ISO 42001 — стандарт управления ИИ: требования для компаний, внедряющих AI
Тендерное сопровождение по 44-ФЗ и 223-ФЗ: подготовка документов, аккредитация на ЭТП и участие в закупках.
В декабре 2023 года Международная организация по стандартизации совместно с МЭК опубликовала документ, которого отрасль ждала несколько лет. ISO/IEC 42001:2023 стал первым в мире стандартом систем менеджмента, специально разработанным для организаций, которые создают, внедряют или используют технологии искусственного интеллекта. За полтора года с момента выхода к нему сертифицировались около 30 компаний по всему миру — среди них IBM, Amazon Web Services, Anthropic и KPMG. Это цифра небольшая, но динамика ускоряется: EU AI Act начал действие в 2025 году, и компании, работающие на европейском рынке, ищут инструменты доказательства добросовестности.
Что представляет собой ISO/IEC 42001:2023
Полное официальное название — ISO/IEC 42001:2023 «Information technology — Artificial intelligence — Management systems». В России стандарт принят как ГОСТ Р ИСО/МЭК 42001-2024 приказом Росстандарта № 1549-ст от 28 октября 2024 года и введён в действие с 1 января 2025 года в полной идентичности международной версии (IDT).
Документ описывает требования к системе менеджмента ИИ — AI Management System (AIMS). По сути, это операционная рамка: как организация управляет жизненным циклом AI-систем, выявляет и снижает риски алгоритмической предвзятости, обеспечивает прозрачность моделей и несёт ответственность перед заинтересованными сторонами. Стандарт следует универсальной высокоуровневой структуре (HLS / Annex SL), которую также используют ISO 27001 и ISO 9001, — это существенно упрощает интеграцию при наличии действующих систем менеджмента.
Структура стандарта: обязательные разделы и 39 средств контроля
Обязательные требования сосредоточены в разделах 4–10. Приложение A (нормативное) содержит 39 средств контроля, сгруппированных в 9 тематических блоков.
| Раздел | Содержание |
|---|---|
| Clause 4 | Контекст организации — понимание внутренней и внешней среды, ожиданий заинтересованных сторон |
| Clause 5 | Лидерство — роль и обязательства руководства, политика в области ИИ |
| Clause 6 | Планирование — оценка рисков, AI Impact Assessment, цели AIMS |
| Clause 7 | Обеспечение — ресурсы, компетентность персонала, документированная информация |
| Clause 8 | Операционная деятельность — управление разработкой и эксплуатацией AI-систем |
| Clause 9 | Оценка результатов — внутренний аудит, мониторинг, метрики эффективности |
| Clause 10 | Улучшение — работа с несоответствиями, корректирующие действия, непрерывное совершенствование |
Annex A охватывает политики в области ИИ, ресурсы для AI-систем, оценку воздействия, полный жизненный цикл от проектирования до вывода из эксплуатации, управление данными, информирование заинтересованных сторон и работу с третьими сторонами. Annex B — практическое руководство по реализации каждого из 39 контролей. Annex C описывает возможные цели организации и источники рисков ИИ. Annex D посвящён интеграции AIMS с другими стандартами ISO и отраслевой адаптации.
ISO 42001, ISO 27001 и ISO 9001: в чём разница
Частый вопрос на практике: нужен ли ISO 42001, если у компании уже есть сертификат по информационной безопасности или качеству? Короткий ответ — да, если вы разрабатываете или используете AI-системы. Стандарты не конкурируют, а дополняют друг друга.
| Параметр | ISO 9001 | ISO 27001 | ISO 42001 |
|---|---|---|---|
| Область | Качество продуктов и услуг | Информационная безопасность | Управление AI-системами |
| Специфика рисков | Риски качества процессов | Конфиденциальность, целостность, доступность данных | Алгоритмическая предвзятость, непрозрачность моделей, этика ИИ |
| Охват | Производственные и бизнес-процессы | ИБ-активы, киберзащита | Весь жизненный цикл AI-системы |
| Год первой версии | 1987 | 2005 | 2023 |
Практическое следствие: организации, уже имеющие действующий ISO 27001, экономят 30–50% затрат на подготовку к сертификации по ISO 42001 — документация, процедуры внутреннего аудита и управление рисками уже частично сформированы. Структура HLS у всех трёх стандартов одинакова, что делает интегрированное внедрение логичным шагом.
Кому нужна сертификация в 2025–2026 году
Стандарт разработан для любой организации, которая разрабатывает, развёртывает или использует AI-системы в своей деятельности. На практике это:
Разработчики AI-продуктов
Рекомендательные системы, генеративный ИИ, чат-боты, предиктивная аналитика, компьютерное зрение
Финансовый сектор
Кредитный скоринг, страховой андеррайтинг, обнаружение мошенничества — регуляторы особо внимательны
Здравоохранение
Диагностические модели, обработка медицинских изображений, персонализация лечения
SaaS и облачные провайдеры
Поставщики AI-функций в составе платформ — клиенты всё чаще требуют подтверждение управления рисками
Законодательно обязательной сертификация ISO 42001 не является ни в одной стране по состоянию на 2026 год. Однако крупные международные заказчики начали включать наличие AIMS-сертификата в требования тендерной документации и запросов RFP. Инвесторы на стадии due diligence спрашивают об этом напрямую. Страховщики в сегменте киберрисков учитывают сертификацию при расчёте тарифов.
Этапы и стоимость сертификации
Gap-анализ
Сравнение текущих практик управления AI с требованиями ISO 42001. Выявление пробелов в документации, процессах, компетентности персонала.
Разработка документации AIMS
Политика в области ИИ, реестр AI-систем, процедуры оценки воздействия (AI Impact Assessment), реестр рисков, цели и метрики.
Внедрение контролей Annex A
39 средств контроля внедряются в реальные процессы разработки, эксплуатации и мониторинга AI-систем.
Внутренний аудит
Независимая внутренняя проверка функционирования AIMS перед выходом на сертификационный орган.
Аудит Stage 1 и Stage 2
Stage 1 — проверка документации, 1–2 дня. Stage 2 — проверка эффективности внедрения на рабочих местах, 3–9 дней в зависимости от масштаба.
| Размер организации | Полный бюджет (включая консалтинг и аудит) | Типичный срок |
|---|---|---|
| Малые компании (до 100 AI-занятых) | $15 000 – $40 000 | 4–6 месяцев |
| Средние (100–500 занятых) | $40 000 – $90 000 | 6–9 месяцев |
| Крупные предприятия | $90 000 – $200 000+ | 9–12 месяцев |
Сертификат действует 3 года с ежегодными надзорными аудитами (≈30–40% от первоначального аудиторского бюджета). Организации с действующим ISO 27001 укладываются в нижнюю границу диапазона и сроков.
Кто уже сертифицирован: реальные примеры компаний
К середине 2025 года в мире насчитывалось около 30 организаций с действующим сертификатом ISO 42001. Первой в мире в 2024 году стала KPMG Australia. Среди последующих — несколько показательных случаев.
Anthropic (разработчик Claude) получила сертификат в январе 2025 года — для компании, строящей бизнес на доверии корпоративных клиентов к AI, это был прямой ответ на запросы рынка. Amazon Web Services сертифицировалась в ноябре 2024-го: в облачной инфраструктуре с тысячами клиентов подтверждение управления AI-рисками стало конкурентным преимуществом при корпоративных тендерах. IBM прошла сертификацию по моделям Granite 4.0 в сентябре 2025 года через аудиторскую компанию Schellman — стала первым разработчиком open-source AI-моделей с таким сертификатом. Changi Airport Group (Сингапур) получила сертификат в феврале 2025 года через SGS — пример применения стандарта в критической инфраструктуре, где AI используется в управлении потоками пассажиров и безопасности.
ISO 42001 и EU AI Act: как соотносятся
EU AI Act не называет ISO 42001 гармонизированным стандартом, однако на практике стандарт закрывает значительную часть требований Регламента. Для компаний, поставляющих высокорисковые AI-системы на европейский рынок, это важно: с августа 2025 года вступили в силу обязательства для поставщиков GPAI-моделей, а с августа 2026-го Европейская комиссия получит полномочия по правоприменению для систем высокого риска.
| Требование EU AI Act | Покрывающий элемент ISO 42001 |
|---|---|
| Система управления рисками (ст. 9) | Clause 6.1.3 — AI Impact Assessment |
| Управление данными обучения (ст. 10) | Annex A, раздел A.7 — данные для AI-систем |
| Техническая документация (ст. 11) | Clause 7.5 — документированная информация |
| Прозрачность и информирование (ст. 13) | Clause 7.4, Annex A раздел A.8 |
| Мониторинг после выхода на рынок (ст. 72) | Clause 9 — оценка результатов |
Штрафы EU AI Act за нарушение требований к высокорисковым системам достигают €20 млн или 4% мирового годового оборота. Наличие действующего сертификата ISO 42001 при разбирательстве служит документальным свидетельством системного подхода к управлению рисками ИИ.
Российский контекст
ГОСТ Р ИСО/МЭК 42001-2024 введён в действие с 1 января 2025 года и полностью идентичен международному ISO/IEC 42001:2023. Российские компании, экспортирующие AI-продукты или планирующие выход на международные рынки, могут проходить сертификацию как по ГОСТ Р, так и по международному стандарту — в зависимости от требований целевого рынка.
Вопросы и ответы
Нужен ли ISO 42001, если мы используем AI только внутри компании — например, для HR-аналитики?
Да, стандарт применим не только для разработчиков AI-продуктов, но и для организаций-пользователей. Автоматизированные системы отбора персонала, кредитного скоринга, управления рисками — все они создают юридически значимые последствия для третьих лиц. Именно такие применения находятся в зоне повышенного внимания регуляторов. Внедрение AIMS снижает риск претензий и даёт структуру для управления ответственностью.
Мы уже сертифицированы по ISO 27001 — насколько сложно добавить ISO 42001?
Значительно проще, чем начинать с нуля. Структура HLS одинакова, внутренний аудит, управленческий анализ, политика и процедуры корректирующих действий уже функционируют. Реальная дополнительная работа сосредоточена в специфических для ИИ элементах: AI Impact Assessment, реестр AI-систем, управление данными обучения и тестирования, контроль предвзятости моделей. По рыночным оценкам, экономия времени и бюджета составляет 30–50% по сравнению с изолированным внедрением.
Какие аккредитованные сертификационные органы работают с ISO 42001?
Международно признанные органы — BSI (British Standards Institution), SGS, DNV, Bureau Veritas, Schellman, A-LIGN. В России сертификацию по ГОСТ Р ИСО/МЭК 42001-2024 проводят органы, аккредитованные Росаккредитацией. При выборе органа важно убедиться, что его аккредитация распространяется именно на стандарты систем менеджмента ИИ — это относительно новая область компетенций.
ISO 42001 защищает от штрафов EU AI Act?
Не автоматически — стандарт не является гармонизированным в смысле EU AI Act и не создаёт презумпцию соответствия. Однако документированная AIMS существенно упрощает демонстрацию соответствия регулятору: большинство требований Регламента находят прямое отражение в процессах и записях AIMS. При расследовании инцидента наличие сертификата служит доказательством добросовестности и системного управления рисками.
Как мы помогаем с сертификацией ISO 42001
Консалтинговая компания Реестр Гарант сопровождает организации на всех этапах внедрения AI Management System: от gap-анализа и разработки документации до подготовки к аудиту Stage 2. Работаем как с компаниями, начинающими с нуля, так и с теми, у кого уже есть ISO 27001 или ISO 9001. Помогаем выбрать аккредитованный сертификационный орган под ваш рынок и бюджет.
Получите консультацию
Телефон: +7 920-898-17-18
WhatsApp / Telegram: +7 920-898-17-18
Email: reestrgarant@mail.ru
Международная сертификация, экспорт, ISO