ДокументацияБиблиотека
БИБЛИОТЕКА ЗАЩИТЫ ИИ

📐 NIST AI RMF: управление рисками искусственного интеллекта на практике

NIST AI Risk Management Framework (AI RMF 1.0) — это добровольный каркас управления рисками ИИ, выпущенный американским институтом стандартов NIST (документ AI 100-1, январь 2023). Он помогает организациям встраивать соображения доверия — безопасность, надёжность, приватность, объяснимость — в проектирование, разработку, эксплуатацию и оценку AI-систем. В этом руководстве мы разбираем четыре функции AI RMF (GOVERN / MAP / MEASURE / MANAGE), семь характеристик «доверенного ИИ», профиль для генеративного ИИ (NIST AI 600-1), и честно показываем, где проходит граница: SYNTREX — защитный слой платформы Spectorn — даёт техническую часть (детекцию, политику, неизменяемый аудит), но сам по себе не делает организацию «комплаентной».

Spectorn — платформа безопасности и compliance-периметр; SYNTREX — её слой AI-защиты, который разворачивается как в составе Spectorn, так и standalone на внутренних контурах заказчика. AI RMF — это управленческий каркас; SYNTREX закрывает конкретные технические подзадачи внутри функций MEASURE и MANAGE.


Что такое NIST AI RMF и зачем он нужен

AI RMF разработан по мандату National AI Initiative Act of 2020 как добровольный, не привязанный к отрасли и сценарию, сохраняющий права каркас. Его задача — дать организациям любого размера общий язык и операционную модель для работы с рисками, специфичными для ИИ: дрейф данных во времени, социотехническая природа систем, непрозрачность моделей, эмерджентное поведение.

AI RMF состоит из двух частей. Первая описывает, как осмыслять риски ИИ и что такое «доверенный ИИ». Вторая — это Core: четыре функции, разбитые на категории и подкатегории с конкретными действиями и результатами. К каркасу прилагаются AI RMF Playbook (рекомендованные действия по каждой подкатегории), Roadmap (план развития) и профили под конкретные классы систем — в первую очередь Generative AI Profile (AI 600-1).

Ключевая особенность: AI RMF не сертифицируется и не имеет силы закона. Это операционная модель. Сертифицируемый аналог — международный стандарт ISO/IEC 42001 (система менеджмента ИИ); обязательная сила — у EU AI Act. Эти инструменты дополняют друг друга, и контролы, отображённые на один, обычно поддерживают остальные.


Четыре функции AI RMF Core

Core AI RMF организован вокруг четырёх функций. GOVERN — сквозная: она пронизывает и питает остальные три на всех стадиях жизненного цикла. MAP, MEASURE и MANAGE применяются в контексте конкретной системы.

GOVERN — культура управления риском

Формирует и внедряет культуру управления рисками ИИ в организации: политики и процедуры по всему жизненному циклу, структуры ответственности (роли и принятие решений), культуру, ориентированную на учёт рисков, вовлечение заинтересованных сторон и — отдельной категорией — управление рисками сторонних компонентов, данных и цепочки поставок. GOVERN отвечает на вопрос «кто отвечает и по каким правилам».

MAP — контекст и идентификация рисков

Устанавливает контекст и выявляет риски на всём жизненном цикле системы: понимание контекста использования, категоризация AI-системы, её возможности и цели, отображение рисков и выгод для всех компонентов, оценка воздействия на людей, группы и общество. По итогам MAP организация должна иметь достаточно контекстного знания, чтобы принять первичное решение go/no-go.

MEASURE — анализ, оценка, мониторинг

Применяет количественные, качественные и смешанные методы для анализа, бенчмаркинга и мониторинга рисков ИИ: выбор подходящих метрик, оценка системы на характеристики доверия, механизмы отслеживания рисков во времени, сбор обратной связи об эффективности измерений. Именно здесь оценивают конкретные уязвимости — например, по OWASP Top 10 для LLM — и проводят red-teaming по MITRE ATLAS.

MANAGE — приоритизация и реагирование

Распределяет ресурсы по выявленным и измеренным рискам: приоритизация и обработка рисков, стратегии максимизации выгод и минимизации вреда, управление рисками сторонних сторон, документирование и мониторинг обработки рисков. Сюда входит реагирование на инциденты — план ответа, восстановления и коммуникации.


Семь характеристик доверенного ИИ

AI RMF определяет семь характеристик, которые в совокупности делают ИИ «доверенным». Их нужно балансировать в зависимости от контекста — между ними есть неизбежные компромиссы. Точные формулировки NIST:

  1. Valid and Reliable (валидный и надёжный) — фундамент для всех остальных: подтверждённое объективными свидетельствами соответствие требованиям сценария и способность работать без сбоев в заданных условиях.
  2. Safe (безопасный) — система не должна при определённых условиях приводить к состоянию, угрожающему жизни, здоровью, имуществу или окружающей среде.
  3. Secure and Resilient (защищённый и устойчивый) — поддержание конфиденциальности, целостности и доступности через механизмы защиты; способность выдерживать неожиданные неблагоприятные события.
  4. Accountable and Transparent (подотчётный и прозрачный) — сквозная характеристика: доступ к информации, соразмерной стадии жизненного цикла и роли участника.
  5. Explainable and Interpretable (объяснимый и интерпретируемый) — возможность понять функциональность и обоснованность работы системы.
  6. Privacy-Enhanced (с усиленной приватностью) — нормы и практики, защищающие автономию, идентичность и достоинство человека.
  7. Fair – with Harmful Bias Managed (справедливый — с управляемым вредным смещением) — учёт равенства и недопущение дискриминации через управление предвзятостью.

В этой схеме Valid and Reliable — базис (необходимое условие для остальных), а Accountable and Transparent — сквозной элемент, связывающий все характеристики. Характеристики Safe и Secure and Resilient в документе AI 100-1 — это две отдельные характеристики, не одна (частая ошибка вторичных источников).


Generative AI Profile (NIST AI 600-1)

В июле 2024 года NIST выпустил AI 600-1 — «Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile», профиль AI RMF для генеративного ИИ, подготовленный во исполнение Executive Order 14110. Он расширяет AI 100-1 более чем 200 рекомендованными действиями, организованными по тем же четырём функциям, и перечисляет 12 рисков, уникальных или усиленных генеративным ИИ:

Риск (AI 600-1)Суть
CBRN Information or CapabilitiesОблегчённый доступ к информации о химическом, биологическом, радиологическом и ядерном оружии
ConfabulationУверенно поданный, но ложный контент («галлюцинации»)
Dangerous, Violent, or Hateful ContentОблегчённая генерация насильственного, разжигающего, угрожающего контента
Data PrivacyУтечка и несанкционированное использование/деанонимизация ПДн
Environmental ImpactsВысокое потребление вычислительных ресурсов при обучении/эксплуатации
Harmful Bias and HomogenizationУсиление исторических и системных смещений, гомогенизация
Human-AI ConfigurationНеуместная антропоморфизация и проблемы взаимодействия человека и системы
Information IntegrityСнижение барьера для контента, не различающего факт и вымысел
Information SecurityСнижение барьеров для наступательных кибервозможностей (автопоиск и эксплуатация уязвимостей, malware, фишинг)
Intellectual PropertyОблегчённое воспроизведение защищённого авторским правом контента
Obscene, Degrading, and/or Abusive ContentОблегчённая генерация непристойного контента, включая синтетический CSAM
Value Chain and Component IntegrationНепрозрачная интеграция сторонних компонентов и данных

Несколько из этих рисков напрямую ложатся на возможности SYNTREX: Information Security (наступательные возможности через ИИ), Data Privacy (утечка ПДн), Information Integrity и Confabulation (опасный вывод). Для каждого SYNTREX даёт детекцию и аудиторский след — см. карту ниже.


Как SYNTREX помогает: техническая часть функций MEASURE и MANAGE

AI RMF — управленческий каркас. SYNTREX не «реализует AI RMF» целиком, но закрывает конкретные технические подзадачи внутри функций MEASURE (измерение и мониторинг рисков) и MANAGE (обработка и реагирование), а Decision Logger даёт неизменяемый аудиторский след, который требуется в GOVERN для подотчётности.

Функция / риск AI 600-1Что даёт SYNTREXДвижки / компоненты
MEASURE — оценка на угрозы ввода-выводаДетекция инъекций, джейлбрейков, опасного выводаinjection, jailbreak, output_scanner
MANAGE / Data PrivacyМаскирование ПДн и секретов до выхода ответаpii, secret_scanner, exfiltration
MANAGE / Information SecurityКонтроль «летальной тройки», злоупотребления инструментамиlethal_trifecta, tool_abuse, cross_tool_guard
MEASURE — мониторинг во времениКорреляция событий, выявление аномальных всплесковSOC Correlation Engine
GOVERN — подотчётность и доказуемостьНеизменяемый журнал всех решений (SHA-256/HMAC)Decision Logger
MANAGE — целостность памяти/контекста агентаЗащита памяти и контейнмент моделиmemory_integrity, model_containment

Конфигурация syntrex.yaml

Профиль, ориентированный на технические контролы MEASURE/MANAGE и на формирование аудиторского следа для GOVERN:

YAML
# syntrex.yaml — профиль под технические контролы AI RMF (MEASURE/MANAGE) version: "1.0" mode: ai_gateway engines: injection: # MEASURE: детекция инъекций action: block confidence_threshold: 0.7 jailbreak: # MEASURE: детекция обхода политик action: block confidence_threshold: 0.85 output_scanner: # MEASURE: опасный/утекающий вывод action: sanitize pii: # MANAGE: Data Privacy action: redact mask_character: "*" secret_scanner: always_on # MANAGE: секреты не покидают периметр exfiltration: # MANAGE: Information Security action: block lethal_trifecta: # MANAGE: data + untrusted + egress action: alert tool_abuse: # MANAGE: злоупотребление инструментами action: block memory_integrity: # MANAGE: целостность контекста агента action: alert model_containment: # MANAGE: контейнмент модели action: alert audit: decision_logger: true # GOVERN: неизменяемый след для подотчётности retention_policy: regulatory

Правило корреляции SOC (мониторинг во времени)

Функция MEASURE требует отслеживания рисков во времени. Пример правила, выявляющего аномальный всплеск как индикатор атаки:

YAML
rules: - id: ALERT_FLOOD name: "Аномальный всплеск событий (MEASURE)" description: "100+ событий от одного источника за 60 секунд — индикатор атаки или сбоя" enabled: true conditions: - threshold: count: 100 window: "60s" group_by: "source_id" action: create_incident: true severity: HIGH metadata: nist_rmf: ["MEASURE-2", "MANAGE-1"]

Честная граница ответственности. Соответствие AI RMF — это организационная задача: политики, роли, процессы, культура управления риском (вся функция GOVERN, бóльшая часть MAP). SYNTREX не делает организацию «комплаентной» сам по себе. Он закрывает техническую часть — детекцию, политику Shield и неизменяемый аудит — внутри функций MEASURE и MANAGE, и даёт доказуемый след решений, нужный для подотчётности. Категоризация системы, оценка воздействия на общество, риск-аппетит и обработка рисков остаются за организацией.


NIST AI RMF и российский рынок

Прямого аналога AI RMF в России нет — подход распределён по нескольким инструментам:

  • ГОСТ Р 59276-2022 «Обеспечение доверия к системам ИИ» — ближайший по духу к понятию «доверенного ИИ»; ПНСТ 776-2022 — управление рисками ИИ (предварительный национальный стандарт, ближайший функциональный аналог риск-каркаса); ГОСТ Р 59277-2020 — классификация AI-систем. Россия адаптирует нормы ISO/IEC JTC 1/SC 42 как национальные ГОСТы.
  • Кодекс этики в сфере ИИ (принят в октябре 2021) — «мягкое», добровольное саморегулирование с этическими принципами; не содержит структуры управления рисками уровня MAP/MEASURE/MANAGE.
  • ФЗ-152 «О персональных данных» — пересекается с характеристиками Data Privacy и Privacy-Enhanced: AI-системы, обрабатывающие ПДн, должны соответствовать требованиям локализации, согласия и прав субъекта.
  • ФСТЭК — требования к безопасности критической информационной инфраструктуры (КИИ) применяются к AI-системам, развёрнутым в её контуре.

Для российского заказчика SYNTREX даёт ту же техническую часть (детекция, маскирование ПДн под ФЗ-152, неизменяемый аудит), а compliance-программа обычно ссылается на связку ГОСТ Р 59276 + ПНСТ 776 + ФЗ-152 + приказы ФСТЭК. Подробнее об отраслевой специфике — в сценариях Госсектор и КИИ и Медицина.


Частые вопросы (FAQ)

Что такое NIST AI RMF простыми словами? Это добровольный каркас от института стандартов США (NIST), который помогает организациям управлять рисками ИИ. Он состоит из четырёх функций — GOVERN (культура и правила), MAP (контекст и идентификация рисков), MEASURE (измерение и мониторинг), MANAGE (приоритизация и реагирование) — и описывает семь характеристик «доверенного ИИ».

Обязателен ли NIST AI RMF? Нет, AI RMF добровольный и не имеет силы закона. Обязательная сила есть у EU AI Act для систем, чей вывод используется в ЕС. Сертифицируемый аналог AI RMF — ISO/IEC 42001. Многие организации используют AI RMF как управленческий каркас, поверх которого готовятся к обязательным требованиям.

Какие четыре функции у AI RMF? GOVERN (сквозная — культура и политики управления риском), MAP (установление контекста и идентификация рисков), MEASURE (количественная и качественная оценка, мониторинг во времени) и MANAGE (приоритизация, обработка рисков, реагирование на инциденты). GOVERN пронизывает остальные три.

Что добавляет Generative AI Profile (AI 600-1)? Это профиль AI RMF специально для генеративного ИИ (июль 2024). Он перечисляет 12 рисков, уникальных или усиленных GenAI — CBRN, конфабуляция (галлюцинации), Data Privacy, Information Security, Information Integrity и др. — и даёт более 200 рекомендованных действий, привязанных к тем же четырём функциям.

Делает ли SYNTREX мою организацию комплаентной по NIST AI RMF? Нет, и мы честно отмечаем эту границу. Соответствие AI RMF — организационная задача (политики, роли, процессы — функции GOVERN и MAP). SYNTREX закрывает техническую часть внутри MEASURE и MANAGE: детекцию угроз, маскирование данных, политику Shield и неизменяемый аудиторский след (Decision Logger), нужный для подотчётности. Управленческий контур остаётся за организацией.

Как AI RMF соотносится с MITRE ATLAS и OWASP? Это трёхуровневая модель: AI RMF — стратегический управленческий слой, MITRE ATLAS — тактический слой угроз (TTP для red team и детекции), OWASP Top 10 для LLM — операционный слой конкретных уязвимостей. Данные ATLAS и оценки по OWASP наполняют содержанием функции MEASURE и MANAGE.

Есть ли в России аналог NIST AI RMF? Прямого нет. Ближайшие инструменты — ПНСТ 776-2022 (управление рисками ИИ), ГОСТ Р 59276-2022 (доверие к системам ИИ), плюс добровольный Кодекс этики ИИ, ФЗ-152 (персональные данные) и требования ФСТЭК для КИИ. Единого интегрированного каркаса масштаба AI RMF в РФ пока нет.


Источники


Связанные руководства: MITRE ATLAS · EU AI Act · OWASP Top 10 для LLM · Госсектор и КИИ · Отраслевые сценарии

NIST AI RMF: управление рисками искусственного интеллекта на практике | Spectorn | Spectorn