OASF nie OASF len ďalším rámcovým dokumentom. Ide o štruktúrovanú architektúru riadenia založenú na doménach, ktorá definuje hranice kontroly, ktoré vaša organizácia potrebuje – a určuje, čo Aegis počas behu. Je priamo v súlade so AI EÚ AI aRMF NIST AI RMF.
Každá oblasť sa zameriava na konkrétny aspekt riadenia – od spôsobu klasifikácie a spracovania AI cez schvaľovanie a monitorovanie modelov až po detekciu incidentov a reakciu na ne. Kliknutím na ľubovoľnú oblasť si môžete prezrieť príslušné kontrolné mechanizmy.
Určuje, ako sa údaje klasifikujú, spracúvajú, chránia a kontrolujú v priebehu interakcií s umelou inteligenciou. Stanovuje pravidlá minimalizácie údajov, obmedzenia účelu a ochrany, ktoré Aegis Guard počas behu systému — čím sa zabezpečuje, že citlivé údaje sa nikdy nedostanú do neschválených modelov umelej inteligencie.
Aegis
Ovládacie prvky OASF riadiaGuard pravidlá systému Aegis Guard – určujú, ktoré klasifikácie údajov spúšťajú routing behu programu začierňovanie, blokovanie alebo routing na vyššiu úroveň.
Definuje úrovne citlivosti údajov pre AI — od verejných po obmedzené. Určuje, ktoré kategórie údajov môžu spracovávať jednotlivé typy AI .
Pravidlá upravujúce používanie osobných údajov v AI , trénovaní a výstupoch AI . Zabezpečujú dodržiavanie zásad minimalizácie údajov a obmedzenia účelu podľa GDPR v rámci AI s AI .
Zakazuje spracúvanie údajov osobitných kategórií podľa článku 9 GDPR (údaje o zdraví, biometrické údaje, údaje o etnickom pôvode) prostredníctvom neschválených AI . Stanovuje schválené výnimky a kontrolné mechanizmy.
Predpisy upravujúce prenos údajov poskytovateľom umelej inteligencie mimo EÚ/EHP. Vymedzujú schválené mechanizmy prenosu a routing pre jednotlivé kategórie citlivých údajov.
Určuje, ako sa modely umelej inteligencie hodnotia, schvaľujú, katalogizujú, monitorujú a vyraďujú z prevádzky. Zavádza register schválených modelov, ktorý Aegis Routing na výber modelov a riadenie prístupu k nim – čím sa zabezpečuje, že zamestnanci pracujú výlučne s overenými a schválenými modelmi umelej inteligencie.
Aegis
Kontrolné mechanizmy OASF napĺňajúRouting Aegis – určujú, ktoré modely sú schválené pre ktoré klasifikácie údajov a obchodné kontexty.
Stanovuje proces posudzovania a schvaľovania AI pred ich nasadením v podniku. Zahŕňa bezpečnostnú kontrolu, posúdenie zaujatosti, hodnotenie vysvetliteľnosti a kontrolu súladu s právnymi predpismi.
Vedie autoritatívny register schválených AI , poskytovateľov a povolených prípadov použitia. Definuje pravidlá priraďovania modelov k klasifikácii údajov a obmedzenia prístupu.
Neustále monitorovanie nasadených AI z hľadiska odchýlok, zaujatosti, zhoršenia výkonu a nepriaznivých manipulácií. Stanovuje prahové hodnoty pre eskaláciu a postupy reakcie.
Kontrolné mechanizmy na identifikáciu a riadenie používania neschválených nástrojov umelej inteligencie v rámci celého podniku. Definuje metódy zisťovania, risk a postupy nápravy v súvislosti s „tieňovou“ umelou inteligenciou.
Určuje, ako sa overuje identita, ako sa povoľuje prístup a ako sa vynucujú roly pri interakciách s umelou inteligenciou. Každá interakcia s umelou inteligenciou musí byť viazaná na identitu – čím sa zabezpečí, že na základe audit bude možné zistiť, kto, k čomu, kedy a prečo mal prístup.
Aegis
OASF riadi viazanieGateway v Aegis Gateway — integráciu SSO, vynucovanie MFA a prístup k schváleným modelom umelej inteligencie na základe rolí.
Vyžaduje, aby všetky AI boli viazané na overenú podnikovú identitu. Zakazuje anonymný AI alebo prístup prostredníctvom zdieľaného účtu. Zabezpečuje integráciu jednotného prihlásenia (SSO) s podnikovým systémom správy identít a prístupov (IAM).
Definuje riadenie prístupu na základe rolí pre využívanie AI . Obchodné roly určujú, ktoré modely, klasifikácie údajov a AI sú dostupné — toto riadenie sa uplatňuje na úrovni správy.
Vylepšené kontrolné mechanizmy pre privilegovaný prístup k systémom umelej inteligencie — správcovia modelov, pracovníci zodpovední za riadenie a audit . Definuje schvaľovacie postupy a postupy prístupu „just-in-time“.
Definuje technické bezpečnostné opatrenia, ktoré chránia AI pred útokami typu „adversarial“, manipuláciou a zneužitím. Zahŕňa ochranu proti vkladaniu podnetov, odolnosť voči útokom typu „adversarial“ a modelovanie hrozieb AI – teda bezpečnostné opatrenia, na ktoré neboli nástroje SIEM a tradičné riešenia DLP navrhnuté.
Aegis
OASF riadiGuard kontrolu systému Aegis Guard — odhaľuje útoky typu „injection“, pokusy o únik z obmedzení a policy ešte predtým, ako sa dostanú k modelu.
Opatrenia na detekciu a blokovanie útokov typu „prompt injection“ — pokusov o obídenie Riadenie AI prostredníctvom škodlivých inštrukcií zakomponovaných do výziev alebo vstupných údajov.
Kontrolné mechanizmy na monitorovanie a detekciu škodlivých vstupov, ktorých cieľom je manipulovať s výstupmi modelu, získať trénovacie dáta alebo spôsobiť nesprávne správanie modelu v produkčnom prostredí.
Štruktúrované modelovanie hrozieb pre AI — identifikácia útočných plôch, aktérov hrozieb a vektorov útokov špecifických pre AI v regulovaných podnikových prostrediach.
Bezpečnostné opatrenia pre dodávateľské reťazce modelov umelej inteligencie — overovanie poskytovateľov modelov, overovanie integrity modelov a riadenie risk spojených s komponentmi umelej inteligencie od tretích strán.
Stanovuje požiadavky na protokolovanie, vykazovanie a vytváranie dôkazov, vďaka ktorým je Riadenie AI voči regulačným orgánom, správnym radám a audítorom. Každá interakcia s umelou inteligenciou musí byť rekonštruovateľná – kto, aké údaje, ktorý model, aká policy , aký bol výsledok.
Aegis
Kontrolné mechanizmy OASF definujú schémuAudit Aegis – každé pole, každú klasifikáciu, každé policy , ktoré sa musí zaznamenať a uchovať.
Povinné požiadavky na zaznamenávanie všetkých interakcií s umelou inteligenciou – časová pečiatka, identita používateľa, zistené klasifikácie údajov, uplatnené zásady, použitý model a policy . Je vyžadovaná integrita záznamov s ochranou proti neoprávnenému zásahu.
Určuje periodicitu podávania správ o riadení, formáty správ a ukazovatele potrebné na podávanie správ predstavenstvu, vedeniu a regulačným orgánom. Zahŕňa risk umelej inteligencie, mieru policy a prehľad incidentov.
Nástroje na vytváranie, správu a generovanie podkladov pre regulačné účely — záznamy o spracovaní údajov podľa GDPR, dokumentácia o súlade so zákonom EÚ o umelej inteligencii, podklady NIS2 opatreniach NIS2 a exporty audit .
Určuje, ako sa bezpečnostné incidenty AI detekujú, klasifikujú, izolujú, vyšetrujú a hlásia. Tradičné postupy reakcie na incidenty neboli navrhnuté pre AI , manipulácie s modelmi ani zlyhania v oblasti riadenia – táto oblasť túto medzeru vyplňuje.
Aegis
Kontrolné mechanizmy OASF definujú prahové hodnoty Aegis – kedy policy , nezvyčajné vzory alebo incidenty súvisiace s prihlasovacími údajmi spúšťajú automatickú eskaláciu.
Definuje taxonómiu incidentov špecifických pre umelú inteligenciu – únik údajov, manipulácia s modelmi, obídenie riadenia, kompromitácia prihlasovacích údajov, útoky nepriateľského charakteru a porušenie súladu s predpismi. Odpovedá požiadavkám GDPR na 72-hodinové oznámenie a požiadavkám NIS2 .
Štruktúrované postupy reakcie pre každú kategóriu AI – kroky na obmedzenie šírenia, požiadavky na vyšetrovanie, oznamovacie povinnosti a postupy eskalácie v rámci riadenia.
Povinný proces vyhodnotenia po incidente v prípade Bezpečnosť AI — analýza základných príčin, identifikácia medzier v kontrolných mechanizmoch, požiadavky na aktualizáciu OASF a dokumentácia týkajúca sa oznamovania regulačným orgánom.
Každá OASF je priradené k regulačným rámcom, voči ktorým vaša organizácia už nesie zodpovednosť. OASF nie OASF nový jazyk, ktorý by ste sa museli naučiť – ide o praktické uplatňovanie noriem, ktoré už poznáte.
Väčšina rámcov riadenia vytvára dokumenty. OASF prevádzkové kontrolné mechanizmy. Každá doména, každý kontrolný mechanizmus a každé policy v rámci sa v Aegis stáva pravidlom vynútiteľným počas behu Aegis vďaka čomu je riadenie merateľné, auditovateľné a preukázateľné.
Identifikuje risk nedostatky v riadení — stanovuje, čo OASF riešiť
Definuje architektúru riadenia — stáva sa modulom policy pre Aegis
Zabezpečuje uplatňovanie OASF počas behu programu — generuje audit , ktoré slúžia na účely riadenia
OASF architektúru riadenia, ktorú Aegis počas behu systému — tá sa zvyčajne stanovuje prostredníctvom OASAT , ktoré identifikuje medzery vo vašom riadení a kontrolné mechanizmy, ktoré vaša organizácia potrebuje.