Новости

ISO/IEC 42001: подробный разбор стандарта по управлению рисками ИИ

Что такое ISO/IEC 42001

ISO/IEC 42001 – это первый в мире международный стандарт, который определяет требования к созданию, внедрению, поддержанию в рабочем состоянии и постоянному улучшению системы менеджмента искусственного интеллекта (Artificial Intelligence Management System, AIMS). Он предназначен для организаций, предоставляющих или использующих продукты или услуги на основе искусственного интеллекта, обеспечивая ответственную разработку и использование систем ИИ.

Стандарт рассматривает уникальные проблемы, которые создает ИИ, такие как этические аспекты, прозрачность и непрерывное обучение. Для организаций он устанавливает структурированный способ управления рисками и возможностями, связанными с ИИ, обеспечивая баланс между инновациями и управлением.

Для кого предназначен стандарт ISO/IEC 42001

В официальных рекомендациях указано, что ISO/IEC 42001 применим к организациям любого размера, занимающимся разработкой, предоставлением или использованием продуктов или услуг на основе искусственного интеллекта.

При этом стандарт особенно важен для организаций, которые:
  1. Интегрируют ИИ в критически важные бизнес-процессы, где ошибки могут приводить к существенным финансовым, юридическим или репутационным последствиям.
  2. Работают с чувствительными данными при использовании ИИ (персональные данные, конфиденциальная информация).
  3. Осуществляют деятельность в регулируемых отраслях и обязаны обеспечивать прозрачность, управляемость и подотчётность ИИ-систем.
  4. Разрабатывают и обучают собственные модели ИИ и несут ответственность за их качество, безопасность и корректность работы.
  5. Используют сторонние ИИ-сервисы и должны управлять связанными рисками (утечки данных, зависимость от поставщиков, неконтролируемое поведение моделей).

Структура ISO/IEC 42001

Стандарт ISO 42001 разработан по высокоуровневой структуре (HLS), что означает, что он имеет ту же структуру и названия пунктов, что и другие стандарты, включая ISO 27001, ISO 9001, ISO 14001 и ISO 22301.

Документ состоит из пяти частей:

1. Основная часть включает 11 разделов (от 0 до 10). Разделы 0–3 являются вводными, а разделы 4–10 содержат обязательные требования, типовые для всех стандартов ISO:
  • контекст организации,
  • лидерство,
  • планирование,
  • поддержка,
  • деятельность,
  • оценка результатов деятельности,
  • улучшение.

2. В приложении А приведен перечень мер контроля, которые могут быть внедрены для достижения организационных целей и устранения рисков, связанных с проектированием и эксплуатацией систем ИИ. Приложение А содержит 38 контролей, сгруппированных в девять категорий:
  • Политики в области ИИ (A.2): определяют стратегические принципы, цели и обязательства организации в части разработки, внедрения и использования систем искусственного интеллекта.
  • Организация внутренней деятельности (A.3): устанавливает роли, ответственность и процессы управления, обеспечивающие эффективное функционирование системы управления ИИ внутри организации.
  • Ресурсы систем ИИ (A.4): охватывает управление необходимыми ресурсами, включая инфраструктуру, вычислительные мощности, инструменты и компетенции персонала.
  • Оценка воздействия систем ИИ (A.5): предусматривает проведение оценки рисков и потенциальных последствий использования ИИ для бизнеса, пользователей и внешней среды.
  • Жизненный цикл систем ИИ (A.6): регулирует процессы разработки, внедрения, эксплуатации, мониторинга и вывода из эксплуатации систем ИИ.
  • Данные для систем ИИ (A.7): описывает требования к качеству, происхождению, защите и управлению данными, используемыми при обучении и работе ИИ.
  • Информация для заинтересованных сторон систем ИИ (A.8): определяет подходы к обеспечению прозрачности, информированию и взаимодействию с пользователями и другими заинтересованными сторонами.
  • Использование систем ИИ (A.9): устанавливает правила и ограничения эксплуатации ИИ-систем с учетом их назначения, рисков и контекста применения.
  • Взаимоотношения с третьими сторонами и клиентами (A.10): регулирует требования к управлению рисками, контрактами и ответственностью при взаимодействии с внешними поставщиками и пользователями ИИ.

3. Приложение B содержит руководящие указания по применению мер контроля из приложения A и носит справочный характер. В нем раскрывается практический смысл каждого контроля, приводятся примеры реализации и возможные подходы к их внедрению с учетом специфики организации и типа ИИ-систем.

4. Приложение C устанавливает взаимосвязь между требованиями стандарта и мерами контроля. В нем показано, каким образом контроли из приложения A соотносятся с обязательными требованиями разделов 4–10 основной части стандарта.

5. Приложение D содержит справочную информацию об использовании СУИИ в разных областях и сферах деятельности организаций, а также информацию об возможностях интеграции СУИИ с другими системами менеджмента.
Структура ISO/IEC 42001

Ключевые аспекты управления ИИ в ISO/IEC 42001

Прозрачность и доверие: Стандарт ISO 42001 помогает сделать ИИ «понятным» для человека, прозрачным и справедливым в своих выводах. Оценка воздействия систем ИИ позволяет выявлять риски до внедрения систем, что помогает организациям обосновывать решения, принимаемые с помощью ИИ, перед регулирующими органами, клиентами и заинтересованными сторонами.

Непрерывное обучение и адаптация: Модели искусственного интеллекта постоянно развиваются, что может приводить к непредвиденным последствиям. Регулярный мониторинг, аудит и оценка эффективности процессов ИИ позволяют организациям выявлять и устранять сбои и отклонения в работе ИИ на ранних стадиях, обеспечивая соответствие требованиям и надежность.

Управление третьими сторонами: Многие компании полагаются на внешние решения в области искусственного интеллекта, что создает дополнительные риски. Оценка поставщиков, договорные обязательства и независимые аудиты гарантируют, что сторонние инструменты ИИ соответствуют тем же строгим этическим и операционным требованиям, что и внутренние решения.

Бесшовная интеграция с существующими стандартами: Компании, уже внедрившие стандарты ISO/IEC 27001 и 27701, могут включить управление ИИ в свои системы кибербезопасности и защиты данных. Такая интеграция обеспечивает простоту управления процессами за счет единой системы менеджмента.

Преимущества внедрения ISO/IEC 42001 для компании

Благодаря системному подходу стандарт позволяет организациям выстроить управление искусственным интеллектом, контролировать риски его применения и эффективно интегрировать ИИ в бизнес-процессы. Внедрение стандарта даёт компаниям 5 основных преимуществ:
  1. Повышение доверия клиентов и партнеров. Сертификат ISO 42001 подтверждает, что компания разрабатывает и использует ИИ ответственно.
  2. Рост конкурентоспособности. Требования ISO 42001 становятся преимуществом в тендерах и при выходе на новые рынки.
  3. Прозрачные процессы ИИ. Формируется система управления искусственным интеллектом. Появляется понятное распределение ролей, ответственности и контрольных процедур.
  4. Управление рисками. Компания начинает регулярно выявлять, оценивать и обрабатывать риски ИИ.
  5. Поддержка инноваций. ISO 42001 помогает развивать экспериментальные проекты в рабочие решения, которые приносят пользу и деньги.

Как проходит сертификация по ISO/IEC 42001

После полного внедрения СУИИ организация может пройти сертификацию по ISO/IEC 42001, признаваемую на международном уровне. Для этого необходимо привлечь аккредитованный орган по сертификации, который оценит соответствие системы менеджмента ИИ требованиям стандарта – например, TÜV Austria, Bureau Veritas.
Подробнее об услуге >>>

FAQ

1. Что такое система управления искусственным интеллектом?
Система управления искусственным интеллектом – это набор взаимосвязанных элементов организации, предназначенных для разработки политик и целей, а также процессов для достижения этих целей в отношении ответственной разработки, подготовки или использования систем ИИ.

2. Является ли стандарт ISO 42001 обязательным?
В настоящее время стандарт ISO 42001 не является обязательным, поскольку ни одна страна еще не предписала организациям внедрение этого стандарта. Однако все больше стран публикуют свои правила регулирования ИИ (например, Закон ЕС об ИИ), некоторые из которых в будущем могут потребовать внедрения стандарта ISO 42001. В любом случае, компаниям, внедрившим стандарт ISO 42001, будет гораздо проще соблюдать требования законодательства в области искусственного интеллекта.

3. Стандарт распространяется на все системы с искусственным интеллектом?
Да, стандарт ISO 42001 применим к любым видам систем на базе искусственного интеллекта независимо от технологии (ML, генеративный ИИ, компьютерное зрение, агентные системы и т.д.).

4. Как стандарт ISO/IEC 42001 соотносится с существующими системами менеджмента?
ISO/IEC 42001 дополняет и интегрируется с существующими системами менеджмента, такими как ISO 27001, ISO 9001 и ISO 13485:
  • ISO 27001 рассматривает вопросы информационной безопасности, а ISO/IEC 42001 распространяет эти принципы на уникальные риски безопасности и проблемы защиты данных, связанные с искусственным интеллектом.
  • ISO 9001 фокусируется на управлении качеством, а ISO/IEC 42001 развивает эту концепцию, предоставляя основу для управления качеством и согласованностью систем искусственного интеллекта.
  • ISO 13485 устанавливает требования к качеству медицинских изделий, а ISO/IEC 42001 поддерживает это, обеспечивая соответствие компонентов искусственного интеллекта высоким стандартам безопасности и эффективности.
Нужна консультация эксперта? Оставьте заявку >>>
Экспертиза