SAID
Safe AI Development

Методология безопасной разработки и эксплуатации с использованием AI-инструментов

ГОСТ Р 56939-2024
ФСТЭК №240
152-ФЗ
187-ФЗ
420-ФЗ
OWASP LLM Top 10
ISO 42001
NIST AI RMF

Кому нужен SAID

Компаниям, внедряющим AI в разработку. Предприятиям, для которых утечка данных недопустима. Субъектам КИИ и операторам ПДн

Почему актуально

45% AI-кода уязвим. Штрафы до 500 млн ₽. Рост security-находок в 10 раз. AI-утечки невидимы для классического DLP

Почему работает

Расширяет ГОСТ Р 56939, OWASP LLM Top 10, NIST AI RMF на AI-контекст. Подтверждён исследованиями Stanford, Veracode, Apiiro

На что влияет

Сохранность данных. Безопасность кода. Конфиденциальность при работе с AI-агентами. Соответствие 152-ФЗ, 187-ФЗ, 420-ФЗ

Как работает

12 правил. Воздействие на процессы, программную инфраструктуру и регламенты в 5 этапов. Всего 28 процессов

Компании не доверяют ИИ.
И правильно делают.

ИИ ускоряет разработку и эксплуатацию систем — но без контроля данные утекают, код становится уязвимым, а агент действует на своё усмотрение. Недоверие обосновано.

AI-код — бомба внутри продукта
AI генерирует код с неизвестными уязвимостями — взлом, простой, утечка данных
AI-утечки — данные уходят наружу
Сотрудники бесконтрольно передают конфиденциальную информацию во внешние LLM
AI-атаки — старое ПО под новой угрозой
AI кратно снижает стоимость поиска уязвимостей в существующих системах
Процессы не готовы к AI
Регламенты не адаптированы — AI не раскрывает полный потенциал, либо запрещён целиком

Использовать опасно. Не использовать — дорого.
SAID разрывает этот круг: методология, которая делает ИИ управляемым — в разработке и эксплуатации.

45%
AI-кода проваливает тесты безопасности OWASP
Отчёт Veracode, июль 2025
500 млн ₽
оборотный штраф за повторную утечку ПДн
420-ФЗ — КонсультантПлюс Разбор штрафов — Гарант
×10
рост security-находок в AI-коде за полгода
Исследование Apiiro, июнь 2025
35%
данных в AI-инструментах — чувствительные
Отчёт Cyberhaven, 2025

Исследования и статьи

Актуальные источники, на которых основана методология SAID.

Уязвимости в AI-сгенерированном коде

Почему AI пишет небезопасный код: результаты тестирования 100+ моделей

SAID — по материалам Veracode, июль 2025

45% AI-кода проваливает тесты OWASP. AI-код в 2.74 раза уязвимее человеческого. XSS — 86% провалов. Размер модели не решает проблему.

Скорость ×4, уязвимости ×10: обратная сторона AI-кодинга

SAID — по материалам Apiiro, июнь 2025

10 000+ новых security-находок в месяц. Рост в 10 раз за полгода. Разработчики слепо доверяют AI-коду и не проверяют его.

Утечки данных через AI-инструменты

35% данных в AI-инструментах — конфиденциальные: анатомия утечек

SAID — по материалам Cyberhaven, 2025

73% AI-использования — через личные аккаунты (shadow AI). Исходный код — 18.7% утечек. Рост объёма AI-данных на 485% за год.

$4.88 млн за утечку: как AI стал новым вектором атаки

SAID — по материалам IBM, июль 2025

13% организаций — взломы AI-систем. 97% без контроля доступа. Средняя стоимость утечки — рекорд. AI для безопасности экономит $2.2 млн.

Supply chain атаки и slopsquatting

Взлом Amazon Q, три CVE в Cursor, захват через GitHub: хроника атак

SAID — по материалам Fortune, декабрь 2025

Реальные инциденты 2025: prompt injection в Amazon Q (964 000 установок), RCE через одну строку в Cursor, эксфильтрация через GitHub Issues.

Все AI-модели галлюцинируют пакеты: как это становится оружием

SAID — по материалам arXiv, январь 2025

11 моделей, 3 языка. Все галлюцинируют. Кодовые модели хуже общих (26.9% vs 13.6%). Python — 23% галлюцинаций.

Когда AI-агент устанавливает вредоносный пакет: анатомия slopsquatting

SAID — по материалам Trend Micro, 2025

5-20% запросов содержат галлюцинации. Злоумышленники регистрируют эти имена с инфостилерами и бэкдорами.

Российское законодательство

420-ФЗ: оборотные штрафы за утечки ПДн — что изменилось

SAID — по материалам КонсультантПлюс и Гарант

Штрафы выросли в сотни раз: до 500 млн ₽. 24 часа на уведомление РКН. AI-промпт с ПДн = утечка = штраф.

Практический разбор: как подготовиться к оборотным штрафам

SAID — по материалам RTM Group, июнь 2025

Кто попадает под 420-ФЗ, пошаговая подготовка, шаблоны уведомлений, AI-специфичные риски, экономика подготовки.

Безопасность AI-инструментов

Одна строка кода — полный контроль: prompt injection в AI-IDE

SAID — по материалам Lakera, 2025

CVE-2025-59944, CurXecute (CVSS 8.6). Unicode zero-width characters скрывают команды. Фундаментальная проблема всех AI-агентов.

Slopsquatting: практическое руководство по защите

SAID — по материалам Snyk, 2025

7 конкретных шагов: allowlist, lockfile, метаданные, SCA, запрет автоустановки, code review зависимостей, мониторинг.

OWASP Top 10 для LLM: 10 главных рисков и защита

SAID — по материалам OWASP, 2025

Prompt injection, утечки, supply chain, excessive agency — разбор каждого риска с примерами и решениями SAID.

Использовать опасно. Не использовать — дорого

AI-ассистенты сокращают время разработки в 2-4 раза. Компании, которые не используют AI, уже проигрывают тем, кто использует. Но внедрение без контроля создаёт риски, которые могут стоить дороже всей экономии:

Утечка данных через AI

35% данных в AI-инструментах — чувствительные. Разработчик вставляет код с ПДн клиентов в ChatGPT — и данные уходят за периметр. Штраф: до 500 млн ₽ (420-ФЗ).

Уязвимый код от AI

45% AI-кода проваливает тесты безопасности. SQL-инъекции, XSS, захардкоженные пароли — AI генерирует их «уверенно», разработчик не замечает.

AI не подчиняется правилам

Промпт «не отправляй секреты» — не защита. AI-агент может быть обманут через prompt injection или самовольно расширить scope, прочитав .env «чтобы помочь».

Цена ошибки: Один инцидент утечки ПДн через AI-ассистент может стоить компании от 25 до 500 млн ₽ (420-ФЗ), уголовной ответственности для руководителя (Указ №250) и до 10 лет лишения свободы для субъектов КИИ (ст. 274.1 УК).

SAID — Безопасный искусственный интеллект в разработке и эксплуатации

Цель: Внедрить AI в разработку и эксплуатацию так, чтобы получить полный экономический эффект — и при этом обеспечить сохранность данных, безопасность кода и конфиденциальность при работе с AI-агентами.

Для кого

Подходит организациям любой формы собственности Частный секторГосударственные структуры
Потребители AI

Используют AI в работе

Сотрудники применяют готовые AI-сервисы и ассистентов в повседневных задачах.

Генерация контента Анализ данных Автоматизация рутины Поддержка решений
Разработчики AI-продуктов

Создают продукты с использованием AI

Пишут код с AI-ассистентами, обучают модели, встраивают LLM в свои сервисы.

AI-ассистенты для кода Встраивание LLM в продукт Обучение своих моделей Агентские системы
Свои команды

Штатные разработчики внутри периметра компании.

Внешние подрядчики

Аутсорс-команды, фрилансеры или партнёры в цепочке разработки.

Как применять

Внедрение SAID идёт по трём векторам изменений с применением 12 базовых правил безопасной работы с AI. Каждый вектор закрывает свою группу рисков:

01

Процессы

Использование и разработка с AI: code review AI-кода, обучение команды, human-in-the-loop, логирование промптов, метрики качества, PDCA-цикл.

02

Нормативные документы

Политики использования AI, классификация данных, регламенты реагирования на инциденты, NDA с пунктом об AI.

03

Технологическая инфраструктура

On-premise LLM, AI Gateway, DLP-фильтрация промптов, контейнерная изоляция, SAST/SCA в CI/CD, SIEM-интеграция.

12 базовых правил SAID — общая основа для всех трёх векторов

12 правил SAID

Каждое правило закрывает конкретный AI-риск. Детализация — в части 4.

Процессы
Нормативные документы
Технологическая инфраструктура

1. Определи, что надо защищать

Сначала пойми, какие данные в компании являются чувствительными активами. Без этого нельзя оценить риск их использования в AI. → Подробнее

2. Размещай AI рядом с обрабатываемыми данными

Не «всегда локально» — а соответственно классификации: чувствительное обрабатывается внутри контролируемого контура, открытое — где удобнее. → Подробнее

3. Не доверяй агенту больше, чем он должен знать

Агента можно обмануть текстом или он сам расширит scope. Минимум привилегий, песочница, Zero Trust по умолчанию — только то, что нужно для текущей задачи. → Подробнее

4. История AI должна жить дольше задачи

Промпты, ответы и действия агентов сохраняются столько же, сколько сами данные. Без журнала нельзя расследовать инцидент или подтвердить compliance. → Подробнее

5. Проверяй AI-код как чужой

Код от AI проходит тот же конвейер проверки, что код от любого внешнего автора: SAST/SCA в CI/CD, code review без fast-track, маркировка. → Подробнее

6. Никаких прямых диалогов пользователей с AI

Промпт идёт через шлюз: маскирование ПДн, удаление секретов, фильтр проприетарного кода — до того, как сообщение увидит модель. → Подробнее

7. Защити модель — она знает больше всех

Модель аккумулирует данные из всех систем и становится концентратом знаний компании. Защита от prompt injection, кражи через API, подмены в supply chain, утечки через генерацию.

8. Прослеживаемость данных в AI-генерации

Знай, откуда AI взял каждый фрагмент — код, текст, изображение, данные. На этом строятся лицензионная чистота, доверие к источнику и защита от санкционных рисков.

9. AI обязан объяснить, человек — понять

AI обязан показать обоснование вывода — модель, источники, ход рассуждений. Финальное решение за человеком: понимаешь — отвечаешь.

10. Измеряй и адаптируй

KPI, метрики, ежеквартальный review, red teaming, PDCA. → Подробнее

11. Разрешить и контролировать, а не запрещать и не видеть

Запрет рождает теневое использование. Корпоративный AI должен быть удобнее личного: доступ есть — теневого AI не нужно, контроль виден — компания знает, что происходит.

12. Старые роли и процессы = потерянная эффективность

AI снижает порог входа: аналитик пишет SQL и Python, PM собирает прототип сам. Старые регламенты «передай в разработку, жди очереди» съедают AI-эффект или гонят его в теневой обход. Сжимай процесс там, где AI снял ограничение — добавь проверки на выходе, закрепи зону ответственности новых ролей.

Целевая архитектура

Так выглядит компания с внедрённым SAID: технические слои защиты и обязательные новые ветки в существующих процессах. Цифры в скобках — номера правил, которые закрывает слой.

Ландшафт компании с внедрённым SAID

Стандартная сетевая архитектура (внешняя сеть → корпоративный периметр → периметр разработки) и где SAID добавляет новые компоненты, донастраивает существующие или опирается на стандартные.

Новый — компонента нет в типовой инфраструктуре
Настройка — расширяем существующую систему
Уже есть — стандартный компонент компании
Внешняя сеть (Интернет) внешние AI-сервисы
ЕстьВнешние AI-провайдеры
  • YandexGPT API / GigaChat / Claude
  • Только для открытых данных
  • Прямой доступ запрещён
НовыйКонтракт ИБ с провайдером 11
  • DPA, SLA на retention/удаление
  • Юрисдикция РФ, право аудита
  • Документ длительного хранения
Только через корпоративный AI Gateway
Корпоративный периметр внутренняя сеть
ЕстьСетевой периметр
  • Firewall / NGFW
  • Forward proxy (Squid)
  • VPN-доступ
НастройкаEgress-контроль 6
  • На существующем proxy: allowlist AI-эндпоинтов
  • Блокировка прямых походов в ChatGPT/Claude
  • TLS-инспекция AI-трафика
НовыйКорпоративный AI Gateway 6
  • LiteLLM / OpenWebUI / Vellum
  • DLP-фильтр (Purview, Bearer, Presidio)
  • Маршрутизация по классификации данных
  • Все промпты — в журнал
НастройкаIDM / RBAC 6, 9
  • Keycloak / FreeIPA — роли «AI user», «AI admin»
  • MFA для AI-инструментов
  • OPA — политики для AI-эндпоинтов
НастройкаSIEM / Журналы 4
  • Wazuh / Splunk — корреляции для AI-событий
  • OpenSearch / Loki — индекс AI-логов
  • Retention по сроку жизни данных
НастройкаVDI для подрядчиков 6, 11
  • Termidesk / Guacamole — профили с запретом shadow-AI
  • Запись сессий, аудит AI-действий
AI-инфраструктура внутри периметра для ПДн, чувствительных данных
НовыйOn-prem LLM 2
  • vLLM / Ollama / TGI на корпоративном GPU
  • GigaChat / YandexGPT on-prem
  • Дообучение на корпоративных данных
НовыйVector DB / RAG 2, 8
  • Qdrant / Weaviate / pgvector
  • Хранение корпоративных эмбеддингов
  • RAG-индекс с контролем доступа
НовыйПесочница AI-агента 3
  • gVisor / Kata / Firejail
  • Read-only FS, network allowlist
  • Falco для runtime-мониторинга
НастройкаVault для AI 3, 6
  • HashiCorp Vault — policies для AI-агентов
  • Эфемерные токены
  • Запрет .env в досягаемости AI
НовыйЗащита модели 7
  • Garak / PromptFoo — adversarial-тесты
  • Rate-limit, детектор аномалий
  • Sigstore / in-toto — supply chain
НовыйРеестр моделей 8
  • MLflow / W&B on-prem
  • Версии, датасеты, метрики
  • OpenLineage для pipeline'ов
CI/CD, артефакты, AI-код
Периметр разработки CI/CD, репозитории, тестирование
ЕстьРепозитории и CI/CD
  • GitLab / Gitea / Bitbucket
  • Jenkins / GitLab CI / Argo
  • Артефакторий (Nexus / Harbor)
НастройкаSAST/SCA gate для AI-кода 5, 8
  • Semgrep / Bearer / Snyk Code — правила под AI-паттерны
  • OSS-сканер: GPL-фрагменты, чужой код
  • Блокировка merge без AI-метки и провенанса
НовыйProvenance gate 8
  • Sigstore — подпись AI-сгенерированных артефактов
  • Маркировка commit-trailers (Co-Authored-By: AI)
  • Реестр промптов, моделей, версий
НовыйТесты на уязвимости AI 7, 10
  • PyRIT / Garak — prompt injection тесты
  • Adversarial-датасеты в pipeline
  • Red teaming как этап CI
Только для КИИ / гостайны
КИИ-контур КИИ, гостайна — для гос/187-ФЗ
ЕстьАппаратная изоляция
  • Air-gap, data diodes
  • Реестровое железо и ПО
  • Физически изолированный GPU-кластер
ЕстьСертифицированные СКЗИ
  • КриптоПро / ВипНет / реестр ФСБ
  • ФСТЭК-сертифицированные средства
  • Аттестация системы
НастройкаГосСОПКА для AI 4
  • SIEM подключён к ГосСОПКА — обычно есть
  • Категории AI-инцидентов в playbook НКЦКИ
  • Уведомления по 187-ФЗ расширены на AI

Обязательные ветки в процессах

SAID не отменяет существующий процесс разработки и эксплуатации, а добавляет к нему обязательные шаги в ключевых точках:

Стандартный процесс

Задача
Разработка
Ревью
CI/CD
Прод
Эксплуатация

Процесс с SAID

Задача
+ Классификация данныхметка чувствительности на уровне задачи / репозитория
Jira-меткиdata catalogOpenLineage
Правило 1
+ Выбор контура AIмаршрутизация запроса по классификации
LiteLLMOPA-policyOpenWebUI proxy
Правило 2
Разработкачерез AI-шлюз, агент в песочнице, всё в журнал
LiteLLM gatewaygVisor / FirejailVault эфемерные токеныLoki + Vector
Правила 3, 4, 6
РевьюAI-код проходит как чужой, provenance, объяснимость
Semgrep / BearerSigstoreCo-Authored-By: AIReviewer-bot
Правила 5, 8, 9
CI/CDSAST/SCA на AI-фрагментах, проверка лицензий
Snyk OSSOWASP Dependency-CheckOSV Scanner
Правила 5, 8
Продмониторинг AI-вывода, fallback, защита модели
Wazuh / SplunkGarak / PromptFooFalco runtimefallback-сценарии
Правила 4, 7
Эксплуатацияконтракт ИБ с провайдером, VDI для подрядчиков, инциденты по playbook
DPA + SLATermidesk / GuacamoleГосСОПКА / РКН
Правила 6, 11
+ Контроль и улучшениеKPI на дашборде, red teaming, PDCA, аттестация
Grafana KPIGarak red teamФСТЭК-аттестация
Правило 10
Старые роли и процессы пересматриваются: AI снижает порог входа в задачи. Аналитик пишет SQL и Python с AI-помощником, PM собирает прототип, дизайнер кодит анимацию. Регламенты обязаны это закрепить — иначе AI-эффект уходит в теневые сервисы (правило 12).

Дорожная карта внедрения

Пять этапов последовательного внедрения: от аудита до непрерывного улучшения. Каждый этап продвигает одну или несколько целей:

Снижение издержек
Защита от утечек
Безопасность кода
Соответствие закону
1

Аудит и подготовка

Уровень: Предприятие

Издержки Утечки Уязвимости Закон
ЗадачаЧто делаемРезультатТрек А / Трек Б
Классификация данных Инвентаризация, матрица 5 категорий Реестр с маппингом "что AI видит" Трек Б: +аудит данных подрядчиков
Политика использования AI Разработка регламента с ИБ и юристами Утверждённый документ Трек Б: +пункт NDA об AI
Роли и ответственность Назначение по Указу №250, RACI-матрица Каждый знает свою зону Трек Б: +ответственный за подрядчиков
Оценка поставщиков AI Анализ вендоров, санкционные риски Выбор модели развёртывания Трек Б: +оценка AI-инструментов подрядчика
Снижение издержек
10%
Защита от утечек
30%
Безопасность кода
5%
Соответствие закону
40%
1-2 недТрек А
2-3 недТрек Б
Definition of Done: Реестр данных утверждён, политика подписана, роли назначены, модель развёртывания выбрана.
2

Инфраструктура и защита

Уровни: Эксплуатация AI + Предприятие

Утечки Закон Издержки
ЗадачаЧто делаемРезультатТрек А / Трек Б
Развёртывание AI-инфраструктуры On-premise/hybrid/air-gapped по результатам этапа 1 AI работает внутри периметра Трек Б: +VDI для подрядчиков, отдельные endpoints
DLP-фильтрация промптов Настройка фильтров ПДн/секретов на gateway Утечки блокируются до отправки Трек Б: +усиленные правила для endpoints подрядчиков
Контроль автономности AI (Zero Trust) Контейнеры, NetworkPolicy, seccomp, output-фильтр AI физически не может выйти за периметр Одинаково для обоих треков
Контроль Shadow AI Блокировка неавторизованных AI-сервисов, корпоративный портал Вся AI-активность через контролируемые каналы Трек Б: +мониторинг AI-трафика с VDI подрядчиков
Управление доступом RBAC, лимиты по ролям Минимально необходимый доступ Трек Б: +ограниченные роли для подрядчиков
Снижение издержек
50%
Защита от утечек
80%
Безопасность кода
15%
Соответствие закону
70%
2-4 недТрек А
3-6 недТрек Б
Definition of Done: AI-инфраструктура работает, DLP фильтрует, Shadow AI заблокирован, доступ по ролям, подрядчики на VDI (Трек Б).
3

Процессы разработки

Уровень: Разработка

Уязвимости Издержки Утечки
ЗадачаЧто делаемРезультатТрек А / Трек Б
Безопасный SDLC Изменение git flow: AI-код = недоверенный, обязательный review Ни одна строка AI-кода без проверки Одинаково
CI/CD pipeline gitleaks → Semgrep → SCA → Socket.dev → SonarQube Уязвимости блокируются автоматически Одинаково
Обучение команды 3 модуля: риски, практики, инструменты Разработчики осознают риски Трек Б: +обучение подрядчиков
Лицензионная чистота Фильтр дубликатов, сканирование, маркировка Исключён GPL-risk Одинаково
Управление зависимостями Allowlist + Socket.dev + lockfile Slopsquatting заблокирован Одинаково
Процедуры для подрядчиков scope, exit-процедура, аудит Контроль внешних разработчиков Только Трек Б
Снижение издержек
80%
Защита от утечек
90%
Безопасность кода
85%
Соответствие закону
85%
1-2 недТрек А
2-3 недТрек Б
Definition of Done: CI/CD pipeline настроен и блокирует уязвимости, 100% команды прошла обучение, подрядчики работают по процедуре (Трек Б).
4

Эксплуатация

Уровень: Эксплуатация AI в проде

Издержки Утечки Закон
ЗадачаЧто делаемРезультатГоссектор / Коммерческий
Мониторинг и аудит Логирование промптов, SIEM-интеграция, алерты на аномалии Полный аудит-трейл, время хранения по 152-ФЗ Гос: SIEM внутри контура. Ком: возможен managed-SIEM по контракту
Контроль доступа RBAC к моделям и данным, MFA, audit access Только разрешённые роли работают с AI Одинаково
Управление инцидентами Playbook AI-инцидентов, escалация, уведомление РКН/ГосСОПКА Время реагирования <24ч Гос: обязательное уведомление ГосСОПКА. Ком: 152-ФЗ ст.21
Жизненный цикл моделей Обновления через карантин, версионирование, тестирование перед прод Нет регрессий, известная версия в эксплуатации Гос: только сертифицированные/реестровые модели. Ком: SLA провайдера
Fallback без AI Сценарии работы при недоступности AI или некачественном выводе Сервис не падает при сбое модели Одинаково
Контроль стоимости Бюджет по командам, кэширование, роутинг моделей ROI прозрачен, нет неконтролируемых трат Одинаково
Контракты с провайдерами SLA на хранение, удаление, юрисдикция, право аудита Договор как документ ИБ Гос: эксплуатация в контуре, минимум внешних. Ком: контракт + DPA
Доступ подрядчиков VDI, NDA с пунктом об AI, аудит действий Подрядчик не выносит код и не использует личный AI Гос: только VDI, доступ через jump-host. Ком: VDI или supervised cloud
ongoingГоссектор
ongoingКоммерческий
Definition of Done: AI работает в проде с мониторингом и playbook, доступ контролируется, модели версионируются, fallback-сценарии протестированы.
5

Контроль и непрерывное улучшение

Уровни: Предприятие + Разработка + Эксплуатация AI

Издержки Утечки Уязвимости Закон
ЗадачаЧто делаемРезультатТрек А / Трек Б
KPI безопасности Dashboard: % уязвимостей, DLP-блокировок, покрытие обучением Объективная оценка прогресса Одинаково
Red teaming Ежеквартальная проверка: prompt injection, exfiltration, bypass DLP Проактивное обнаружение слабых мест Одинаково
Цикл PDCA Ежеквартальный пересмотр политик, метрик, правил DLP Непрерывное улучшение Одинаково
Аттестация системы Регулярная переаттестация по требованиям регулятора Соответствие сохраняется во времени Гос: ФСТЭК-аттестация. Ком: внутренний аудит
Снижение издержек
95%+
Защита от утечек
98%+
Безопасность кода
95%+
Соответствие закону
98%+
ongoingТрек А
ongoingТрек Б
Definition of Done: KPI в зелёной зоне, первый red team проведён, PDCA-цикл запущен.

Найди себя: с чего начать

Тип организацииПриоритетОбязательноСрок
Разработчик СЗИВсе 5 этапов + сертификация по Пр.240ГОСТ Р 56939 + AI-расширение10-14 нед
Субъект КИИЭтап 1-2: on-premise, DLP, закрытый контур187-ФЗ, Указ №166, air-gap8-10 нед
Госорган / ГИСЭтап 1-2: классификация, on-premiseПр. ФСТЭК №178-14 нед
Оператор ИСПДнЭтап 1-3: классификация, DLP, SAST152-ФЗ, 420-ФЗ5-9 нед
КоммерческаяЭтап 1+3: классификация + CI/CD pipelineBest practice5-9 нед

Подробная матрица обязательности — в разделе нормативной базы.

Классификация данных

Определите категории данных до подключения AI-инструментов. Это основа всей системы защиты.

КатегорияПримерыМожно в AI?Основание
ОбщедоступныеOpen-source, публичная документацияДа---
ВнутренниеБизнес-логика, архитектураС ограничениямиРежим КТ (98-ФЗ)
КонфиденциальныеПДн клиентов, финансыТолько on-premise152-ФЗ
СекретныеКлючи, пароли, токеныКатегорически нет---
КИИ / ГостайнаКод критических системТолько air-gapped187-ФЗ, ст. 274.1 УК

Модели развёртывания AI

КритерийCloud API
КонфиденциальностьСредняя
Качество генерацииВысокое
Стоимость (год, 100 разрабов)~4,5 млн ₽
Время внедрения1 день
Для КИИ/госовНет

Инструменты: Copilot Business, Claude API Team, ChatGPT Enterprise

КритерийOn-Premise
КонфиденциальностьВысокая
Качество генерацииСреднее
Стоимость (год, 100 разрабов)~27 млн ₽+
Время внедрения2-4 недели
Для КИИ/госовДа

Инструменты: Ollama + DeepSeek Coder, vLLM, TabbyML, GigaChat Enterprise

КритерийHybrid (Gateway)
КонфиденциальностьВысокая
Качество генерацииВысокое
Стоимость (год, 100 разрабов)~7 млн ₽
Время внедрения1-2 недели
Для КИИ/госовЧастично

Инструменты: LiteLLM Proxy, Portkey AI Gateway + DLP

Сравнительная таблица

КритерийCloud APIOn-PremiseHybrid (Gateway)
КонфиденциальностьСредняяВысокаяВысокая
Качество генерацииВысокоеСреднееВысокое
Стоимость (год, 100 разрабов)~4,5 млн ₽~27 млн ₽+~7 млн ₽
Время внедрения1 день2-4 недели1-2 недели
Для КИИ/госовНетДаЧастично

DLP-фильтрация промптов

Контролируйте, что уходит в модель. Новый канал утечки, невидимый для классического мониторинга.

Что фильтровать

ПДн

ФИО, email, телефон, ИНН, паспорт

Секреты

API-ключи, пароли, токены, приватные ключи

SQL с данными

Production-запросы с реальными данными клиентов

Проприетарный код

Алгоритмы, составляющие коммерческую тайну

Пример конфигурации DLP-правил

dlp_rules:
  - name: "PII Detection"
    patterns: [email, phone_ru, inn, passport]
    action: block_and_alert
  - name: "Secrets"
    patterns: [api_key, password, token, private_key]
    action: redact_and_log
  - name: "Classified Code"
    patterns: [internal_markers]
    action: warn_and_log

Интерактивный DLP-симулятор

DLP-анализ промпта

Введите текст промпта и проверьте, что обнаружит DLP-фильтр:

Zero Trust к AI-агенту

AI НЕ соблюдает правила сам по себе. Промпт «не отправляй секреты» — пожелание, не барьер. Через prompt injection или «услужливость» агент обойдёт любые текстовые инструкции.

Промпт vs Техника

КонтрольПромптовый (ненадёжный)Технический (надёжный)
Доступ к секретам"Не читай .env"Файл НЕ смонтирован в контейнер
Отправка наружу"Не отправляй данные"NetworkPolicy: egress только к LLM
Деструктивные команды"Не выполняй rm -rf"seccomp/AppArmor блокирует
Scope файлов"Работай только в /src"Bind mount: только /src существует
Подтверждение"Спрашивай перед действием"Human-in-the-loop gateway с approval queue

Архитектура: 3 уровня защиты

Разработчик ──> IDE (Permission Layer) ──> AI Gateway (DLP filter) ──> AI Runtime (Container isolation) │ │ │ │ │ .aiignore PII/secret redaction Docker + seccomp │ разрешения IDE routing / logging bind mount /src only │ контроль плагинов rate limiting NetworkPolicy DENY all │ short-lived credentials

Таблица угроз и технических защит

УгрозаПримерТехническая защита
Prompt InjectionСкрытая инструкция в READMEPrompt injection detector (Lakera Guard)
«Услужливость»AI читает .env чтобы «помочь»Файл не смонтирован
Tool Use без спросаAI выполняет curl наружуNetworkPolicy DENY all + allowlist
Side-channel exfiltrationСекрет в URL параметре тестаOutput DLP-фильтр
Игнорирование классификацииAI обрабатывает «секретные» данныеDLP на входе + выходе, данные не доступны

Проверки AI-кода (SAST/SCA pipeline)

CI/CD Pipeline безопасности

git push gitleaks (secrets) semgrep (SAST) pip-audit / npm audit (SCA) socket.dev (slopsquatting) sonarqube human code review merge

Чеклист ревьюера для AI-кода

Интерактивный SAST-сканер

Анализ уязвимостей в AI-коде

Выберите пример уязвимого кода для анализа:

# SQL Injection (CWE-89)
def get_user(username):
    query = f"SELECT * FROM users WHERE name = '{username}'"
    return db.execute(query)

Аудит и метрики

Каждый промпт — это лог. Без логирования невозможно расследовать инциденты и обеспечить compliance.

Структура лога AI-взаимодействия

{
  "timestamp": "2026-03-28T14:30:00Z",
  "user_id": "dev-42",
  "model": "deepseek-coder-v2",
  "prompt_hash": "sha256:abc...",
  "prompt_size_tokens": 1200,
  "files_in_context": ["api/users.py"],
  "pii_detected": false,
  "secrets_detected": false
}
Для субъектов КИИ: утечка через AI-промпт — инцидент ИБ, требующий уведомления ГосСОПКА за 24-72 часа (187-ФЗ + Приказ ФСБ №367).

Средства реализации

Изменения в процессах

СредствоЧто даётТрек АТрек Б
Политика использования AIЮридическое основание, единые правилаДаДа
Code Review чеклистСнижение уязвимостей AI-кодаДаДа
Программа обучения (3 модуля)Осознанное использование AIДаДа + подрядчики
NDA + пункт об AIЗащита от утечек через подрядчика---Да
Процедура AI-инцидентовБыстрое реагированиеДаДа

Изменения в ПО

ИнструментНазначениеСтоимостьЭффект
Ollama / vLLMOn-premise LLMOpen-sourceДанные внутри периметра
SemgrepSASTБесплатно / ~3 500 ₽/dev/месАвтодетекция CWE
gitleaksSecret scanningOpen-sourceБлокировка утечки ключей
InfoWatch / Lakera GuardDLP промптовПо запросуФильтрация ПДн/секретов
Socket.devSCA + anti-slopsquattingFree tierSupply chain защита
MaxPatrol / KUMASIEMПо запросуМониторинг AI

Изменения в инфраструктуре

КомпонентНазначениеСтоимостьТрек АТрек Б
GPU-сервер (A100/H100)On-premise LLM inferenceот 18 млн ₽ОпциональноОпционально
AI Gateway / proxyDLP + routing + logging450 тыс–1,8 млн ₽/годДаДа
Docker + seccompИзоляция AI-агентаOpen-sourceДаДа
VDI (Citrix/RDP)Удалённый десктоп подрядчика4 500–9 000 ₽/польз/мес---Обязательно
NetworkPolicy / firewallОграничение egress AIВстроено в K8sДаДа

Детали внедрения

1

Аудит

Карта данных, оценка рисков, выбор модели развёртывания

Трек А: 1-2 нед | Трек Б: 2-3 нед
2

Инфраструктура

LLM/Gateway, DLP, изоляция контейнеров, VDI для подрядчиков

Трек А: 2-4 нед | Трек Б: 3-6 нед
3

Процессы

CI/CD pipeline, обучение команды, чеклисты, политики

Трек А: 1-2 нед | Трек Б: 2-3 нед
4

Запуск

Пилот на одной команде, rollout, метрики, red teaming

Трек А: 1 нед | Трек Б: 1-2 нед
Итого: Трек А — 5-9 недель, Трек Б — 8-14 недель. Разница обусловлена настройкой VDI, NDA, усиленным логированием и ограниченным scope репозитория для подрядчиков.

Дополнительные шаги для Трека Б

NDA с пунктом о запрете внешних AI

Юридическая защита: подрядчик не имеет права использовать сторонние AI-сервисы для работы с кодом заказчика.

VDI — код не на машине подрядчика

Код остаётся на серверах компании. Подрядчик работает через удалённый десктоп, исключая локальное копирование.

Отдельные AI-endpoints

Усиленное логирование всех AI-взаимодействий подрядчиков. Отдельные rate limits и DLP-правила.

Ограниченный scope репозитория

Подрядчик видит только те модули, над которыми работает. Остальная кодовая база недоступна.

Потоки данных

Трек А: Внутренняя разработка

Корп. ноутбук IDE + AI-плагин Корп. proxy / DLP On-premise LLM Git CI/CD (SAST/SCA) Code Review Deploy

Трек Б: С подрядчиками

Личный ноутбук VDI (корп. среда) IDE + AI (усиленный лог) DLP (усиленный) On-premise LLM Git CI/CD Внутр. ревьюер Deploy
Подрядчик НЕ имеет: код на локальной машине, доступ к AI с личного устройства, полный доступ к репозиторию

KPI и мониторинг

KPI безопасности AI-разработки

<5%
AI-кода с уязвимостями
Цель: снижение с ~45%
DLP
Заблокированных промптов / мес
Мониторинг аномалий
= human
Code churn AI-кода
Цель: не хуже human
100%
Покрытие обучением
Все разработчики обучены
0
Инциденты с AI / квартал
Цель: ноль инцидентов

Мониторинг аномалий

АномалияДетекцияРеакция
Необычно большой промпт (>10K токенов)Лог-анализ + алертБлокировка + расследование
Запросы вне рабочего времениSIEM-правилоУведомление ИБ
Попытка prompt injectionLakera Guard / regexБлокировка + инцидент
Массовая выгрузка файлов в контекстМониторинг files_in_contextАлерт + ограничение
Обращение к заблокированным AI-сервисамFirewall + DLPБлокировка + уведомление

Полная нормативная база — в части 6.

Цикл непрерывного улучшения

PDCA-цикл для постоянного совершенствования AI-безопасности. Наведите на сектор для деталей.

Plan

Ежеквартальный пересмотр политик, метрик, DLP-правил

Do

Обновление моделей, инструментов, обучение новичков

Act

Корректировка процессов, новые правила, обновление чеклистов

Check

Red teaming AI-инфраструктуры, анализ инцидентов, бенчмарк

PDCA

Мониторинг законодательства

152-ФЗ, ФСТЭК, КИИ — область активно регулируется. Отслеживайте изменения не реже раза в квартал.

Версионирование методологии

SAID v1.0 → v1.1 → ... Каждое обновление фиксирует изменения в политиках и инструментах.

Оценка компонентов

Сводная таблица ROI

КомпонентСтоимость внедренияЧто защищаетROI
Классификация данных~0 (процесс)Штрафы 1-500 млнВысочайший
On-premise LLM18 млн ₽+ (GPU)Утечки кода и данныхВысокий для КИИ
AI Gateway + DLP450 тыс–1,8 млн ₽/годПДн, секреты в промптахВысокий
Контейнерная изоляция~0 (open-source)Автономные действия AIВысокий
SAST/SCA в CI/CD0–360 тыс ₽/месУязвимости AI-кодаОчень высокий
Обучение (3 модуля)2-3 дня командыHuman errorВысокий
SIEM-интеграцияПо запросуИнциденты, complianceСредний-высокий

Калькулятор стоимости внедрения

Ваш профиль внедрения SAID

-
Бюджет (год 1)
-
Срок внедрения
-
Макс. штраф при бездействии
Приоритетные задачи:

    ГОСТ Р 56939-2024 и AI-разработка

    SAID — расширение процессов безопасной разработки ПО (ГОСТ Р 56939-2024) для организаций, использующих AI-ассистенты. ГОСТ определяет 25 процессов SDLC. SAID дополняет каждый из них мерами контроля AI-рисков.

    Зачем это нужно? ГОСТ Р 56939-2024 — базовый стандарт для сертификации процессов безопасной разработки (Приказ ФСТЭК №240). Ни ГОСТ, ни приказ не учитывают AI-ассистированную разработку: генерацию кода через LLM, AI-агентов в CI/CD, вайб-кодинг. SAID заполняет этот пробел.

    25 процессов ГОСТ: группировка

    Этап жизненного циклаПроцессы ГОСТКол-во
    Организация и планирование5.1 Планирование, 5.2 Обучение2
    Требования и управление5.3 Требования безопасности, 5.4 Конфигурация, 5.5 Недостатки3
    Проектирование5.6 Архитектура, 5.7 Модель угроз2
    Реализация (кодирование)5.8 Правила кодирования, 5.9 Code review, 5.10 SAST, 5.11 DAST4
    Сборка и инфраструктура5.12 Сборка, 5.13 Безопасность среды, 5.14 Целостность кода, 5.15 Секреты4
    Зависимости / Supply chain5.16 SCA, 5.17 Проверка цепочки поставок2
    Тестирование5.18 Функциональное, 5.19 Нефункциональное2
    Выпуск и поставка5.20 Выпуск, 5.21 Доставка2
    Эксплуатация5.22 Поддержка, 5.23 Реагирование, 5.24 Поиск уязвимостей3
    Завершение5.25 Вывод из эксплуатации1
    8 новых процессов появились в ГОСТ 2024 (vs 2016): моделирование угроз, безопасность сборочной среды, управление доступом к коду, секреты, SCA, supply chain, нефункциональное тестирование, безопасная поставка.

    Приказ ФСТЭК №240 — Сертификация процессов РБПО

    Сертификат подтверждает, что ПО создаётся с учётом требований безопасности (SDLC), минимизируя уязвимости. Даёт право самостоятельно испытывать обновления сертифицированных СЗИ.

    Что сертифицируется

    Процессы безопасной разработки ПО — не продукт, не организация. На соответствие 25 процессам ГОСТ Р 56939-2024.

    Срок действия

    Сертификат выдаётся на срок до 5 лет (актуальная редакция от 30.06.2025, Приказ №230).

    Кому нужен

    Изготовителям средств защиты информации (СЗИ) для ГИС, КИИ, ИСПДн. Даёт право самостоятельных испытаний обновлений.

    Процедура получения

    1

    Заявка

    Изготовитель подаёт заявку в ФСТЭК России

    15 рабочих дней
    2

    Решение

    ФСТЭК назначает аккредитованный орган по сертификации

    По результатам рассмотрения
    3

    Проверка

    Орган проверяет процессы на площадке: документация, инструменты, артефакты, компетенции

    По договору
    4

    Сертификат

    ФСТЭК выдаёт сертификат соответствия процессов РБПО

    до 30 + 10 рабочих дней

    Что проверяется при сертификации

    АспектЧто смотрятAI-расширение SAID
    ДокументацияРуководство по РБПО соответствует ГОСТРаздел про AI-процессы в руководстве
    ИнструментыSAST, DAST, SCA реально используютсяAI Gateway, DLP промптов, детекция slopsquatting
    АртефактыОтчёты анализов, логи, записиЛоги AI-промптов, маркировка AI-кода
    ПроцессыФактически работают, не только на бумагеCode review AI-кода, изоляция агентов
    КомпетенцииПерсонал обучен безопасной разработкеМодуль обучения безопасному AI-кодингу

    Связь с другими приказами

    ПриказОбластьКак связан с №240
    №55Сертификация продуктов (СЗИ)№240 дополняет — сертификация процессов разработки
    №17Защита ГИСОбязывает использовать сертифицированные СЗИ
    №21Защита ИСПДнРекомендует сертифицированные СЗИ
    №239Защита КИИОбязывает сертифицированные СЗИ для значимых объектов

    Маппинг: 25 процессов ГОСТ × SAID

    Для каждого процесса ГОСТ Р 56939-2024 — что добавляет SAID для контроля AI-рисков.

    Процесс ГОСТAI-расширение SAIDКлючевые меры
    5.1 Планирование РБПОВключить AI в область процессовАудит shadow AI, выбор модели LLM, бюджет GPU
    5.2 Обучение сотрудниковМодуль безопасного AI-кодингаAutomation bias, типичные CWE в AI-коде, prompt injection
    5.3 Требования безопасностиКлассификация данных для AIЧто можно/нельзя в промпт, политика по категориям данных
    5.4 Конфигурация ПОAI-инструменты как элементы конфигурации.aiignore, сегментация репо, версионирование промптов
    5.5 Управление недостаткамиКатегория «дефект AI-генерации»Git trailers, метрики AI vs human дефектов
    Процесс ГОСТAI-расширение SAIDКлючевые меры
    5.6 АрхитектураAI-компоненты в архитектуреAI Gateway, inference server, изоляция AI-агентов
    5.7 Модель угрозAI-специфичные угрозыPrompt injection, Excessive Agency, slopsquatting, data poisoning
    5.8 Правила кодированияПравила работы с AI-ассистентамиЗапрет копирования ПДн в промпт, верификация AI-предложений
    5.9 Code reviewAI-код без fast-trackМаркировка AI-кода, обучение ревьюеров automation bias
    5.10 SASTПаттерны AI-ошибок в правилахSemgrep/CodeQL/Svace, pre-commit hooks (gitleaks)
    5.11 DAST / фаззингПриоритет для AI-кодаФаззинг парсеров и сетевого кода, сгенерированного AI
    5.16 SCASlopsquatting + лицензииSocket.dev, детекция «галлюцинированных» пакетов, GPL-анализ
    5.17 Supply chainAI-модели как элемент поставкиПроверка моделей, data diodes для КИИ, мониторинг аномалий
    Процесс ГОСТAI-расширение SAIDКлючевые меры
    5.12 Безопасная сборкаAI-агенты в CI/CD изолированыSBOM с маркировкой AI-компонентов, hardening flags
    5.13 Безопасность средыЗащита от AI-инъекций в CI/CDМинимальные привилегии, логирование, защита от prompt injection через PR
    5.14 Целостность кодаBranch protection для AIAI не коммитит в main, подпись AI-коммитов
    5.15 СекретыСекреты вне зоны AI.aiignore, short-lived credentials, gitleaks/detect-secrets
    5.18 Функц. тестированиеРасширенные тесты для AI-кодаEdge cases, верификация AI-тестов, запрет автодеплоя
    5.19 Нефункц. тестированиеТестирование AI-инфраструктурыНагрузка inference, pentest prompt injection, red teaming
    5.20 ВыпускМетрики AI-кода в критерии приёмкиCode churn, release gate для AI-кода
    5.21 ПоставкаSBOM с AI-маркировкойПодпись артефактов, сертифицированные СКЗИ для КИИ
    Процесс ГОСТAI-расширение SAIDКлючевые меры
    5.22 ПоддержкаAI-компоненты в документацииКанал обратной связи по AI-проблемам
    5.23 РеагированиеAI-утечка = инцидент ИБЛогирование промптов, SIEM-алерты, уведомление ГосСОПКА (24-72ч для КИИ)
    5.24 Поиск уязвимостейRed teaming AIPrompt injection, data exfiltration, jailbreak, bug bounty
    5.25 Вывод из эксплуатацииУдаление AI-моделей и данныхЗачистка fine-tuning данных, отзыв AI-credentials

    Дополнительные AI-процессы (вне ГОСТ)

    Следующие процессы специфичны для AI-разработки и не имеют аналогов в ГОСТ Р 56939-2024:

    AI-1. DLP для промптов

    Контроль данных, отправляемых в AI-модели. InfoWatch, AI Gateway, фильтрация ПДн/секретов, белые/чёрные списки сервисов.

    AI-2. Закрытый контур

    Air-gapped инфраструктура с on-premise LLM для КИИ/ГИС. Data diodes, сертифицированные СКЗИ, VDI, карантин обновлений.

    AI-3. Метрики AI-безопасности

    KPI: уязвимости AI vs human, code churn, DLP-блокировки, red teaming. Ежеквартальный review, мониторинг законодательства.

    Матрица: доступность по категориям организаций

    Что обязательно, что рекомендуется, что доступно — в зависимости от типа организации и нормативных требований.

    Сертификация и процессы

    КатегорияСертификация (Пр.240)Процессы ГОСТSAID AI-расширение
    Разработчик СЗИДоступнаОбязательныРекомендуется
    Субъект КИИ (своя разработка)Не применяетсяBest practiceКритически важно
    Оператор ГИСНе применяетсяРекомендуютсяРекомендуется
    Оператор ИСПДнНе применяетсяРекомендуютсяРекомендуется
    Коммерческая компанияНе применяетсяДобровольноДобровольно

    Обязательные меры по категориям

    ТребованиеКИИГИСИСПДнКоммерческая
    On-premise LLM (запрет зарубежных)ОбязательноОбязательноРекомендуетсяПо выбору
    Закрытый контур (air-gap)ОбязательноПо классу ГИСНетНет
    Логирование AI-взаимодействийОбязательноОбязательноОбязательноРекомендуется
    DLP для AI-промптовОбязательноОбязательноРекомендуетсяРекомендуется
    Уведомление ГосСОПКА (24-72ч)ОбязательноНетНетНет
    Сертифицированные СКЗИОбязательноПо классу ГИСНетНет
    Классификация данных для AIОбязательноОбязательноОбязательноРекомендуется
    Code review AI-кодаОбязательноОбязательноРекомендуетсяРекомендуется
    Для субъектов КИИ: использование зарубежных AI-сервисов не просто рискованно — это может квалифицироваться по ст. 274.1 УК РФ (до 10 лет). 187-ФЗ + Указ №166 (запрет иностранного ПО на КИИ с 2025) делают on-premise LLM единственным легальным вариантом.

    Нормативные основания

    Приказ ФСТЭК №240

    Сертификация процессов РБПО. Вступил 01.06.2024, ред. 30.06.2025. До 5 лет.

    ГОСТ Р 56939-2024

    25 процессов безопасной разработки ПО. Заменил версию 2016. Введён 20.12.2024.

    187-ФЗ + Указы №166/250

    Безопасность КИИ, запрет иностранного ПО, ответственность руководителя за ИБ.

    152-ФЗ + 420-ФЗ

    Защита ПДн, локализация, оборотные штрафы до 500 млн ₽ за повторные утечки.

    Начните внедрение SAID

    Помогаем компаниям выстроить безопасный процесс AI-разработки

    Аудит AI-практик

    Оценка текущих рисков, gap analysis, рекомендации по приоритетам

    Внедрение SAID

    Полный цикл: от классификации данных до red teaming AI-инфраструктуры

    Обучение команды

    Тренинги по безопасному AI-кодингу для разработчиков и ревьюеров

    db@implica.ru
    SAID v2.0 — Safe AI Development · Апрель 2026