С марта следующего года в РФ будет действовать приказ номер 117, согласно которому установятся твердые правила информационной безопасности для государственных информационных систем (ГИС) и подведомственных организаций. Нововведение касается и применения искусственного интеллекта (ИИ).
Это значит, что устанавливается обязательный контроль достоверности ИИ. Кроме того, будет полностью запрещено использовать облачные решения для обработки критически важных данных. Приказ должен детально определить использование искусственного интеллекта в сфере информационной безопасности с учетом стремительного развития технологий.
По словам коммерческого директора «Газинформсервис» Романа Пустарнакова, компания вошла в консорциум по исследованию безопасности ИИ и возглавила рабочую группу по созданию реестра доверенных ИИ-решений. Ориентиром в этом деле станут существующие решения «Газинформсервис», уже сейчас соответствующие обновленным требованиям ФСТЭК.
Среди ключевых требований приказа несколько пунктов, касающихся контроля достоверности ответов искусственного интеллекта, защиты ИИ-систем и данных, запрета на облачные ИИ-сервисы, использования ИИ в мониторинге информационной безопасности.
По мнению специалиста, сложно гарантировать безопасность даже доверенных ИИ-систем. Речь идет об утечках данных, внедрении вредоносных кодов и эксплуатации уязвимостей. Компания нашла способы и уже анонсировала продукты, которые смогут проверять ИИ и его окружение на угрозы, имитировать вредоносные запросы, выявлять недостоверные ответы и настраивать сценарии реагирования, в том числе автоматическую блокировку. Другие решения еще на этапе создания позволяют протестировать модель и оценить ее устойчивость к атакам, предотвратить несанкционированные изменения данных, исключить передачу конфиденциальных данных разработчикам, обезличить информацию, обеспечить контроль целостности и конфигураций, повысив безопасность ИИ-систем.
Решение ФСТЭК направлено не только на усиление информационной безопасности, но и на формирование здоровой среды для ИИ в государственном секторе и на объектах КИИ. В стране таким образом создаются возможности для использования потенциала искусственного интеллекта в целях защиты данных и в то же время четкие барьеры для рисков, включающих галлюцинации, утечки и злоупотребления. Госорганизациям уже сегодня, по словам Пустарнакова, нужно начинать адаптироваться к новым требованиям, чтобы быть готовыми к марту 2026 года.
