Сотрудники уже пользуются ChatGPT, GigaChat и DeepSeek – загружают в них договоры, клиентские базы, куски кода, внутренние отчёты. Регламент использования ИИ превращает этот бесконтрольный канал утечки в управляемый процесс.

Кредо-С разрабатывает такой регламент (он же положение об использовании ИИ или политика использования нейросетей) под ключ: какими сервисами можно пользоваться, что в них запрещено вводить, кто отвечает за нарушение. На выходе – готовый комплект организационно-распорядительной документации (ОРД) и обученные сотрудники.

Лицензия ФСТЭК России на ТЗКИ
Политики и регламенты ИБ – ежедневная практика
Договор с юрлицами, закрывающие документы

Зачем компании регламент использования ИИ

Нейросети ускоряют работу, и запрещать их целиком бессмысленно – сотрудники всё равно найдут обходной путь. Проблема не в самом ИИ: данные уходят из компании бесконтрольно. Это называют Shadow AI.

Shadow AI – использование сотрудниками сторонних ИИ-сервисов (ChatGPT, DeepSeek, GigaChat и других) для рабочих задач без ведома и контроля службы ИБ. Аналог «теневого ИТ», только опаснее: данные покидают периметр и попадают в чужие языковые модели, где могут сохраниться, войти в обучающую выборку или всплыть в ответе другому пользователю.

Чем Shadow AI опасен для бизнеса

  • Утечка данных через нейросеть. Сотрудник вставляет в промпт персональные данные клиентов, реквизиты сделки или исходный код – и информация уходит на серверы вендора. Оттуда её не вернуть и не удалить.
  • Коммерческая тайна и ChatGPT несовместимы. Загрузка документа в публичный сервис – это передача сведений третьему лицу без мер конфиденциальности: это может ослабить режим коммерческой тайны и осложнить защиту информации (98-ФЗ, ст.10–11). Доказать разглашение и взыскать ущерб становится намного сложнее. Ответственность самого работника-нарушителя при этом сохраняется.
  • Нет доказательной базы для взыскания. Если сотрудник не ознакомлен с запретом под подпись, применить дисциплинарное наказание нельзя – формально он ничего не нарушил.

Публичные ИИ-сервисы стали массовым рабочим инструментом – и новым каналом утечки. Регламент разрешает полезное и закрывает опасное.

Оставить заявку

Что регулирует регламент работы с нейросетями

Регламент переводит размытое «пользуйтесь аккуратно» в конкретные правила.

Раздел регламентаЧто описывает
Общие положения и терминыЧто считается ИИ-сервисом, конфиденциальной информацией, Shadow AI; область действия документа
Разрешённые и запрещённые сервисы«Белый» и «чёрный» списки нейросетей, порядок добавления новых
Правила ввода данныхЧто категорически нельзя вводить в ИИ: ПДн, коммерческая тайна, служебная информация
Проверка результатов ИИОбязанность проверять ответ нейросети человеком, ответственность за галлюцинации
Ответственность сотрудниковДисциплинарные, административные и уголовные последствия нарушений
Порядок ввода в действиеПриказ, ознакомление под подпись, пересмотр документа
Белые и чёрные списки

В разрешённые попадают решения, развёрнутые в корпоративном контуре, – локальные open-source модели на собственных мощностях и enterprise-инсталляции по договору с вендором (такую опцию предлагают для GigaChat и YandexGPT): данные остаются внутри периметра. Облачные сервисы передают данные вендору, поэтому их допуск определяется договором и категорией данных, а не брендом. Публичные ChatGPT и DeepSeek либо запрещаем, либо оставляем только для неконфиденциальных задач. Заодно фиксируем порядок согласования новых сервисов.

Запрет ввода ПДн и тайны

Прямой запрет вводить в публичные нейросети персональные данные (включая специальные категории по ст.10 152-ФЗ), сведения, составляющие коммерческую тайну (98-ФЗ), служебную и иную конфиденциальную информацию. Формулировки стыкуем с вашим действующим режимом коммерческой тайны и политикой обработки ПДн.

Проверка ИИ-результатов

Нейросеть уверенно выдумывает факты, ссылки и цифры. Регламент обязывает проверять результат перед использованием и прямо закрепляет: за итоговый документ отвечает сотрудник, а не ИИ. Это защищает компанию в спорах с клиентами и регуляторами – ошибку не спишешь на алгоритм.

Ответственность за нарушение

Дисциплинарная ответственность вплоть до увольнения за разглашение охраняемой законом тайны (ст.192, ст.81 ТК РФ). В тяжёлых случаях – административная (ст.13.11 КоАП за нарушения с ПДн – для оператора-компании; ст.13.14 КоАП за разглашение информации ограниченного доступа – для работника-физлица) и уголовная (ст.183 УК за разглашение коммерческой тайны). Взыскание законно только при одном условии: сотрудник ознакомлен с регламентом под подпись.

Как внедрить регламент ИИ за 4 шага

Аудит текущего использования ИИ

Смотрим, кто и какими сервисами уже пользуется и какие данные туда попадают. На этом шаге вскрывается настоящий масштаб Shadow AI – он всегда больше, чем ждёт руководство.

Разработка регламента

Пишем документ под ваши процессы и роли, увязываем с политиками ИБ, режимом коммерческой тайны и обработкой ПДн.

Внедрение

Готовим приказ о вводе в действие и лист ознакомления, встраиваем регламент в систему ОРД, назначаем ответственных.

Обучение персонала

Разбираем правила с сотрудниками на понятном языке и живых примерах – чтобы регламент работал, а не лежал в папке «для галочки».

Что входит в пакет ОРД

Регламент (политика) использования ИИ

Основной документ со всеми правилами.

Приказ о вводе в действие

Юридически вводит регламент и назначает ответственных.

Лист ознакомления

Подписи сотрудников – ваша доказательная база для взысканий.

Памятка сотруднику

Короткая выжимка «что можно / что нельзя» на одну страницу.

Чек-лист: что запретить сотрудникам в ИИ-сервисах

Минимум, который закрывает любой рабочий документ.

  1. Ввод персональных данных клиентов и сотрудников – ФИО, телефоны, паспорта, сведения о здоровье.
  2. Загрузку документов с грифом коммерческой тайны и договоров.
  3. Вставку исходного кода, ключей API, паролей и токенов.
  4. Передачу финансовой отчётности и реквизитов сделок.
  5. Использование результатов ИИ без проверки человеком.
  6. Работу через непроверенные сервисы и браузерные расширения с ИИ.
  7. Установку ИИ-плагинов и автономных агентов на рабочие устройства без согласования.
  8. Ввод сведений, составляющих служебную и профессиональную тайну.
  9. Использование личных аккаунтов в нейросетях для рабочих задач.
  10. Выдачу нейросети прав доступа к корпоративной почте, дискам и мессенджерам.

Читайте также: Аудит безопасности ИИ-систем – следующий шаг зрелости.

Регуляторный контекст: куда движется регулирование ИИ

Регулирование ИИ в России пока только складывается. Прямой обязанности иметь регламент для коммерческих компаний нет – нормы ниже адресованы госсистемам и служат для бизнеса ориентиром, а не требованием.

  • Приказ ФСТЭК России №117 (действует с 1 марта 2026, пришёл на смену приказу №17) обновляет требования к защите государственных информационных систем. На коммерческие компании напрямую не распространяется, но задаёт вектор для всего рынка.
  • Рамочное регулирование. Обсуждается рамочный законопроект о поддержке развития технологий ИИ. Он может закрепить базовые понятия и правила работы с ИИ, но иметь регламент компании не обязывает.

Мы не пугаем регуляторикой – требования «иметь политику ИИ для всех» пока нет. Но вектор виден: требований со временем становится больше. Оформить регламент заранее дешевле и спокойнее, чем наверстывать под проверку в аврале.

От чего зависит стоимость

Размер компании

Число сотрудников и подразделений, для которых пишем правила.

Число ИИ-сценариев

Сколько задач и сервисов нужно охватить – от одного отдела до всей компании.

Интеграция с политиками ИБ

Есть ли действующий режим коммерческой тайны, политика ПДн, политика ИБ, к которым документ нужно «пришить».

Наличие ГИС / ИСПДн

Если ИИ соприкасается с персональными данными или государственными системами, требования выше.

Формат обычно один из двух: фикс-пакет ОРД (регламент + приказ + лист ознакомления + памятка) для типовой задачи – фиксированная цена, известная заранее, срок от нескольких рабочих дней; или смета под проект – с аудитом и интеграцией в вашу систему ИБ.

Точную цифру и срок называем за 30 минут после короткого аудита.

Оставить заявку

Почему Кредо-С

Лицензия ФСТЭК России на ТЗКИ

№ Л024-00107-00/00581724 – работаем в правовом поле защиты информации, а не пишем документы «на глаз».

ОРД-компетенция

Разработка политик и регламентов ИБ, режима коммерческой тайны, документов по 152-ФЗ – наша ежедневная практика. Регламент ИИ – прямое продолжение этой работы.

Комплексный подход

Аудит соответствия 152-ФЗ, аттестация ГИС, категорирование КИИ, защита конфиденциальной информации и DLP, пентест – регламент ИИ встраивается в общую систему безопасности, а не живёт отдельно.

Реквизиты и договор

ООО «КРЕДО-С», ИНН 7106014366, ОГРН 1027100747596. Работаем по договору с юрлицами, с закрывающими документами.

ФСТЭК
Лицензия ФСТЭК России на ТЗКИ № Л024-00107-00/00581724Политики, регламенты и аудиты ИБ – ежедневная практика компании

Закройте Shadow AI за один проект

Регламент использования ИИ разрешает полезные сервисы, запрещает опасный ввод и даёт доказательную базу для взысканий. Начнём с короткого аудита – по его итогам назовём фикс-цену и срок за 30 минут, без обязательств.

Получить смету за 30 минут

Работаем по договору с юрлицами. Отправляя форму, вы даёте согласие на обработку персональных данных.

Часто задаваемые вопросы

Что должно быть в регламенте использования ИИ в компании?
В рабочем регламенте использования ИИ шесть блоков: термины (что считаем ИИ-сервисом, конфиденциальной информацией, Shadow AI); список разрешённых и запрещённых нейросетей; прямой запрет вводить персональные данные, коммерческую тайну и служебную информацию; правила проверки результатов ИИ человеком; ответственность за нарушение; порядок ввода в действие. К нему прилагаются приказ, лист ознакомления под подпись и памятка сотруднику. Без последних двух документ юридически не работает – наказать за нарушение нельзя.
Можно ли запретить сотрудникам пользоваться ChatGPT?
Да. Работодатель вправе ограничить сторонние сервисы на рабочих устройствах и во внутренних процессах – это часть режима защиты информации и коммерческой тайны. Но полный запрет обычно проигрывает: люди уходят в Shadow AI с личных устройств, и контроль теряется совсем. Разумнее разрешить проверенные варианты (например, локальную модель в корпоративном контуре на своих мощностях или enterprise-развёртывание по договору с вендором) и жёстко запретить ввод чувствительных данных в публичные и облачные сервисы. Такую разрешительную модель мы и закладываем в регламент.
Как контролировать, что сотрудники не сливают данные в нейросети?
Контроль держится на двух уровнях. Организационный – регламент, лист ознакомления под подпись, обучение, памятка: сотрудник знает правила и отвечает за нарушение. Технический – DLP-системы и корпоративный шлюз доступа к ИИ: они помогают выявлять и ограничивать отправку персональных данных, кода и документов в публичные сервисы. Регламент – обязательная основа: он даёт службе ИБ основания для взыскания и увязывает технический контроль с правилами использования ИИ. Кредо-С делает организационный слой, а при необходимости подключает технические средства защиты от утечек.
Кто отвечает за ошибки ИИ в работе?
За результат отвечает сотрудник и компания, а не нейросеть. ИИ – инструмент, он способен уверенно сгенерировать несуществующие данные (это называют галлюцинациями). Поэтому регламент прямо закрепляет: любой результат ИИ человек проверяет перед использованием, а ответственность за итоговый документ, расчёт или решение несёт работник. В споре с клиентом или регулятором это работает на компанию: списать промах на программу не выйдет.
Обязательна ли по закону политика использования ИИ?
Отдельного закона, который обязывал бы каждую компанию иметь политику использования ИИ, пока нет. Требования появляются точечно и в основном для госсектора: приказ ФСТЭК России №117 (действует с 1 марта 2026) обновляет требования к защите государственных информационных систем. Обсуждается и рамочный законопроект о поддержке развития технологий ИИ, но иметь такой регламент компании он не обязывает. Тренд очевиден: требований со временем становится больше. Разумнее подготовить документ спокойно сейчас, чем спешно наверстывать под проверку.
Чем политика использования ИИ отличается от политики ИБ?
Политика ИБ описывает защиту информации в целом – доступы, пароли, антивирус, реагирование на инциденты. Регламент использования ИИ – документ про один конкретный канал риска: работу сотрудников с нейросетями. Он отвечает на вопросы, которых нет в классической политике ИБ: какими ИИ-сервисами можно пользоваться, что в них нельзя вводить, как проверять результат. Мы пишем регламент ИИ так, чтобы он не противоречил вашей политике ИБ, а дополнял её и ссылался на неё.

Отправить заявку на сотрудничество

Ваше имя:*
Телефон:*
E-mail:*
Опишите вашу задачу:

Я соглашаюсь на обработку персональных данных

Хочу получать новости и полезные материалы на email — необязательно

Условия сотрудничества

Закупки по 44-ФЗ и 223-ФЗПоставки и услуги для государственных и корпоративных заказчиков, участие в конкурсных процедурах.
ЭДО и постоплатаЭлектронный документооборот, закрывающие по этапам работ, отсрочка платежа по договору.
SLA с ответственностью исполнителяСроки, параметры сервиса и зоны ответственности закреплены договором, регулярная отчётность.
Лицензии ФСТЭК России и NDAРаботы по защите информации – легально: опыт с КИИ, ГИС и ИСПДн, соглашение о неразглашении.

ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва