Точный
Статус документа
Статус документа

ПНСТ 776-2022 Информационные технологии (ИТ). Интеллект искусственный. Управление рисками

     4 Принципы управления рисками, связанными с использованием искусственного интеллекта

Управление рисками должно учитывать потребности организации на основе комплексного, структурированного и всеобъемлющего подхода. Управляющие принципы позволяют организации определять приоритеты и принимать решения о том, как регулировать последствия неопределенности для ее целей.

В системах и процессах обычно использовано сочетание различных технологий и функций. Данные системы и процессы задействованы в различных средах для определенных вариантов применения. Управление рисками должно учитывать систему со всеми ее технологиями, функциональными возможностями и окружением.

Методы ИИ могут привносить новые риски как с отрицательными, так и положительными результатами или увеличивать их вероятность за счет специфических характеристик технологии. Данным методам следует уделять пристальное внимание и при необходимости привести дополнительные указания в отношении структуры и процесса управления рисками в организации.

Примечание - Следует отметить, что в различных стандартах имеются существенно различающиеся определения слова "риск". В некоторых стандартах "риск" предполагает потенциальные негативные последствия, например проблемы, связанные с безопасностью. В других стандартах "риск" предполагает отрицательное или положительное отклонение от целей. Такое различие в направленности зачастую может приводить к путанице при попытке понять и надлежащим образом внедрить отвечающий требованиям процесс управления рисками.

В ГОСТ Р ИСО 31000-2019 (раздел 4) определен ряд общих принципов управления рисками, в дополнение к которому в таблице 1 приведены указания относительно того, как применять такие принципы. Дополнительная информация представлена, например, в [1] и [2].

Таблица 1 - Принципы управления рисками, применяемые к ИИ

Принцип

Описание по ГОСТ Р ИСО 31000-2019 (раздел 4)

Последствия для развития и использования ИИ

Интегрированность

Интегрированный менеджмент риска является неотъемлемой частью всей деятельности организации

Специальное руководство отсутствует, применяют положения ГОСТ Р ИСО 31000

Структурированность и комплексность

Структурированный и комплексный подход к менеджменту риска способствует согласованным и сопоставимым результатам

Специальное руководство отсутствует, применяют положения ГОСТ Р ИСО 31000

Адаптированность

Структура и процесс менеджмента риска настраиваются и соразмерны внешней и внутренней средам организации, ее целям

Специальное руководство отсутствует, применяют положения ГОСТ Р ИСО 31000

Вовлеченность

Вовлеченность заключается в надлежащем и своевременном участии причастных сторон, что позволяет учитывать их знания, взгляды и мнения. Это приводит к повышению осведомленности и информативности в рамках менеджмента риска

При использовании ИИ следует учитывать наличие внутренних и внешних заинтересованных сторон. Например, машинное обучение опирается на соответствующий набор данных для реализации конкретных задач. Заинтересованные стороны могут помочь в выявлении рисков, связанных с использованием данных в конкретных ситуациях, или в том случае, где данные могут являться выбросами

Динамичность

Риски могут возникать, меняться или исчезать по мере изменения внешней и внутренней сред организации. Менеджмент риска предвосхищает, обнаруживает, признает и реагирует на эти изменения и события соответствующим и своевременным образом

Для использования руководящих указаний, содержащихся в ГОСТ Р ИСО 31000, организациям следует создать организационные структуры и принять меры для выявления возникающих рисков, тенденций, технологий, видов применения и субъектов, которые могут оказывать воздействие на системы и методы ИИ. Интеграция с управлением качеством, окружением, безопасностью и/или корпоративной ответственностью, если она поддерживается организацией, также может быть рассмотрена для дальнейшего понимания и управления рисками, связанными с ИИ для организации.


Динамическое управление рисками необходимо, в частности, при использовании систем ИИ, поскольку:


- система ИИ, основанная на машинном обучении, в процессе обучения на предоставленных данных формирует обобщающую способность (generalization ability), качество которой в большей степени зависит от статистического распределения и предобработки этих данных. Поэтому необходимо усилить мониторинг и проверку таких систем на актуальность соответствия как обучающих, так и реальных данных;


- в частности, системы ИИ, способные адаптироваться и оптимизироваться, требуют усиления контроля для того, чтобы избежать незапланированного поведения;


- системы ИИ в динамически меняющемся окружении. При "статичной" системе ИИ нужно контролировать границы применимости данной системы и принимать меры при их пересечении/ недопущении их пересечения вследствие их изменения

Базирование на наиболее качественной доступной информации

В качестве исходных данных использованы исторические и текущие данные, а также прогнозные ожидания. Менеджмент риска явно учитывает любые ограничения и неопределенности, связанные с исходными данными и ожиданиями. Информация должна быть актуальной, ясной и доступной для всех причастных сторон

В дополнение к рекомендациям, содержащимся в ГОСТ Р ИСО 31000, организациям, занимающимся разработкой систем ИИ или предоставлением услуг ИИ, следует рассмотреть вопрос о том, как такие продукты и услуги могут быть использованы их клиентами и пользователями в процессе управления рисками

Учет поведенческих и культурных факторов

Поведение и культура человека существенно влияют на все аспекты менеджмента риска на каждом уровне и этапе

В дополнение к рекомендациям, содержащимся в ГОСТ Р ИСО 31000, организации, занимающиеся проектированием, разработкой и/или внедрением систем или компонентов ИИ, должны осуществлять мониторинг человеческого и культурного многообразия, в котором они находятся, уделяя особое внимание влиянию систем или компонентов ИИ на объективные результаты, конфиденциальность, свободу выражения мнений, надежность, безопасность, занятость, экологические и другие права человека

Непрерывное совершенствование

Менеджмент риска постоянно совершенствуется благодаря обучению и накоплению опыта

В процессе непрерывного совершенствования следует учитывать выявление ранее неизвестных рисков, связанных с использованием систем ИИ. Организации, занимающиеся проектированием, разработкой и/или внедрением систем или системных компонентов ИИ, должны отслеживать экосистему ИИ на предмет наличия достоинств и недостатков в работе, а также новых результатов исследований и методов ИИ.


Среди других вопросов, которые следует учитывать, - конфиденциальное использование систем ИИ, злоупотребление при использовании систем ИИ и взаимозависимости между ИИ и конфиденциальностью, защитой и безопасностью

Примечания


1 В некоторых областях применения, например для критически значимых приложений безопасности или в медицинском секторе, организациям может потребоваться отслеживать, как используются их продукты и услуги.


2 При работе с заказчиками, пользователями и клиентами, при их наличии, нужно учитывать потенциальную недоступность их мнений в полном объеме из-за отсутствия коммуникации, потенциальных ограничений прав на интеллектуальную собственность, договорных или рыночных ограничений. Такие ограничения должны быть учтены в процессе управления рисками ИИ и обновлены, когда изменения условий бизнеса требуют пересмотра.