NIST DI rizikos valdymo sistema (AI RMF) Europos kontekste
JAV Nacionalinis standartų ir technologijų institutas (NIST) 2023 m. sausį paskelbė AI Risk Management Framework 1.0 (AI RMF 1.0), o 2024 m. liepą - generatyviojo DI profilį (NIST AI 600-1). Karkasas yra savanoriškas, bet tapęs de facto pasauliniu DI rizikos valdymo etalonu, kurį priima Europos įmonės, ypač tos, kurios dirba transatlantinėse rinkose. Karkasas struktūruojamas pagal keturias funkcijas - Govern, Map, Measure, Manage - kurios sutampa su ISO 42001 ir ES DI akto reikalavimais.
Keturios AI RMF funkcijos
Govern (valdyba): organizacijos politika, vaidmenys, atsakomybės, kultūra. Map (žemėlapis): konteksto ir rizikos identifikavimas - kam DI naudojamas, kas nukentėtų, kokios numatytos ir nenumatytos pasekmės. Measure (matavimas): rizikos kiekybinis arba kokybinis vertinimas pagal patikimumo, saugumo, atsakomybės, skaidrumo, sąžiningumo, privatumo ir paaiškinamumo charakteristikas. Manage (valdymas): rizikos prioritetinis nustatymas, atsakas (priėmimas, perdavimas, mažinimas, vengimas), dreifo stebėjimas, periodinė peržiūra.
Generatyviojo DI profilis (AI 600-1)
2024 m. liepos profilis nustato 12 generatyviojo DI specifinių rizikos kategorijų: CBRN informacija (cheminė, biologinė, radiologinė, branduolinė), konfabuliacija (haliucinacijos), pavojinga ar smurtinė rekomendacija, asmens duomenų atskleidimas, aplinkos poveikis (energijos sąnaudos), žmonijai svarbi infrastruktūra, žmogaus ir DI konfigūracija (per didelis pasitikėjimas), informacijos vientisumas (deepfakes, dezinformacija), informacijos saugumas, intelektinė nuosavybė, nešvanki ir pasibaisėtina medžiaga, vertybių derėjimas. Kiekvienai kategorijai pateikiamas konkretus rekomenduojamų veiksmų sąrašas.
Susiejimas su ES DI aktu
AI RMF Govern funkcija atitinka ES DI akto 17 straipsnį (kokybės valdymo sistema) ir 26 straipsnį (diegėjų prievolės). Map funkcija atitinka 9 straipsnį (rizikos valdymo sistema). Measure funkcija atitinka 15 straipsnį (tikslumas ir kibernetinis saugumas). Manage funkcija atitinka 16 straipsnį (kokybės valdymo sistemos vykdymas) ir 72 straipsnį (po pateikimo rinkai stebėjimas). NIST ir ES DI akto skirtumai: NIST yra savanoriškas, ES DI aktas - privalomas; NIST yra principu pagrįstas, ES DI aktas - reikalavimu pagrįstas; NIST apima visas DI rizikas, ES DI aktas susitelkia į pamatines teises ir saugumą.
Susiejimas su ISO/IEC 42001
Tarptautinis ISO 42001 standartas yra dar artimesnis NIST AI RMF struktūrai, nes abu yra valdymo karkasai (ne reikalavimo dokumentai). ISO 42001 5 punktas (vadovavimas) - NIST Govern. ISO 42001 6 punktas (planavimas) - NIST Map. ISO 42001 8 punktas (eksploatacija) - NIST Measure ir Manage. ISO 42001 9 punktas (veiklos vertinimas) - NIST Measure ir Govern peržiūra. Praktikoje organizacijos, įgyvendinusios NIST AI RMF, ISO 42001 sertifikavimo audite reikia daugiausia dokumentacijos formato pakeitimų, ne procesų pertvarkos.
Kada NIST AI RMF naudingas Europos įmonėms
Trys tipiniai naudojimo atvejai: (1) Įmonės, dirbančios transatlantinėse rinkose, kurioms reikia vienodo karkaso JAV ir ES rinkoms; (2) Įmonės, kurioms ES DI aktas dar nėra privalomas (ne aukšto rizikos sistemos), bet nori parodyti rinkai brandų DI valdymą; (3) Įmonės, ruošiančiosi ISO 42001 sertifikavimui ir norinčios pradėti su lengvesniu karkasu. NIST AI RMF nėra alternatyva ES DI aktui, bet yra naudingas papildymas, ypač kai reikia bendro karkaso skirtingoms jurisdikcijoms.
Impetora požiūris
Klientams, kuriems NIST AI RMF yra prioritetas, pažinties etapas pradedamas Map funkcijos seansu - DI sistemų inventorizacijos su konteksto aprašymais ir poveikio analize. Diegimo etape Measure funkcija integruojama kaip vertinimo stendas su NIST patikimumo charakteristikų metrikomis. Manage funkcija integruojama kaip dreifo stebėjimo grandinė su periodinio reagavimo grafiku. Pristatymo paketas apima NIST AI RMF profilio dokumentą, kuris vėliau gali būti naudojamas ISO 42001 sertifikavimo paraiškai arba ES DI akto IV priedo techninei dokumentacijai.
Lietuviška versija nuolat plečiama. Konkrečiam projektui kvietime pažintiniam pokalbiui arba rašykite info@ainora.lt.