Формат входа
Secure AI audit нужен, когда в компании уже есть AI-пилот, RAG, чат-бот или использование внешних AI-сервисов, но нет уверенности в безопасности, данных и управлении рисками.
Что входит
Данные
Что передается в AI, где хранятся запросы и ответы.
Доступы
Роли, администраторы, пользователи, источники и права.
Архитектура
Модели, RAG, интеграции, журналы, контуры и эксплуатация.
Риски
ПДн, коммерческая тайна, hallucinations, prompt injection, vendor lock-in.
Если аудит показывает, что сценарий можно выводить в промышленную эксплуатацию, следующим шагом становится проектирование защищенной ИИ-автоматизации: архитектуры, ролей, журналов, human-in-the-loop и правил работы AI-агентов.
Артефакты на выходе
| Артефакт | Зачем нужен |
|---|---|
| Реестр рисков | Приоритеты и риски ИИ-контура. |
| Контрольный список безопасности | Контрольные требования к данным, доступам и журналам. |
| Архитектурные замечания | Замечания к текущей архитектуре. |
| Дорожная карта устранения | План исправлений и развития. |
Состав команды
Пентест AI/API-контура
Если AI-решение публикует API, виджет, точку обратного вызова, прокси или интеграцию с внешними сервисами, после Secure AI audit может потребоваться пентест. Он проверяет не модель как таковую, а веб/API, авторизацию, доступы, обработку файлов, сценарии злоупотребления промптами и API и границы защищенного контура.
Частые вопросы
Это аудит кода модели?
Нет. Основной фокус — корпоративная архитектура, данные, интеграции, доступы и эксплуатация AI.
Подходит для внешних AI-сервисов?
Да, если нужно понять, какие данные и процессы попадают во внешний контур.
Можно ли совместить с пилотом?
Да, secure audit может идти перед пилотом или параллельно с ним.
Внешние AI-сервисы и поверхность атаки
Если AI-сценарии используют публичные API, веб-виджеты, прокси, облачные хранилища, точки обратного вызова или внешние LLM-сервисы, их нужно рассматривать как часть внешней поверхности атаки. В рамках Secure AI audit РЕСТАРТ проверяет не только данные и роли, но и то, какие технические точки ИИ-контура видны наружу и как они контролируются.
После аудита: пилот в лаборатории
Secure AI audit показывает риски и разрывы ИИ-контура. Если после аудита нужно проверить конкретную меру — маскирование, журналы, доступы, DLP, SIEM/SOAR, защиту API или безопасный RAG, следующий шаг можно провести в лаборатории ИБ на ограниченном наборе сценариев.
Написать нам письмо
Напишите нам на info@restart.re или нажмите кнопку ниже. Для первого письма достаточно коротко описать контур, роль организации, текущие системы, ограничения и желаемый результат.
Написать нам письмоОбсудим ваш контур
Опишите задачу, текущие системы, ограничения и ожидаемый результат. Мы предложим первый практичный шаг: диагностику, пилот, аудит, дорожную карту или проектную команду.
