Ключевые структуры. Национальные центры обеспечения ИБ в мире, включая направление ИИ

Ключевые структуры. Национальные центры обеспечения ИБ в мире, включая направление ИИ

В настоящее время в мире в ряде стран существуют структуры, отвечающие за обеспечение информационной безопасности (ИБ). Их обязанности, функции и полномочия варьируются от страны к стране.

В одних случаях, как правило, относящихся к малым государствам, их функции ограничиваются координацией реагирования на компьютерные инциденты — ​своего рода национальные CERT. В других случаях это центры или агентства с широким набором функций и полномочий. В их числе реагирование на компьютерные инциденты, сертификация средств защиты, а также роль координационного центра между участниками электронного взаимодействия в части обеспечения ИБ.

Для примера ниже приведены обязанности, функции и полномочия нескольких подобных зарубежных структур.

Глава 1. Структуры, отвечающие за обеспечение информационной безопасности

Франция. Национальное агентство безопасности информационных систем (Agence nationale de la sécurité des systèmes d’information, ANSSI) создано 7.07.2009 г. Оно является наследником длинной череды агентств, отвечающих за обеспечение безопасности конфиденциальной информации, в частности государственной [1], и находится в ведении Генерального секретаря по обороне и национальной безопасности, является национальным органом власти в области кибербезопасности и киберзащиты во Франции.

Роль ANSSI заключается в создании и организации на межведомственном уровне защиты нации от кибератак, а также в содействии стабильности киберпространства.

Деятельность ANSSI вписывается в рамки государственных задач, направленных на достижение общей цели государственной политики безопасности и устойчивости администраций, экономики и общества в целом.

Его действия сводятся к пяти основным миссиям: защищать, знать, делиться, сопровождать, регулировать:

1. Защищать критически важные информационные системы страны за счет разработки и эксплуатации средств обнаружения кибератак, а также обеспечения доступности надежных продуктов безопасности, способных защитить самые конфиденциальные данные и реагировать на самые высокие угрозы.
2. Знать современное состояние в области безопасности информационных технологий и систем; угрозы и риски в киберпространстве; тенденции в мире кибербезопасности во Франции, Европе и за рубежом.
3. Делиться рекомендациями, методами и инструментами для специалистов в области кибербезопасности и цифровых технологий; знаниями и ноу-хау об угрозе и возможных ответных мерах совместно с техническими, оперативными и стратегическими партнерами, будь то французы, европейцы или страны за пределами Европы.
4. Сопровождать развертывание государственной политики в области кибербезопасности и ее территориальное подчинение, власти в своем понимании киберфакта, а также регулируемые организации в применении мер защиты своих информационных систем и их реагировании на инциденты. Сопровождать развитие экосистемы доверенных частных поставщиков продуктов и услуг.
5. Регулировать качество продуктов и услуг в области кибербезопасности посредством процедур квалификации и сертификации; качество продукции, содержащей цифровые элементы, путем обеспечения безопасности по дизайну и по умолчанию путем разработки нормативных механизмов на национальном, европейском и международном уровнях, а также контролировать их правильное выполнение.

Организационная структура и поддиректории:

1. Подразделение экспертизы выполняет общую миссию агентства по экспертизе и технической поддержке.
2. Операционное подразделение обеспечивает на оперативном и тактическом уровнях выполнение возложенной на ANSSI функции органа по защите цифровых систем, представляющих интерес для нации.
3. Поддиректория ресурсов отвечает за программирование и выполнение мероприятий по управлению финансовыми, человеческими, движимыми и недвижимыми ресурсами, а также за экспертизу и юридическое сопровождение. Она поддерживает деятельность агентства.
4. Подразделение по стратегии способствует разработке и реализации государственной политики в области цифровой безопасности, взаимодействует со всеми аудиториями ANSSI и развивает взаимодействие с сетью ключевых партнеров. Оно опирается на свои знания проблем кибербезопасности, а также на технический и операционный опыт других подотраслей.
5. Подразделение контроля и надзора объединяет надзорные функции, которые возложены на ANSSI в его роли компетентного органа в соответствии с европейскими и национальными правилами (в частности, стратегией жизненно важной деятельности).

Как национальный орган по киберзащите, сетевой и информационной безопасности (NIS), ANSSI является хранилищем навыков, которое делится своим опытом и оказывает жизненно важную помощь правительственным ведомствам и операторам.

Великобритания.  Национальный центр кибербезопасности Великобритании (National Cybersecurity Center, NCSC) — организация правительства Великобритании, которая оказывает консультативную помощь и поддержку государственному и частному секторам в вопросах предотвращения угроз компьютерной безопасности. Организация была основана в Лондоне и начала функционировать в октябре 2016 г. [2]

«Национальный центр кибербезопасности служит связующим звеном между промышленностью и правительством, предоставляя консультации, рекомендации и поддержку в вопросах кибербезопасности, включая реагирование на инциденты в сфере кибербезопасности.

NCSC входит в состав Главного управления правительственной связи» [3].

В документе «Проспект Национального центра кибербезопасности» [4] объясняется концепция NCSC и то, как он намерен преобразовать сферу кибербезопасности в Великобритании:

«Перед Национальным центром кибербезопасности будут стоять четыре ключевые задачи:

1. Понять кибербезопасность окружающей среды, обмениваться знаниями и использовать этот опыт для выявления системных уязвимостей и устранения их. NCSC станет центром правительственной экспертизы того, что происходит в киберпространстве, объединяя знания, полученные в результате инцидентов и разведданных, с информацией, которой делятся благодаря тесным отношениям с промышленностью, научными кругами и международными партнерами.
2. Снизить риски для Великобритании, работая с организациями государственного и частного секторов, необходимо улучшить свою кибербезопасность. NCSC окажет поддержку наиболее важным организациям в Великобритании из государственного и частного секторов в обеспечении безопасности их сетей.
3. Реагировать на инциденты кибербезопасности, чтобы уменьшить вред, который они наносят Соединенному Королевству. Мы признаем, что, несмотря на все наши усилия по снижению рисков и повышению безопасности, инциденты все равно будут происходить. Когда происходит серьезный киберинцидент, мы будем работать с жертвами, чтобы минимизировать ущерб, помочь с восстановлением и извлечь уроки для уменьшения вероятности повторения и минимизации будущих последствий.
4. Развивать наш национальный потенциал кибербезопасности и обеспечивать лидерство в важнейших вопросах национальной кибербезопасности. Кибербезопасность и информационные технологии продолжают развиваться быстрыми темпами. Как правительственный центр кибернетических знаний, NCSC будет иметь наилучшее понимание того, что происходит сегодня — ​с точки зрения угроз, уязвимостей и технологических тенденций…»

Национальный центр кибербезопасности обслуживает широкий круг организаций Великобритании по всему спектру вопросов кибербезопасности.

Следовательно, предоставляемые услуги будут многоуровневыми, отражающими различные угрозы, с которыми сталкиваются организации, а также навыки и ресурсы, которыми они располагают для их устранения. Владельцы сетей, систем и данных останутся ответственными за управление рисками для своих организаций; NCSC не будет представлять собой изменение этого принципа ответственности за риски.

Мы определили четыре категории взаимодействия для описания объема нашего предложения:

1. NCSC предоставит общие рекомендации и руководство.
2. NCSC будет управлять партнерством по обмену информацией в области кибербезопасности.
3. Мы предлагаем, чтобы NCSC подготовил индивидуальные рекомендации для определенных секторов и активно работал с компаниями над этим.
4. NCSC также предоставит индивидуальную поддержку небольшому числу наиболее важных организаций Великобритании».

Вот пример работы NCSC :

«Профиль: ГРУ, операции по борьбе с киберугрозами и гибридными угрозами». Информационный бюллетень, в котором рассказывается о кибероперациях и информационных кампаниях Вооруженных сил Российской Федерации (ГРУ) против Великобритании и ее союзников. В частности:

«Траектории угроз и сценарии будущего.

Великобритания обеспокоена тем, что с 2014 г. ГРУ использует Украину в качестве ис-пытательного полигона для разработки ряда кибервозможностей, интегрированных в его военную доктрину.

Дестабилизирующая деятельность России не соответствует ее роли постоянного члена Совета Безопасности ООН (СБ ООН). Она также противоречит нормам ООН об ответственном поведении государств в киберпространстве, которые, как утверждает Россия, она соблюдает.

Геополитическая неопределенность, намерения и возможности России по нанесению ударов по союзникам по НАТО, а также опыт ведения боевых действий в Украине создают условия для перенаправления этих угроз. Крайне важно, чтобы Великобритания и наши союзники продолжали поддерживать Украину и готовились к возможному перенаправлению киберугроз и гибридных угроз со стороны ГРУ на европейских партнеров, союзников по НАТО и Соединенное Королевство сейчас и в будущем.

Совместно с союзниками по НАТО и Европейскому союзу Великобритания продолжит повышать осведомленность о потенциальных сценариях угроз, которые ГРУ представляет для нас и наших союзников».

Германия. Nationales Cyber-Abwehrzentrum. Национальный центр киберзащиты (NCDC или Cyber-DC) [5] — ​это платформа сотрудничества, взаимодействия и координации федеральных агентств и других учреждений из различных министерств, занимающихся, в частности, вопросами, связанными с кибербезопасностью, имеющими общенациональное значение.

Центр киберзащиты был создан в 2011 г. как совместная межведомственная и институциональная платформа для улучшения и ускорения обмена информацией между участвующими ведомствами и учреждениями, а также для усиления координации защитных мер и контрмер в отношении инцидентов, связанных с информационной безопасностью в Германии. 1.09.2019 г. Центр киберзащиты претерпел значительные изменения.

Центр киберзащиты не является самостоятельным органом. Федеральное управление информационной безопасности является вышестоящей организацией Центра киберзащиты.

Федеральное управление информационной безопасности (Bundesamtfür Sicherheitinder Informationstechnik, BSI) [6] — ​это немецкое федеральное ведомство высшего уровня, основанное в 1991 г. и отвечающее за обеспечение компьютерной и коммуникационной безопасности для правительства Германии. В сферу его компетенции и ответственности входят безопасность компьютерных приложений, защита критически важной инфраструктуры, безопасность в интернете, криптография, противодействие прослушиванию, сертификация продуктов для обеспечения безопасности и аккредитация испытательных лабораторий по обеспечению безопасности…

Федеральное ведомство информационной безопасности Германии было основано в 1991 г. Его предшественником был криптографический отдел немецкой службы внешней разведки (BND)».

«Целью BSI [7] является превентивное содействие информационной и кибербезопасности для обеспечения безопасного использования информационно-коммуникационных технологий в обществе. BSI оказывает поддержку в обеспечении серьезного отношения к проблеме ИТ-безопасности в правительстве, бизнесе и обществе и реализует ее независимо.

Например, BSI разрабатывает ориентированные на практику минимальные стандарты и рекомендации для целевых групп по обеспечению безопасности в сфере информационных технологий и интернета, чтобы помочь пользователям избежать рисков.

Федеральное ведомство по информационной безопасности также отвечает за защиту федеральных ИТ-систем. Это касается защиты федеральных компьютеров и сетей от вирусов, троянских атак и других технических угроз.

Функции BSI также включают в себя:

• защиту сетей федерального правительства, включая обнаружение атак на правительственные сети и защиту от них;
• тестирование, сертификацию и аккредитацию ИТ-продуктов и услуг;
• предупреждение о вредоносном ПО или уязвимостях в ИТ-продуктах и услугах;
• консультации по ИТ-безопасности для федерального правительства и других целевых групп;
• предоставление информации и повышение осведомленности граждан в вопросах ИТ-безопасности и интернет-безопасности;
• разработку единых и обязательных стандартов ИТ-безопасности;
• разработку криптографических систем для федеральных ИТ-систем».

США. Агентство по кибербезопасности и защите инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) — ​это автономное федеральное агентство США, подчиняющееся Министерству внутренней безопасности. Создано в соответствии с Законом о кибербезопасности и агентстве безопасности инфраструктуры в 2018 г. Роль агентства заключается в улучшении кибербезопасности государства на всех уровнях управления, координации программ кибербезопасности со штатами США и улучшении государственной защиты от частных и национальных хакеров [8].

Роль агентства — ​защита критической инфраструктуры США от киберугроз. Некоторые задачи:

• мониторинг и анализ угроз;
• разработка рекомендаций по защите;
• обеспечение технической и информационной поддержки для организаций в этой отрасли;
• координация программ кибербезопасности со штатами США;
• улучшение государственной защиты от частных и национальных хакеров.
• CISA предоставляет поддержку бизнесу и организациям, пострадавшим от кибератак.

В октябре 2024 г. агентство представило свой первый Международный стратегический план на 2025–2026 гг., который определяет приоритетные направления в области международного сотрудничества для повышения безопасности и устойчивости критически важной инфраструктуры. Согласно этому плану среди основных задач агентства — ​укрепление устойчивости зарубежной инфраструктуры, усиление интегрированной киберзащиты и унификация международной деятельности CISA.

«В CISA стратегическое партнерство имеет важное значение для повышения национальной безопасности и устойчивости. Мы используем информацию, полученную от промышленности, правительства всех уровней, некоммерческих организаций, академических кругов и исследовательских сообществ, чтобы опережать появляющиеся возможности и тенденции рынка» [9].

Агентство оборонных информационных систем США (Defense Information Systems Agency, DISA) — ​агентство боевой поддержки (combat support agency) Министерства обороны США (DoD). Отвечает за планирование, разработку и реализацию информационной инфраструктуры, систем и услуг для поддержки DoD и его компонентов. DISA состоит из военных, федеральных гражданских и подрядчиков.

«DISA — ​это агентство боевой поддержки, которое обеспечивает безопасность и эксплуатацию глобальной ИТ-инфраструктуры, поддерживающей связь между всеми вооруженными силами США и Министерством обороны США. DISA работает по всему миру в режиме 24/7, предоставляя сетевые решения, которые поддерживают весь спектр деятельности Министерства обороны. В его задачи входит планирование, проектирование, приобретение, внедрение и поддержка информационных и коммуникационных систем, необходимых для национальной обороны.

Основная оперативная функция DISA — ​управление информационной сетью Министерства обороны (DODIN), глобальной магистралью для всех коммуникаций Министерства обороны. DODIN — ​это глобальная взаимосвязанная система электронных информационных ресурсов, включающая в себя вычислительные подсистемы, принадлежащие Министерству обороны и взятые в аренду. DISA отвечает за планирование, проектирование, эксплуатацию и техническое обслуживание этой обширной инфраструктуры, обеспечивающей военные операции и потребности министерства.

DISA играет ключевую роль в обеспечении кибербезопасности и защите информации, защищая DODIN во всех подразделениях Министерства обороны. Агентство проводит оборонительные операции в киберпространстве, защищая DISN и его сервисы от вторжений и неправомерного использования. Эта защита включает в себя непрерывный мониторинг, обнаружение угроз и реагирование на киберинциденты, затрагивающие военные системы и данные. DISA управляет программой Security Technical Implementation Guide (STIG), которая устанавливает стандарты конфигурации для защиты ИТ-систем, программного обеспечения и сетевых компонентов. Соблюдение требований STIGs является обязательным для любой системы, работающей в рамках DODIN, и обеспечивает стандартизированный уровень безопасности» [10].

Некоторые другие задачи DISA:

• обеспечение безопасной и надежной передачи данных по глобальной сети военных: Агентство использует спутниковую связь, оптоволоконные кабели и другую инфраструктуру для передачи голоса, данных и видео;
• разработка и управление информационными технологиями: например, DISA разрабатывает сеть Defense Information Systems Network (DISN) — ​основную сеть коммуникации Министерства обороны, систему Global Command and Control System (GCCS) — ​систему совместного командования и управления, которая обеспечивает ситуационную осведомленность военным командирам. А также Joint Information Environment (JIE) — ​безопасную и совместимую среду обмена информацией для Министерства обороны — ​и управляет ими;
• обеспечение кибербезопасности: DISA предоставляет услуги по мониторингу сетей и обнаружению угроз, чтобы защитить сети и системы Министерства обороны от кибератак;
• поддержка совместных и коалиционных операций: Агентство обеспечивает бесперебойную коммуникацию и координацию между военными подразделениями;
• консультирование высшего руководства Министерства обороны в вопросах информационной политики и реализация утвержденной им стратегии;
• надзорная деятельность за проведением любых сетевых операций всех подразделений Министерства обороны, включая Объединенный комитет начальников штабов.

Глава 2. Безопасность искусственного интеллекта

Во время саммита по безопасности искусственного интеллекта (ИИ) в ноябре 2023 г. Великобритания и Соединенные Штаты Америки приняли решение о создании собственных институтов безопасности ИИ. В рамках саммита по ИИ в мае 2024 г. в Сеуле лидеры ряда стран договорились о создании сети институтов безопасности ИИ, в которую вошли учреждения из Великобритании, США, Японии, Франции, Германии, Италии, Сингапура, Южной Кореи, Австралии, Канады и Европейского союза [11].

В КНР структура, регулирующая и контролирующая ИБ, создана в 2014 г. Впоследствии на нее были возложены функции по обеспечению ИБ в ИИ.

Китай. Администрация киберпространства Китая (Cyberspace Administration of China, CAC) — ​центральный орган регулирования интернета в Китае, который занимается регулированием кибербезопасности, в том числе в отношении ИИ.

CAC — ​основной регулятор, который публикует подзаконные нормативные акты, разрабатывает стандарты и контролирует соблюдение требований в сфере кибербезопасности.

CAC несет полную ответственность за планирование и координацию регулирования в сфере кибербезопасности. Это самый активный регулятор с точки зрения выпуска нормативных документов в сфере кибербезопасности, а его правоприменительная деятельность сосредоточена на управлении «экологией интернета» и сетевым информационным наполнением.

Сфера регулирования CAC имеет экстерриториальный охват, то есть компании за пределами Китая, которые обрабатывают персональные данные китайских пользователей, могут подпадать под его юрисдикцию.

CAC находится под прямой юрисдикцией Центральной комиссии по делам киберпространства, партийного учреждения, подчиненного Центральному комитету Коммунистической партии Китая (КПК).

CAC — ​главный регулятор трех основных законов Китая в сфере кибербезопасности:

1. Закон о кибербезопасности (CSL) — ​действует с 2017 г., регулирует безопасность сетей, локализацию данных для операторов критических информационных инфраструктур и базовые стандарты кибербезопасности.
2. Закон о безопасности данных (DSL) — ​принят в 2021 г., вводит классификации данных на основе рисков (например, «важные данные») и определяет, как такие данные должны храниться, передаваться и защищаться, особенно в трансграничных сценариях.
3. Закон о защите персональных данных (PIPL) — ​рамочный закон, который устанавливает основные принципы, цели, полномочия и ответственность в области защиты персональных данных.

В 2024 г. принят «Закон об искусственном интеллекте», который вступил в силу 1.07.2025 г. Некоторые положения закона:

• классификация рисков систем ИИ — ​все приложения делятся на четыре категории: «минимального», «ограниченного», «высокого» и «неприемлемого» риска. К высокой категории отнесены системы, используемые в критической инфраструктуре, правоприменении, судопроизводстве и для сканирования эмоций в реальном времени. Для них введены обязательные аудиты, стресс-тесты и сертификация;
• суверенитет алгоритмов — ​компании, работающие с данными китайских граждан в стратегических отраслях (финтех, логистика, здравоохранение), обязаны использовать алгоритмы, разработанные и зарегистрированные на территории КНР;
• ответственность разработчика — ​закон четко устанавливает цепочку ответственности: от сборщика данных и тренера модели до конечного интегратора и оператора.

Стандарты. CAC и Национальный технический комитет по стандартизации информационной безопасности (TC260) разрабатывают стандарты в сфере кибербезопасности ИИ. Например:

• Руководство по реагированию на инциденты с генеративным ИИ — ​документ, который предлагает прозрачную матрицу для оценки угроз и описывает фазы реагирования: подготовку, мониторинг, устранение, анализ.
• Национальный стандарт Cybersecurity Technology — ​Safety Specifications for Generative Artificial Intelligence Pre-Training and Fine-Tuning Data — ​документ, который определяет требования к безопасности данных для обучения и настройки генеративных моделей ИИ, а также описывает методы оценки. Окончательная версия стандарта выпущена в апреле 2025 г.

Контроль. CAC имеет полномочия по контролю за соблюдением требований в сфере кибербезопасности ИИ. Некоторые из них:

• проводит обзоры кибербезопасности и передачи данных;
• требует оценки безопасности для трансграничных потоков данных;
• заказывает исправление или приостановку цифровых сервисов;
• выпускает административные штрафы за нарушения законов.

В августе 2023 г. CAC запустил реестр генеративных моделей ИИ, подлежащих обязательной проверке. По данным на сентябрь 2025 г., CAC одобрил к публичному использованию более 140 моделей.

Исследования. Под эгидой CAC совместно с научными институтами и компаниями разработана рамочная программа по регулированию безопасности ИИ. Цель документа — ​создание общей основы для управления рисками, связанными с ИИ, а также содействие международному сотрудничеству в этой сфере. Некоторые особенности программы:

• классификация рисков ИИ — ​вводятся пять уровней: минимальный, ограниченный, значительный, серьезный и критический, что позволяет более точно определить необходимость регулирования в каждом конкретном случае;
• базовые принципы управления безопасностью ИИ — ​интеграция и осмотрительность, гибкое управление на основе рисков, интеграция технологий и управления, открытость и сотрудничество, надежное применение и предотвращение потери контроля;
• обязательный непрерывный мониторинг новых рисков — ​подчеркивается необходимость многостороннего и трансграничного сотрудничества в сфере безопасности ИИ.

В августе 2023 г. Китай ввел обязательную регистрацию провайдеров генеративного ИИ и потребовал от публичных моделей получить официальную лицензию от CAC. Некоторые меры, которые CAC использует для контроля соблюдения законов об ИИ:

• запуск реестра генеративных моделей: провайдеры обязаны отчитываться о составе наборов данных и результатах «красных команд» — ​этических хакеров, которые тестируют безопасность алгоритмов;
• требования к провайдерам сервисов ИИ: они должны брать на себя ответственность за вопросы безопасности на протяжении всего жизненного цикла продукта и создавать системы для проверки алгоритмов, защиты данных и личной информации;
• запрет на распространение определенного информационного наполнения: в частности, запрещается создавать и распространять информационное наполнение (content), который угрожает национальной безопасности, наносит ущерб национальной чести или интересам, подрывает этническое единство и т. д.;
• требования к информированию пользователей: провайдеры должны сообщать пользователям, что они взаимодействуют с ИИ, а не с человеком, и предупреждать их о вреде чрезмерного использования;
• оценка эмоций и уровня зависимости пользователей. Если у пользователей обнаруживаются сильные эмоции или деструктивное поведение, провайдеры сервисов должны будут принять необходимые меры.

Национальная стратегия Китая в области ИИ [12]. Китайские усилия в области ИИ сместились с догоняющего развития внутри страны на установление правил за рубежом, объединив в единый стратегический механизм независимость в производстве чипов, государственный капитал и дипломатию «Цифрового шелкового пути». Основные положения стратегии:

Китай создает суверенную, управляемую государством экосистему ИИ, чтобы к 2030 г. стать мировым лидером, сочетая долгосрочное планирование политики с целенаправленными инвестициями в базовые технологии, такие как чипы, вычислительные системы и языковые модели.

Стратегия объединяет централизованное управление с локальными экспериментами, вовлекая министерства, отраслевые альянсы и опытные участки на уровне городов для быстрого внедрения ИИ в различных отраслях и масштабного формирования нормативных требований.

При разработке ИИ в Китае особое внимание уделяется устойчивости, этическому контролю и национальному единству, внедрению ИИ в государственные службы, защите цепочек поставок от иностранной зависимости и обеспечению инклюзивного доступа при сохранении идеологической согласованности и общественного доверия.

В части ИБ Китай создал одну из самых всеобъемлющих в мире систем регулирования ИИ под руководством CAC, которая определяет допустимые способы использования ИИ до широкомасштабного внедрения. С 2022 г. правила CAC требуют регистрации алгоритмов, оценки безопасности и внедрения механизмов подотчетности для рекомендательных систем и генеративных моделей.

США. В мае 2024 г. под эгидой Национального института стандартов и технологий США (NIST) [13] был создан Институт безопасности ИИ (Artificial Intelligence Safety Institute, AISI). Его основными задачами были развитие науки, практик и внедрение безопасности ИИ по всему спектру рисков, в том числе связанных с национальной и общественной безопасностью, а также правами личности.

В июне 2025 г. название Института было изменено на Центр стандартов и инноваций в области искусственного интеллекта (Center for AI Standards and Innovation, CAISI)[14], а его миссия была преобразована.

Этот Центр станет основным контактным лицом для представителей отрасли в правительстве США. Он будет способствовать проведению испытаний и совместных исследований, связанных с использованием и защитой потенциала коммерческих систем искусственного интеллекта.

С этой целью CAISI будет:

• сотрудничать с организациями NIST в разработке руководящих принципов и передовых практик для измерения и повышения безопасности систем ИИ, а также сотрудничать с представителями NIST в оказании помощи отрасли в разработке добровольных стандартов;
• заключать добровольные соглашения с разработчиками ИИ и оценщиками из частного сектора и проводить несекретные оценки возможностей ИИ, которые могут представлять угрозу национальной безопасности; при проведении этих оценок CAISI сосредоточит внимание на очевидных рисках, таких как кибербезопасность, биозащита и химическое оружие;
• делать основные выводы и оценки возможностей систем ИИ США и их противников, внедрения иностранных систем ИИ и состояния международной конкуренции в сфере ИИ;
• делать основные выводы и оценки потенциальных уязвимостей в системе безопасности и вредоносного иностранного влияния, возникающего в результате использования систем ИИ противника, включая возможность создания «черных ходов» (backdoors) и других скрытых вредоносных действий;
• координировать действия с другими федеральными агентствами и организациями, включая Министерство обороны, Министерство энергетики, Министерство внутренней безопасности, Управление научно-технической политики и Разведывательное сообщество, для разработки методов оценки, а также для проведения оценок и экспертиз;
• представлять интересы США на международном уровне для защиты от обременительного и ненужного регулирования американских технологий иностранными правительствами и сотрудничать с сотрудниками NIST для обеспечения доминирования США в международных стандартах ИИ.

«Администрация Трампа меняет подход США к управлению ИИ, превращая институт, занимающийся вопросами безопасности, в центр стандартов и инноваций. Этот сдвиг представляет собой существенное изменение политики, в которой приоритет отдается коммерческому развитию и конкурентоспособности, а не регулированию, при этом учитываются соображения национальной безопасности. Этот шаг показывает, как разные администрации могут кардинально менять приоритеты технологической политики и отношения правительства с индустрией ИИ» [15].

«В новом названии отсутствует слово "безопасность", чтобы подчеркнуть важность быстрого развития и более тесного сотрудничества с промышленными и международными партнерами.

Центр стандартов и инноваций в области ИИ сохранит основные функции своего предшественника, включая оценку возможностей и уязвимостей систем ИИ и разработку добровольных стандартов безопасности [16]».

Федерального закона об ИИ в США нет. Регулирование ИИ строится на добровольных стандартах и инициативе штатов. При этом большое значение уделяется вопросам безопасности и прозрачности.

«Мозговым центром» развития и обеспечения безопасности ИИ является NIST. Он выпустил более десяти методичек и рекомендаций по данному направлению, глоссарий и ряд других документов. Кроме того, в этой работе принимают участие:

• некоммерческая организация MITRE, «мозговой центр», занимающийся исследованиями, разработкой рекомендаций и руководств в области высоких технологий, включая информационные технологии, ИИ и ИБ;
• Массачусетский институт технологий США, который в том числе ведет базу данных таксономий рисков ИИ [17], содержащую более 1600 рисков, классифицированных по 65 категориям;
• а также ряд других организаций и институтов.

23.07.2025 г. Белый дом опубликовал официальный документ «Победа в гонке: план действий США в области ИИ» [18] (Winningthe Race: America’s AI Action Plan). План направлен на достижение глобального доминирования в сфере ИИ, установление мировых стандартов в области ИИ и получение экономических и военных преимуществ от наличия крупной экосистемы ИИ. Некоторые ключевые положения плана:

• экспорт американского ИИ. Министерство торговли и Госдеп США будут сотрудничать с частным сектором в организации поставок защищенных экспортных пакетов ИИ, включающих аппаратное обеспечение, модели, программное обеспечение, приложения и стандарты, друзьям и союзникам Америки по всему миру;
• содействие быстрому строительству центров обработки данных: ускорение и модернизация процесса выдачи разрешений для строительства центров обработки данных и заводов по производству полупроводниковых микросхем, а также создание национальных инициатив по увеличению числа лиц, владеющих востребованными профессиями;
• стимулирование инноваций и их внедрения: отмена обременительных федеральных актов, препятствующих разработке и внедрению ИИ, а также привлечение частного сектора к выявлению правил, которые следует отменить;
• поддержка свободы слова в передовых моделях: обновление федеральных руководящих принципов в области закупок с целью обеспечения того, чтобы правительство заключало контракты только с разработчиками крупных передовых языковых моделей, гарантирующих, что их системы являются объективными и свободными от идеологической предвзятости на основе директив.

Европейский союз. Европейская служба по ИИ (European Artificial Intelligence Office) — ​это экспертный центр ЕС, который способствует разработке и внедрению решений на основе ИИ, приносящих пользу обществу и экономике.

Эта служба создана в рамках Европейской комиссии (ЕК) и является центром экспертизы по ИИ. Цель службы — ​содействовать разработке и внедрению решений на основе искусственного интеллекта, которые приносят пользу обществу и экономике.

Некоторые функции службы:

• мониторинг, надзор и обеспечение соблюдения требований Закона об искусственном интеллекте к моделям и системам в 27 государствах-членах ЕС;
• анализ возникающих непредвиденных системных рисков, связанных с разработкой и внедрением ИИ;
• разработка оценок возможностей, проведение оценок моделей и расследование случаев потенциального нарушения и несоблюдения требований.

В апреле 2025 г. ЕК представила план действий AI Continent по превращению сильных сторон ЕС, таких как уникальные кадры и развитые традиционные отрасли, в ускорители развития ИИ. В плане действий AI Continent объясняется, как использовать нераскрытый потенциал наших исследователей и отраслей. Он направлен на формирование следующего этапа развития ИИ, стимулирование экономического роста и повышение нашей конкурентоспособности в таких областях, как здравоохранение, автомобилестроение, наука и другие.

В дополнение к плану действий в октябре 2025 г. Европейская комиссия запустила стратегию применения ИИ, призванную повысить конкурентоспособность стратегических отраслей и укрепить технологический суверенитет ЕС. Стратегия направлена на стимулирование внедрения ИИ и инноваций по всей Европе, особенно среди малых и средних предприятий.

ЕС стремится к тому, чтобы ИИ был безопасным и заслуживающим доверия. С этой целью был принят Закон об ИИ — ​первая в мире всеобъемлющая нормативно-правовая база в области ИИ, гарантирующая здоровье, безопасность и основные права людей, а также обеспечивающая правовую определенность для бизнеса во всех 27 государствах — ​членах ЕС.

Закон об искусственном интеллекте (Регламент об искусственном интеллекте) — ​нормативный акт Европейского союза, принятый Европейским парламентом 13.03.2024 и одобренный Советом ЕС 21.05.2024 г.

Цель закона — ​создание общей нормативно-правовой базы для использования искусственного интеллекта, защита здоровья, безопасности и основных прав людей.

Некоторые положения закона:

• классификация систем ИИ. Продукты ИИ делятся на три категории: запрещенные системы (с недопустимой степенью риска), системы с высокой степенью риска и остальные системы ИИ;
• запрет на использование некоторых систем ИИ. Например, на применение манипулятивных или обманных методов, на использование уязвимостей людей, связанных с инвалидностью, возрастом или социально-экономической ситуацией;
• контроль за работой высокорисковых систем. Их должен постоянно контролировать человек, а информация о работе должна быть доступна пользователям; в ряде случаев владельцам таких систем необходимо пройти техническую сертификацию;
• требование прозрачности. Искусственно созданное или отредактированное информационное наполнение (аудио, изображения, видео) должно быть четко обозначено как таковое;
• механизм юридической ответственности. Государства-члены обязаны установить конкретные санкции за нарушения норм закона, в том числе административные штрафы.

Закон охватывает все отрасли (кроме военной) и все виды ИИ.

Аналогичные службы также созданы в Японии, Южной Корее, Сингапуре, Канаде, Индии и ряде других стран. Однако в некоторых случаях они существуют чисто номинально.

Глава 3. О ситуации в Российской федерации

В Российской Федерации орган (структура), выполняющий функции такого координационного центра, отсутствует. Есть регуляторы (ФСБ России, ФСТЭК России, Банк России для кредитно-финансовой сферы), есть надзорный орган (Роскомнадзор), а также идеолог и регулятор в сфере ИТ (Минцифры). А вот координационный центр, выполняющий функции интерфейса или переводчика между перечисленными государственными структурами, компаниями-разработчиками и компаниями-заказчиками решений и продуктов в области ИБ, включая направление ИИ, отсутствует. Между тем его создание более чем актуально. Безусловно, прямо копировать зарубежный опыт и подходы не стоит. Но проанализировать их, выделить подходящее к нашим условиям и специфике — ​можно и должно, особенно с учетом того факта, что в последние 2–3 года технологии ИИ развиваются настолько быстрыми темпами, что их поспешная или некорректная разработка, а также недостаточное тестирование могут привести к тому, что результаты их работы могут быть ошибочными или неожиданными.

Таким образом, представляется необходимым создание в России отдельного государственного органа (организации) с возложением на него следующих основных функций:

• разработка стандартов и правил объяснимого и интерпретируемого ИИ;
• обеспечение надежности и безопасности ИИ (разработка требований и рекомендаций к ИИ и проведение соответствующих экспертиз);
• разработка методик и процедур практического применения ИИ;
• организация (консолидация) теоретических и прикладных исследований в области перспективного развития ИИ.

Упрощенная схема такого органа (организации или Центра) может выглядеть следующим образом (см. рис. 1).

Цели, задачи и функции Центра могут быть сформулированы детально.

Когда верстался номер      

Владимир Путин 26 февраля 2026 года подписал указ о создании Комиссии по развитию искусственного интеллекта (ИИ) при президенте России.

Комиссия займется вопросами интеграции технологии в различные сферы: от социальной до экономической. Ее возглавят вице-премьер Дмитрий Григоренко и замруководителя администрации президента Максим Орешкин. Также в комиссию среди прочих вошли министр обороны Андрей Белоусов, директор ФСБ Александр Бортников, губернатор Подмосковья Андрей Воробьев, глава «Сбербанка» Герман Греф, помощник президента Алексей Дюмин, мэр Москвы Сергей Собянин, экс-руководитель «Яндекса» Тигран Худавердян, глава Минцифры Максут Шадаев.

Задачи Комиссии по развитию технологий ИИ. Комиссия образована в целях координации деятельности федеральных органов исполнительной власти, Центробанка, органов государственной власти субъектов Федерации, иных государственных органов и заинтересованных организаций по вопросам разработки согласованных подходов к формированию и реализации государственной политики в области создания, развития и внедрения технологий ИИ.

Комиссия займется разработкой стратегических подходов к созданию, развитию и внедрению технологий ИИ с учетом необходимости повышения эффективности работы отраслей экономики, социальной сферы, сферы государственного управления и обеспечения национальной обороны и национальной безопасности; разработкой подходов, обеспечивающих адаптацию отраслей экономики, социальной сферы и сферы государственного управления к активному использованию технологий ИИ; разработкой мер, направленных на обеспечение технологического лидерства России в области создания, развития и внедрения технологий ИИ, включая создание и развитие российских больших фундаментальных моделей и передовых сервисов, использующих технологии ИИ, вычислительных мощностей и необходимой электронной компонентной базы, а также обеспечение этих мощностей электроэнергией.

[1] https://cyber.gouv.fr/en.

[2] https://ru.wikipedia.org/wiki/Центр_национальной_компьютерной_безопасности_Великобритании.

[3] https://www.gov.uk/government/organisations/national-cyber-security-centre.

[4] https://www.gov.uk/government/publications/national-cyber-security-centre-prospectus.

[5] https://en.wikipedia.org/wiki/Nationales_Cyber-Abwehrzentrum.

[6] https://en.wikipedia.org/wiki/Federal_Office_for_Information_Security.

[7] https://www.bsi.bund.de/EN/Home/home_node.html.

[8] https://ru.wikipedia.org/wiki/Агентство_по_кибербезопасности_и_защите_инфраструктуры?ysclid=ml4yzsfq89689940640.

[9] https://www.cisa.gov/doing-business-cisa.

[10] https://legalclarity.org/defense-information-systems-agency-mission-and-operations/.

[11] https://ru.ruwiki.ru/wiki/Институт_безопасности_ИИ?ysclid=mkzau1wyyb448067276.

[12] https://www.ginc.org/chinas-national-ai-strategy/.

[13] https://www.nist.gov/.

[14] https://www.nist.gov/caisi.

[15] https://getcoai.com/news/u-s-ai-safety-institute-transforms-into-center-for-ai-standards-and-innovation-caisi/.

[16] https://particle.news/story/trump-administration-rebrands-ai-safety-institute-to-center-for-ai-standards-and-innovation.

[17] https://airisk.mit.edu/.

[18] https://www.whitehouse.gov/wp-content/uploads/2025/07/Americas-AI-Action-Plan.pdf.