Сотрудники уже пользуются ChatGPT, GigaChat и DeepSeek – загружают в них договоры, клиентские базы, куски кода, внутренние отчёты. Регламент использования ИИ превращает этот бесконтрольный канал утечки в управляемый процесс.
Кредо-С разрабатывает такой регламент (он же положение об использовании ИИ или политика использования нейросетей) под ключ: какими сервисами можно пользоваться, что в них запрещено вводить, кто отвечает за нарушение. На выходе – готовый комплект организационно-распорядительной документации (ОРД) и обученные сотрудники.
Нейросети ускоряют работу, и запрещать их целиком бессмысленно – сотрудники всё равно найдут обходной путь. Проблема не в самом ИИ: данные уходят из компании бесконтрольно. Это называют Shadow AI.
Публичные ИИ-сервисы стали массовым рабочим инструментом – и новым каналом утечки. Регламент разрешает полезное и закрывает опасное.
Оставить заявкуРегламент переводит размытое «пользуйтесь аккуратно» в конкретные правила.
| Раздел регламента | Что описывает |
|---|---|
| Общие положения и термины | Что считается ИИ-сервисом, конфиденциальной информацией, Shadow AI; область действия документа |
| Разрешённые и запрещённые сервисы | «Белый» и «чёрный» списки нейросетей, порядок добавления новых |
| Правила ввода данных | Что категорически нельзя вводить в ИИ: ПДн, коммерческая тайна, служебная информация |
| Проверка результатов ИИ | Обязанность проверять ответ нейросети человеком, ответственность за галлюцинации |
| Ответственность сотрудников | Дисциплинарные, административные и уголовные последствия нарушений |
| Порядок ввода в действие | Приказ, ознакомление под подпись, пересмотр документа |
В разрешённые попадают решения, развёрнутые в корпоративном контуре, – локальные open-source модели на собственных мощностях и enterprise-инсталляции по договору с вендором (такую опцию предлагают для GigaChat и YandexGPT): данные остаются внутри периметра. Облачные сервисы передают данные вендору, поэтому их допуск определяется договором и категорией данных, а не брендом. Публичные ChatGPT и DeepSeek либо запрещаем, либо оставляем только для неконфиденциальных задач. Заодно фиксируем порядок согласования новых сервисов.
Прямой запрет вводить в публичные нейросети персональные данные (включая специальные категории по ст.10 152-ФЗ), сведения, составляющие коммерческую тайну (98-ФЗ), служебную и иную конфиденциальную информацию. Формулировки стыкуем с вашим действующим режимом коммерческой тайны и политикой обработки ПДн.
Нейросеть уверенно выдумывает факты, ссылки и цифры. Регламент обязывает проверять результат перед использованием и прямо закрепляет: за итоговый документ отвечает сотрудник, а не ИИ. Это защищает компанию в спорах с клиентами и регуляторами – ошибку не спишешь на алгоритм.
Дисциплинарная ответственность вплоть до увольнения за разглашение охраняемой законом тайны (ст.192, ст.81 ТК РФ). В тяжёлых случаях – административная (ст.13.11 КоАП за нарушения с ПДн – для оператора-компании; ст.13.14 КоАП за разглашение информации ограниченного доступа – для работника-физлица) и уголовная (ст.183 УК за разглашение коммерческой тайны). Взыскание законно только при одном условии: сотрудник ознакомлен с регламентом под подпись.
Смотрим, кто и какими сервисами уже пользуется и какие данные туда попадают. На этом шаге вскрывается настоящий масштаб Shadow AI – он всегда больше, чем ждёт руководство.
Пишем документ под ваши процессы и роли, увязываем с политиками ИБ, режимом коммерческой тайны и обработкой ПДн.
Готовим приказ о вводе в действие и лист ознакомления, встраиваем регламент в систему ОРД, назначаем ответственных.
Разбираем правила с сотрудниками на понятном языке и живых примерах – чтобы регламент работал, а не лежал в папке «для галочки».
Основной документ со всеми правилами.
Юридически вводит регламент и назначает ответственных.
Подписи сотрудников – ваша доказательная база для взысканий.
Короткая выжимка «что можно / что нельзя» на одну страницу.
Минимум, который закрывает любой рабочий документ.
Читайте также: Аудит безопасности ИИ-систем – следующий шаг зрелости.
Регулирование ИИ в России пока только складывается. Прямой обязанности иметь регламент для коммерческих компаний нет – нормы ниже адресованы госсистемам и служат для бизнеса ориентиром, а не требованием.
Мы не пугаем регуляторикой – требования «иметь политику ИИ для всех» пока нет. Но вектор виден: требований со временем становится больше. Оформить регламент заранее дешевле и спокойнее, чем наверстывать под проверку в аврале.
Число сотрудников и подразделений, для которых пишем правила.
Сколько задач и сервисов нужно охватить – от одного отдела до всей компании.
Есть ли действующий режим коммерческой тайны, политика ПДн, политика ИБ, к которым документ нужно «пришить».
Если ИИ соприкасается с персональными данными или государственными системами, требования выше.
Формат обычно один из двух: фикс-пакет ОРД (регламент + приказ + лист ознакомления + памятка) для типовой задачи – фиксированная цена, известная заранее, срок от нескольких рабочих дней; или смета под проект – с аудитом и интеграцией в вашу систему ИБ.
Точную цифру и срок называем за 30 минут после короткого аудита.
Оставить заявку№ Л024-00107-00/00581724 – работаем в правовом поле защиты информации, а не пишем документы «на глаз».
Разработка политик и регламентов ИБ, режима коммерческой тайны, документов по 152-ФЗ – наша ежедневная практика. Регламент ИИ – прямое продолжение этой работы.
Аудит соответствия 152-ФЗ, аттестация ГИС, категорирование КИИ, защита конфиденциальной информации и DLP, пентест – регламент ИИ встраивается в общую систему безопасности, а не живёт отдельно.
ООО «КРЕДО-С», ИНН 7106014366, ОГРН 1027100747596. Работаем по договору с юрлицами, с закрывающими документами.
Регламент использования ИИ разрешает полезные сервисы, запрещает опасный ввод и даёт доказательную базу для взысканий. Начнём с короткого аудита – по его итогам назовём фикс-цену и срок за 30 минут, без обязательств.
Получить смету за 30 минутРаботаем по договору с юрлицами. Отправляя форму, вы даёте согласие на обработку персональных данных.
Отправить заявку на сотрудничество
Я соглашаюсь на обработку персональных данных
Хочу получать новости и полезные материалы на email — необязательно
ООО «КРЕДО-С» · ИНН 7106014366 · КПП 710601001 · ОГРН 1027100747596 · на рынке с 1993 года · 300034, г. Тула, ул. Демонстрации, 27 · офисы: Тула, Москва
300034, г. Тула, ул. Демонстрации, 27
офисы: Тула, Москва
ООО «КРЕДО-С»ИНН 7106014366КПП 710601001ОГРН 1027100747596300034, г. Тула, ул. Демонстрации, 27офисы: Тула, Москвана рынке с 1993 года