Журнал "Information Security/ Информационная безопасность" #4, 2025

формировать планы резервного копи- рования и восстановления, а для высо- кокритичных систем – еще и указаны планы обеспечения непрерывности функционирования, аварийных остано- вок и безопасного перехода. Дополни- тельно закрепляется обязанность про- ведения регулярных учений по реагиро- ванию на инциденты. ГОСТ вводит детализированные тре- бования к мониторингу. Предписан непрерывный контроль производитель- ности, безопасности, качества данных, действий пользователей и администра- торов. Для систем высоких уровней кри- тичности – создание выделенных цент- ров мониторинга с круглосуточным режи- мом работы. Помимо мониторинга, доку- мент предписывает разработку ком- плексных планов реагирования на инци- денты, их регулярное обновление и тестирование. Важный элемент – оценка эффектив- ности систем. Для этого установлены группы показателей: точность и скорость обработки данных, устойчивость к изме- нениям входных данных, показатели надежности и безопасности, включая среднее время наработки на отказ, время реагирования на инциденты и количество выявленных уязвимостей. Для каждого показателя должны зада- ваться целевые, допустимые и критиче- ские значения, методики измерения и порядок анализа результатов. Неотъемлемой частью становятся про- цедуры аудита: внутренний аудит, тести- рование на проникновение, проверки соответствия нормативным документам, аудит обработки данных. Частота про- верок напрямую связана с уровнем кри- тичности системы: от ежегодных для низких уровней до ежемесячных для критических. Все результаты аудита под- лежат документированию и используют- ся для корректировки процессов. Наконец, стандарт гармонизирован с международными и российскими рам- ками, включая ISO/IEC 27001, ISO/IEC 22989, ISO/IEC 42001 и Федеральный закон № 187-ФЗ "О безопасности КИИ". Это не только облегчает адаптацию для организаций, уже работающих по этим требованиям, но и создает основу для возможного взаимного признания стан- дартов на глобальном уровне. Проект ГОСТ Р "Искусственный интел- лект в критической информационной инфраструктуре. Общие положения" не просто устанавливает формальные пра- вила, а задает многоуровневую архи- тектуру доверия. Он сочетает техниче- ские, организационные и правовые тре- бования, обеспечивает прозрачность, устойчивость и управляемость ИИ- систем в критической инфраструктуре и формирует единый стандарт зрелости для всей отрасли. Что уже сейчас делать бизнесу Введение нормативных требований потребует существенных изменений – пересмотра существующих процессов, дополнительных инвестиций в кибербе- зопасность и обучение сотрудников, уча- ствующих в создании и эксплуатации ИИ-систем, а также возможной модер- низации ИТ-инфраструктуры. Эти изменения станут драйвером раз- вития MLSecOps – нового направления на стыке машинного обучения и инфор- мационной безопасности. Если раньше спрос на такие решения определялся рыночной конъюнктурой, то теперь они приобретают стратегическую важность. В свою очередь это спровоцирует резкий рост спроса на профильных специали- стов, способных обеспечивать безопас- ность ML-систем на всех этапах их жиз- ненного цикла, проводить аудит алго- ритмов на соответствие новым стандар- там, а также разрабатывать механизмы защиты от атак на ИИ-модели. Стоит отметить, что рынок труда уже демонстрирует устойчивый тренд: по данным мониторинга вакансий hh.ru , спрос на специалистов в области без- опасности ИИ за первое полугодие 2025 г. увеличился в четыре раза 2 по сравнению с аналогичным периодом 2024 г. Новый ГОСТ Р может усилить эту динамику, поскольку компаниям при- дется не только адаптировать суще- ствующие системы, но и нанять квали- фицированных MLSecOps-специалистов либо инвестировать в обучение дей- ствующих сотрудников. Если рассматривать технические и организационные меры, для успешной адаптации к новым регуляторным тре- бованиям организациям уже сегодня необходимо предпринять ряд практиче- ских шагов. Среди первоочередных задач можно выделить проведение ком- плексного аудита существующих ИИ- решений, включая анализ мест хранения исходного кода моделей, определение ответственных за разработку и эксплуа- тацию ИИ-систем, проверку полноты технической документации и оценку без- опасности всех системных интеграций. Особое внимание стоит уделить сред- ствам защиты каналов взаимодействия пользователей с ИИ-системами. Не менее значимым направлением подготовки является создание эффек- тивной системы реагирования на инци- денты. Подразумевается разработка чет- ких планов реагирования на кибератаки и восстановления работоспособности систем, а также внедрение регулярного тестирования на устойчивость к различ- ным видам атак. Выводы Внедрение искусственного интеллекта в критическую информационную инфра- структуру – это не просто вопрос эффек- тивности, а сложный баланс между инно- вациями и безопасностью. С введением ГОСТ Р "Искусственный интеллект в кри- тической информационной инфраструк- туре. Общие положения" исчезнет пра- вовая неопределенность: теперь для всех этапов работы с ИИ-системами рекомендованы меры защиты. Однако организациям предстоит серьезная рабо- та – от аудита текущих решений до пересмотра подходов к кибербезопас- ности и подготовки или найма новых профильных специалистов. Компании, которые успеют адапти- роваться первыми к новому стандарту, получат защиту от санкций регулято- ров и рыночное преимущество. Остальные же рискуют уязвимостью к кибератакам и отставанием в техно- логической гонке. И вопрос уже не в том, внедрять ли ИИ, а в том, как сделать максимально безопасно для бизнеса и общества. l • 11 ПРАВО И НОРМАТИВЫ www.itsec.ru 2 https://www.vedomosti.ru/technology/articles/2025/06/24/1119511-spros-na-spetsialistov-po-bezopasnosti-ii-viros Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рисунок: ГРОТЕК