Приказ № 117, заменяющий приказ № 17 от 11.02.2013, — первый нормативный акт ФСТЭК, детально регламентирующий использование ИИ в сфере ИБ. Он призван создать более зрелую и защищённую архитектуру безопасности, учитывающую стремительное развитие ИИ-технологий. Важную роль в адаптации к новым требованиям играет компания «Газинформсервис».
«Входя в консорциум по исследованию безопасности ИИ и возглавляя рабочую группу по созданию реестра доверенных ИИ-решений, "Газинформсервис" обеспечивает создание основного ориентира для выбора и внедрения ИИ в госсекторе. Решения компании уже сейчас соответствуют обновлённым требованиям ФСТЭК», — подчеркнул заместитель генерального директора – коммерческий директор компании «Газинформсервис» Роман Пустарнаков.
Приказ № 117 устанавливает следующие ключевые требования. Среди них — контроль достоверности ответов ИИ (п. 61), защита ИИ-систем и данных (п. 60), запрет на облачные ИИ-сервисы (п. 61), использование ИИ в мониторинге ИБ (п. 49).
«Даже доверенные ИИ-системы уязвимы: возможны утечки данных, внедрение вредоносного кода и эксплуатация уязвимостей. Мы уже анонсировали платформу BAS SimuStrike для проверки ИИ и его окружения на угрозы. Решения для безопасной разработки ИИ, такие как SafeERP и GIS-Киберполигон, позволяют тестировать модели на этапе создания, оценивая их устойчивость к атакам. А функция выявления недостоверных ответов и настройки сценариев реагирования, включая автоматическую блокировку, реализована с помощью BAS SimuStrike, который имитирует вредоносные запросы», — подчеркнул Роман Пустарнаков.
Заместитель генерального директора – коммерческий директор компании отметил, что для комплексной защиты можно использовать несколько решений компании «Газинформсервис»: криптографическую платформу Litoria, которая предотвращает несанкционированные изменения данных; систему управления доступом Ankey IDM, исключающую передачу конфиденциальной информации разработчикам; и СУБД Jatoba с механизмом обезличивания данных, усиливающую безопасность и защищающую от утечек чувствительной информации.
«Допускается использование только доверенных локальных технологий ИИ и российского ПО. Efros DefOps, в свою очередь, обеспечивает контроль целостности и конфигураций, повышая безопасность ИИ-систем», — добавил эксперт.
Новые нормы от ФСТЭК — это не просто очередной виток усиления ИБ, а важный шаг к формированию безопасной и контролируемой среды для ИИ в госсекторе и на объектах КИИ. С одной стороны, это позволит использовать потенциал ИИ для защиты информации. С другой —создаёт чёткие барьеры для рисков, связанных с галлюцинациями, утечками и злоупотреблениями. Государственные организации уже сегодня должны начинать адаптацию, чтобы быть готовыми к марту 2026 года.