Почему повестка изменилась
Корпоративный AI быстро прошел путь от демонстраций до рабочих сценариев: поиск по документам, ассистенты поддержки, анализ договоров, протоколирование встреч, подсказки разработчикам, финансовые комментарии, обработка обращений и отраслевые copilots. Но вместе с пользой появились вопросы, которые нельзя решать на уровне отдельного чат-бота: какие данные можно использовать, кто видит ответ, где хранятся логи, как проверяется источник, кто отвечает за ошибку и как контролируется стоимость.
Для CIO это вопрос архитектуры, интеграций, качества данных, надежности и эффекта. Для CISO — вопрос доступа, персональных данных, утечек, действий агентов, цепочек поставки, эксплуатации моделей и доказуемого контроля. В 2026 году эти задачи уже нельзя разносить по разным комитетам: AI, данные и ИБ должны проектироваться как единый управляемый контур.
Пять решений, которые стоит принять на уровне руководства
AI governance до масштабирования
Определить допустимые сценарии AI, владельцев, источники данных, роли, журналы, правила проверки ответов, модель затрат и границы использования внешних сервисов.
Данные как продукт
Назначить владельцев данных, описать критичные справочники, построить витрины и BI-слой, без которых AI и ERP дают красивые ответы на плохой фактуре.
Безопасная разработка по умолчанию
Встроить threat modeling, SAST, DAST, SCA, secret scanning, container security и приемку ИБ в обычный SDLC, а не добавлять их перед релизом.
Российский ERP-контур без потери логики
При миграции SAP → 1С переносить не только данные, но и бизнес-правила, интеграции, отчетность, контрольные процедуры, роли и исторический контекст.
Регуляторика как часть архитектуры
152-ФЗ, ИСПДн, КИИ, ГИС, цифровой рубль и внутренние политики должны попадать в требования на старте, а не становиться отдельным проектом после запуска.
AI: от пилотов к управляемой платформе
Главный риск корпоративного AI в 2026 году — не в том, что технология не сработает. Риск в том, что она сработает хаотично: подразделения подключат разные сервисы, данные уйдут в неконтролируемые контуры, ответы нельзя будет проверить, а затраты и ответственность окажутся размазаны между ИТ, бизнесом и подрядчиками.
Правильный маршрут начинается с реестра AI-сценариев и классификации данных. Затем определяется целевая архитектура: private AI или гибридная модель, RAG по корпоративным источникам, разграничение прав, журналирование, контроль качества, шаблоны промптов, политика работы с персональными и коммерчески чувствительными данными, а также критерии промышленного запуска.
Что должен видеть CIO
Архитектуру, стоимость владения, интеграции, SLA, карту источников, требования к инфраструктуре и план масштабирования.
Что должен контролировать CISO
Доступы, логи, контуры хранения, защиту персональных данных, безопасность LLM-приложений, действия агентов и аудит теневого AI.
Что важно бизнесу
Понятный эффект: сокращение ручной работы, ускорение ответа, качество обработки документов, снижение ошибок и измеримые KPI пилота.
Как помогает РЕСТАРТ
Проектируем Restart AI Enterprise Platform, Ragify, AI Service Desk, Document AI, Meeting Hub, VoiceHelp и AI-инфраструктуру как управляемые enterprise-решения.
ИБ: перейти от запретов к инженерному контуру
В зрелой компании ИБ не должна быть последней подписью перед релизом. Она должна быть встроена в цикл разработки, закупки, сопровождения, интеграций и эксплуатации. Это особенно важно для AI-сценариев, личных кабинетов, API, ERP, мобильных приложений, сервис-деска, BI и промышленных данных.
Практический минимум для 2026 года: единый процесс управления уязвимостями, инвентаризация внешних и внутренних активов, контроль привилегированных доступов, безопасный SDLC, проверка open source и контейнеров, журналирование событий, подготовка к инцидентам и регулярное обновление модели угроз для критичных систем.
Проектирование
Модель угроз, требования ИБ, классификация данных, роли, HLD/LLD и критерии приемки до начала разработки.
Разработка
SAST, SCA, secret scanning, контроль зависимостей, контейнеров, инфраструктурного кода и правил безопасного кодирования.
Проверка
DAST, pentest, проверка прав, сценариев злоупотребления, логирования, резервирования и реакции на отказ.
Эксплуатация
SIEM/SOAR/SGRC, VM, PAM/IDM, мониторинг, реагирование, аудит изменений и регулярное улучшение защитных мер.
Данные, ERP и отчетность: связать эффект с управлением
AI и ИБ становятся убедительными для бизнеса только тогда, когда они связаны с управленческими процессами: ERP, 1С, SAP, DWH, BI, отчетностью, договорами, закупками, сервисными обращениями, финансами и операционными метриками. Поэтому любая цифровая трансформация должна отвечать на простой вопрос: какие решения руководитель сможет принимать быстрее и на основании каких данных?
Для CIO это означает работу с архитектурой данных, интеграциями, мастер-данными, качеством справочников, витринами и отчетностью. Для CISO — контроль доступа к этим данным, защита персональных данных, аудит изменений, разграничение ролей и проверяемость того, как данные используются в AI-сценариях.
| Контур | Что проверить | Какой результат нужен |
|---|---|---|
| ERP / 1С / SAP | Критичные процессы, интеграции, исторические данные, роли, отчеты, ручные операции и зоны риска при миграции. | Дорожная карта развития или перехода без потери бизнес-логики и отчетности. |
| Data / BI / DWH | Качество источников, владельцы данных, витрины, кубы, регламентная отчетность, Qlik, SAP BI, PIX BI, DataLens, 1С и open source BI. | Единый слой управленческой аналитики, поверх которого можно строить AI-copilot. |
| AI | Источники знаний, права доступа, журналирование, качество ответов, стоимость запросов и сценарии промышленного использования. | Платформа, которую можно масштабировать по подразделениям без теневого AI. |
| ИБ | 152-ФЗ, КИИ, ИСПДн, AppSec, доступы, журналирование, уязвимости, инциденты и готовность к проверкам. | Доказуемый контроль, встроенный в процессы, а не отдельный пакет документов. |
Что сделать в ближайшем цикле планирования
Повестку CIO и CISO удобно начинать не с большого стратегического документа, а с короткой диагностики по ключевым контурам. Результатом должна стать карта решений: что можно запустить быстро, что требует архитектурной подготовки, где есть регуляторный риск и какие инициативы нужно объединить в одну программу.
Провести инвентаризацию AI
Найти официальные и теневые AI-сценарии, определить владельцев, данные, сервисы, контуры хранения и риски.
Проверить данные для AI и BI
Оценить источники, справочники, качество данных, права доступа, витрины, отчетность и готовность к RAG/AI-copilot.
Оценить защищенность разработки
Проверить SDLC, CI/CD, зависимости, секреты, контейнеры, pipeline, правила релизов и контроль уязвимостей.
Собрать карту регуляторики
Разложить по системам 152-ФЗ, ИСПДн, КИИ, ГИС, внутренние политики, требования к журналам и документам.
Как РЕСТАРТ закрывает эту повестку
РЕСТАРТ полезен там, где задачу нельзя решить одной технологией. Мы соединяем AI, ИБ, ERP, 1С, SAP, Data/BI/DWH, DevOps/DevSecOps, заказную разработку, AI-инфраструктуру и выделенные команды в один управляемый маршрут. Такой подход снижает риск разрыва между стратегией, архитектурой, внедрением и эксплуатацией.
Ориентиры, на которые стоит смотреть
Для управленческой повестки важно опираться не на хайп, а на проверяемые рамки и исследования. NIST AI RMF помогает структурировать AI-риски и в 2026 году развивает профиль для критической инфраструктуры. OWASP фиксирует практические риски LLM-приложений и веб-разработки. IBM Cost of a Data Breach 2025 показывает, что отсутствие AI governance и access controls уже становится фактором инцидентов. Verizon DBIR 2026 остается одним из главных ориентиров по реальным сценариям нарушений безопасности.
NIST AI RMF
Рамка управления AI-рисками, generative AI profile и развитие подхода для критической инфраструктуры.
Открыть источникOWASP Top 10 for LLM Applications
Карта рисков LLM-приложений: prompt injection, утечки данных, supply chain, чрезмерные полномочия и небезопасные действия агентов.
Открыть источникOWASP Top 10:2025
Актуальный ориентир по рискам веб-приложений: access control, misconfiguration, supply chain, cryptography, injection и insecure design.
Открыть источникIBM Cost of a Data Breach 2025
Исследование стоимости утечек, AI oversight gap, shadow AI и роли security automation в снижении последствий инцидентов.
Открыть источникVerizon DBIR 2026
Ежегодный ориентир по реальным инцидентам, человеческому фактору, уязвимостям, учетным данным и устойчивости компаний к нарушениям.
Открыть источникPMI Pulse of the Profession
Ориентир для проектного управления, value delivery, зрелости проектных офисов и внедрения изменений.
Открыть источникОбсудим ваш контур
Опишите задачу, текущие системы, ограничения и ожидаемый результат. Мы предложим первый практичный шаг: диагностику, пилот, аудит, дорожную карту или проектную команду.