Rozwiązania Aegis Branże Wgląd Ceny Firma Poproś o prezentację
OASF OneCompliant Security Framework

Architektura zarządzania, która zapewnia funkcjonowanie mechanizmów kontroli sztucznej inteligencji.

OASF nie OASF kolejnym dokumentem ramowym. Jest to ustrukturyzowana, oparta na dziedzinach architektura zarządzania, która określa granice kontroli potrzebne Twojej organizacji — oraz wyznacza kierunek działań Aegis w czasie wykonywania. Jest ona bezpośrednio dostosowana do unijnej ustawy o sztucznej inteligencji oraz RMF NIST RMF.

Zapoznaj się z platformą Poproś o prezentację
6
Dziedziny kontroli obejmujące cały cykl życia zarządzania sztuczną inteligencją
40+
Indywidualne kontrole we wszystkich obszarach
4
Przegląd ram regulacyjnych — unijna ustawa o sztucznej inteligencji, NIST, NIS2, norma ISO 42001
100%
Elementy sterujące działają — nie są tylko opisane w dokumentacji
Architektura ramowa

Sześć obszarów kontroli. Uwzględniono wszystkie aspekty zarządzania sztuczną inteligencją.

Każdy obszar dotyczy odrębnego aspektu zarządzania — od sposobu klasyfikacji i przetwarzania danych wykorzystywanych w sztucznej inteligencji, przez proces zatwierdzania i monitorowania modeli, aż po wykrywanie incydentów i reagowanie na nie. Kliknij dowolny obszar, aby zapoznać się z jego mechanizmami kontroli.

OASF · Dziedzina 1 z 6

Zarządzanie danymi

Określa sposób klasyfikacji, przetwarzania, ochrony i kontroli danych w trakcie interakcji z systemami sztucznej inteligencji. Ustanawia zasady minimalizacji danych, ograniczenia celu oraz ochrony danych, które Aegis Guard w czasie działania — gwarantując, że dane wrażliwe nigdy nie trafią do niezatwierdzonych modeli sztucznej inteligencji.

Aegis

Kontrolery OASF sterują regułamiGuard Aegis Guard — określają, które klasyfikacje danych powodują zamazanie, blokowanie lub routing do wyższego poziomu routing wykonywania.

Policy klasyfikacji danych dotyczących sztucznej inteligencjiOASF

Określa poziomy wrażliwości danych dla kontekstów sztucznej inteligencji — od publicznych po zastrzeżone. Określa, które kategorie danych mogą być przetwarzane przez poszczególne typy modeli sztucznej inteligencji.

Ustawa UE o sztucznej inteligencji, art. 10NIST Aegis Guard
Dane osobowe w procesach opartych na sztucznej inteligencjiOASF

Zasady regulujące wykorzystanie danych osobowych w poleceniach, procesie uczenia się i wynikach generowanych przez sztuczną inteligencję. Zapewniają przestrzeganie zasad minimalizacji danych i ograniczenia celu określonych w RODO w momencie interakcji z systemem opartym na sztucznej inteligencji.

Art. 5 RODOArtykuł 10 unijnej ustawy o sztucznej inteligencjiAegis Guard
Zakaz przetwarzania danych z kategorii specjalnejOASF

Zakazuje przetwarzania danych należących do kategorii szczególnych, o których mowa w art. 9 RODO (dane dotyczące zdrowia, dane biometryczne, pochodzenie etniczne), za pomocą niezatwierdzonych systemów sztucznej inteligencji. Określa dopuszczalne wyjątki i środki kontroli.

Art. 9 RODOISO 42001Aegis Guard
Kontrola transferu sztucznej inteligencji z państw trzecichOASF

Zasady regulujące przekazywanie danych dostawcom usług sztucznej inteligencji spoza UE/EOG. Określają one zatwierdzone mechanizmy przekazywania danych oraz routing w odniesieniu do poszczególnych kategorii danych wrażliwych.

RODO, rozdział VAegis Routing
OASF · Dziedzina 2 z 6

Model zarządzania

Określa sposób oceny, zatwierdzania, katalogowania, monitorowania i wycofywania modeli sztucznej inteligencji. Tworzy rejestr zatwierdzonych modeli, z któregoRouting Aegis Routing w celu wyboru modeli i egzekwowania dostępu do nich — gwarantując, że pracownicy mają dostęp wyłącznie do sprawdzonych i zatwierdzonych modeli sztucznej inteligencji.

Aegis

Elementy sterujące OASF uzupełniająRouting Aegis — określając, które modele są zatwierdzone dla poszczególnych klasyfikacji danych i kontekstów biznesowych.

Proces zatwierdzania modeli sztucznej inteligencjiOASF

Określa proces oceny i zatwierdzania modeli sztucznej inteligencji przed ich wdrożeniem w przedsiębiorstwie. Obejmuje on przegląd bezpieczeństwa, ocenę stronniczości, ocenę wyjaśnialności oraz sprawdzenie zgodności z przepisami.

Ustawa UE o sztucznej inteligencji, art. 9NIST Aegis Routing
Rejestr zatwierdzonych modeliOASF

Prowadzi oficjalny rejestr zatwierdzonych modeli sztucznej inteligencji, dostawców oraz dozwolonych przypadków użycia. Określa zasady dopasowywania modeli do klasyfikacji danych oraz ograniczenia dostępu.

Ustawa UE o sztucznej inteligencji, art. 13Aegis Routing
Monitorowanie integralności modeluOASF

Bieżące monitorowanie wdrożonych modeli sztucznej inteligencji pod kątem odchyleń, stronniczości, spadku wydajności oraz manipulacji przeciwników. Określa progi eskalacji i procedury reagowania.

NIST ISO 42001, klauzula 9Aegis Risk
Wykrywanie cieni za pomocą sztucznej inteligencjiOASF

Mechanizmy służące do identyfikacji i zarządzania nieautoryzowanym wykorzystaniem narzędzi opartych na sztucznej inteligencji w całym przedsiębiorstwie. Określają metody wykrywania, risk oraz procedury naprawcze dotyczące „cieniowej sztucznej inteligencji”.

NIS2 . 21NIST Aegis Audit
OASF · Dziedzina 3 z 6

Dostęp i tożsamość

Określa sposób weryfikacji tożsamości, autoryzacji dostępu oraz egzekwowania ról w ramach interakcji z AI. Każda interakcja z AI musi być powiązana z konkretną tożsamością — co gwarantuje, że na podstawie audit można ustalić, kto uzyskał dostęp do jakich danych, kiedy i dlaczego.

Aegis

OASF zarządza powiązaniemGateway w Aegis Gateway — integracją SSO, egzekwowaniem uwierzytelniania wieloskładnikowego (MFA) oraz dostępem do zatwierdzonych modeli AI dostosowanym do ról.

Powiązanie tożsamości z AIOASF

Wymaga, aby wszystkie interakcje z AI były powiązane ze zweryfikowaną tożsamością korporacyjną. Uniemożliwia anonimowy dostęp do AI lub dostęp za pośrednictwem kont współdzielonych. Wymusza integrację SSO z korporacyjnym systemem zarządzania tożsamością i dostępem (IAM).

Ustawa UE o sztucznej inteligencji, art. 14NIS2 . 21Aegis Gateway
Dostęp do sztucznej inteligencji oparty na rolachOASF

Określa oparte na rolach mechanizmy kontroli dostępu do modeli sztucznej inteligencji. Role biznesowe określają, do których modeli, klasyfikacji danych i funkcji sztucznej inteligencji użytkownicy mają dostęp — zasady te są egzekwowane na poziomie zarządzania.

NIST ISO 42001Aegis Policy
Zarządzanie uprawnieniami dostępu do sztucznej inteligencjiOASF

Udoskonalone mechanizmy kontroli dostępu uprzywilejowanego do systemów sztucznej inteligencji — administratorów modeli, specjalistów ds. zarządzania oraz audit . Określa procedury zatwierdzania oraz procedury dostępu „just-in-time”.

NIS2 . 21Aegis Gateway
OASF · Dziedzina 4 z 6

Bezpieczeństwo sztucznej inteligencji w środowisku operacyjnym

Określa techniczne środki bezpieczeństwa chroniące systemy sztucznej inteligencji przed atakami przeciwników, manipulacją i nadużyciami. Obejmuje ochronę przed wstrzykiwaniem treści do poleceń, odporność na ataki przeciwników oraz modelowanie zagrożeń specyficznych dla sztucznej inteligencji — czyli środki bezpieczeństwa, do których narzędzia SIEM i tradycyjne systemy DLP nie zostały zaprojektowane.

Aegis

Kontrole OASF zapewniająGuard weryfikację w systemie Aegis Guard — wykrywając ataki typu injection, próby obejścia zabezpieczeń oraz policy , zanim dotrą one do modelu.

Obrona przed natychmiastowym wstrzyknięciemOASF

Mechanizmy wykrywania i blokowania ataków polegających na wstrzyknięciu poleceń — prób obejścia mechanizmów zarządzania sztuczną inteligencją poprzez złośliwe instrukcje osadzone w poleceniach lub danych wejściowych.

NIST Aegis Guard
Wykrywanie danych wejściowych o charakterze przeciwnymOASF

Mechanizmy monitorowania i wykrywania danych wejściowych o charakterze złośliwym, mających na celu manipulowanie wynikami modelu, pozyskiwanie danych szkoleniowych lub wywołanie nieprawidłowego działania modelu w środowiskach produkcyjnych.

Ustawa UE o sztucznej inteligencji, art. 15NIST Aegis Risk
Modelowanie zagrożeń związanych ze sztuczną inteligencjąOASF

Strukturalne modelowanie zagrożeń dla systemów sztucznej inteligencji — identyfikacja powierzchni ataku, podmiotów stanowiących zagrożenie oraz wektorów ataku charakterystycznych dla wdrożeń sztucznej inteligencji w regulowanych środowiskach korporacyjnych.

NIST ISO 42001
Bezpieczeństwo łańcucha dostaw w kontekście sztucznej inteligencjiOASF

Środki kontroli bezpieczeństwa w łańcuchach dostaw modeli sztucznej inteligencji — weryfikacja dostawców modeli, sprawdzanie integralności modeli oraz zarządzanie risk związanym z komponentami sztucznej inteligencji pochodzącymi od podmiotów zewnętrznych.

NIS2 . 21Ustawa UE o sztucznej inteligencji, art. 9
OASF · Dziedzina 5 z 6

Audit zgodność z przepisami

Określa wymagania dotyczące rejestrowania, sprawozdawczości i tworzenia dowodów, dzięki którym zarządzanie sztuczną inteligencją można wykazać przed organami regulacyjnymi, zarządami i audytorami. Każda interakcja z wykorzystaniem sztucznej inteligencji musi dać się odtworzyć — kto, jakie dane, jaki model, jakie policy , jaki był wynik.

Aegis

Reguły OASF określają schematAudit Aegis — każde pole, każdą klasyfikację oraz każdą policy , które muszą zostać zarejestrowane i zachowane.

Rejestrowanie interakcji z AIOASF

Obowiązkowe wymagania dotyczące rejestrowania wszystkich interakcji z systemami sztucznej inteligencji — sygnał czasowy, tożsamość użytkownika, wykryte klasyfikacje danych, zastosowane zasady, użyty model oraz policy . Wymagana jest integralność dziennika z zabezpieczeniem przed manipulacją.

Ustawa UE o sztucznej inteligencji, art. 12NIS2 . 21Aegis Audit
Sprawozdawczość w zakresie ładu korporacyjnegoOASF

Określa częstotliwość sporządzania sprawozdań dotyczących ładu korporacyjnego, formaty sprawozdań oraz wskaźniki wymagane do celów sprawozdawczości dla zarządu, kierownictwa i organów regulacyjnych. Obejmuje risk opartą na sztucznej inteligencji, wskaźnik policy oraz podsumowanie incydentów.

Ustawa UE o sztucznej inteligencji, art. 17ISO 42001, klauzula 9Aegis Risk
Zarządzanie dowodami w ramach regulacjiOASF

Narzędzia do generowania, prowadzenia i tworzenia dokumentacji regulacyjnej — rejestry przetwarzania danych zgodnie z RODO, dokumentacja potwierdzająca zgodność z unijną ustawą o sztucznej inteligencji, dokumentacja potwierdzająca stosowanie środków NIS2 oraz eksporty audit .

Art. 30 RODOUstawa UE o sztucznej inteligencji, art. 12Aegis Audit
OASF · Dziedzina 6 z 6

Reagowanie na incydenty związane ze sztuczną inteligencją

Określa, w jaki sposób wykrywane, klasyfikowane, ograniczane, badane i zgłaszane są incydenty bezpieczeństwa związane ze sztuczną inteligencją. Tradycyjne procedury reagowania na incydenty nie zostały opracowane z myślą o nadużyciach związanych ze sztuczną inteligencją, manipulacji modelami ani uchybieniach w zakresie zarządzania — niniejszy obszar wypełnia tę lukę.

Aegis

Reguły OASF określają progi Aegis — sytuacje, w których policy , nietypowe wzorce lub incydenty związane z danymi uwierzytelniającymi powodują automatyczną eskalację.

Klasyfikacja incydentów związanych ze sztuczną inteligencjąOASF

Określa taksonomię incydentów związanych ze sztuczną inteligencją — wyciek danych, manipulacja modelami, obejście mechanizmów zarządzania, naruszenie bezpieczeństwa danych uwierzytelniających, ataki przeciwników oraz naruszenie zgodności z przepisami. Odpowiada wymogom dotyczącym 72-godzinnego powiadomienia wynikającym z RODO oraz wymogom NIS2 .

RODO, art. 33NIS2 . 23Aegis Risk
Podręcznik reagowania na incydenty związane ze sztuczną inteligencjąOASF

Ustalone procedury reagowania dla każdej kategorii zdarzeń związanych z AI — działania ograniczające rozprzestrzenianie się, wymagania dotyczące dochodzenia, obowiązki w zakresie powiadamiania oraz ścieżki eskalacji do wyższych szczebli zarządzania.

NIST NIS2 . 21
Przegląd zarządzania po zdarzeniuOASF

Obowiązkowy proces przeglądu po zdarzeniu w przypadku incydentów związanych z bezpieczeństwem sztucznej inteligencji — analiza przyczyn źródłowych, identyfikacja luk w środkach kontroli, wymagania dotyczące aktualizacji OASF oraz dokumentacja dotycząca powiadomień regulacyjnych.

ISO 42001, pkt 10Ustawa UE o sztucznej inteligencji, art. 17
Ujednolicenie przepisów

OASF językiem organu regulacyjnego.

Każdy OASF jest powiązany z ramami regulacyjnymi, przed którymi Twoja organizacja już odpowiada. OASF nie OASF nowym językiem, którego trzeba się nauczyć — to praktyczne wdrożenie standardów, które już znasz.

Ustawa UE o sztucznej inteligencji

Art. 9 System Risk
Art. 10 Zarządzanie danymi
Art. 12 Prowadzenie dokumentacji
Art. 13 Przejrzystość
Art. 14 Nadzór sprawowany przez ludzi
Art. 17 Zarządzanie jakością

Ramy zarządzania ryzykiem w zakresie NIST RMF) opracowane przez NIST

GOVERN — Polityka i odpowiedzialność
MAP — Risk i kontekst
MIARA — Risk i monitorowanie
ZARZĄDZANIE — Risk i monitorowanie

NIS2

Art. 21 Środki bezpieczeństwa
Art. 23 Zgłaszanie zdarzeń
Bezpieczeństwo łańcucha dostaw
Wymagania dotyczące kontroli dostępu

ISO 42001

Punkt 6 — Planowanie
Punkt 8 — Działanie
Punkt 9 — Ocena wyników pracy
Załącznik A — Mechanizmy kontroli sztucznej inteligencji

Czy są Państwo gotowi do wdrożenia zasad zarządzania sztuczną inteligencją?

OASF architekturę zarządzania, którą Aegis w czasie wykonywania — zazwyczaj jest ona ustalana w ramach OASAT , która pozwala zidentyfikować luki w zarządzaniu oraz mechanizmy kontroli niezbędne w danej organizacji.

Poproś o OASF Zobacz prezentację narzędzia do oceny