, внедряя вредоносные запросы
  • Галлюцинации модели

    ИИ может генерировать правдоподобную, но некорректную информацию
  • Чрезмерная агентность

    Предоставление системе чрезмерной автономии приводит к действиям системы вне рамок ожидаемой бизнес-логики
  • «Отравление» данных модели

    Искажение обучающих данных приводит к неверным или вредоносным результатам работы ИИ
  • Уязвимость цепочки поставок

    Использование уязвимых моделей, данных или библиотек приводит к компрометации системы

Этап 3. Формирование дорожной карты развития безопасности ИИ (to-be)

Что мы делаем:
  • Консолидируем рекомендации в комплексные мероприятия и приоритизируем их по количеству / критичности закрываемых угроз, стоимости и сложности реализации.

  • Распределяем мероприятия по временной шкале (диаграмма Ганта) с учетом сложности реализации мероприятия, контекста и приоритетов Заказчика.

  • Готовим презентацию для руководства по итогам проекта.

Артефакты на выходе:

  1. Дорожная карта развития практик безопасности ИИ с приоритизированными мероприятиями;
  2. Краткая презентация для руководства с результатами проекта.
Дорожная карта развития практик безопасности ИИ (пример)
Дорожная карта развития практик безопасности ИИ (пример)
Защита конфиденциальности и управление ПДн Безопасность цепочки поставок Безопасность обучающих данных Безопасность инфраструктуры и конфигураций Контроль поведения и устойчивости моделей Управление ИИ-активами Контроль со стороны человека Резервирование и доступность ИИ
Прогресс роста уровня зрелости кибербезопасности ИИ (пример)

Получите полную оценку зрелости безопасности ИИ

Подготовим отчет по текущему состоянию, выявим трендовые риски и сформируем дорожную карту развития с учетом ваших ИИ-систем и бизнес-приоритетов.
Получить консультацию Заказать оценку

Связанные услуги

Оценка зрелости – это первый шаг к построению системной кибербезопасности ИИ. После неё, в зависимости от выявленных приоритетов, работа продолжается в одном или нескольких направлениях:
  • Подробнее
  • Подробнее
  • Подробнее
  • Подробнее
  • Подробнее

Сертификаты Infosecurity

Нам доверяют

FAQ

Аудит ИБ проверяет соответствие применимым требованиям и общим практикам в области информационной безопасности. Оценка зрелости кибербезопасности ИИ-систем фокусируется на специфике ИИ: управлении датасетами и моделями, LLMSecOps, контроле изменений модели, безопасности RAG и API, мониторинге ИИ-инцидентов.

Команда

Анна Заболотская
Специалист по ИБ – 4 года
Компетенции
  • Построение систем управления кибербезопасностью ИИ
  • Аудит и формализация процессов ИБ
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Сертификация ISO/IEC 27xxx
  • Автоматизация процессов ИБ
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса
Образование
ФГБОУ ВПО «Рязанский государственный радиотехнический университет»

Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса

Курсы и сертификаты
  • ISO/IEC 27001 LeadImplementer
  • ISO/IEC 27001 LeadAuditor

Релевантный опыт реализации
  • Внедрение систем менеджмента ИБ более чем в 20 компаниях различных отраслей – ядерная энергетика, государственный сектор, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Выстраивание систем управления рисками ИБ, оценка рисков ИБ – операторы связи, ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Аудит и формализация процессов ИБ более чем в 30 компаниях различных отраслей - ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Проведение BIA, разработка планов непрерывности деятельности для компаний из различных отраслей – ретейл, автомобилестроение, аутсорсинговые компании.
  • Методологическое сопровождение внедрения GRC-систем.
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Образование
ФГБОУ ВО «МГТУ им. Г. И. Носова»

Компетенции
  • Построение систем управления кибербезопасностью ИИ
  • Аудит и формализация процессов ИБ
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Сертификация ISO/IEC 27xxx
  • Автоматизация процессов ИБ

Релевантный опыт реализации
  • Построение систем управления кибербезопасностью ИИ – оценка процессов кибербезопасности ИИ-систем, моделирование угроз и оценка рисков кибербезопасности ИИ, формализация процессов управления ИИ.
  • Оценка соответствия и построение систем менеджмента ИБ на основе требований ISO/IEC 27xxx в компаниях различных отраслей – государственный сектор, ИТ-компании, облачные провайдеры, разработчики ПО.
  • Проведение оценки рисков ИБ – государственный сектор, разработчики ПО, операторы связи, облачные провайдеры.
  • Разработка документации по ИБ – государственный сектор, разработчики ПО, операторы связи, облачные провайдеры.
  • Проведение аудитов по ИБ – государственный сектор, разработчики ПО, операторы связи, облачные провайдеры.
  • Методологическое сопровождение внедрения GRC-систем.
Анна Заболотская
Специалист по ИБ – 4 года

Бесплатная консультация

У Вас остались вопросы?

Оставьте заявку и мы свяжемся с вами в ближайшее время.

Новости и события