СООТВЕТСТВИЕ · NIST AI RMF · 1.0

Федеральное обучение управлению рисками ИИ для
NIST AI RMF 1.0.

GOVERN / MAP / MEASURE / MANAGE не принимают "мы прочитали фреймворк". Они ожидают демонстрируемую компетенцию в безопасности, устойчивости, измерении предвзятости, обработке рисков и непрерывном улучшении — для каждого разработчика, поставляющего функции ИИ.

Посмотреть обучение Поговорить с продажами

GovernMap · Measure · Manage

MEASURE-2.7Безопасность ИИ

85+Тем ИИ покрыто

ЧТО ЭТО

NIST AI RMF — федеральная базовая линия риска ИИ в США.

NIST AI Risk Management Framework 1.0 (январь 2023) предоставляет добровольные, федерально-выровненные рекомендации для управления рисками ИИ. Хотя и добровольный, это фактическая базовая линия для федеральных программ ИИ США, закупок, прилегающих к FedRAMP, и большинства развёртываний ИИ DoD.

AI RMF организует риск вокруг четырёх функций — GOVERN, MAP, MEASURE, MANAGE — с детальными подкатегориями. Контроли, ориентированные на разработчика, в основном находятся в MEASURE-2.7 (безопасность и устойчивость) и MEASURE-2.8 (предвзятость, справедливость и дрейф), с обработкой, зафиксированной в MANAGE-2.4 и MANAGE-4.1.

СОПОСТАВЛЕНИЕ КОНТРОЛЕЙ

Функции AI RMF — и как обучение покрывает каждую.

Каждая подкатегория AI RMF сопоставлена с практическими упражнениями и направляемыми сценариями, взятыми из треков OWASP LLM Top 10, OWASP Agentic AI Top 10 и Безопасная ИИ-поддерживаемая разработка.

Подкатегория

Результат

Покрытие обучения

GOVERN-1.1

Политики и роли для риска ИИ

Политики, процессы и роли для управления рисками ИИ, согласованные с организационными принципами (GOVERN-1.1).

Пробелы в доказательствах соответствия AI Dev Tools; обучение доступу на основе ролей для использования инструментов ИИ.

MAP-1.1

Контекст и цели системы ИИ

Документировать контекст системы ИИ, предполагаемые использования, предсказуемые неправильные использования и заинтересованные стороны (MAP-1.1).

Обучение Agentic AI: intent breaking + specification gaming; шаблоны моделирования угроз.

MEASURE-2.7

Безопасность и устойчивость ИИ

Оценить безопасность и устойчивость системы ИИ против враждебных входов, отравления, уклонения и злоупотребления (MEASURE-2.7).

Полный стек OWASP LLM Top 10; подмена идентичности Agentic AI; уязвимости обработки вывода LLM.

MEASURE-2.8

Предвзятость, справедливость и дрейф ИИ

Отслеживать и измерять предвзятость, справедливость и поведенческий дрейф системы ИИ на протяжении жизненного цикла развёртывания (MEASURE-2.8).

Отравление данных и моделей LLM; обучение манипуляции RLHF; контекст измерения предвзятости для разработчиков.

MANAGE-2.4

Обработка и смягчение рисков

Применять, документировать и обновлять действия по обработке и смягчению рисков для систем ИИ (MANAGE-2.4).

Обучение Agentic AI: манипуляция HitL по умолчанию-принимаемого; проектирование шаблонов безопасного одобрения.

MANAGE-4.1

Непрерывное улучшение

Захватывать, учиться у и действовать на инцидентах ИИ, едва не случившихся и обратной связи после развёртывания (MANAGE-4.1).

Agentic AI отсутствие аудит-трейла + потеря атрибуции действий; безопасные шаблоны журналирования + телеметрии.

ДОКАЗАТЕЛЬСТВА

Доказательства для каждого разработчика для аудитов федеральных программ ИИ.

Каждое завершённое упражнение и сценарий записывается для каждого разработчика, помеченное подкатегорией AI RMF и базовым CWE. Экспортируется как PDF или машиночитаемый JSON для отчётности федеральных программ ИИ.

Журнал завершения для каждого разработчика, помеченный подкатегориями GOVERN / MAP / MEASURE / MANAGE.
Базовый CWE по каждой теме — поддерживает отчётность по кибербезопасности MEASURE-2.7.
PDF-экспорт с отметкой времени и подписью — подходит для документации федеральных программ ИИ.
Дашборд покрытия, агрегированный по всем четырём функциям AI RMF.

FAQ

Частые вопросы от команд федеральных программ ИИ США.

Является ли NIST AI RMF обязательным для федеральных подрядчиков?

AI RMF 1.0 является добровольным на федеральном уровне, но упоминается или требуется в OMB M-24-10, Стратегии ответственного ИИ DoD и большинстве федеральных закупочных формулировок ИИ с 2024 года. Многие федерально-прилегающие программы (FedRAMP, клиенты GovCloud, подрядчики DIB) теперь ожидают согласования с AI RMF как базовое требование.

Требует ли AI RMF специально обучение разработчиков?

Да. GOVERN-1.1 требует определённых ролей и компетенции для управления рисками ИИ. MEASURE-2.7 требует измеренной безопасности и устойчивости — обе сложно доказать без практического обучения разработчиков и записей по каждому человеку.

Как AI RMF соотносится с NIST 800-53 и FedRAMP?

AI RMF — это ИИ-специфический оверлей. Контроли NIST 800-53 (семейства AC, AU, SC, SI) по-прежнему применяются к системам ИИ; AI RMF добавляет специфичные для ИИ измерения риска, такие как состязательная устойчивость, предвзятость и дрейф. Доказательства SecureCodingHub поддерживают обе поверхности.

Что насчёт NIST AI 600-1 (GenAI профиль)?

NIST AI 600-1 — это профиль генеративного ИИ для AI RMF, опубликованный в июле 2024. Он уточняет MEASURE и MANAGE специально для GenAI — prompt injection, целостность обучающих данных, галлюцинация, целостность вывода. Наш трек OWASP LLM Top 10 сопоставляется напрямую.

Можем ли мы использовать это для развёртываний ИИ DoD или IC?

Да. Стратегия ответственного ИИ DoD и Рамка этики ИИ IC обе ссылаются на AI RMF как техническую базовую линию. Доказательства для каждого разработчика с агрегацией, сопоставленной с фреймворком — именно тот тип документации, который ожидают эти программы.

Можем ли мы запустить это параллельно с нашими программами EU AI Act и ISO 42001?

Да — тот же каталог обучения удовлетворяет AI RMF, статьи 9-15 EU AI Act и ISO 42001 Приложение A. Одно обучение, три фреймворка покрыты.

Федеральные закупки ИИ сейчас спрашивают о согласовании с AI RMF.

30 минут с нашей командой. Мы пройдём по сопоставлению AI RMF, покажем экспорт доказательств для каждого разработчика и как SSO и SCIM активируются для вашего IdP.

Посмотреть демо Поговорить с продажами