Перейти к содержанию

GRC

Модуль GRC объединяет Управление, Риск и Соответствие в единое рабочее пространство по адресу /grc. Он консолидирует задачи, ранее разнесённые между «Поставкой EA» и TurboLens, чтобы архитектор, владелец риска и проверяющий по соответствию работали на общей основе.

В GRC три вкладки:

  • Управление — Принципы EA и Architecture Decision Records (ADR).
  • РискРеестр рисков согласно TOGAF этапа G.
  • Соответствие — сканер по запросу (CVE + анализ нормативных пробелов), который ранее жил в TurboLens.

К любой вкладке можно перейти прямой ссылкой через /grc?tab=governance, /grc?tab=risk или /grc?tab=compliance.

Управление

Две панели рядом:

  • Принципы — браузер только для чтения с EA-принципами, опубликованными в метамодели (формулировка, обоснование, последствия). Каталог редактируется в «Администрирование → Метамодель → Принципы».
  • Решения — Architecture Decision Records. Каждый ADR фиксирует статус, контекст, решение, рассмотренные альтернативы и последствия. Решения, выпущенные мастером TurboLens Architect, попадают сюда черновиками для утверждения.

Риск

Встраивает Реестр рисков TOGAF этапа G. Полный жизненный цикл, рабочий процесс статусов, переключатели матрицы и поведение владельцев описаны в руководстве по Реестру рисков. Самое существенное:

  • Реестр живёт по адресу /grc?tab=risk (ранее находился в «Поставке EA»).
  • Риски можно создавать вручную или продвигать из находки CVE либо из находки соответствия на вкладке «Соответствие».
  • Продвижение идемпотентно — после продвижения находки её кнопка становится «Открыть риск R-000123».

Соответствие

Сканер безопасности по запросу из двух независимых половин:

  • CVE-скан — обращается в NIST NVD по вендорам / продуктам / версиям актуального ландшафта, после чего LLM приоритизирует находки.
  • Скан соответствия — анализ пробелов по регулятиве на основе ИИ против включённых регулятив (по умолчанию EU AI Act, GDPR, NIS2, DORA, SOC 2, ISO 27001; администратор может включить больше в «Администрирование → Регулятивы»).

Находки устойчивы между повторными сканами — пользовательские решения, заметки рецензента и обратная ссылка на продвинутый Риск переживают последующие сканы. Находка, которую очередной проход больше не сообщает, помечается auto_resolved и по умолчанию скрывается; ранее продвинутый Риск сохраняется, чтобы аудиторский след не разрывался.

Сетка «Соответствие» зеркалит сетку «Инвентарь»: боковая панель фильтров с переключателями видимости столбцов, сохранённая сортировка и панель деталей, отображающая жизненный цикл соответствия (new → in_review → mitigated → verified, с risk_tracked, accepted и not_applicable как побочными ветвями).

Разрешения

Разрешение Роли по умолчанию
grc.view admin, bpm_admin, member, viewer
grc.manage admin, bpm_admin, member
risks.view / risks.manage см. Реестр рисков § Разрешения
security_compliance.view / security_compliance.manage см. TurboLens § Security & Compliance

grc.view управляет видимостью самого маршрута GRC — без него запись в верхнем меню скрыта. Каждая вкладка дополнительно обеспечивает собственное доменное разрешение, так что просматривающий, например, может читать реестр, но не может запускать LLM-скан.