¶ База знаний по информационной безопасности
Данный подкаст сгенерирован в VisGPT
при помощи Yandex SpeechKit
при помощи Yandex SpeechKit
¶ Введение
В эпоху цифровых технологий и развития искусственного интеллекта защита информации становится критически важным аспектом для любого бизнеса. Наша платформа предоставляет передовые ИИ-решения, обеспечивая при этом максимальный уровень безопасности данных в соответствии с российским законодательством.
¶ 1. Раздел для пользователей
¶ 1.1 Защита ваших данных - наш приоритет
¶ Преимущества нашей системы безопасности:
- Российская юрисдикция: Все данные хранятся исключительно на серверах в России
- Надежная инфраструктура: Использование проверенных облачных технологий Яндекс
- Многоуровневая защита: Двухфакторная аутентификация для максимальной безопасности
- Прозрачность процессов: Четкое понимание того, как обрабатываются ваши данные
- Соответствие законодательству: Полное соблюдение требований российского законодательства
¶ 1.2 Регистрация и авторизация
¶ Простой и безопасный процесс входа в систему
| Этап | Требуемые данные | Уровень защиты |
|---|---|---|
| Регистрация | Email, телефон, ФИО | Базовая проверка |
| Авторизация | Email/телефон + пароль | Стандартная защита |
| Подтверждение | Код из email | Двухфакторная защита |
¶ Что это дает вам:
- Быстрый доступ: Простая процедура входа в систему
- Высокая защита: Невозможность несанкционированного доступа третьих лиц
- Контроль доступа: Мгновенные уведомления о попытках входа в аккаунт
¶ 1.3 Какие данные мы храним и зачем
¶ Персональные данные
| Тип данных | Назначение | Срок хранения |
|---|---|---|
| ФИО | Персонализация сервиса | 3 года |
| Связь и уведомления | 3 года | |
| Телефон | Дополнительная аутентификация | 3 года |
¶ Пользовательские данные
- История чатов: Для улучшения качества ответов ИИ
- Запросы к ИИ: Для персонализации рекомендаций
- Ответы от ИИ: Для анализа эффективности моделей
- Настройки: Для сохранения ваших предпочтений
- Статистика использования: Для оптимизации работы сервиса
¶ 1.4 Ваши права и гарантии
¶ Мы гарантируем вам:
- Право на доступ: Возможность получить информацию о своих данных
- Право на изменение: Обновление персональных данных в любое время
- Право на удаление: Полное удаление аккаунта и данных по запросу
- Право на портативность: Экспорт ваших данных в удобном формате
- Право на возражение: Запрет на обработку данных для определенных целей
¶ 1.5 Как мы защищаем ваши данные
¶ Технические меры защиты:
- Шифрование: Все данные шифруются при передаче и хранении
- Ограниченный доступ: Доступ к данным только у уполномоченных сотрудников
- Регулярное резервное копирование: Защита от потери данных
- Мониторинг: Постоянный контроль безопасности системы
- Обновления: Своевременная установка патчей безопасности
¶ 1.6 Работа с искусственным интеллектом
¶ Безопасность при использовании ИИ-моделей
При обращении к нейросетям передается только:
- Идентификатор запроса (ID)
- Содержание вашего вопроса (история текущего чата включается в запрос для поддержания контекста)
Не передается:
- Персональные данные
- Информация о вашем аккаунте
Доступные модели включают российские решения:
- YandexGPT для текстовых задач
- YandexART для создания изображений
- GigaChat (Сбер) для диалогов
- Kandinsky (Сбер) для визуального контента
- Yandex SpeechKit для работы с речью
¶ 2. Раздел для компаний и специалистов по ИБ
¶ 2.1 Архитектура безопасности (схема)
.png)
¶ Общие принципы защиты информации
| Уровень | Технология | Описание |
|---|---|---|
| Сеть | DDoS-защита | Защита от атак на доступность |
| Приложение | WAF | Фильтрация веб-атак |
| Данные | AES-256 | Шифрование информации |
| Доступ | OAuth 2.0 + 2FA | Контроль аутентификации |
| Мониторинг | SIEM | Анализ событий безопасности |
¶ 2.11.1 Дополнительные возможности обеспечения безопасности для корпоративных клиентов
¶ Расширенная анонимизация персональных данных при интеграции с Битрикс24
Для организаций, использующих модуль интеграции с Битрикс24, предусмотрена возможность максимального уровня анонимизации персональных данных:
Принцип работы расширенной анонимизации:
- При создании учетных записей сотрудников персональные данные (email, телефон, ФИО) остаются в периметре Битрикс24
- В систему VisGPT передается только уникальный сгенерированный ID сотрудника
- Авторизация и идентификация происходит исключительно через этот анонимный идентификатор
Ограничения при использовании максимальной анонимизации:
| Доступная функциональность | Ограничения |
|---|---|
| Работа через модуль Битрикс24 | ✅ Полный доступ ко всем функциям VisGPT |
| Прямой доступ через https://gpt.vis.center | ❌ Невозможен (нет персональных данных для авторизации, необходим email/телефон) |
| Восстановление доступа | Только через администратора Битрикс24 |
| Персонализация сервиса | Ограничена (отсутствуют имя, email для уведомлений) |
Преимущества максимальной анонимизации:
- Минимизация риска утечки персональных данных сотрудников
- Соответствие самым строгим требованиям по защите ПДн
- Централизованное управление доступом через Битрикс24
- Невозможность деанонимизации данных сотрудников в системе VisGPT
¶ Корпоративные дисклеймеры и политики безопасности
Для обеспечения соответствия внутренним политикам безопасности организации предусмотрена возможность настройки индивидуальных дисклеймеров:
Функциональность корпоративных дисклеймеров:
| Возможность | Описание | Применение |
|---|---|---|
| Настраиваемый текст | Уникальное соглашение для каждой компании | Соответствие внутренним политикам |
| Обязательное принятие | Блокировка доступа до принятия условий | Обеспечение осведомленности сотрудников |
| Контроль выполнения | Отслеживание факта принятия каждым сотрудником | Административный контроль |
| Автоматическое разлогирование | Немедленный выход при отказе от условий | Принудительное соблюдение политик |
Примеры использования корпоративных дисклеймеров:
- Напоминание о политике конфиденциальности компании
- Предупреждение о запрете передачи коммерческой тайны
- Уведомление об ответственности за содержание запросов
- Инструкции по работе с чувствительными данными
- Требования по классификации информации
Технические характеристики:
- Настройка через административную панель компании
- Поддержка HTML-форматирования для текста дисклеймера
- Логирование факта и времени принятия каждым сотрудником
- Возможность обновления условий с повторным принятием
- Интеграция с системой уведомлений администраторов
Данные возможности позволяют компаниям обеспечить максимальный уровень контроля над использованием ИИ-технологий сотрудниками при соблюдении всех внутренних регламентов и политик информационной безопасности.
¶ 2.2 Соответствие требованиям законодательства
¶ Нормативно-правовая база
- 152-ФЗ "О персональных данных": Полное соблюдение требований к обработке ПДн
- 149-ФЗ "Об информации": Соответствие требованиям к информационным системам
- 126-ФЗ "О связи": Хранение данных в течение 3 лет (подпункт 6 пункта 9 статьи 56.2)
- ГОСТ Р 57580.1-2017: Соответствие требованиям по обеспечению безопасности ПДн
- Требования ФСТЭК: Выполнение базовых требований по защите информации
¶ 2.3 Технические характеристики системы
¶ Инфраструктура хранения данных
Размещение: Серверы Яндекс.Облако (Российская Федерация)
Преимущества локализации:
- Соблюдение требований о локализации данных
- Высокая скорость доступа для российских пользователей
- Подчинение российскому законодательству
- Защита от международных санкций
- Государственный контроль над критической инфраструктурой
¶ 2.4 Классификация обрабатываемых данных
¶ Корпоративная информация
| Категория | Тип данных | Класс защиты |
|---|---|---|
| Реквизиты | ИНН, ОГРН, КПП | Общедоступные |
| Контакты | Email, телефон | Ограниченного доступа |
| Банковские | Р/с, К/с, БИК | Конфиденциальные |
| Руководство | ФИО, должность | Ограниченного доступа |
| Адреса | Юридический, почтовый | Общедоступные |
¶ 2.5 Модель угроз и риск-анализ
¶ Основные категории угроз
- Внешние атаки: DDoS, попытки взлома, фишинг
- Внутренние угрозы: Нарушения сотрудниками, ошибки персонала
- Технические сбои: Отказы оборудования, ошибки ПО
- Социальная инженерия: Обман пользователей, кража учетных данных
- Утечки данных: Несанкционированный доступ, копирование информации
¶ Матрица рисков
| Угроза | Вероятность | Воздействие | Риск | Меры защиты |
|---|---|---|---|---|
| DDoS-атака | Низкая | Среднее | Низкий | Анти-DDoS + фильтрация аномального трафика |
| Взлом аккаунта | Низкая | Среднее | Низкий | 2FA + мониторинг + уведомления |
| Сбой системы | Низкая | Низкое | Низкий | Kubernetes + автовосстановление |
| Фишинг | Средняя | Очень низкое | Низкий | База знаний + обучение пользователей |
| Утечка ПДн | Низкая | Низкое | Низкий | Комплексная многоуровневая защита |
¶ Детализация мер защиты от утечек ПДн
¶ Технические меры безопасности
Шифрование и защита данных:
- End-to-end шифрование всех передаваемых данных (AES-256)
- Микросегментация между сервисами с изоляцией сетевого трафика
- Контроль съемных носителей - блокировка USB/внешних устройств на рабочих местах
Мониторинг и обнаружение:
- Детальное логирование всех операций с персональными данными
- Алерты в реальном времени на подозрительные действия и аномалии
- Автоматическое обнаружение попыток несанкционированного доступа
¶ Организационные меры
Управление доступом:
- Принцип минимальных привилегий - каждый сотрудник имеет доступ только к необходимым данным
- Обязательная двухфакторная аутентификация для всех администраторов системы
- Периодический пересмотр прав доступа каждые 3 месяца с документированием изменений
Обучение и контроль персонала:
- Ежемесячные тренинги по работе с персональными данными и основам ИБ
- Подписание соглашений о неразглашении (NDA) всеми сотрудниками, имеющими доступ к ПДн
- Регулярная аттестация знаний сотрудников по вопросам защиты информации
¶ Оценка эффективности защиты
Снижение вероятности утечки до "Очень низкой" обеспечено:
- Техническими барьерами (шифрование + сегментация + контроль устройств)
- Организационными мерами (обучение + контроль доступа + NDA)
- Непрерывным мониторингом (логирование + алерты + пересмотр прав)
Снижение воздействия до "Низкого" достигается:
- Ограничением объема потенциально скомпрометированных данных благодаря сегментации
- Быстрым обнаружением и реагированием через систему алертов
- Минимизацией критичности утечки через принцип минимальных привилегий
¶ Остаточные риски
Даже с комплексной защитой остаются минимальные риски:
- Человеческий фактор (ошибки обученного персонала)
- Новые неизвестные уязвимости (0-day атаки)
- Форс-мажорные обстоятельства
¶ Дополнительные технические меры защиты
Kubernetes-кластер обеспечивает:
- Автоматическое масштабирование: Динамическое увеличение ресурсов при росте нагрузки
- Самовосстановление: Автоматический перезапуск отказавших компонентов
- Распределенная архитектура: Отсутствие единых точек отказа
- Балансировка нагрузки: Равномерное распределение запросов между серверами
- Мониторинг состояния: Непрерывный контроль работоспособности сервисов
Анти-DDoS система включает:
- Анализ трафика в реальном времени: Выявление аномальных паттернов
- Автоматическая фильтрация: Блокировка подозрительных запросов
- Геофильтрация: Ограничение доступа по географическим признакам
- Ограничение скорости запросов: Rate limiting для предотвращения перегрузок
- Whitelist доверенных IP: Приоритетный доступ для проверенных источников
База знаний по фишингу содержит:
- Примеры фишинговых писем: Обучение распознаванию угроз
- Признаки подозрительных ссылок: Практические советы по проверке
- Алгоритм действий: Пошаговые инструкции при подозрении на фишинг
- Контакты службы ИБ: Быстрое реагирование на инциденты
- Регулярные уведомления: Информирование о новых схемах атак
¶ 2.6 Интеграция с ИИ-моделями
¶ Архитектура взаимодействия с нейросетями
¶ Принципы минимизации данных
При взаимодействии с ИИ-моделями применяется принцип минимизации:
- Передача только ID запроса и его содержания
- Исключение персональных идентификаторов
- Отсутствие связи между запросом и пользователем на уровне ИИ
- Логирование только технической информации
- Автоматическое удаление временных данных
¶ 2.7 Российские ИИ-решения в составе платформы
¶ Приоритет отечественным технологиям
| Категория | Российские модели | Международные аналоги |
|---|---|---|
| Текстовые ИИ | YandexGPT, GigaChat | GPT-4, Claude |
| Изображения | YandexART, Kandinsky | DALL-E, Midjourney |
| Речь | Yandex SpeechKit, SaluteSpeech | Whisper |
Преимущества использования отечественных решений:
- Соответствие требованиям импортозамещения
- Поддержка русского языка на нативном уровне
- Контроль государства над критическими технологиями
¶ 2.8 Мониторинг и аудит безопасности
¶ Система непрерывного мониторинга
Контролируемые параметры:
- Попытки несанкционированного доступа
- Аномальная активность пользователей
- Производительность системы
- Целостность данных
- Соответствие политикам безопасности
¶ Регулярный аудит
| Тип аудита | Периодичность | Ответственный |
|---|---|---|
| Внутренний технический | Еженедельно | ИТ-департамент |
| Анализ логов | Ежедневно | Служба ИБ |
| Внешний аудит | Ежегодно | Независимая организация |
| Тестирование на проникновение | Раз в полгода | Специализированная компания |
| Аудит соответствия | Ежегодно | Юридический департамент |
¶ 2.9 Планы непрерывности бизнеса
¶ Обеспечение отказоустойчивости
Ключевые элементы:
- Географически распределенные дата-центры
- Автоматическое переключение между серверами
- Ежедневное резервное копирование
- План аварийного восстановления (RTO < 4 часа)
- Процедуры уведомления пользователей
¶ Процедуры реагирования на инциденты
| Критичность | Время реагирования | Команда ответа | Эскалация |
|---|---|---|---|
| Критическая | 15 минут | Дежурный администратор | Руководитель ИТ |
| Высокая | 1 час | Технический специалист | Менеджер проекта |
| Средняя | 4 часа | Техподдержка | Дежурный администратор |
| Низкая | 24 часа | Техподдержка | - |
¶ 2.10 Политики и процедуры
¶ Управление доступом
Принципы контроля доступа:
- Минимальные необходимые привилегии
- Разделение обязанностей
- Регулярный пересмотр прав доступа
- Журналирование всех операций
- Автоматическая блокировка неактивных аккаунтов
¶ Обучение персонала
Программа повышения осведомленности:
- Ежемесячные тренинги по ИБ
- Тестирование на знание политик безопасности
- Симуляция фишинговых атак
- Изучение новых угроз и технологий защиты
- Сертификация специалистов по ИБ
¶ 2.11 Соответствие международным стандартам
¶ Применяемые стандарты
| Стандарт | Область применения | Статус соответствия |
|---|---|---|
| ISO 27001 | Система менеджмента ИБ | В процессе сертификации |
| ISO 27017 | Безопасность облачных услуг | Соответствует |
| ГОСТ Р 57580 | Защита персональных данных | Полное соответствие |
| ФСТЭК России | Требования к защите информации | Базовый уровень |
¶ 2.12 Контактная информация по вопросам ИБ
¶ Ответственные лица
Служба информационной безопасности:
- Email: ai@vis.center
- Телефон: +7(495)177-37-13
- Время работы: 24/7
¶ Заключение
Наша платформа строится на принципах максимальной защиты данных пользователей и соответствия всем требованиям российского законодательства. Использование передовых технологий безопасности в сочетании с лучшими отечественными ИИ-решениями обеспечивает надежную и эффективную работу сервиса.
Мы постоянно совершенствуем наши системы защиты, следим за новыми угрозами и внедряем передовые методы обеспечения информационной безопасности. Ваши данные в надежных руках.