С 1 марта 2026 года российский госсектор и операторы критической информационной инфраструктуры (КИИ) начали работать по новым, жестким правилам. Вступивший в силу приказ ФСТЭК №117 внес ясность в вопросы безопасности искусственного интеллекта: нейросети обязаны фильтровать запросы пользователей, а разработчики - отвечать за достоверность их ответов, так называемые «галлюцинации». Однако ключевым и самым чувствительным нововведением стал прямой запрет на использование облачных ИИ-сервисов для обработки данных, составляющих государственную тайну или информацию ограниченного доступа.
Парадокс текущего момента заключается в разрыве между жесткостью требований и отсутствием инструментов их реализации. Методики, разъясняющие техническую сторону вопроса, так и не были выпущены. Более того, с января 2026 года параллельно действует запрет на иностранные средства защиты информации (СЗИ) на объектах КИИ. В итоге заказчики оказались зажаты между нормативными запретами и неопределенностью: проекты, завязанные на внешние облачные сервисы, требуют экстренного «пересбора» в закрытый контур, а четких алгоритмов действий регулятор пока не предложил.
Рынок, однако, не впал в ступор. Эксперты отмечают, что переход от разовой аттестации к постоянному циклу контроля (расчет показателей защищенности теперь проводится раз в полгода) стал логичным следствием роста угроз. По данным специалистов, только в 2025 году объем утечек данных из общедоступных ИИ-сервисов в России вырос в 30 раз по сравнению с предыдущим годом.
«Само требование проводить аудит на предмет защищенности систем каждые полгода - это логичный шаг. Однако нельзя сказать, что требование ФСТЭК стало неожиданностью для рынка: в той или иной степени эту проблему учитывали и вендоры, и заказчики, которые и ранее закладывали эти риски в решения и проекты», - прокомментировал ситуацию Константин Смирнов, коммерческий директор «ДАР» (входит в ГК «КОРУС Консалтинг»).
Пока ФСТЭК обещает выпустить отдельный стандарт безопасной разработки ИИ (проект которого так и не был представлен до конца 2025 года), бизнес вынужден действовать на опережение. Главная тенденция первого месяца действия приказа - массовый перенос ИИ-сервисов из публичных облаков в локальные, управляемые контуры, где безопасность информации становится важнее скорости подключения к сервису.
Остались вопросы? Пишите на data@korusconsulting.ru
И подписывайтесь на наш телеграм-канал про аналитику и данные Analytics
Now
