Sinaptic® AI

ISO 42001 — Система управління AI

Набуває чинності: квітень 2026 · ТОВ «Sinaptic AI» / Sinaptic AI LLC · Резидент Дія.City

1. Зобов'язання щодо системи управління AI

ТОВ «Sinaptic AI» («Sinaptic») зобов'язується створити, впровадити, підтримувати та постійно вдосконалювати Систему управління AI (СУШI), узгоджену з вимогами ISO/IEC 42001:2023. Як компанія, основним бізнесом якої є розробка та впровадження продуктів на основі AI, ми визнаємо, що структурований управлінський системний підхід до AI є необхідним для забезпечення того, щоб наші системи були надійними, безпечними та корисними.

Наша СУШI забезпечує системну рамку для управління можливостями та ризиками, пов'язаними з AI, протягом усього життєвого циклу наших продуктів — від концепції та проєктування через розробку, впровадження, експлуатацію та виведення з експлуатації. Вона інтегрується з нашими існуючими системами управління інформаційною безпекою (ISO 27001), якістю (ISO 9001) та документами (ISO 32001) і доповнює їх.

Це зобов'язання підтримується вищим керівництвом та відображає нашу переконаність у тому, що відповідальний AI є не лише вимогою відповідності, а й конкурентною перевагою та передумовою сталого розвитку технологій AI.

2. Відповідальна розробка AI

Підхід Sinaptic до відповідальної розробки AI вбудований у нашу СУШI та відображає принципи, сформульовані в нашій Політиці етики AI. В рамках СУШI відповідальна розробка реалізується через:

2.1 Політика AI

Sinaptic підтримує політику AI, що відповідає призначенню організації, забезпечує рамку для встановлення цілей AI, включає зобов'язання задовольняти застосовні вимоги та включає зобов'язання щодо безперервного вдосконалення СУШI. Політика AI доведена до відома всього персоналу та надається відповідним зацікавленим сторонам.

2.2 Цілі AI

Вимірювані цілі AI встановлюються на відповідних функціях та рівнях організації. Ці цілі охоплюють:

  • Справедливість та недискримінацію у виводах систем AI.
  • Прозорість та пояснюваність рішень, прийнятих AI.
  • Безпеку та надійність систем AI у виробничих середовищах.
  • Захист конфіденційності при обробці даних AI.
  • Екологічну стійкість операцій AI.
  • Відповідність застосовним нормативним актам, зокрема EU AI Act.

2.3 Життєвий цикл розробки AI

Наша СУШI визначає структурований життєвий цикл розробки AI з управлінськими контрольними точками на кожному етапі:

  1. Ідеація та доцільність: Оцінка того, чи є AI відповідним рішенням, виявлення потенційних ризиків та впливів, попередня етична перевірка.
  2. Вимоги та проєктування: Формальна документація функціональних та нефункціональних вимог, включаючи метрики справедливості, пороги продуктивності та вимоги людського нагляду. Перегляд дизайну Комітетом з етики AI для систем з високим впливом.
  3. Отримання та підготовка даних: Процедури управління даними, що забезпечують законність, якість, репрезентативність та належну документацію наборів даних, використаних для навчання, валідації та тестування.
  4. Розробка моделі: Реалізація з дотриманням практик безпечної розробки, з тестуванням на упередженість, тестуванням на змагальну стійкість та бенчмаркінгом продуктивності відносно визначених критеріїв прийнятності.
  5. Верифікація та валідація: Незалежне тестування для підтвердження відповідності системи AI визначеним вимогам та її придатності для цільового призначення. Включає функціональне тестування, аудит справедливості та тестування прийнятності користувачами.
  6. Впровадження: Контрольований випуск з відповідним людським наглядом, інфраструктурою моніторингу та можливістю відкату. Впровадження авторизується лише після задоволення всіх управлінських контрольних точок.
  7. Експлуатація та моніторинг: Безперервний моніторинг продуктивності системи, метрик справедливості та індикаторів безпеки. Визначені пороги ініціюють розслідування та, за необхідності, коригувальні дії.
  8. Виведення з експлуатації: Контрольовані процедури виведення з експлуатації, що забезпечують обробку даних відповідно до політик зберігання, перехід залежних систем та повідомлення зацікавлених сторін.

3. Управління ризиками для систем AI

СУШI Sinaptic включає спеціалізований процес управління ризиками AI, що охоплює ризики, специфічні для систем AI, доповнюючи загальний процес управління ризиками інформаційної безпеки, визначений в рамках нашої ISO 27001:

3.1 Специфічні для AI категорії ризиків

Ми систематично оцінюємо ризики за наступними специфічними для AI категоріями:

  • Ризики упередженості та справедливості: Ризики того, що моделі AI видають дискримінаційні або несправедливі результати через упереджені навчальні дані, дизайн алгоритму або контекст впровадження.
  • Ризики стійкості та надійності: Ризики, пов'язані з деградацією продуктивності моделі, змагальними атаками, дрейфом розподілу та неочікуваними граничними випадками.
  • Ризики прозорості та пояснюваності: Ризики того, що рішення, прийняті AI, не можуть бути належним чином пояснені постраждалим сторонам або аудиторам.
  • Ризики конфіденційності: Ризики несанкціонованого висновку, витоку даних або реідентифікації через виводи або поведінку моделі AI.
  • Ризики безпеки: Ризики того, що системи AI завдають фізичної, психологічної або фінансової шкоди особам або організаціям.
  • Ризики автономності та нагляду: Ризики, що виникають від надмірної автоматизації, недостатнього людського нагляду або упередженості автоматизації серед операторів.
  • Суспільні та екологічні ризики: Ширші ризики, включаючи вплив на зайнятість, демократичні процеси та екологічну стійкість.

3.2 Оцінка впливу AI

Перед впровадженням будь-якої нової системи AI або суттєвої модифікації ми проводимо Оцінку впливу AI, що оцінює:

  • Цільове призначення та контекст використання системи AI.
  • Зацікавлені сторони, на яких прямо та непрямо впливає система.
  • Потенційні негативні впливи на основоположні права, безпеку та благополуччя.
  • Класифікацію ризику відповідно до EU AI Act.
  • Необхідні заходи пом'якшення та прийняття залишкового ризику.

3.3 Обробка та моніторинг ризиків

Виявлені ризики обробляються через комбінацію технічних контролів (дизайн моделі, тестування, моніторинг), організаційних контролів (політики, навчання, процедури нагляду) та операційних контролів (обмеження розгортання, вимоги участі людини). Ефективність обробки ризиків контролюється безперервно та переглядається щонайменше щоквартально. Реєстр ризиків AI підтримується разом з реєстром ризиків інформаційної безпеки та підпорядковується тим самим процесам управління.

4. Узгодженість з EU AI Act

Наша СУШI розроблена для сприяння відповідності EU AI Act (Регламент (ЄС) 2024/1689). Узгодженість між нашою СУШI та EU AI Act структурована наступним чином:

Вимога EU AI Act Впровадження СУШI
Система управління ризиками (ст. 9) Процес управління ризиками AI зі специфічними для AI категоріями ризиків, оцінками впливу та безперервним моніторингом
Управління даними (ст. 10) Управління отриманням та підготовкою даних у рамках життєвого циклу розробки AI
Технічна документація (ст. 11) Структурована документація на кожному етапі життєвого циклу, інтегрована з управлінням документами ISO 32001
Ведення записів (ст. 12) Автоматизоване журналювання та генерація журналу аудиту по всіх системах AI
Прозорість (ст. 13) Контролі прозорості, включаючи картки моделей, пояснення рішень та розкриття AI-взаємодії
Людський нагляд (ст. 14) Робочі процеси з участю людини, механізми ескалації та засоби аварійної зупинки
Точність, стійкість, кібербезпека (ст. 15) Процеси верифікації та валідації, змагальне тестування та інтеграція з контролями безпеки ISO 27001
Управління якістю (ст. 17) Інтегрована СУЯ за ISO 9001, зі специфічними для AI процедурами якості в рамках СУШI
Пост-ринковий моніторинг (ст. 72) Безперервний моніторинг, відстеження продуктивності, звітність про інциденти та періодичні перегляди

СУШI слугує організаційним стрижнем відповідності EU AI Act, забезпечуючи систематичне, а не ситуативне виконання регуляторних вимог.

5. Обсяг

Обсяг СУШI Sinaptic охоплює:

  • Усі системи AI: Browser DLP, Sinaptic AI Intent Firewall®, Sinaptic® DROID+ та будь-які компоненти AI, що використовуються у внутрішніх операціях або перебувають у розробці.
  • Усі етапи життєвого циклу: Від ідеації через проєктування, розробку, тестування, впровадження, експлуатацію, моніторинг та виведення з експлуатації.
  • Весь персонал: Працівники, підрядники та треті сторони, залучені до розробки, впровадження або експлуатації систем AI.
  • Усі зацікавлені сторони: Клієнти, кінцеві користувачі, регулятори та будь-які сторони, на яких впливає робота систем AI Sinaptic.
  • Усі дані: Навчальні дані, валідаційні дані, тестові дані, операційні дані та вихідні дані, пов'язані з системами AI.

6. Лідерство та управління

СУШI підтримується спеціалізованою структурою управління:

  • Комітет з етики AI: Міжфункціональний орган, що переглядає сценарії використання AI з високим впливом, вирішує етичні питання та забезпечує стратегічний напрямок практик відповідального AI.
  • Менеджер СУШI: Визначена особа, відповідальна за повсякденну роботу та безперервне вдосконалення СУШI.
  • Вище керівництво: Демонструє зобов'язання через розподіл ресурсів, затвердження політик, участь в управлінських переглядах та формування організаційної культури, необхідної для відповідального AI.
  • Продуктові команди: Відповідальні за впровадження вимог СУШI у своїх процесах розробки та впровадження.

7. Дорожня карта впровадження

Sinaptic впроваджує свою СУШI через поетапний підхід:

  1. Фаза 1 — Основа (Завершено): Створено політику AI та Комітет з етики AI. Проведено початковий аналіз розбіжностей відносно вимог ISO 42001. Визначено обсяг та контекст СУШI. Задокументовано життєвий цикл розробки AI та управлінські контрольні точки.
  2. Фаза 2 — Основне впровадження (В процесі): Впровадження процесу управління ризиками AI, включаючи специфічні для AI категорії ризиків та методологію оцінки впливу. Розгортання систем моніторингу та вимірювання AI. Розробка специфічних для AI програм компетентності та навчання. Інтеграція СУШI з існуючими системами управління ISO 27001, ISO 9001 та ISO 32001.
  3. Фаза 3 — Операціоналізація: Повна операціоналізація СУШI по всіх продуктах та процесах. Проведення внутрішніх аудитів відносно вимог ISO 42001. Управлінський перегляд та коригування цілей та завдань AI. Удосконалення процесів на основі операційного досвіду та результатів аудиту.
  4. Фаза 4 — Підготовка до сертифікації: Комплексна оцінка готовності. Усунення розбіжностей. Передсертифікаційний аудит незалежними консультантами. Фіналізація документації.
  5. Фаза 5 — Зовнішня сертифікація: Залучення акредитованого органу сертифікації. Аудити Етапу 1 та Етапу 2. Отримання сертифікації та постійний нагляд.

8. Безперервне вдосконалення

СУШI підлягає постійному вдосконаленню через внутрішні аудити, управлінські перегляди, коригувальні дії, моніторинг специфічних для AI показників продуктивності та включення найкращих практик та регуляторних вимог, що еволюціонують. Ми активно беремо участь у розробці міжнародних стандартів управління AI та застосовуємо уроки, засвоєні з ширшої спільноти AI, для зміцнення нашої системи управління.

Запит інформації про відповідність

Для запитань щодо нашої Системи управління AI або впровадження ISO 42001 зверніться до нас за адресою hello@sinaptic.ai.