раздел 03
Политика AI в компании
Технический контур без правил не работает: сотрудник всё равно откроет удобный чат-бот с телефона. Поэтому к защищённому каналу нужна короткая понятная политика и немного организационной работы.
Единый разрешённый инструмент
Главная мера - дать один одобренный инструмент вместо «кто во что горазд». Когда есть удобный корпоративный AI, у людей нет причины идти в случайные сервисы.
- Выберите канал под ваши данные (см. раздел 02) и разверните его для всех.
- Сделайте так, чтобы им было пользоваться проще, чем сторонним ботом.
- Остальные сервисы - в список нерекомендованных, а чувствительные задачи в них закройте.
Обучение сотрудников
Люди сливают данные не со зла, а по незнанию. Короткий понятный инструктаж закрывает большую часть рисков.
Что нельзя вставлять - короткий список
- Персональные данные: ФИО, телефоны, паспорта, кадровые и медицинские данные.
- Реквизиты и суммы из договоров, счетов, финмодели.
- Исходный код с ключами, паролями, доступами.
- Внутренние документы под грифом коммерческой тайны.
DLP и логирование
Чтобы правила не остались только на бумаге, нужен контроль:
- DLP (Data Loss Prevention) - системы, которые отслеживают и блокируют отправку чувствительных данных наружу.
- Логирование - в корпоративном инструменте видно, кто и что отправлял. Это и аудит, и разбор инцидентов.
- Регулярная проверка: что реально уходит в AI, нет ли обхода правил.
Связь с обезличиванием
Политика и обезличивание работают в паре. Правило простое: если данные нужны как пример, а не по существу - обезличьте их, и тогда подойдёт даже простой канал. Это снимает большую часть конфликтов между «удобно» и «безопасно».
Куда дальше
- Анонимизация персональных данных - как правильно обезличивать.
- Промпт-инъекции - отдельный риск: как через данные и документы модель заставляют делать лишнее.