Аудит безопасности ИИ-систем – это проверка, можно ли атаковать ИИ, LLM-приложения и ИИ-агентов, которые у вас уже работают.

Обойти ограничения, вытащить чужие данные, заставить модель выполнить команду злоумышленника – ищем эти дыры до атакующего. Это оценка защищённости в задачах информационной безопасности, а не консалтинг по внедрению ИИ.

Лицензия ФСТЭК России на ТЗКИ
OWASP LLM Top-10 · MITRE ATLAS · БДУ ФСТЭК
На выходе – модель угроз ИИ и отчёт с уязвимостями

Аудит безопасности ИИ-систем – это не «аудит ИИ»

Это оценка защищённости моделей, LLM-приложений и ИИ-агентов от атак (prompt injection, утечек данных, компрометации доступов) методами имитации реальных атак.

Мы не отвечаем на вопрос «где внедрить ИИ в процессы» – мы ищем уязвимости в ИИ, который у вас уже работает. Разница в интенте решает: под «аудитом ИИ» на рынке чаще понимают бизнес-консалтинг по цифровизации. Наша задача – безопасность, а не эффективность внедрения.

Аудит ИИ (внедрение)Аудит безопасности ИИ (Кредо-С)
ЦельНайти, где применить ИИ в процессахНайти уязвимости в уже работающем ИИ
Кто заказываетБизнес, ИТ, цифровизацияИБ, CISO, служба безопасности
Что проверяютЭффективность, окупаемость, процессыАтаки, утечки данных, доступы, модель угроз
Что на выходеСтратегия внедрения ИИМодель угроз ИИ и отчёт с уязвимостями

Зачем проверять безопасность ИИ-систем

Компании подключают LLM к почте, базам знаний и внутренним системам быстрее, чем успевают их защитить.

В наших проверках корпоративных чат-ботов и LLM-приложений prompt injection воспроизводится в большинстве случаев, а утечки конфиденциальных данных через нейросети становятся всё более частой проблемой. Каждое новое ИИ-приложение открывает атакующему новую дверь. Что мы проверяем в первую очередь:

  • Prompt injection – во входные данные или внешний источник (сайт, документ, письмо) прячут скрытую инструкцию, и модель выполняет её вместо команды пользователя. Инъекции бывают прямые и непрямые – механику разбираем в базе знаний.
  • Утечка конфиденциальных данных и ПДн через LLM/RAG – модель или подключённая база знаний выдаёт данные, к которым у пользователя нет доступа.
  • Компрометация доступов и инструментов ИИ-агентов – агент с function calling выполняет опасное действие от имени компании из-за подменённого ввода.
  • Отравление данных обучения (data poisoning) – в обучающую выборку или базу знаний внедряют вредоносные данные и искажают поведение модели.
  • Джейлбрейк модели – обход встроенных ограничений ради запрещённого или вредоносного ответа.
  • Галлюцинации в критичных ответах – модель уверенно выдаёт ложь там, где цена ошибки высока.

Что мы проверяем

Проверка защищённости ИИ охватывает всю ИИ-обвязку компании, а не только «саму нейросеть».

  • LLM-приложения и корпоративные чат-боты – публичные и внутренние ассистенты, боты поддержки, помощники сотрудников.
  • RAG-системы и подключённые базы знаний – проверяем, не выдаёт ли поиск по документам данные в обход прав доступа.
  • ИИ-агенты, их доступы и инструменты – tools и function calling, права на действия во внешних системах, изоляция.
  • ML-модели и пайплайны обучения – риски отравления данных, кражи и подмены модели.
  • Интеграции ИИ с корпоративными системами и API – каналы, по которым модель получает и отдаёт данные.
  • ИИ-шлюзы и фильтры – насколько эффективно они перехватывают инъекции и утечки.

Проверку отдельного LLM-приложения часто называют пентестом ИИ-систем или пентестом нейросети – это прикладной срез оценки защищённости.

Методология аудита

Работаем по международным и отраслевым методикам, а результаты сопоставляем с российской регуляторикой.

Модель угроз для ГИС, КИИ и ИСПДн строим на основе «Методики оценки угроз безопасности информации» ФСТЭК России (2021) с использованием БДУ ФСТЭК. OWASP LLM Top-10 и MITRE ATLAS применяем как отраслевое дополнение по ИИ-специфике – так модель угроз ИИ выходит полной и применимой к требованиям ФСТЭК.

МетодикаЧто проверяет
OWASP LLM Top-10Типовые уязвимости LLM-приложений: инъекции промпта, утечки, небезопасные плагины и агенты
MITRE ATLASТактики и техники реальных атак на ML- и ИИ-системы
NIST AI RMFУправление рисками ИИ на всём жизненном цикле
DASFБезопасность данных и пайплайнов ИИ
БДУ ФСТЭКСопоставление модели угроз с релевантными угрозами национальной базы данных угроз РФ
Что такое red teaming LLM. Аудитор играет реального злоумышленника: пробует prompt injection и джейлбрейк, тянет чужие данные из RAG, эскалирует доступы ИИ-агента. Техники red teaming мы применяем внутри аудита; для непрерывной автоматизированной проверки подключаем партнёрские решения (например, HiveTrace Red) – об этом в блоке о постоянной защите.

Как проходит аудит: этапы

Инвентаризация ИИ-активов

Собираем архитектуру: какие модели, приложения, агенты и интеграции работают и с какими данными.

Моделирование угроз ИИ

Строим модель угроз по «Методике оценки угроз безопасности информации» ФСТЭК (2021) с использованием БДУ ФСТЭК; ИИ-специфику дополняем MITRE ATLAS под конкретную систему.

Проверка защищённости

Автоматизированное и ручное тестирование: prompt injection, джейлбрейк, доступы агентов, тесты RAG.

Оценка и приоритизация рисков

Ранжируем найденное по критичности и вероятности эксплуатации.

Отчёт с моделью угроз и рекомендациями

С описанием уязвимостей и планом устранения.

Повторная проверка (retest)

Подтверждаем, что уязвимости закрыты после доработок.

Типовой срок – 2–6 недель в зависимости от числа систем и глубины проверки. Точную цифру фиксируем после инвентаризации.

Форматы услуги и стоимость

Стоимость зависит от объёма ИИ-контура и глубины проверки. Ниже – ориентиры «от».

ФорматЧто входитОриентировочно, от
Аудит защищённости LLM-приложенияОдно приложение или чат-бот: тесты на prompt injection и джейлбрейк, проверка RAG и доступов, краткий отчёт400 000 ₽
Оценка защищённости ИИ-системыКомплекс: модель угроз, ИИ-агенты и интеграции, приоритизация рисков, полный отчёт600 000 ₽
LLMSecOps – безопасность в разработке ИИВстраивание проверок в жизненный цикл: требования, ревью, тесты, шлюз и фильтры800 000 ₽
Оценка рисков ИИ и фреймворк управленияРеестр рисков ИИ, политики, соответствие ФСТЭК и 152-ФЗ, дорожная карта1 000 000 ₽

От чего зависит цена: число моделей и приложений, наличие ИИ-агентов, глубина проверки (авто или ручная), требования регулятора (ГИС, КИИ, финсектор) и нужен ли повторный аудит.

Пришлите короткое описание ИИ-контура – посчитаем смету за 1 день.

Рассчитать стоимость аудита

Регуляторные требования к безопасности ИИ

Требования к ИИ в защищённых системах уже действуют, а ближайшие нормы подстёгивают спрос на аудит.

  • Приказ ФСТЭК России №117 (в силе с 01.03.2026) – новые требования к защите информации в государственных информационных системах (преемник приказа №17), включающие раздел о применении технологий ИИ: контроль корректности ответов ИИ, ограничение недоверенных ИИ-технологий, запрет передавать разработчикам ИИ информацию ограниченного доступа.
  • Методический документ ФСТЭК России от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах», §3.18 (рекомендательный, методический характер) – предлагает состав мер по защите информации при использовании ИИ на всём жизненном цикле, применимых в том числе к ИСПДн, АСУТП и ЗОКИИ.
  • Закон об ИИ (по состоянию на 09.07.2026) – рассматривается Государственной Думой (законопроект № 1271570-8), в силу не вступил. Обсуждаются суверенные и национальные модели ИИ, маркировка ИИ-контента и права на обучение моделей; отдельные положения предполагаются как плановые сроки – с 01.09.2026 и 01.03.2027.
  • Защита ПДн при обработке средствами ИИ – статья 19 152-ФЗ «Меры по обеспечению безопасности персональных данных при их обработке» (плюс статья 6 – условия обработки, статья 7 – конфиденциальность). Основание проверять, как ИИ работает с ПДн и не сливает ли их.
  • Методические рекомендации Банка России от 16.06.2026 по обеспечению информационной безопасности при разработке и применении искусственного интеллекта на финансовом рынке.
ДатаЧто вступает / происходит
01.03.2026Приказ ФСТЭК №117 – требования к защите информации в ГИС, включая применение ИИ
12.04.2026Методдокумент ФСТЭК (рекомендательный), §3.18 – меры при использовании ИИ
2026Закон об ИИ – рассматривается Госдумой (№ 1271570-8)
01.09.2026Отдельные положения закона об ИИ (плановый срок)
01.03.2027Отдельные положения закона об ИИ (плановый срок)

Детальный разбор требований приказа №117 – на профильном ресурсе 117fstec.credos.ru.

Что вы получаете по итогам аудита

  • Карту ИИ-активов – модели, приложения, агенты, интеграции и потоки данных.
  • Модель угроз ИИ под вашу систему.
  • Перечень уязвимостей с оценкой критичности (CVSS – где применимо; для ИИ-специфичных рисков – качественная приоритизация по OWASP LLM Top-10), описанием и PoC-подтверждением.
  • Приоритизированные рекомендации по устранению и дорожную карту.
  • Оценку выполнения требований ФСТЭК и 152-ФЗ в части ИИ.
  • Опционально – повторную проверку (retest) после доработок.

Постоянная защита и мониторинг ИИ

Аудит – это срез на дату. ИИ-приложения меняются каждый релиз, поэтому после аудита предлагаем сопровождение:

  • Внедрение ИИ-шлюза и мониторинга LLM-приложений на решениях российских вендоров – HiveTrace для мониторинга и защиты LLM, Jay Guard как шлюз защиты ПДн при передаче в LLM.
  • Регулярный повторный аудит и автоматизированный red teaming по мере изменений.
  • Помощь в реагировании на инциденты с ИИ.

Мониторинг ИБ-инфраструктуры (SOC) в целом – отдельное направление на soc.credos.ru.

Почему Кредо-С

Лицензия ФСТЭК России на ТЗКИ

Основание выполнять контроль защищённости конфиденциальной информации от несанкционированного доступа; проверку защищённости ИИ-систем в ГИС и на объектах КИИ проводим в части этого лицензируемого вида работ.

Многолетний опыт аудитов ИБ

Пентесты, проекты по 152-ФЗ и категорированию КИИ – сотни выполненных проектов по защите информации.

Экспертиза в требованиях ФСТЭК

Включая приказ №117 – под него мы ведём отдельный ресурс 117fstec.credos.ru.

Команда с практикой

Проверка защищённости приложений и имитация атак – ежедневная работа наших специалистов.

ФСТЭК
Лицензия ФСТЭК России на ТЗКИ20+ лет на рынке ИБ · точные метрики опыта уточним в коммерческом предложении

Примеры проектов

Кейсы обезличены – клиентов не раскрываем по условиям NDA.

Корпоративный чат-бот

Задача: проверить публичного ассистента поддержки. Нашли prompt injection через пользовательский ввод и утечку внутренних документов через RAG в обход прав доступа. Результат: закрыли инъекции фильтрацией и изоляцией контекста, разграничили доступ к базе знаний.

ИИ-агент с избыточными доступами

Задача: оценить агента с function calling во внутренних системах. Нашли: агент мог выполнять действия за пределами своей роли при подменённом вводе. Результат: сузили права, добавили подтверждение критичных операций и логирование.

LLM в финсекторе

Задача: оценка рисков ИИ перед выводом в прод. Нашли риск передачи ПДн в облачную модель без обезличивания. Результат: внедрён ИИ-шлюз, выстроен контроль данных на входе в модель.

Чек-лист самооценки защищённости ИИ-системы

25 контролей по OWASP LLM Top-10 и MITRE ATLAS плюс мини-шаблон модели угроз ИИ по БДУ ФСТЭК. Проверьте свою ИИ-систему за 15 минут и поймите, где дыры.

Получить чек-лист

Оставьте заявку – пришлём чек-лист и проведём бесплатную экспресс-оценку вашего ИИ-контура.

Смежные услуги

Читайте также: Регламент использования ИИ в компании

Заказать аудит защищённости ИИ-системы

Начните с бесплатной экспресс-оценки защищённости ИИ-системы или консультации эксперта – без давления, с конкретикой по вашему контуру.

Заказать аудит

В заявке достаточно имени, компании, контакта и типа ИИ-системы (LLM / агент / ML-модель). Отправляя форму, вы даёте согласие на обработку персональных данных.

Проверку отдельного LLM-приложения час

Часто задаваемые вопросы

Чем аудит безопасности ИИ-систем отличается от «аудита ИИ»?
«Аудит ИИ» в маркетинге обычно означает бизнес-консалтинг: где и как внедрить ИИ в процессы. Аудит безопасности ИИ-систем – это задача информационной безопасности: мы проверяем, можно ли атаковать уже работающие ИИ-системы и LLM, заставить их выдать чужие данные или выполнить вредоносную команду. Первое отвечает на вопрос «где применить ИИ», второе – «насколько ваш ИИ защищён».
Что входит в проверку защищённости ИИ?
Инвентаризация ИИ-активов, моделирование угроз, тесты на prompt injection и джейлбрейк, проверка RAG и подключённых баз знаний, анализ доступов и инструментов ИИ-агентов, оценка и приоритизация рисков. На выходе – модель угроз ИИ и отчёт с уязвимостями, их критичностью (CVSS там, где применимо; для ИИ-специфичных рисков – качественная приоритизация по OWASP LLM Top-10) и приоритизированными рекомендациями по устранению.
Что такое red teaming LLM и prompt injection?
Red teaming LLM – это имитация действий реального злоумышленника против языковой модели: попытки обойти ограничения, украсть данные или перехватить действия ИИ-агента. Prompt injection – это атака, при которой во входные данные или внешний источник (сайт, документ, письмо) внедряют скрытую инструкцию, и модель выполняет её вместо команды пользователя. Обе техники – основа проверки защищённости LLM-приложений.
Сколько стоит оценка защищённости ИИ?
Ориентиры: аудит защищённости одного LLM-приложения – от 400 000 ₽, комплексная оценка защищённости ИИ-системы – от 600 000 ₽, LLMSecOps – от 800 000 ₽, оценка рисков ИИ и фреймворк управления – от 1 000 000 ₽. Итоговая цена зависит от числа моделей и приложений, наличия ИИ-агентов, глубины проверки и требований регулятора. Точную смету считаем после короткого брифа.
Обязателен ли аудит ИИ по требованиям ФСТЭК?
Для государственных информационных систем действует приказ ФСТЭК №117 (в силе с 01.03.2026) – требования к защите информации, включающие раздел о применении ИИ: контроль корректности ответов ИИ, ограничение недоверенных технологий, запрет передавать разработчикам ИИ информацию ограниченного доступа. Методический документ ФСТЭК России от 12.04.2026 «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах», §3.18 носит рекомендательный (методический) характер и предлагает состав мер по защите информации при использовании ИИ, применимых в том числе к ИСПДн, АСУТП и ЗОКИИ. Для остальных организаций проверка защищённости ИИ пока рекомендация. Закон об ИИ (по состоянию на 09.07.2026) рассматривается Госдумой (законопроект № 1271570-8) и в силу не вступил.
Можно ли проверить ИИ-агентов и их доступы?
Да. Мы анализируем инструменты и function calling агента, проверяем возможность эскалации привилегий, изоляцию, права доступа к системам и данным, а также цепочки действий, которые агент выполняет автономно. Цель – убедиться, что подмена входных данных или инъекция промпта не приведёт к опасным действиям от имени агента.

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва