Перейти к основному содержимому

Информационная безопасность

Зачем эта функция в ОМВИ

ИИ-инициативы почти всегда работают с корпоративными данными, внешними моделями и автоматическими действиями. Это создаёт классы рисков, которых не было у обычного ПО: утечка чувствительных данных в сторонний LLM, prompt injection, выполнение агентом действий за пределами полномочий, неконтролируемые интеграции.

Если ИБ подключается только в конце, она вынуждена либо блокировать почти готовую инициативу, либо пропускать её с оговорками. Оба сценария плохи. ОМВИ встраивает ИБ как раннего участника контрольных точек.

Где подключается

Этап ОМВИРоль ИБ
ОценкаКлассифицирует данные инициативы, выявляет запрещённые сценарии (prohibited)
Перед пилотомСогласует доступы, изоляцию контура, обработку секретов
Перед продомПроводит ревью модели угроз, проверяет логирование и контроль действий агента
На поддержкеКонтролирует доступы, аудит, инциденты, ротацию секретов

ИБ — естественный владелец маршрутизации инициатив по уровню риска (self-service / trust-but-verify / strategic review / prohibited), которую ОМВИ применяет на этапе оценки.

Что функция получает на вход

  • Перечень данных инициативы и их классификацию (ПДн, коммерческая тайна, публичные).
  • Карту интеграций и внешних сервисов (какие модели/API используются, куда уходят данные).
  • Описание прав и действий агента: что он читает, что изменяет, где требуется human-in-the-loop.

Что функция отдаёт на выход

  • Требования к данным и доступам (минимизация, маскирование, изоляция контура).
  • Заключение по модели угроз и допустимости сценария.
  • Разрешение/запрет на переход через контрольную точку, при необходимости — компенсирующие меры.

Ключевые артефакты стыка

  • Классификация данных инициативы — что за данные и какой режим обработки.
  • Модель угроз ИИ-сценария — специфичные для LLM/агентов риски и контрмеры.
  • Реестр доступов и секретов — кто и что имеет право делать в контуре инициативы.

Антипаттерны

  • ИБ как стена в конце. Требования всплывают на финальном ревью, инициатива встаёт. Лечится подключением на этапе оценки.
  • Теневой ИИ. Команды обходят ИБ, заливая данные в публичные сервисы. Лечится понятным быстрым треком self-service для низкорисковых кейсов.
  • «Запретить всё». ИБ без матрицы рисков блокирует даже безопасные сценарии, и бизнес перестаёт приходить за согласованием.