Обеспечение соответствия 3-МР при разработке и применении искусственного интеллекта в финансовом секторе

Мы предлагаем:

  • Оценку рисков использования искусственного интеллекта
  • Моделирование угроз систем
  • Выстраивание Политики ИБ ИИ
  • Формирование методик оценки доверия к поставщикам ИИ-решений
Обеспечение соответствия 3-МР при разработке и применении искусственного интеллекта в финансовом секторе - услуги RTM Group
Обеспечение соответствия 3-МР при разработке и применении искусственного интеллекта в финансовом секторе - от RTM Group
Узнать стоимость?

Эксперты по аудиту и обеспечению соответствия 3-МР

Эксперт по аудиту и обеспечению соответствия 3-МР Кобец Дмитрий Андреевич

Кобец Дмитрий Андреевич

Эксперт в сфере информационной безопасности

Опыт: Профессиональный опыт в сфере информационных технологий и информационной безопасности с 2009 года

Профиль >>

Все эксперты
Эксперт по аудиту и обеспечению соответствия 3-МР Музалевский Федор Александрович

Музалевский Федор Александрович

Ведущий эксперт компьютерно-технического направления

Опыт: Экспертная работа с 2010 года. Педагогический стаж с 2012 года. Кандидат физико-математических наук. Доцент кафедры ВМ и ИТ ФГБОУ ВО «ВГУИТ»

Профиль >>

Все эксперты
Эксперт по аудиту и обеспечению соответствия 3-МР Гончаров Андрей Михайлович

Гончаров Андрей Михайлович

Юрист в области информационной безопасности

Опыт: Профессиональный опыт в области IT-права с 2015 года

Профиль >>

Все эксперты

Что такое 3-МР?

3-МР — документ, регулирующий вопросы защиты информации в отношении искусственного интеллекта в финансовом секторе.

Документ охватывает следующие направления:

  • Управление киберрисками и рисками нарушения операционной надёжности
  • Правила моделирования угроз ИБ для инфраструктуры, обеспечивающей функционирование ИИ и самой ИИ-системы
  • Перечень мер защиты, применимых к интеллекту
  • Состав положений Политики ИБ ИИ
  • Рекомендации по управлению риском аутсорсинга в контексте использования нейросетей

Кому необходимо соблюдать 3-МР?

Под требования попадают финансовые организации, разрабатывающие и внедряющие искусственный интеллект.

Сюда могут входить:

  • Банки
  • Некредитные финансовые организации (НФО)
  • Организации, предоставляющие профессиональные услуги на финансовом рынке
  • Субъекты национальной платёжной системы (НПС)

Из чего складывается ИБ в рамках 3-МР?

Комплекс мероприятий по 3-МР включает:

  • Анализ рисков ИИ
  • Моделирование угроз ИБ
  • Разработку Политики ИБ ИИ
  • Установление требований к защите информации
  • Определение требований к поставщикам ИИ

Цель — выполнение дополнительных требований для повышения стабильности работы организаций при использовании интеллекта.

Этапы работ, направленных на достижение соответствия 3-МР

1. Разработка Политики ИБ

Для минимизации рисков на стадиях использования ИИ необходимо сформировать Политику ИБ, включающую требования как организационного, так и технического характера.

2. Проведение анализа рисков

Анализ рисков осуществляется в целях повышения надёжности и эффективности защиты информации.

Учитывать риски ИБ ИИ требуется:

  • При принятии решения о применения ИИ для отдельных задач
  • При выборе технологий ИИ
  • При организации защиты информации
  • В рамках общего процесса управления рисками ИИ

Определение факторов риска
При присвоении уровня риска ИИ стоит опираться на перечень факторов риска, содержащийся в Кодексе этики.

Определение последствий реализации рисков
Если риски использования ИИ оценены высоко, результаты работы ИИ-системы должны дополнительно контролироваться человеком.

3. Построение модели угроз

Для выявления актуальных угроз ИИ разрабатывается модель угроз, создаваемая согласно действующей методике ФСТЭК.

При моделировании угроз ИИ необходимо принимать во внимание:

  • Актуальные риски ИБ ИИ
  • Этапы внедрения ИИ
  • Вероятность действий нарушителей
  • Специфику функционирования ИИ
  • Угрозы ИБ самой инфраструктуры, на которой размещена система ИИ

Последовательность моделирования угроз:

  • Определение релевантных этапов применения ИИ
  • Выявление способов реализации угроз ИБ
  • Фиксация тактик и техник, применяемых для реализации угроз
  • Составление перечня актуальных угроз ИБ
  • Подбор необходимых мер защиты информации для нейтрализации этих угроз
  • Уточнение области применения мер защиты

Формирование методик оценки доверия к поставщикам ИИ

Для обеспечения процесса оценки поставщиков ИИ должны быть разработаны собственные методики оценки доверия.

Основные требования к поставщикам:

  • Предоставление отчётов по результатах сканирований уязвимостей и тестов на проникновение
  • Сертификация и применение процессов безопасной разработки ПО и моделей ИИ
  • Соблюдение требований безопасности в отношении моделей ИИ с открытым кодом
  • Иные требования

Использование данных от поставщиков услуг

При передаче данных для их использования в моделях ИИ следует обеспечивать целостность указанных данных в цепочке поставок с помощью сертифицированных ФСТЭК средств контроля целостности.

Требования к обучению модели ИИ поставщиком услуг

При передаче обучающих данных сторонним организациям необходимо гарантировать, что в их составе отсутствует конфиденциальная информация.

Требования к заключаемым договорам

В договорах с поставщиками услуг должны присутствовать разделы, фиксирующие ответственность за нарушение безопасности и обязанность уведомлять об обнаруженных уязвимостях и инцидентах.

Анализ использования системы ИИ позволяет заранее узнать:

  • Какие процессы требуют дополнительного контроля
  • какие данные могут использоваться при обучении и применении модели
  • какие ограничения должны быть установлены для сотрудников и внешних подрядчиков

Анализ реализуемых процессов обеспечения защиты ИИ позволяет определить, насколько текущие процессы соответствуют рекомендациям 3-МР, какие документы требуют доработки, какие риски не были учтены ранее и какие дополнительные меры защиты необходимо внедрить.

Почему RTM Group?

  • Эксперты обладают богатым опытом независимого аудита, судебных экспертиз и представительства в судах, преподавательским опытом.
  • RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наш аудит не сводится к «продаже» дополнительных услуг.
  • Мы – полностью независимая компания, не аффилированная ни с одним брендом или вендором.
  • Мы обладаем лицензиями:
    • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
    • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
    • Лицензия ФСБ России на работу со средствами криптозащиты

Лицензии RTM Group

Заказать услуги по аудиту и обеспечению соответствия 3-МР

Для уточнения стоимости и сроков звоните или пишите нам:

Тел: 8 800 201-20-70 (Звонок по России бесплатный)
email:






Почему RTM Group

RTM Group экспертная организация №1 по версии Федерального каталога экспертных организаций

В списке SWIFT Directory of CSP assessment providers

В реестре надежных партнеров торгово-промышленной палаты Российской Федерации

Полноправный член «Ассоциации пользователей стандартов по информационной безопасности» (АБИСС)

Входим в рейтинг «Pravo.ru-300» в отрасли Цифровая экономика

Сайт RTM Group входит в тройку лучших юридических сайтов России

В составе ТК №122

Цены на услуги по аудиту и обеспечению соответствия 3-МР

Обратите внимание!
Компания работает с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наименование услуги Стоимость

Консультация

Бесплатно

Работаем с юридическими лицами, ИП и бюджетными организациями по безналичному расчету.
Работа с физическими лицами временно не осуществляется.

Наши преимущества

2800+ аудитов и экспертиз

Эксперты обладают одновременно опытом ИТ-аудитов и судебных компьютерных экспертиз

100% удовлетворенность заказчиков

Более 80% заказчиков оценивают нашу работу как "отлично". По итогам ежегодного опроса, минимальная оценка - "удовлетворительно"

3 лицензии

ФСТЭК России и ФСБ России

Услуги для вас

Продукты и решения для вас

Нам доверяют

FAQ: Часто задаваемые вопросы