CSA — Керівні принципи впровадження та аудиту AICM

Керівні принципи (рамки) впровадження та аудиту AICM

Дата виходу: 22.10.2025

Комплект інструкцій щодо впровадження та аудиту Матриці елементів керування штучним інтелектом (AICM) Альянсу безпеки хмарних технологій (Cloud Security Alliance, CSA) надає вичерпні вказівки щодо впровадження та оцінки 243 елементів керування Матриці елементів керування штучним інтелектом.

Що входить до цього завантаження:

• Керівні принципи впровадження: Визначає практичні рекомендації на основі ролей щодо застосування елементів керування AICM до систем штучного інтелекту, що працюють у хмарних середовищах. Кожен елемент керування містить детальні інструкції з впровадження, адаптовані до основних учасників екосистеми штучного інтелекту: постачальників моделей (MP), постачальників додатків (AP), постачальників оркестрованих послуг (OSP), клієнтів штучного інтелекту (AIC) та постачальників хмарних послуг (CSP).
• Керівні принципи аудиту: Надає структуровані кроки аудиту для внутрішніх або зовнішніх аудиторів, які оцінюють організації, що впроваджують AICM. Підкреслює відповідальність за конкретні ролі в усьому ланцюжку постачання штучного інтелекту, забезпечуючи послідовну оцінку, чіткі очікування та відстеження в усіх видах діяльності з впровадження та забезпечення якості.

Ці рамки є орієнтиром для практиків, впроваджувачів та аудиторів, які прагнуть впровадити, оцінити та посилити програми управління, управління ризиками та відповідності для систем штучного інтелекту в хмарних середовищах.

Завантажте повну Матрицю контролю штучного інтелекту (AICM) тут .

Джерело:
 → https://cloudsecurityalliance.org/artifacts/aicm-implementation-auditing-guidelines-frameworks

🪟 На стартову сторінку

CSA — Матриця керування штучним інтелектом

Для кого це:

• Постачальники моделей штучного інтелекту
• Постачальники оркестрованих послуг
• Оператори інфраструктури
• Розробники додатків
• Клієнти штучного інтелекту

Матриця керування штучним інтелектом

Дата виходу: 07/09/2025

Оновлено: 30.10.2025

Матриця контролю штучного інтелекту (AI Controls Matrix, AICM) – це перша у своєму роді незалежна від постачальника структура для хмарних систем штучного інтелекту. Організації можуть використовувати AICM для розробки, впровадження та експлуатації технологій штучного інтелекту безпечним та відповідальним способом. Розроблена галузевими експертами, AICM базується на Матриці контролю хмари (CCM) CSA та включає найновіші передові практики безпеки штучного інтелекту.

AICM містить 243 цілі контролю, розподілені по 18 доменам безпеки. Він відповідає провідним стандартам, включаючи ISO 42001, ISO 27001, NIST AI RMF 1.0 та BSI AIC4. AICM можна вільно завантажити (див. «Завантажити ресурс» нижче).

Що входить до цього завантаження:

• Матриця контролю ШІ: Електронна таблиця з 243 цілями контролю, проаналізованими за п'ятьма критичними складовими, включаючи тип контролю, застосовність та власність контролю, архітектурну релевантність, релевантність життєвого циклу LLM та категорію загрози.
  • Зіставлення з каталогом BSI AIC4
  • Зіставлення з NIST AI 600-1 (2024)
  • Відповідність ISO 42001:2023
  • Керівні принципи впровадження
  • Керівні принципи аудиту
  • Зіставлення з Законом ЄС про штучний інтелект
• Анкета ініціативи консенсусної оцінки для штучного інтелекту (AI-CAIQ): набір питань, що відповідають AICM. Ці питання можуть допомогти організаціям у проведенні самооцінки або оцінці сторонніх постачальників.
• Заповнення AI-CAIQ: Керівництво щодо точного заповнення самооцінки AI-CAIQ, включаючи правила власності, доказів та документування.
• Посібник із подання STAR для AI рівня 1: Покрокові інструкції щодо подання самооцінки AI-CAIQ до реєстру STAR.

Пов’язані ресурси:

• Матриця керування хмарними ресурсами (CCM) : система керування кібербезпекою для хмарних обчислень. Як постачальники, так і клієнти можуть використовувати CCM як інструмент для систематичної оцінки впровадження хмари.
• Зобов'язання щодо надійності ШІ : зобов'язання, яке організації можуть підписати, щоб засвідчити свою відданість розробці та підтримці надійного ШІ.
• Програма STAR for AI : ініціатива CSA щодо надання майбутньої сертифікації організаціям для демонстрації надійності ШІ.
• Програма сертифікації знань про безпеку штучного інтелекту (Trusted AI Safety Knowledge Certification Program ): майбутня програма навчання та сертифікації від CSA та Північно-Східного університету. Вона має на меті допомогти фахівцям керувати ризиками, пов'язаними зі штучним інтелектом, застосовувати засоби контролю безпеки та керувати відповідальним впровадженням штучного інтелекту.

Джерело:
 → https://cloudsecurityalliance.org/artifacts/ai-controls-matrix

🪟 На стартову сторінку

CSA — Гібридна хмара та пов'язані з нею ризики

Гібридна хмара та пов'язані з нею ризики

Дата виходу: 13.07.2020

Робоча група: Гібридна хмарна безпека

Хмарні обчислення процвітають. Гібридні хмари, зокрема, набирають обертів, оскільки клієнти хмарних технологій дедалі більше розуміють, що використання лише публічних або приватних хмар має певні обмеження. Гібридна хмара часто є відправною точкою для організацій, щоб розпочати шлях до хмари, і цей документ має на меті описати концепцію та цінність гібридних хмар, виділити ключові сценарії застосування та вказати на ризики безпеки в гібридній хмарі.

Пов'язані дослідження | Робоча група

Джерело:
 → https://cloudsecurityalliance.org/artifacts/hybrid-clouds-and-its-associated-risks/

🪟 На стартову сторінку

CSA — Життєвий цикл дослідження

Життєвий цикл дослідження

Дата виходу: 10/03/2025

Графіка життєвого циклу дослідження CSA ілюструє, як дослідження переходить від пропозиції до затвердження, виконання, рецензування, публікації та поширення. Цей ресурс допоможе вам зрозуміти результати на кожному етапі, від статутів та планів проектів до чернеток, публікації та постійного підвищення обізнаності, щоб ви могли бачити, як розробляються та поширюються дослідження CSA. Завантажте життєвий цикл і дізнайтеся, як узгодити це з процесом CSA. Надсилайте свої дослідницькі ідеї на адресу research@cloudsecurityalliance.org

Джерело:
 → https://cloudsecurityalliance.org/artifacts/research-lifecycle

🪟 На стартову сторінку

CSA — Структура можливостей безпеки SaaS (SSCF)

Для кого це:

• Команди з управління ризиками третіх сторін
• Постачальники SaaS
• Команди інженерів безпеки SaaS

Структура можливостей безпеки SaaS (SSCF)

Дата виходу: 23.09.2025

Структура можливостей безпеки SaaS (SSCF) – це нова технічна структура, яка визначає налаштовувані, споживані та орієнтовані на клієнта засоби контролю безпеки, що надаються постачальниками SaaS своїм клієнтам.

SSCF являє собою комплексний підхід до управління безпекою в хмарних програмних рішеннях, розроблений для подолання розриву між можливостями безпеки постачальників та специфічними вимогами замовника. SSCF було розроблено у співпраці з робочою групою SaaS CSA та іншими провідними галузевими експертами.

SSCF надає ключові переваги широкому колу користувачів:

• Для команд TPRM це слугує базовою точкою можливостей безпеки під час оцінки постачальників SaaS, спрощуючи оцінку ризиків та процеси закупівель.
• Для постачальників SaaS це стандартизує відповіді на оцінювання, слугуючи узгодженою основою, зменшуючи кількість спеціалізованих анкет та накладні витрати на оцінювання.
• Для команд інженерів безпеки SaaS це надає базовий контрольний список впровадження, оптимізуючи та пришвидшуючи їхню програму безпеки SaaS.

Встановлюючи стандартизовані функції безпеки, які мають бути доступні на всіх SaaS-платформах, SSCF дозволяє власникам додатків приймати обґрунтовані рішення та підтримувати послідовний рівень безпеки.

Що входить до цього завантаження:

• Документ випуску SSCF версії 1.0: Описує новий стандарт, його контекст, область застосування та домени контролю.
• Список елементів керування SSCF версії 1.0: Містить елементи керування SSCF, узгоджені з доменами CCM.
• Слайди SSCF версії 1.0: Ознайомлення з передумовою, постановкою проблеми та перевагами SSCF.

Джерело:
 → https://cloudsecurityalliance.org/artifacts/saas-security-capability-framework-sscf

🪟 На стартову сторінку

CSA — Керівництво з нульової довіри для малого та середнього бізнесу

Для кого це:

• Власники малого та середнього бізнесу
• Команди ІТ та безпеки
• віртуальні CISO
• Покупці та постачальники керованих ІТ-послуг та послуг безпеки
• Зовнішні ІТ-аудитори та оцінювачі

Керівництво з нульової довіри для малого та середнього бізнесу (МСП)

Дата виходу: 13.01.2025

Кібербезпека для малого бізнесу пов'язана з унікальними та складними викликами. Це робить впровадження стратегії нульової довіри критично важливим для захисту їхніх активів і даних. Нульова довіра – це стратегія безпеки, яка використовує давні принципи, такі як мінімальні привілеї та «ніколи не довіряй, завжди перевіряй».

Ця публікація містить рекомендації для малих та середніх підприємств (МСП), які переходять на архітектуру нульової довіри. Вона враховує численні унікальні обмеження, з якими стикаються МСП, включаючи бюджет, ресурси та глибокі знання предметної області. У цьому посібнику розглядаються ключові компоненти, такі як перевірка особи, безпека кінцевих точок, сегментація мережі та постійний моніторинг для запобігання несанкціонованому доступу. Крім того, в ній обговорюється важливість розуміння унікальних потреб організації, узгодження практик безпеки з бізнес-цілями та сприяння розвитку культури безпеки серед співробітників.

Дотримуючись цих рекомендацій та впроваджуючи принцип нульової довіри, малі та середні підприємства можуть покращити захист своїх даних, довіру клієнтів та стійкість. Хоча малі та середні підприємства стикаються з унікальними викликами, вони виявлять, що принцип нульової довіри забезпечує надійніше середовище, яке підтримує їхні бізнес-цілі.

Ключові висновки:

• Чому малий та середній бізнес повинен турбуватися про кібербезпеку
• Основні заходи безпеки, які необхідно вжити перед впровадженням Zero Trust
• Основи стратегії нульової довіри
• П'ятиетапний процес впровадження Zero Trust та як його застосовувати до малого та середнього бізнесу
• Міркування щодо залучення постачальників послуг керованої безпеки (MSSP)

Джерело:
 → https://cloudsecurityalliance.org/artifacts/zero-trust-guidance-for-small-and-medium-size-businesses-smbs

🪟 На стартову сторінку