Безопасность ИИ в госсистемах: приказ ФСТЭК № 117 станет обязательным с марта 2026
Компания или продукт, описанные в оригинале, не привязаны к одному источнику-публикации с датой и ссылкой: это обзорная экспертная статья о безопасности ИИ как поверхности атаки, охватывающая регуляторику РФ, ЕС, США и Китая. Работаю строго по фактам из переданного оригинала.

Безопасность искусственного интеллекта встроена уже почти в каждый продукт, от чат-ботов до внутренних систем автоматизации, но большинство команд думают только о скорости внедрения, а не о защите модели от атак и утечек данных.
Эта инструкция поможет вам за один подход разобраться, какие конкретные требования к безопасности ИИ действуют в России прямо сейчас, и выстроить минимальный чек-лист защиты: от изоляции инфраструктуры до тестирования на промпт-атаки (попытки обмануть модель специально подобранными запросами).
Приказ ФСТЭК № 117 от 11.04.2025, вступающий в силу 1 марта 2026, впервые делает защиту ИИ отдельным обязательным мероприятием для государственных информационных систем, а не рекомендацией. Кто работает с госзаказчиками или планирует, готовиться нужно уже сейчас.
Согласно оригинальному обзору, ИИ сегодня рассматривают как самостоятельную поверхность атаки. При этом большинство специалистов путают три близких, но разных понятия: AI Security (защита ИИ-систем от кибератак), MLSecOps (безопасность на всём цикле разработки моделей машинного обучения) и AI Safety (безопасность ИИ для пользователей и общества в целом). AI Security, по сути, лишь часть AI Safety. В России нормативная база не проводит чёткой границы между Security и Governance, но заметен уклон именно в сторону кибербезопасности.
Что понадобится
- Текст Указа Президента РФ № 490 «О развитии искусственного интеллекта» (национальная стратегия до 2030 года, задаёт концепцию «доверенного ИИ»)
- Приказ ФСТЭК № 117 от 11.04.2025 и методический документ от 12.04.2026 (пункт 3.18, состав мер защиты)
- ГОСТ по разработке безопасного ПО (ссылка на него дана в методическом документе)
- Доступ к Банку данных угроз (БДУ) ФСТЭК, там перечислены угрозы, специфичные для ИИ-систем
- Примерно 2 часа на первичный аудит текущей инфраструктуры
Пошаговая инструкция
-
Разберитесь, какие понятия к чему относятся. AI Security охватывает четыре направления защиты самой ИИ-системы от кибератак. AI Safety шире: это безопасность ИИ для людей и общества в целом, включая этику и контроль. В российских документах оба понятия объединены, но конкретные технические меры прописаны именно для Security.
-
Проверьте, попадает ли ваша система под требования ФСТЭК. Приказ № 117 распространяется на государственные информационные системы (ГИС). Если ваш продукт с ИИ работает внутри ГИС или поставляется госзаказчику, меры из пункта 3.18 методического документа обязательны. Под защиту попадают и расширения модели: LoRA (метод лёгкой адаптации модели без полного переобучения), RAG (генерация ответов с подключением внешних источников данных) и вся сопутствующая инфраструктура.
-
Изолируйте инфраструктуру разработки. На этапе разработки методический документ требует выделить среду разработки ИИ в отдельный сетевой сегмент. Мера усиления: физическая изоляция среды (отдельные серверы, не просто VLAN).
-
Откажитесь от небезопасных форматов хранения моделей. Формат pickle (стандартная сериализация Python) позволяет встраивать произвольный код, который выполнится при загрузке файла. Переходите на безопасные форматы:
# Вместо pickle используйте onnx или protobuf
# Пример сохранения модели в формате ONNX (PyTorch):
import torch.onnx
torch.onnx.export(model, dummy_input, "model.onnx")
-
Наведите порядок в обучающих данных. Методический документ требует использовать обучающие данные (training data, наборы примеров, на которых модель учится) только из доверенных источников. Каждый набор нужно проверить антивирусом и хранить обособленно. Мера усиления: шифрование обучающих данных сертифицированными криптографическими средствами.
-
Проведите анализ уязвимостей входной модели. Если вы берёте предобученную модель (открытые веса из публичного репозитория), проверьте её по БДУ ФСТЭК на известные уязвимости до того, как начнёте дообучение (fine-tuning, адаптация модели на ваших данных под конкретную задачу).
-
Внедрите состязательное обучение и тестирование. Состязательное обучение (adversarial training) означает, что вы специально подаёте модели «вредные» примеры во время обучения, чтобы она научилась им противостоять. Дополнительно протестируйте систему на устойчивость к промпт-атакам: попытки обойти ограничения через специально сконструированные промпты (входные запросы к модели).
-
Настройте фильтрацию и мониторинг на этапе эксплуатации. Методический документ предписывает:
- Фильтрацию входных и выходных данных (контроль того, что пользователь отправляет модели и что она выдаёт)
- Регистрацию событий безопасности по каждому запросу и ответу
- Мониторинг и квотирование числа запросов (защита от перегрузки и перебора)
-
Регулярный анализ уязвимостей ПО
-
Обеспечьте целостность весов модели. Мера усиления на этапе эксплуатации: целостность параметров (весов) модели должна подтверждаться сертифицированными криптографическими средствами защиты информации (СЗИ). Это предотвращает подмену модели.
-
Сопоставьте свои меры с международными регламентами, если работаете на экспорт. В ЕС действует AI Act, который классифицирует ИИ-приложения по четырём уровням риска: неприемлемый (запрещены), высокий (строгие правила для здравоохранения, образования, правоохранительных органов), ограниченный (обязательства по прозрачности) и минимальный (не регулируется). Если ваш продукт доступен пользователям в ЕС, соблюдать регламент нужно независимо от вашего местоположения.
Допустим, вы разрабатываете чат-бот для госучреждения. Бот использует дообученную модель с открытыми весами (open weights) и RAG-систему для ответов по базе знаний.
Что делаете: - Выделяете среду разработки в отдельный сегмент сети - Конвертируете модель из pickle в ONNX - Обучающие данные проверяете антивирусом, храните на отдельном зашифрованном хранилище - Перед запуском проводите тестирование: пытаетесь промпт-атаками заставить модель выдать содержимое системного промпта (system prompt, скрытая инструкция, определяющая поведение модели) или конфиденциальные данные из RAG-базы - На продакшене фильтруете вход и выход, логируете каждый запрос и ответ, ставите квоту на число запросов в минуту
Результат: система соответствует пункту 3.18 методического документа ФСТЭК, а вы не переделываете архитектуру за месяц до вступления приказа в силу.
Путаница терминов. AI Security, AI Safety и MLSecOps смешивают в одно. Из-за этого при аудите проверяют этику, но забывают про фильтрацию входных данных, или наоборот. Это три разных слоя, и российские требования ФСТЭК сфокусированы на Security.
Формат pickle остаётся по умолчанию. Многие модели в публичных репозиториях хранятся в pickle. При загрузке файл может выполнить произвольный код. Не доверяйте чужим checkpoint-файлам (файлам с сохранёнными весами модели) без конвертации.
Расширения модели не включают в периметр защиты. LoRA-адаптеры и RAG-инфраструктура прямо указаны в методическом документе как объекты защиты. Если защитили базовую модель, но оставили RAG-базу на общем сервере без шифрования, требования не выполнены.
Нет тестирования на промпт-атаки. Методический документ прямо требует его. Проверка «попросил коллегу написать что-нибудь хитрое» не считается: нужно систематическое тестирование с документированием результатов.
Что делать с этим прямо сейчас по ролям?
Автору и копирайтеру на Дзене. Если вы используете ИИ-инструменты для генерации текстов и не передаёте в промпт персональные данные, регуляторные требования ФСТЭК к вам напрямую не относятся. Но понимать, как работает безопасность ИИ, полезно для экспертного контента: тема горячая, разбирающихся авторов мало.
Маркетологу. Если ваша компания внедряет ИИ-чатбота для клиентов или использует ИИ для таргетинга, проверьте, не попадает ли система под требования AI Act (если есть пользователи в ЕС) или под Приказ ФСТЭК (если работаете с госсектором). Фильтрация выходных данных, это не только про безопасность, но и про репутацию.
Предпринимателю в РФ и СНГ. Приказ ФСТЭК № 117 вступает в силу 1 марта 2026. Если ваш продукт поставляется в ГИС, до этой даты нужно привести архитектуру в соответствие: изоляция, безопасные форматы, шифрование, логирование, тестирование. Начинать аудит имеет смысл сейчас: переделка инфраструктуры за два месяца до дедлайна обойдётся заметно дороже.
По моим наблюдениям, российский подход к безопасности ИИ отличается от западного конкретностью технических мер. Европейский AI Act описывает уровни риска и обязательства, но не говорит, в каком формате хранить модель. Методический документ ФСТЭК прямо называет pickle небезопасным и требует переход на ONNX или protobuf. Для практиков это удобнее: не нужно додумывать, что именно делать.
Но есть оговорка. AI Safety как дисциплина развивается в основном на Западе, терминология целиком англоязычная. В российской нормативной базе чёткого разделения Security и Governance нет, а этическая сторона после Указа № 490 почти не затрагивается. Это значит, что вопросы вроде дискриминации в выдаче или манипулятивных паттернов пока остаются за периметром обязательных мер.
Я бы рекомендовал не ждать 2026 года и провести минимальный аудит по списку из этой инструкции уже сейчас, даже если вы не работаете с госсектором. Формат pickle и отсутствие фильтрации, это не вопрос комплаенса, это реальный вектор атаки.
Проверьте свои промпты на безопасность
В dzen.guru мы собираем рабочие шаблоны промптов с учётом фильтрации и защиты данных. Попробуйте инструменты, которые помогут писать запросы к ИИ без риска слить конфиденциальную информацию.
Попробовать инструментыБезопасность ИИ в России перестаёт быть абстрактной темой конференций и превращается в набор обязательных технических мер с конкретной датой вступления в силу. У тех, кто начнёт аудит сейчас, будет время перестроить архитектуру без аврала, у остальных останется только один вариант: догонять в режиме пожара.

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».
Читайте также

Grok 4.5 тратит в 4 раза меньше токенов, чем Opus: $2 за миллион на входе
Компания SpaceXAI выпустила Grok 4.5, модель для кодирования, агентных задач и аналитической работы, которую обучали совместно с ИИ-редактором кода Cursor и…

Нейросеть Nvidia сжали вдвое: одна H100 теперь держит 8 пользователей с контекстом в миллион токенов
Nvidia второго июня опубликовала Nemotron-Labs-3-Puzzle-75B-A9B, сжатую версию гибридной модели Nemotron-3-Super, которая на одном GPU H100 обрабатывает восемь…

Кофейня сократила дизайн на 95% с Google Gemini: три сценария для малого бизнеса
Небольшая кофейня из Сан-Франциско сократила время на дизайн материалов на 95%, автоматизировала ежедневную аналитику продаж и наладила еженедельную рассылку,…
Комментарии