ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения»

На чтение 5 мин Просмотров 85 Обновлено
Содержание
  1. Общая информация о стандарте
  2. Сфера применения
  3. Ключевые положения стандарта
  4. Терминологическая база
  5. Классификация систем ИИ по уровням критичности
  6. Управление рисками
  7. Организационные требования
  8. Мониторинг и контроль
  9. Показатели эффективности
  10. Аудит и тестирование
  11. Жизненный цикл систем ИИ
  12. Гармонизация с международными стандартами
  13. Значение для бизнеса
  14. Рынок труда
  15. Текущий статус

Общая информация о стандарте

1 июля 2025 года Технический комитет 164 «Искусственный интеллект» опубликовал проект национального стандарта ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения». Это первый в России комплексный документ, который устанавливает правила обеспечения безопасности систем искусственного интеллекта в ключевых отраслях экономики.

Стандарт разработан ФСТЭК России и направлен на устранение правового вакуума в сфере применения ИИ в критической информационной инфраструктуре. Документ формирует единый регламент для всех участников процесса: разработчиков, интеграторов, эксплуатирующих организаций и подрядчиков.

Сфера применения

Стандарт охватывает применение систем искусственного интеллекта в критически важных отраслях:

  • Энергетика и топливно-энергетический комплекс
  • Транспорт (воздушный, железнодорожный, морской, автомобильный)
  • Финансы и банковская сфера
  • Здравоохранение
  • Связь и телекоммуникации
  • Оборонная, ракетно-космическая промышленность
  • Атомная энергия
  • Горнодобывающая, металлургическая и химическая промышленность

Ключевые положения стандарта

Терминологическая база

Стандарт закрепляет ключевые определения и формирует единую понятийную рамку:

  • Что считается системой искусственного интеллекта
  • Какие объекты и субъекты относятся к КИИ
  • Как классифицируются угрозы, уязвимости и инциденты
  • Устранение расхождений между заказчиками, регуляторами и вендорами

Классификация систем ИИ по уровням критичности

Документ вводит четыре категории систем ИИ в зависимости от уровня критичности их применения:

1 уровень (низкая критичность): Рекомендательные решения, чьи ошибки не приводят к непосредственному нарушению функционирования объектов КИИ

2 уровень (средняя критичность): Системы с умеренным влиянием на процессы КИИ

3 уровень (высокая критичность): Системы, существенно влияющие на функционирование КИИ

4 уровень (критическая значимость): Системы, ошибки или сбои в работе которых могут привести к аварийным ситуациям, угрозе жизни и здоровью людей, материальному ущербу и другим тяжелым последствиям

Для каждой категории предусмотрены соответствующие требования к безопасности, надежности, тестированию, контролю и наличию планов аварийных остановок.

Управление рисками

Стандарт устанавливает обязательные требования к идентификации и управлению рисками:

Обязательная идентификация угроз:

  • Качество и репрезентативность данных
  • Интерпретация результатов
  • Поведение моделей
  • Целенаправленные атаки

Регулярность оценки рисков:

  • Ежегодные оценки для систем низкой и средней критичности (уровни 1-2)
  • Полугодовые и чаще оценки для высококритичных систем (уровни 3-4)

Методы снижения рисков для систем 3-4 уровня:

  • Проектирование безопасности на всех этапах жизненного цикла
  • Многоуровневая защита
  • Формальная верификация
  • Резервирование компонентов
  • Независимая экспертиза
  • Моделирование атак

Организационные требования

Компании обязаны внедрить комплекс организационных мер:

Основные требования:

  • Разработка внутренних политик безопасности ИИ
  • Внедрение процедур управления доступом и изменениями
  • Формирование планов резервного копирования и восстановления
  • Распределение ролей и ответственности

Дополнительно для высококритичных систем (3-4 уровни):

  • Планы обеспечения непрерывности функционирования
  • Планы аварийных остановок и безопасного перехода
  • Регулярные учения по реагированию на инциденты

Мониторинг и контроль

Стандарт вводит детализированные требования к непрерывному мониторингу систем ИИ:

Объекты мониторинга:

  • Производительность систем
  • Безопасность
  • Качество данных
  • Действия пользователей и администраторов

Для систем высоких уровней критичности:

  • Создание выделенных центров мониторинга
  • Круглосуточный режим работы (24/7)
  • Разработка комплексных планов реагирования на инциденты
  • Регулярное обновление и тестирование планов

Показатели эффективности

Для оценки эффективности систем ИИ установлены группы показателей:

  • Точность обработки данных
  • Скорость обработки данных
  • Устойчивость к изменениям входных данных
  • Среднее время наработки на отказ
  • Время реагирования на инциденты
  • Количество выявленных уязвимостей

Для каждого показателя должны определяться целевые, допустимые и критические значения, методики измерения и порядок анализа результатов.

Аудит и тестирование

Стандарт устанавливает обязательные процедуры аудита:

Виды аудита:

  • Внутренний аудит
  • Тестирование на проникновение
  • Проверки соответствия нормативным документам
  • Аудит обработки данных

Частота проверок в зависимости от уровня критичности:

  • Уровень 1: ежегодно
  • Уровень 2: ежегодно
  • Уровень 3: ежеквартально
  • Уровень 4: ежемесячно

Все результаты аудита подлежат документированию и используются для корректировки процессов.

Жизненный цикл систем ИИ

Документ регламентирует полный жизненный цикл систем искусственного интеллекта:

  1. Проектирование — разработка с учетом требований безопасности
  2. Разработка и тестирование — создание и верификация моделей
  3. Внедрение — интеграция в производственную среду
  4. Эксплуатация — мониторинг и поддержка
  5. Модернизация — обновление и улучшение
  6. Вывод из эксплуатации — безопасное завершение использования

Гармонизация с международными стандартами

Стандарт согласован с ключевыми международными и российскими документами:

Международные стандарты:

  • ISO/IEC 27001 — информационная безопасность
  • ISO/IEC 22989 — концепции и терминология ИИ
  • ISO/IEC 42001 — системы менеджмента ИИ
  • ISO/IEC 5338 — процессы жизненного цикла систем ИИ

Российские стандарты:

  • Федеральный закон № 187-ФЗ «О безопасности КИИ»
  • ГОСТ Р 59276-2020 — способы обеспечения доверия к ИИ
  • ПНСТ 836-2023 — функциональная безопасность и системы ИИ
  • ГОСТ Р 71476-2024 — концепции и терминология ИИ

Значение для бизнеса

Введение стандарта потребует от организаций существенных изменений:

Необходимые действия:

  • Проведение комплексного аудита существующих ИИ-решений
  • Пересмотр процессов разработки и эксплуатации
  • Дополнительные инвестиции в кибербезопасность
  • Обучение сотрудников или наем специалистов по безопасности ИИ (MLSecOps)
  • Возможная модернизация ИТ-инфраструктуры

Преимущества ранней адаптации:

  • Защита от санкций регуляторов
  • Рыночное преимущество
  • Снижение риска кибератак
  • Повышение доверия клиентов и партнеров

Рынок труда

По данным мониторинга hh.ru, спрос на специалистов в области безопасности ИИ за первое полугодие 2025 года увеличился в четыре раза по сравнению с аналогичным периодом 2024 года. Новый стандарт может усилить эту динамику, так как компаниям потребуются квалифицированные MLSecOps-специалисты для обеспечения соответствия требованиям.

Текущий статус

На октябрь 2025 года документ находится в стадии проекта и проходит общественное обсуждение. После завершения согласования и доработки стандарт будет официально утвержден и введен в действие, что сделает его рекомендации обязательными или настоятельно рекомендуемыми для организаций, эксплуатирующих системы ИИ в критической информационной инфраструктуре.

Проект ГОСТ Р «Искусственный интеллект в критической информационной инфраструктуре. Общие положения» формирует многоуровневую архитектуру доверия, сочетающую технические, организационные и правовые требования, и устанавливает единый стандарт зрелости для всей отрасли.

ИИ
Оцените статью
( Пока оценок нет )
Поделиться публикацией
Этот веб-сайт использует файлы cookie для улучшения пользовательского опыта. Продолжая использовать сайт, вы соглашаетесь на использование файлов cookie.