Журнал "Information Security/ Информационная безопасность" #4, 2025

Искусственный интеллект в КИИ Искусственный интеллект прочно вошел в практику цифровой трансфор- мации, в том числе в организациях кри- тической информационной инфраструк- туры. Активное внедрение ИИ-решений бизнесом обусловлено их доказанной эффективностью – они существенно снижают затраты и повышают произво- дительность. Однако многие руководи- тели, увлеченные перспективами техно- логии, недооценивают сопутствующие риски. Главная угроза, связанная с использо- ванием ИИ в критической инфраструкту- ре, – неконтролируемая передача данных на внешние серверы. Все, что вводится в промпт ИИ, зачастую уходит за пределы корпоративного периметра и может обра- батываться, а затем бессрочно храниться на мощностях иностранных компаний, расположенных в недружественных стра- нах. Это делает уязвимыми не только клиентские данные, но и внутренние про- цессы – от переписки до технологической документации. В условиях КИИ, охватывающей ключевые отрасли экономики, подобные утечки несут особую опасность: они спо- собны поставить под угрозу непрерыв- ность работы, национальную безопас- ность и доверие общества к цифровым сервисам. Долгое время главной проблемой оста- валось отсутствие четкого правового регулирования применения ИИ. При неопределенных требованиях организа- ции действовали на свой страх и риск, а несогласованность защитных мер повышала уязвимость критически важ- ных систем. 1 июля 2025 г. на странице Техниче- ского комитета 362 был опубликован проект ГОСТ Р "Искусственный интел- лект в критической информационной инфраструктуре. Общие положения" 1 . Даже с учетом предстоящих доработок этот документ уже задает ключевые направления и формирует фундамен- тальные принципы безопасного приме- нения ИИ в КИИ. Краткий обзор проекта стандарта Проект нового ГОСТ Р устраняет пра- вовой вакуум в сфере применения искус- ственного интеллекта в критической информационной инфраструктуре и впервые формирует единый регламент для всех участников этого процесса: разработчиков, интеграторов, эксплуа- тирующих организаций и подрядчиков. Документ не ограничивается общими принципами, а задает четкую термино- логическую и методологическую базу. В нем закреплены ключевые определе- ния: что считается системой искусствен- ного интеллекта, какие объекты и субъ- екты относятся к КИИ, как классифици- руются угрозы, уязвимости и инциденты. Формируется единая понятийная рамка, устраняющая расхождения между заказ- чиками, регуляторами и вендорами. Регламентируется полный жизненный цикл ИИ-систем от проектирования до вывода из эксплуатации. То есть ИИ- системы из черного ящика превращают- ся в управляемый объект с предсказуе- мыми рисками безопасности. Особое место занимает классифика- ция систем ИИ по уровням критичности. Выделены четыре категории: от реко- мендательных решений, чьи ошибки не приводят к непосредственному наруше- нию функционирования объектов КИИ, до систем, ошибки или сбои в работе которых могут привести к аварийным ситуациям, угрозе жизни и здоровью людей, материальному ущербу и другим тяжелым последствиям. Для каждой категории предусмотрены соответствую- щие требования к безопасности, надеж- ности, тестированию, контролю и нали- чию планов аварийных остановок. Проект также задает требования к управлению рисками. Вводится обяза- тельная идентификация угроз, связанных с качеством и репрезентативностью дан- ных, интерпретацией результатов, пове- дением моделей и целенаправленными атаками. Предусмотрены регулярные оценки риска: ежегодные для систем низкой и средней критичности, полуго- довые и чаще – для высококритичных. Для систем ИИ 3-го и 4-го уровня устанавливается расширенный спектр методов снижения рисков: проектиро- вание безопасности на всех этапах жиз- ненного цикла, многоуровневая защита, формальная верификация, резервиро- вание компонентов, независимая экс- пертиза и моделирование атак и др. Документ четко описывает организа- ционные меры. Компании обязаны раз- рабатывать внутренние политики без- опасности ИИ, внедрять процедуры управления доступом и изменениями, 10 • ПРАВО И НОРМАТИВЫ Новый ГОСТ изменит работу с ИИ в критической информационной инфраструктуре оссийские компании, использующие искусственный интеллект в критической информационной инфраструктуре, готовятся к новым требованиям. ФСТЭК России опубликовала проект ГОСТ Р, устанавливающий правила обеспечения безопасности ИИ-систем в ключевых отраслях – от энергетики и транспор- та до финансов и здравоохранения. При этом стоимость несо- блюдения новых правил может оказаться значительной: это не только риски утечек конфиденциальных данных, но и штрафы, и потеря репутации. Р Николай Павлов, архитектор MLSecOps, преподаватель Академии Softline (ГК Softline) Фото: ГК Softline 1 https://fstec.ru/tk-362/deyatelnost-tk362/rassmotrenie-dokumentov-smezhnymi-tk/tk-164-iskusstvennyj-intellekt