Как понять, касается ли вас ГОСТ по ИИ: пошаговая проверка для бизнеса
«У нас нет нейросетей» — самая частая фраза, которую мы слышим от клиентов, когда заходит речь о ГОСТ Р ИСО/МЭК 42001-2024. А потом выясняется, что компания использует CRM с предиктивной аналитикой, чат-бот на сайте и HR-платформу с автоматическим скринингом резюме. Всё это — системы искусственного интеллекта. И да, стандарт касается вас.
Мы в Berger Group последние полгода помогаем клиентам разбираться, попадают ли они под действие нового стандарта. И заметили закономерность: большинство недооценивает масштаб использования ИИ в своём бизнесе. Давайте разберёмся, как точно определить, распространяется ли ГОСТ на вашу компанию, и что делать дальше.
Главный критерий: используете ли вы ИИ-системы
ГОСТ Р ИСО/МЭК 42001-2024 распространяется на организации, которые разрабатывают, предоставляют или используют системы искусственного интеллекта — в продуктах, услугах или внутренних процессах. Звучит просто. Но дьявол, как всегда, в деталях.
Проблема в том, что многие собственники и директора не считают используемые инструменты «системами ИИ». Чат-бот воспринимается как «просто автоматизация». Рекомендательный алгоритм в интернет-магазине — как «настройка платформы». Система видеонаблюдения с распознаванием лиц — как «обычная камера». Но с точки зрения регулятора это всё — искусственный интеллект.
Если хотя бы один из ваших бизнес-процессов опирается на алгоритмы, которые обучаются на данных, делают прогнозы или принимают решения автоматически — вы используете ИИ. И стандарт касается вас.
Пошаговая проверка: распространяется ли ГОСТ на ваш бизнес
Чтобы не гадать, пройдите простую диагностику по пяти шагам.
Шаг 1. Инвентаризация ИИ-компонентов
Составьте список всех программных инструментов, которые использует компания. Включите:
- CRM и ERP-системы
- Маркетинговые платформы
- HR-сервисы
- Чат-боты и виртуальные ассистенты
- Системы безопасности (видеонаблюдение, контроль доступа)
- Аналитические инструменты
- Медицинское или производственное оборудование с «умными» функциями
Теперь для каждого инструмента задайте вопрос: есть ли там функции, которые работают на основе машинного обучения, распознавания образов, предиктивной аналитики или автоматического принятия решений?
Если ответ «да» хотя бы по одному пункту — у вас есть ИИ-компоненты.
Примеры из практики:
- Вы используете «Битрикс24» с функцией автоматической оценки вероятности сделки? Это ИИ.
- На сайте стоит чат-бот, который отвечает на вопросы клиентов без участия оператора? Это ИИ.
- HR-платформа автоматически отбирает резюме по критериям? Это ИИ.
- Система видеонаблюдения распознаёт лица сотрудников для контроля доступа? Это ИИ.
Многие удивляются, обнаружив, что ИИ встроен в инструменты, которыми пользуются годами. Но незнание не освобождает от ответственности.
Шаг 2. Оценка степени влияния ИИ на бизнес-процессы
Теперь определите, насколько критичны ИИ-системы для вашего бизнеса. Задайте себе три вопроса:
1. Принимает ли ИИ решения, влияющие на людей?
Например, алгоритм отбора резюме решает, кого пригласить на собеседование. Скоринговая модель определяет, выдать ли кредит клиенту. Медицинская система предлагает диагноз врачу. Если ИИ влияет на права, здоровье или финансы людей — вы в зоне высокого риска.
2. Обрабатывает ли ИИ персональные данные?
Чат-бот собирает контакты клиентов. HR-система анализирует резюме. Система видеонаблюдения фиксирует биометрические данные. Если ИИ работает с персональными данными — нужно обеспечить соответствие не только ГОСТу, но и закону о персональных данных (152-ФЗ).
3. Что произойдёт, если ИИ ошибётся?
Чат-бот даст неверную информацию — клиент уйдёт к конкурентам. Алгоритм неправильно оценит кредитоспособность — банк понесёт убытки. Медицинская система ошибётся в диагнозе — пострадает пациент. Чем выше цена ошибки, тем строже требования к системе менеджмента ИИ.
Если хотя бы на один вопрос ответили «да» — ваш бизнес попадает под действие стандарта, и относиться к этому нужно серьёзно.
Шаг 3. Сравнение текущей системы менеджмента с требованиями ГОСТа
ГОСТ Р ИСО/МЭК 42001-2024 устанавливает конкретные требования к управлению ИИ-системами. Проверьте, есть ли у вас:
Политика использования ИИ
Документ, который описывает, как компания применяет искусственный интеллект, кто отвечает за решения, какие принципы соблюдает (прозрачность, безопасность, недискриминация). Если такого документа нет — у вас пробел.
Реестр ИИ-систем
Список всех используемых ИИ-инструментов с описанием: что делает система, на каких данных обучается, кто её контролирует, какие риски несёт. Без реестра невозможно управлять ИИ системно.
Процедуры оценки рисков
Как вы определяете, что может пойти не так? Как оцениваете вероятность ошибок? Как минимизируете последствия? Если рисками никто не занимается — это проблема.
Документирование решений
Кто и на основании чего принимает решения с использованием ИИ? Как проверяется качество работы алгоритмов? Если нет документации — доказать соответствие стандарту будет невозможно.
Аудит и мониторинг
Кто проверяет, что ИИ работает корректно? Как часто проводятся проверки? Что делается при обнаружении ошибок? Без регулярного контроля система менеджмента превращается в формальность.
Если большинство этих элементов отсутствует — вам предстоит серьёзная работа по выстраиванию системы менеджмента ИИ.
Шаг 4. Определение необходимости сертификации
Формально ГОСТ Р ИСО/МЭК 42001-2024 пока не требует обязательной сертификации для всех. Но есть случаи, когда без неё не обойтись:
Высокорисковые отрасли
Медицина, транспорт, финансы, образование — здесь регуляторы будут требовать подтверждения соответствия. Если вы работаете в этих сферах, готовьтесь к сертификации.
Госзакупки
Участвуете в тендерах? Соответствие ГОСТу уже начинают включать в требования к поставщикам. Без сертификата вас могут не допустить к конкурсу.
Крупные заказчики
Корпорации всё чаще требуют от партнёров подтверждения, что их ИИ-системы соответствуют стандартам. Это часть due diligence при заключении контрактов.
Международные проекты
Если работаете с зарубежными клиентами, сертификация по ISO/IEC 42001 (международный аналог российского ГОСТа) может стать конкурентным преимуществом.
Для получения сертификата нужно обратиться в аккредитованный центр сертификации. Эксперты проведут аудит ваших ИИ-систем и процессов, проверят соответствие требованиям стандарта, выдадут сертификат (или укажут на несоответствия, которые нужно устранить).
Шаг 5. Подготовка технической документации
Если вы разрабатываете продукты с ИИ или предоставляете услуги на основе ИИ-систем, потребуется подготовить техническую документацию:
- Описание архитектуры ИИ-системы
- Данные, на которых обучалась модель
- Методы проверки качества и точности алгоритмов
- Процедуры тестирования и валидации
- Меры по обеспечению безопасности и защите данных
- Порядок обновления и мониторинга системы
Эта документация понадобится как для внутреннего аудита, так и для сертификации. Без неё доказать соответствие стандарту невозможно.
Что делать, если ИИ в вашем бизнесе нет
Если после проверки вы уверены, что не используете системы искусственного интеллекта — ГОСТ Р ИСО/МЭК 42001-2024 к вам не применяется. Никаких действий предпринимать не нужно.
Но будьте внимательны: технологии развиваются быстро. Сегодня у вас нет ИИ, а через полгода внедрите новую CRM с предиктивной аналитикой или установите чат-бота. И тогда стандарт станет вашей реальностью.
Рекомендую раз в год проводить ревизию используемых инструментов — чтобы не пропустить момент, когда ИИ появится в вашем бизнесе.
Три ошибки, которые допускают компании
За последние месяцы мы видели типичные ошибки, которые совершают собственники и директора при оценке применимости стандарта:
Ошибка 1. «У нас нет ИИ, мы просто используем готовые сервисы»
Неважно, разработали вы систему сами или купили. Если используете — стандарт касается вас. Ответственность за корректность работы ИИ лежит на том, кто его применяет, а не на разработчике.
Ошибка 2. «Мы маленькая компания, нас это не коснётся»
Размер не имеет значения. Если у стартапа с пятью сотрудниками есть чат-бот или HR-система с ИИ — требования те же, что и для корпорации.
Ошибка 3. «Подождём, пока станет обязательным»
Внедрение системы менеджмента ИИ занимает от нескольких месяцев до года. Если начнёте готовиться в 2026 году, когда стандарт станет обязательным, — будете делать всё в авральном режиме, под угрозой штрафов и потери контрактов. Лучше подготовиться заранее.
Вывод: Если ваш бизнес использует ИИ — стандарт распространяется на вас. Проведите инвентаризацию, оцените риски, подготовьте документацию. Не ждите, когда регуляторы придут с проверкой.
Если хотите точно понять, касается ли вас ГОСТ, и получить план подготовки к сертификации — мы готовы провести аудит ваших систем и процессов. Системно, с учётом специфики вашего бизнеса.
