ISO 42001: Сертификация управления ИИ в Казахстане - полное руководство 2026
- Harris QMS Expert
- 4 дня назад
- 9 мин. чтения
18 января 2026 года в Казахстане вступил в силу Закон «Об искусственном интеллекте». Компании, которые разрабатывают или используют системы ИИ — от чат-ботов до предиктивной аналитики — теперь обязаны управлять рисками, маркировать синтетический контент и нести ответственность за решения алгоритмов. Нарушения грозят штрафами до 2 000 МРП.
ISO/IEC 42001:2023 — первый в мире международный стандарт системы менеджмента искусственного интеллекта. Это не просто «галочка в чек-листе», а управленческий фреймворк для ответственного и безопасного внедрения ИИ.
Эта статья — практическое руководство для бизнеса: что такое ISO 42001, кому нужен, как пройти сертификацию, сколько стоит и как это связано с новым Законом. Основано на реальных запросах клиентов — телекомов, ИТ-компаний и промышленных холдингов Казахстана.
Что такое ISO/IEC 42001:2023 и зачем он нужен?
ISO/IEC 42001 — стандарт, опубликованный ISO и IEC в декабре 2023. Он устанавливает требования к системе менеджмента искусственного интеллекта (AIMS): как проектировать, внедрять, поддерживать и улучшать управление ИИ.
Построен на Высокоуровневой структуре (HLS), общей для ISO 27001, ISO 9001, ISO 14001. Если у вас уже есть эти сертификаты, интеграция ISO 42001 не потребует новых процессов — достаточно дополнить существующие специфическими для ИИ элементами.
Ключевые области стандарта ISO/IEC 42001:
· Этика ИИ: прозрачность, справедливость, подотчётность
· Управление рисками: предвзятость алгоритмов, нарушения конфиденциальности, сбои
· Жизненный цикл ИИ-систем: разработка → развёртывание → мониторинг → вывод
· Защита данных: качество данных, приватность, безопасность
· Непрерывное улучшение через цикл PDCA (Plan-Do-Check-Act)
Приложение A содержит AI-специфические контроли: политика ИИ, оценка воздействия, качество данных, объяснимость решений, управление жизненным циклом, взаимодействие с заинтересованными сторонами и документирование процессов.
Закон РК «Об искусственном интеллекте»: почему ISO 42001 становится необходимостью
17 ноября 2025 года Президент Касым-Жомарт Токаев подписал Закон № 230-VIII. 2026 год объявлен Годом искусственного интеллекта в Казахстане.
Ключевые требования закона № 230-VIII.:
· Классификация систем ИИ по уровням риска: минимальный, средний, высокий
· Обязательная маркировка всех синтетических результатов ИИ (текст, изображения, видео)
· Управление рисками — прямая обязанность собственников и владельцев ИИ
· Запрет на автономные системы ИИ без возможности вмешательства человека
· Право граждан на защиту от дискриминации и на оспаривание решений ИИ
· Штрафы: от 20 МРП (немаркированный контент) до 2 000 МРП (нарушение управления рисками)
ISO 42001 предоставляет готовый фреймворк для выполнения требований Закона РК "Об ИИ". Вместо изобретения внутренних процедур с нуля, компания получает международно признанную систему, которую принимают регуляторы, клиенты и партнёры.
Кому нужен ISO 42001 в Казахстане
Финтех и банки: скоринговые модели, антифрод на базе ИИ, обработка персональных данных
Медтех (HealthTech) и здравоохранение: диагностический ИИ, обработка и анализ изображений, системы поддержки врачебных решений (высокий риск по Закону
Телеком и ИТ: компании, внедряющие ИИ-сервисы (чат-боты, предиктивная аналитика, автоматизация)
Нефтегаз и промышленность: предиктивное обслуживание, оптимизация процессов
Госсектор: Национальная платформа ИИ, системы электронного правительства
Компании, экспортирующие ИТ-услуги: для соответствия EU AI Act и требованиям международных клиентов
Примеры применения AI в бизнес-практике :
а) мобильное приложение использует AI для анализа изображений кожи, сопоставления банком данных и предикативного анализа для рекомендаций обращения к врачу или поддержки врачебного решения для ранеей диагностики патологических состояний кожи.
б) телеком-оператор использует ИИ для маршрутизации звонков, предиктивной аналитики оттока клиентов и чат-ботов поддержки. По Закону РК все три системы подлежат классификации по рискам. ISO 42001 создаёт единую систему управления для всех ИИ-приложений компании.
Таблица 1. Краткий анализ факторов влияния в помощь при принятии решения о закупке сертификации ISO 42001 в Казахстане в сравнении с интеграцией с др. системами
Легенда: ⭐ — оценка 1–5 (где 5 = максимум эффекта).Экономия бюджета — ориентир относительно “делать каждый стандарт отдельно с нуля” (разные команды/аудиты/документация).
Факторы и доп. преимущества | Только ISO 42001 | ISO 42001 + ISO 27001 | ISO 42001 + ISO 27701 | ISO 42001 + ISO 27001 + ISO 27701 | ISO 9001 + ISO 42001 |
Влияние на ценность бренда (престиж/доверие) | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
Доступ к тендерам (особенно IT/финансы/гос/квазигос) | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
Доступ к экспортным контрактам (ЕC/UK/ME/US: due diligence) | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
Экономия бюджета на внедрении/аудитах | 0–5% | 15–25% | 10–20% | 25–35% | 10–18% |
Степень защищённости от утечек данных (управление рисками/контроли/инциденты) | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
Скорость прохождения security-questionnaires заказчиков (SIG/CAIQ/анкеты) | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
Снижение юридических рисков по персональным данным (штрафы/претензии/договорные санкции) | ⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
Готовность к требованиям регуляторов/аудитов (банки/финтех/мед/телеком) | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
Доверие инвесторов/партнёров (M&A / due diligence) | ⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ |
Контроль цепочки поставщиков и подрядчиков (vendor risk) | ⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
Управление ИИ-рисками (bias/пояснимость/контент-риски/AI policy) | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ | ⭐⭐⭐⭐⭐ |
Процедура сертификации ISO 42001: 4 этапа
Этап 1. GAP-анализ и планирование (1-2 недели)
Аудит текущего состояния: какие ИИ-системы используются, как управляются риски, есть ли документированные процессы. Определение разрыва между текущим состоянием и требованиями стандарта. Если есть ISO 27001 или ISO 9001, до 60% работы уже выполнено — фреймворк совместим.
Этап 2. Разработка и внедрение AIMS (4–8 недель)
Создание системы менеджмента ИИ: политика ИИ, реестр ИИ-систем, оценка рисков и воздействия, процедуры управления жизненным циклом, механизмы мониторинга и отчётности. Обучение персонала. Интеграция с существующими системами менеджмента.
Этап 3. Внутренний аудит и корректировки (1-3 недели)
Проведение внутреннего аудита по требованиям ISO 42001. Выявление несоответствий и их устранение. Подготовка доказательной базы: записи, отчёты, протоколы. Анализ со стороны руководства (Management Review).
Этап 4. Сертификационный аудит и выдача сертификата ISO 42001 (5 - 12 дней)
Двухэтапный аудит аккредитованным органом по сертификации. Этап 1: проверка документации. Этап 2: проверка внедрения на практике. При успешном прохождении — выдача сертификата ISO 42001 сроком на 3 года с ежегодными надзорными аудитами.
Стоимость и сроки ISO 42001 в Казахстане
Таблица 2. Стоимость и сроки ISO 42001 в Казахстане
Параметр | Без ISO 27001/9001 | На базе ранее внедренных SO 27001/9001 |
Срок внедрения | 2–3 месяца | 6 - 10 недель |
GAP-анализ | 1–2 недели | 1–2 недели |
Разработка AIMS | 6–8 недель | 4–6 недель |
Внутренний аудит | 2–3 недели | 1–2 недели |
Серт. аудит | 2 недели | 5–12 дней |
Ориентировочный бюджет (под ключ) в зависимости от пакета внедрения: Basic/Full/Enterprise | $6 900 – $26 000 | $5 400 – $19 000 |
Стоимость зависит от: количества ИИ-систем, их уровня риска, зрелости существующих процессов, размера организации и выбранного органа по сертификации.
KAIZEN-подход qmpetence: мы начинаем с минимально жизнеспособной системы и масштабируем её по мере зрелости ваших ИИ-процессов. Это снижает первоначальные затраты на 30–40% без ущерба для качества сертификации.
Интеграция с ISO 27001, ISO 9001 и другими стандартами
Благодаря Высокоуровневой структуре (HLS), ISO 42001 бесшовно интегрируется с существующими системами менеджмента.
Что это означает на практике:
ISO 27001 (информационная безопасность): общие контроли по защите данных, управлению доступом и инцидентами. До 40% контролей пересекаются. Подробнее о пошаговом плане сертификации ISO 27001 читайте здесь 👉по ссылке.
ISO 9001 (управление качеством): управление процессами, документирование, корректирующие действия. Подход PDCA идентичен. Подробнее о пошаговом плане сертификации ISO 9001 читайте здесь 👉по ссылке.
ISO 14001 (экология): оценка воздействия ИИ на окружающую среду (энергопотребление дата-центров, углеродный след моделей).
ISO 31000 (риск-менеджмент): фреймворк оценки рисков ИИ строится на тех же принципах.
GDPR / Закон РК о персональных данных: ISO 42001 включает требования к защите данных, используемых для обучения и работы ИИ. Подробнее о защите данных и подготовке к GDPR читайте здесь 👉по ссылке.
Для клиентов qmpetence: если вы уже сертифицированы по ISO 27001 и подходит к концу срок действия сертификата, то мы проводим интегрированный аудит — это экономит время и бюджет до 35%. Дополнительно у нас есть целый ряд других возможностей интеграций.
Рекомендации для бизнеса: оптимальные сценарии по типу бизнеса при выборе интеграций сертификации ISO 42001 в Казахастане
Тип компании | Рекомендуемый пакет интеграции | Почему | ROI-эффект |
Телеком / ИТ с ИИ-продуктами(как АО «Транстелеком») | ISO 42001 + 27001 + 27701 | Максимальное покрытие: ИИ + инфобез + приватность. Закон РК об ИИ + ЗПД + экспорт | Доступ к 100% тендеров, экспорт в ЕС, экономия 35–45% vs раздельно |
Финтех / Банк | ISO 42001 + 27001 + 27701 | Скоринг ИИ = высокий риск. Персональные данные = обязательная защита. Регулятор НБ РК | Снижение штрафных рисков, ускорение лицензирования |
ИТ-стартап (экспорт) | ISO 42001 + 27001 | Минимум для доверия международных клиентов. EU AI Act + ISO 27001 = стандартный запрос | Конкурентное преимущество при привлечении инвестиций, экономия 25–35% |
Промышленный холдинг | ISO 9001 + 42001 | Качество процессов + управление ИИ. Тендеры РК требуют ISO 9001, ИИ = новое требование | Доступ к госзакупкам, PDCA-синергия, экономия 20–30% |
Медтех / Здравоохранение | ISO 42001 + 27001 + 27701(+ ISO 13485 если медизделия или косметология с контактом с телом) | Диагностический ИИ = высокий риск. Медданные = максимальная приватность | Допуск на рынок ЕС (MDR + AI Act), экономия 35–45% |
SaaS / Облачный провайдер | ISO 42001 + 27001 | Клиенты требуют SOC2 или ISO 27001. ИИ-фичи = ISO 42001. Vendor assessment | Ускорение sales-цикла на 40–60%, доступ к enterprise-клиентам |
Ключевые выводы для приниятия решения руководителями
Пакет ISO 42001 + 27001 + 27701 даёт максимальный ROI: покрывает 100% регуляторных требований (Закон РК об ИИ + ЗПД + GDPR + EU AI Act) при экономии 35–45% vs раздельное внедрение.
Для компаний, участвующих в тендерах РК: добавление ISO 9001 к любому пакету открывает доступ к госзакупкам, где ISO 9001 — обязательное требование.
First mover advantage: в Казахстане нет ни одной консалтинговой компании с публичной экспертизой по ISO 42001 (кроме Qmpetence и KPMG). Ранняя сертификация = конкурентное позиционирование на 2–3 года.
Таблица 3. Полная матрица ценности сертификации: ISO 42001 × ISO 27001 × ISO 27701 × ISO 9001.
Детальный анализ (для экспертов по закупке, собственников бизнеса, директоров) факторов в поддержку решений при выборе сертификации: Репутационное влияние · Доступ к рынкам · Экономия бюджета · Кибербезопасность
Фактор / Преимущество | ISO 42001 (только 1 система) | ISO 42001+ ISO 27001 | ISO 42001+ ISO 27701 | ISO 42001+ 27001 + 27701 | ISO 9001+ ISO 42001 |
РЕПУТАЦИЯ И ДОВЕРИЕ | |||||
Влияние на ценность бренда(восприятие рынком как технологического лидера) | ★★★☆☆ | ★★★★☆ | ★★★★☆ | ★★★★★ | ★★★☆☆ |
Доверие клиентов к обработке данных | ★★☆☆☆ | ★★★★☆ | ★★★★★ | ★★★★★ | ★★★☆☆ |
Привлекательность для инвесторов и партнёров(due diligence, ESG-отчётность) | ★★★☆☆ | ★★★★☆ | ★★★★☆ | ★★★★★ | ★★★☆☆ |
Репутационная устойчивость при инцидентах ИИ(«утечка данных») | ★★★☆☆ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★☆☆☆ |
ДОСТУП К РЫНКАМ И КОНТРАКТАМ | |||||
Доступ к тендерам РК«тендеры iso» | ★★☆☆☆ | ★★★★☆ | ★★★☆☆ | ★★★★★ | ★★★★★ |
Доступ к экспортным контрактам ЕС(EU AI Act + GDPR; «экспорт it услуг») | ★★★☆☆ | ★★★★☆ | ★★★★★ | ★★★★★ | ★★★☆☆ |
Соответствие требованиям международных корпораций (vendor assessment) | ★★★☆☆ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★★★☆ |
Доступ к госконтрактам по ИИ(Закон РК «Об ИИ», Нац. платформа) | ★★★★☆ | ★★★★★ | ★★★☆☆ | ★★★★★ | ★★★☆☆ |
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ И ПРИВАТНОСТЬ | |||||
Защита от утечек данных | ★★☆☆☆ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★☆☆☆ |
Комплаенс с Законом РК о персональных данных(«защита персональных данных») | ★★☆☆☆ | ★★★★☆ | ★★★★★ | ★★★★★ | ★★☆☆☆ |
Комплаенс с GDPR / EU AI Act | ★★★☆☆ | ★★★★☆ | ★★★★★ | ★★★★★ | ★★☆☆☆ |
Управление рисками ИИ | ★★★★★ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★★☆☆ |
Защита от кибератак | ★☆☆☆☆ | ★★★★★ | ★★★☆☆ | ★★★★★ | ★☆☆☆☆ |
ЭКОНОМИКА ВНЕДРЕНИЯ | |||||
Экономия бюджета при интеграции(vs раздельное внедрение каждого стандарта) | Базис 0% | 25–35% | 20–30% | 35–45% | 20–30% |
Срок внедрения(от GAP-анализа до сертификата) | 3–5 мес | 4–6 мес | 4–6 мес | 5–8 мес | 4–6 мес |
Стоимость ежегодного надзора(экономия при интегрированном аудите) | Базис 0% | 30–40% | 25–35% | 40–50% | 25–35% |
ДОПОЛНИТЕЛЬНЫЕ ФАКТОРЫ (на основе Serpstat) | |||||
Этика и объяснимость ИИ | ★★★★★ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★★☆☆ |
Управление цепочкой поставщиков ИИ(контроль субподрядчиков, SLA) | ★★★★☆ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★★★☆ |
Непрерывное улучшение процессов (PDCA) | ★★★☆☆ | ★★★☆☆ | ★★★☆☆ | ★★★★☆ | ★★★★★ |
Готовность к аудитам регуляторов | ★★★☆☆ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★★★☆ |
Конкурентное позиционирование | ★★★★★ | ★★★★★ | ★★★★★ | ★★★★★ | ★★★★☆ |
Легенда: шкала оценки в поддержку принятия управленческих решений
★★★★★ | Максимальное покрытие. Полная защита / полный доступ к рынку |
★★★★☆ | Высокое покрытие. Достаточно для большинства требований |
★★★☆☆ | Среднее покрытие. Базовые потребности закрыты, есть пробелы |
★★☆☆☆ | Минимальное покрытие. Значительные пробелы |
★☆☆☆☆ | Практически не покрывает. Требуется дополнительный стандарт |
ISO 42001 и EU AI Act: экспортное преимущество
С 2 февраля 2025 года в ЕС действует Регламент по искусственному интеллекту (EU AI Act). Для казахстанских компаний, экспортирующих ИТ-услуги или продукты с ИИ-компонентами на европейский рынок,
ISO 42001 становится конкурентным преимуществом:
Демонстрирует соответствие требованиям ЕС к управлению рисками ИИ
Упрощает due diligence со стороны европейских партнёров
Создаёт доказательную базу ответственного подхода к ИИ
Совместим с гармонизированными стандартами ЕС для систем ИИ
Закон РК «Об ИИ» был разработан с учётом EU AI Act. Компании, которые внедряют ISO 42001 для соответствия казахстанскому закону, автоматически готовят базу для выхода на европейский рынок.
Часто задаваемые вопросы (FAQ)
В: Что такое ISO 42001 простыми словами?
О: Это международный стандарт, который говорит компаниям: «Вот как правильно управлять искусственным интеллектом — от разработки до вывода из эксплуатации». Включает этику, риски, данные и непрерывное улучшение.
В: Обязателен ли ISO 42001 в Казахстане?
О: Сам стандарт — добровольный. Однако Закон РК «Об ИИ» устанавливает обязательные требования к управлению рисками ИИ, маркировке и подотчётности. ISO 42001 — наиболее структурированный способ выполнить эти требования и доказать соответствие регулятору.
В: Сколько стоит сертификация ISO 42001?
О: Ориентировочно: $7 000–$25 000 в зависимости от размера компании и наличия существующих систем менеджмента. Компании с ISO 27001 экономят 30–40%. Qmpetence предлагает поэтапное внедрение для оптимизации бюджета и даёт рекомендации по вариантам интеграции систем для оптимизации бюджета расходов.
В: Сколько времени занимает внедрение?
О: 2–4 месяца. Компании с ISO 27001 или ISO 9001 — ближе к 2–3 месяцам. С нуля — 2–5 месяцев. Qmpetence применяет KAIZEN-подход: минимально жизнеспособная система за 7–10 недель, при этом наличие внедренной системы ISO 27001 или внедрение интегрированной системы c СУИБ ISO 27001 8 - 14 нед. под ключ с получением сертификата.
В: Можно ли получить ISO 42001 вместе с ISO 27001?
О: Да, это оптимальный подход. Стандарты построены на одной структуре (HLS) и имеют до 40% пересекающихся контролей. Интегрированная сертификация экономит время и до 30% бюджета.
В: Кто проводит сертификационный аудит?
О: Аудит проводит аккредитованный орган по сертификации (не Qmpetence). Мы помогаем подготовиться и пройти аудит с первого раза. Среди наших партнёров — ведущие международные органы по сертификации.
В: Что будет, если не внедрить управление ИИ?
О: По Закону РК: штрафы от 20 до 2 000 МРП. На практике: репутационные риски, потеря клиентов и партнёров, проблемы при участии в тендерах и экспорте. Рынок движется к обязательному регулированию ИИ — вопрос не «если», а «когда».
В: Подходит ли ISO 42001 для стартапов?
О: Да. Стандарт масштабируется под размер организации. Для стартапа с 1–3 ИИ-продуктами внедрение может занять 8–10 недель. Ранняя сертификация — конкурентное преимущество при привлечении инвестиций и выходе на международные рынки.
Следующий шаг
ISO 42001 — не отдалённая перспектива, а текущая необходимость. Закон РК уже действует. Рынок формируется прямо сейчас: KPMG Kazakhstan стала первой среди Big Four с этим сертификатом. Вопрос для вашего бизнеса — будете ли вы среди лидеров или будете догонять.
Qmpetence помогает компаниям Казахстана и Центральной Азии внедрить ISO 42001 по принципу KAIZEN: минимальные затраты, максимальная ценность, измеримый результат на каждом этапе. Наш фокус внимания -- поддержка ИТ-компаний от телекомов, до HealthTech, финтехов и промышленных холдингов. Для поддержки развития предпринимательского комьюнити мы предоставляем также специальные цены стартапам в Казахстане и Узбекистане.
Запросите индивидуальное коммерческое предложение напрямую от аккредитованного органа по сертификации из Евросоюза или Америки - получите бесплатную управленческую консультацию от эксперта из Европы.
Комментарии