Перейти к основному содержимому

Соответствие

Вкладка Соответствие модуля GRC по адресу /grc?tab=compliance — это реестр с двойным источником: каждая находка либо была создана рецензентом, либо произведена AI-сканированием против регламента — и оба типа находок живут и сортируются бок о бок в одной сетке.

GRC — реестр соответствия

примечание

Шесть регламентов включены по умолчанию — EU AI Act, GDPR, NIS2, DORA, SOC 2, ISO/IEC 27001. Администраторы могут включать, отключать или добавлять пользовательские регламенты (например, HIPAA, внутренние политики) в разделе Администрирование → Метамодель → Регламенты.

Два пути попадания находок в реестр

ИсточникКто создаётКогда использовать
РучнойПользователь с compliance.manage нажимает + Новая находка в сетке СоответствияОбязательства из аудита, внешне отрапортованные пробелы, аттестации третьих сторон — всё, что нужно отслеживать, но что AI-сканирование не выявит
AI-сканирование (TurboLens)Пользователь с compliance.manage запускает сканирование с панели инструментов СоответствияПериодический анализ пробелов ландшафта по включённым регламентам

Оба пути разделяют одну и ту же модель данных и жизненный цикл. Сканирование никогда не удаляет и не перезаписывает ручную находку, а введённая вручную находка может быть продвинута в Риск, обратно распространена при закрытии Риска и обработана пакетно так же, как находка, обнаруженная AI.

Создание находки вручную

Нажмите + Новая находка в панели инструментов Соответствия, чтобы открыть диалог создания. Обязательные поля:

ПолеОписание
РегламентВыберите один из включённых регламентов. Определяет селектор статьи.
СтатьяСвободно-текстовый идентификатор (Art. 6, § 32, Annex II и т.д.). Нормализуется при сохранении, чтобы повторные сканирования не дублировали строку.
ТребованиеПоложение или контроль, который вы отслеживаете.
Статусnew, in_review, mitigated, verified, accepted, not_applicable, risk_tracked. По умолчанию new.
Серьёзностьlow, medium, high, critical.
ПробелОписание пробела или наблюдения.
ДоказательствоПодтверждающие доказательства, заметки аудита, ссылки.
Меры устраненияПредложенные меры. Используются как зерно для задачи митигации, если потом находка продвигается в Риск.
Связанная карточкаОпционально — привязать находку к конкретному Приложению, ИТ-Компоненту или другой карточке.
Связанный рискОпционально — заранее связать с существующим Риском, если он уже отслеживает этот пробел.

compliance.manage необходимо для создания, редактирования, удаления или пакетных действий с находками. compliance.view достаточно для чтения реестра и сортировки из вкладки Соответствие на уровне карточки.

Редактирование находки

Откройте любую находку — из таблицы Соответствия или из вкладки Соответствие карточки — и нажмите Изменить в панели, чтобы после создания изменить её статус соответствия (например, Соответствует → Частично), серьёзность, требование, пробел, свидетельство, исправление, статью или связанную карточку. Редактирование содержимого не затрагивает решение жизненного цикла находки; для этого используйте временную шкалу жизненного цикла. Требует compliance.manage.

Запуск AI-сканирования

AI требуется для сканирований, не для ручных находок

Ручные находки работают в любом развёртывании. AI-сканирования требуют коммерческого AI-провайдера (Anthropic Claude, OpenAI, DeepSeek или Google Gemini), настроенного в Настройках AI.

Отметьте регламенты для включения и нажмите Запустить сканирование соответствия. Сканирование выполняется в фоне как запуск анализа TurboLens:

  1. Загрузка карточек — извлекается живой снимок ландшафта.
  2. Семантическое AI-обнаружение — имя, описание, поставщик и связанные интерфейсы каждой карточки проверяются на сигналы AI / ML (LLM, рекомендательные движки, компьютерное зрение, скоринг мошенничества или кредита, чат-боты, предиктивная аналитика, обнаружение аномалий). Карточки, помеченные здесь, несут чип AI-обнаружено в сетке, даже если их подтип не AI Agent / AI Model.
  3. Проверка по регламенту — настроенный LLM выполняет чек-лист регламента против карточек в области.

Страница отображает живой индикатор прогресса с учётом фаз. Обновление страницы не прерывает сканирование — фоновая задача продолжает работать на сервере, а UI повторно подключает цикл опроса при монтировании через /turbolens/security/active-runs.

Сканирование заменяет находки только для регламентов, которые вы определили. Находки других регламентов остаются нетронутыми.

Как сосуществуют ручные и AI-находки

Находки соответствия upsert-ятся по (scope, card, regulation, normalised_article). Этот ключ предотвращает столкновения между двумя источниками:

  • Ручная находка, которую следующее AI-сканирование тоже произведёт, согласуется с существующей строкой — ваше доказательство, заметки рецензента и статус сохраняются; обновляется только LLM-текст пробела / устранения, если он изменился.
  • AI-обнаруженная находка, которую следующий проход больше не сообщает, не удаляется. Она помечается как auto_resolved=true и скрывается по умолчанию, так что её история и любая обратная ссылка на продвинутый Риск сохраняются.
  • AI-вердикт пользователя по карточке (hasAiFeatures = true / false) также сохраняется. Если вы подтверждаете или отклоняете AI-несущую классификацию LLM, это решение перекрывает детектор в последующих сканированиях — дрейф LLM не может молча перерасширить область находки.

Рабочий процесс статусов

Находки имеют 4-состояний основной путь с 3 боковыми ветвями, отображаемый как горизонтальная фазовая временная шкала в панели деталей:

new → in_review → mitigated → verified
↘ accepted (боковая ветвь, требуется обоснование)
↘ not_applicable (боковая ветвь, пересмотр области)
↘ risk_tracked (устанавливается автоматически при продвижении в Риск)

Переходы ограничены пользователями с compliance.manage. Движок принудительно выполняет переходы на сервере и отклоняет незаконные движения с понятной ошибкой.

risk_tracked никогда не устанавливается вручную — записывается автоматически, когда вы нажимаете Создать риск на находке, и очищается движком обратного распространения Риска при закрытии связанного Риска.

Продвижение находки в Реестр рисков

Каждая карточка находки (ручная или AI-обнаруженная) несёт первичное действие Создать риск. Клик открывает общий диалог создания риска с заголовком, описанием, категорией, вероятностью, воздействием и затронутой карточкой, предзаполненными из находки. Вы можете отредактировать любое поле перед отправкой, назначить владельца и выбрать целевую дату разрешения.

При отправке строка находки переключается на Открыть риск R-000123, чтобы ссылка оставалась видимой. Действие идемпотентно — повторный клик переходит к существующему риску вместо создания дубликата.

Однократная задача митигации автоматически порождается на новом Риске, засеянная из текста Меры устранения находки — анализ пробелов сразу превращается в действенную, прикреплённую работу. См. Реестр рисков → Продвижение из находки соответствия TurboLens для полного жизненного цикла и того, как назначение владельца создаёт последующее Todo + уведомление-колокольчик.

Когда связанный Риск позже достигает mitigated, monitoring, closed или accepted (или удаляется), движок обратного распространения автоматически перемещает каждую связанную находку соответствия в соответствующее состояние (mitigated, verified, accepted или обратно в in_review). Обоснование принятия, зафиксированное на Риске, отзеркаливается в заметке рецензента находки, чтобы аудиторский след оставался согласованным.

Сетка, фильтрация и пакетные действия

Сетка Соответствия отражает сетку Инвентаризации: боковая панель фильтров с переключателями видимости столбцов, сохранённая сортировка, полнотекстовый поиск и панель деталей для каждой находки.

При предоставлении compliance.manage сетка показывает фильтр-осведомлённый мультивыбор. Отметьте флажок заголовка, чтобы выбрать каждую строку, соответствующую активным фильтрам, затем используйте липкую панель инструментов:

  • Редактировать решение — пакетный переход каждой выбранной находки в выбранное состояние (например, пометить группу находок как not_applicable после пересмотра области). Незаконные переходы выводятся построчно в сводке частичного успеха, а не приводят к сбою всего пакета.
  • Удалить — окончательно удалить находки (используется для очистки находок регламента, который вы с тех пор отключили).

Продвижение в Риск остаётся действием единичной строки — пакетное продвижение намеренно не предлагается для сохранения захвата контекста по каждой находке.

KPI обзора

Вкладка Соответствие также показывает общий KPI соответствия в верхней части страницы и компактную тепловую карту по регламенту. Кликните на любую ячейку тепловой карты, чтобы детализировать в сетке, ограниченной этой комбинацией регламент × статус.

Соответствие по одной карточке

Деталь карточки — вкладка Соответствие

Карточки в области любой находки также показывают вкладку Соответствие на своей странице деталей (управляется compliance.view). Она перечисляет каждую находку, связанную с карточкой, с теми же действиями Подтвердить / Принять / Создать риск / Открыть риск, что и вид GRC — так что владелец Приложения может сортировать свои собственные находки, не покидая карточку. Тот же правило авто-скрытия применяется к вкладке Риски в деталях карточки: обе вкладки появляются только тогда, когда карточка действительно имеет связанные элементы, чтобы карточки без активности GRC не тянули за собой пустые вкладки.

Демо-данные

SEED_DEMO=true заполняет курируемый вручную набор примеров находок соответствия (по всем шести встроенным регламентам и микс состояний жизненного цикла) против демо-карточек NexaTech, так что вкладка пригодна для использования из коробки без настроенного AI-провайдера.

Разрешения

РазрешениеРоли по умолчанию
compliance.viewadmin, bpm_admin, member, viewer
compliance.manageadmin

compliance.view управляет доступом для чтения к реестру, вкладке Соответствие по карточке и KPI обзора. compliance.manage необходимо для создания или редактирования находок, изменения их статуса, запуска сканирований, пакетных действий, продвижения в Риск или удаления находки.