КиберБезОскара
КиберБезОскара
Читать в Telegram

Приказ ФСТЭК от 11.04.2025 №117 по защите ГИС

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
фстэкгисискусственный интеллект

Опубликован приказ ФСТЭК России от 11.04.2025 № 117 по защите ГИС (государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений), вступающий в силу с 1 марта 2026 года.

Удобно запомнить: вместо 17-го приказа теперь 117-й, а приказ ФСБ по защите ГИС с использованием шифровальных (криптографических) средств от 18.03.2025 — тоже №117 😀

❗️В пунктах 60 и 61 установлены требования по обеспечению защиты информации при использовании искусственного интеллекта для функционирования информационных систем.

  • По сравнению с ранними проектами приказа, которые я читал, требования упростились и и сформулированы в более общих терминах.

  • Например, на конференции TrustAI я обращал внимание, что проект приказа содержал требования по шаблонизации запросов и ответов пользователя, что противоречит природе работы с генеративной моделью в формате чат-бота. В итоговом приказе добавлен пункт 61 б) о возможности взаимодействия в формате свободной текстовой формы запросов и ответов, для которых потребуется контролировать допустимые тематики.

  • Вместо жесткого и невыполнимого требования из проекта — выявлять все недостоверные ответы ИИ (а как на 100% определить их недостоверность, если отсутствует прозрачность и объяснимость решений ИИ?), — теперь нужно разработать статистические критерии для сбора недостоверных ответов и их последующего анализа.

Появился пункт о том, что в состав ИС должны включаться доверенные технологии искусственного интеллекта. В п. 49 так же для проведения мониторинга информационной безопасности для анализа событий безопасности и выявления угроз допускается использование доверенных технологий искусственного интеллекта (получается явно указано для SIEM с ML/AI, а если ИИ использует другое средство защиты?). Однако сам реестр доверенных решений ИИ пока находится на этапе создания.

Учитывая масштабные планы внедрения ИИ в госсекторе, интересно, как будут выполняться данные требования. В любом случае новый приказ станет драйвером развития в области защиты технологий ИИ.

#mlsecops@oscar_cybersec #фстэк

Скриншот фрагмента официального документа: текст приказа ФСТЭК о защите ГИС, иллюстрация к разбору регламента.
Фрагмент текста приказа ФСТЭК №117

Читайте так же