Обязательная сертификация ИИ в России: что ждет стартапы

kirilljsx

Российское правительство ввело обязательную сертификацию систем искусственного интеллекта, и это событие меняет всю экосистему разработки. Новые требования касаются как крупных корпораций, так и небольших стартапов, заставляя переосмыслить подход к разработке и внедрению ИИ-решений.

Эта статья разбирает, что именно требует российское законодательство, какие проверки нужно пройти, и как новые правила повлияют на скорость разработки, бюджеты и конкурентоспособность компаний на рынке. Если вы занимаетесь ИИ, информация здесь точно пригодится.

Что требует новое законодательство

С начала 2025 года в России действует обязательная сертификация ИИ-решений. Это не просто формальность - проверку будут проводить серьезные структуры: ФСТЭК (Федеральная служба по техническому и экспортному контролю) и ФСБ. Уровень риска системы определяет, насколько строгим будет контроль.

Проверки проводятся на специальном полигоне, созданном министерством. Только после успешного подтверждения соответствия системы смогут использоваться в критической инфраструктуре - госорганах, энергетике, транспорте, финансах и телекоммуникациях. Это означает, что если вы разрабатываете ИИ для этих секторов, без сертификации просто не обойтись.

Кроме того, действует ГОСТ Р 71657-2024 и новые требования Федерального закона №233-ФЗ. Главное из них - полная прослеживаемость решений. Компания должна четко объяснить, на каких данных и по каким правилам модель приняла то или иное решение, будь то отказ в кредите или рекомендация товара.

Что означает прослеживаемость

Прослеживаемость - это не просто логирование. Вам нужно:

• Внедрить автоматическую проверку входящих данных
• Настроить детальное логирование всех решений ИИ
• Обеспечить объяснимость с помощью методов вроде SHAP или LIME
• Вести техническую документацию в утвержденном Минпромторгом формате
• Зарегистрировать систему в официальном реестре ИИ-решений

Это требование действует для всех решений с высоким риском. Компании должны иметь в штате минимум одного специалиста (Security Champion), который может объективно оценивать качество работы инструментов безопасности.

Суверенные и национальные модели: в чём разница

Правительство предложило разделить ИИ-модели на две категории, и это разделение имеет серьезные последствия. Каждая категория имеет свои требования и, соответственно, свои преимущества для разработчиков.

Суверенная модель - это система, все стадии разработки, обучения и эксплуатации которой осуществляются на территории России русскими компаниями и гражданами РФ. Требования жесткие: обучение исключительно на датасетах, сформированных внутри страны, полный запрет на использование иностранных компонентов, обязательная сертификация во ФСТЭК и ФСБ.

Национальная модель более гибкая. Она может применять зарубежные open-source-решения и наборы данных, но также должна пройти сертификацию. Это означает, что разработчики могут использовать проверенные мировые фреймворки и инструменты, но при этом соблюдать российские стандарты безопасности.

Процесс сертификации требует прохождения через определенные проверки и оперативного устранения найденных уязвимостей. Наличие сертификата не дает 100-процентную гарантию безопасности (никто не застрахован от zero-day уязвимостей), но заставляет проходить через критические проверки качества.

Различия в требованиях

Характеристика	Суверенная модель	Национальная модель
Разработка в России	Обязательно 100%	Обязательно, но могут применяться зарубежные решения
Датасеты	Только российские	Могут быть иностранные open-source
Иностранные компоненты	Запрещены	Разрешены
Сертификация	Во ФСТЭК и ФСБ	Во ФСТЭК и ФСБ
Предустановка на устройства	Возможна	Возможна

Доверенные модели для критической инфраструктуры

Если ваша компания разрабатывает ИИ для критической информационной инфраструктуры, вам нужно знать о доверенных моделях. Это особая категория, безопасность которых проверяют и подтверждают ФСТЭК и ФСБ. Критерии «доверенности» определит само правительство, и эти критерии будут достаточно строгими.

Это означает, что разработка такого ИИ потребует:

• Тесного взаимодействия с госструктурами
• Согласования каждого этапа разработки
• Предоставления полной документации безопасности
• Возможно, даже участия представителей ФСТЭК и ФСБ в процессе

Стартапам это может быть очень сложно реализовать, так как требует не только технической компетентности, но и опыта работы с государственными органами.

Как это повлияет на стартапы

Для молодых компаний новые требования - серьезный вызов. Вот что нужно понимать реально, без розовых очков.

Финансовый удар значительный. Создание суверенной модели без привлечения иностранных open-source-решений дорого и нецелесообразно с экономической точки зрения. Затраты на сертификацию, специалистов по безопасности, документирование процессов и проверки - все это требует серьезного финансирования. Маленькие стартапы с бюджетом на 1-2 разработчика просто не потянут эти требования.

Скорость выхода на рынок снижается. Если раньше можно было за 3-4 месяца собрать MVP и начать набирать первых пользователей, то теперь нужно закладывать время на сертификацию и согласования. Глобальная конкуренция в сфере ИИ строится на использовании открытых решений и скорости внедрения, а российские требования вводят изоляцию.

Отток специалистов - реальная проблема. Разработчики понимают, что жесткие требования по локализации и сертификации приведут к удорожанию продуктов и усилению технологического отставания. Многие предпочитают работать в международных компаниях, где нет этих ограничений.

Что получают стартапы взамен

Правительство предлагает компенсацию - если ваша модель получит статус суверенной или национальной, её можно будет предустанавливать на все смартфоны и планшеты в России. Это потенциально огромный рынок, но только если пользователи будут активно использовать вашу модель.

Второе преимущество - защита на рынке. Если иностранные ИИ запретят использовать на критической инфраструктуре, то российские разработчики получат монополию на этом секторе. Это может быть выгодно для компаний, которые уже имеют силы пройти сертификацию.

Как это повлияет на крупный бизнес

Для крупных корпораций новые правила - не столько угроза, сколько инструмент переукрепления позиции. У них есть ресурсы пройти сертификацию, нанять нужных специалистов и создать необходимую инфраструктуру.

Госсектор и критическая инфраструктура станут более закрытыми для западных решений. Компании вроде Яндекса, Mail.ru и других крупных игроков получат возможность предоставлять услуги ИИ без конкуренции со стороны OpenAI, Google и прочих.

Затраты на соответствие будут существенными, но для крупных компаний это просто часть бюджета на соответствие. Они могут позволить себе иметь целые отделы, занимающиеся сертификацией и документированием.

Предустановка на устройства - это реальное преимущество. Если вас предустановят на миллионы смартфонов, пользовательская база может резко вырасти просто за счет наличия по умолчанию.

Что нужно делать прямо сейчас

Если вы разрабатываете ИИ и работаете в России или планируете работать, вот практический чек-лист:

• Определитесь, к какой категории относится ваша система - суверенная, национальная или просто коммерческая
• Оцените, нужна ли вам сертификация для вашего текущего бизнеса
• Если да, начните изучать ГОСТ Р 71657-2024 и требования ФСТЭК
• Наймите (или обучите) специалиста по безопасности, который будет отвечать за соответствие требованиям
• Внедрите логирование и систему объяснимости решений ИИ
• Подготовьте документацию в формате, утвержденном Минпромторгом
• Зарегистрируйте систему в официальном реестре ИИ-решений
• Если планируете работать с критической инфраструктурой, начните диалог с ФСТЭК и ФСБ как можно раньше

Долгосрочная перспектива

Новые правила сертификации - это часть более широкой стратегии усиления технологического суверенитета России. К лету 2026 года в регионах создаются межведомственные комиссии по ИИ, что говорит о серьезности намерений. Параллельно развивается нормативная база - появляются новые профильные ГОСТы для критической информационной инфраструктуры.

Для разработчиков это означает, что требования будут только ужесточаться, а не ослабляться. Сейчас еще можно проходить через менее жесткие проверки, но со временем критерии будут расширяться. Те, кто сейчас внедрит правильные процессы и получит сертификаты, будут в выигрыше. Те, кто будет ждать последнего момента, могут оказаться в спешке и потратить намного больше ресурсов.

Есть риск избыточного контроля, который замедлит инновации, но это реальность российского ИИ-рынка на текущий момент. Компаниям остается либо адаптироваться и использовать это в своих целях, либо смириться с лимитированной доступностью рынка.