Для корпоративного сектора · Соответствие требованиям и доказательства

Работа по соответствию требованиям:
механизированная.

Фреймворки задают вопросы; слой, который определяет, что видят ваши агенты, должен ответить на них с помощью принудительных средств контроля и проверяемых доказательств. LeanCTX сопоставляет EU AI Act, ISO/IEC 42001 и SOC 2 с механизмами, которые он фактически обеспечивает — и явно указывает на все, что не может.

Честность превыше всего: LeanCTX — это инструментальная поддержка работы по соответствию требованиям, а не юридическая консультация. «Согласованный» — это техническое заявление о принудительных средствах контроля, а не сертификат. Каждое сопоставление несет этот отказ от ответственности, и каждая обнаруженная обязанность является документированным пробелом.

Сопоставления

Три фреймворка, одна честная матрица для каждого.

Машиночитаемые матрицы сопоставлений, привязанные к точным версиям фреймворков с полугодовым циклом обзора. Каждый поставляется с пакетом политик фреймворка, реализующим обеспечиваемый сегмент — унаследуйте его, расширьте или проверьте свой собственный пакет на основе него.

Regulation (EU) 2024/1689

EU AI Act

11 из 14 сопоставленных средств контроля технически обеспечены

Перспектива разработчика потока контекста: логирование по ст. 12 (защищенное от подделки, всегда включено), хранение логов по ст. 26(6) в течение шести месяцев, маскирование идентификаторов по ст. 10(5), надзор и вмешательство через жесткие лимиты бюджета по ст. 14(4), контроль доступа по ст. 15(5). Управление данными для обучения и организационные обязанности являются документированными пробелами — а не скрытыми.

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

Обеспечиваемые сегменты Приложения A, задокументированы пробелы

A.6.2.6 логирование операций, A.9.2 процесс ответственного использования — пакет политик является машино-обеспеченным определением процесса — A.9.4 принудительное использование по назначению с записью нарушений, A.7.4 контроль данных перед использованием. Сами AIMS являются организационными по определению; сопоставление это указывает.

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

Сегмент контекстно-конвейера TSC, включая доказательства

CC6.1 логический доступ (шлюз возможности отказа по умолчанию), CC6.6 защита границ (отказ исходящего трафика + PathJail), CC7.2 мониторинг аномалий (типизированные события безопасности), C1.1 конфиденциальность (маскирование учетных данных и идентификаторов). Критерии на уровне сущностей остаются в вашей организации — сопоставление рисует границу.

pack: soc2-context

Источник истины: матрицы сопоставлений в репозитории — TOML, подлежащие обзору и сравнению различий. Каждое заявление о полном покрытии называет тестовый CI, который доказывает обеспечение; тест на дрейф проваливает сборку, когда заявления и тесты расходятся.

Отчеты о покрытии

Обсуждение аудита, как команда.

Одна команда выводит то, что на самом деле хотят видеть оценщики: вердикты по каждому контролю относительно вашего реального, разрешенного пакета политик — а не относительно брошюры.

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCED проверяется в режиме реального времени по вашему разрешенному пакету — слабый пакет понижается до NOT-ENFORCED с кодом выхода 1, поэтому отчет может быть пропущен через CI-gate. ENGINE гарантирует указание теста, который это доказывает. Строки GAP указывают на то, что остается организационной обязанностью. Для вашего GRC-инструментария используйте --json.

Подписанный отчет CISO

Один подписанный отчет, за весь период.

Соберите диапазон дат в один исполнительный артефакт: соответствие OWASP-Top-10-for-Agents, покрытие фреймворком, что именно было заблокировано и скрыто принудительно, а также положение о хранении — подписанный Ed25519 и проверяемый офлайн.

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

Честный по конструкции: период без инцидентов сообщает об отсутствии блокировок, а прерванная цепочка сообщается всегда, никогда не скрывается. Подписанный JSON всегда записывается; --format pdf добавляет независимый от зависимостей PDF 1.7 для совета директоров. Любой может перепроверить его с помощью lean-ctx compliance verify <report.json> — не требуется аудиторский след, не требуется установка LeanCTX.

Пакеты доказательств

Аудиторы проверяют — не доверяя нам.

lean-ctx экспортирует пакет доказательств аудита в детерминированный, подписанный Ed25519 ZIP: сегмент аудита с защитой от подделки за период, разрешенный действующий пакет политик и отчеты о покрытии. Те же входные данные, байтово идентичный пакет — перегенерируйте и сравните.

Противоположный инструмент, leanctx-verify, является автономным инструментом без движкового кода и четырех зависимостей — независимой второй реализацией открытого контракта evidence-bundle-v1. Он работает офлайн, на машине аудитора, менее чем за минуту:

1

Архив + манифест

объединяет хорошо сформированный, поддерживаемый по версии

2

Инвентаризация файлов

каждый файл соответствует своему SHA-256, ничего не добавлено и не удалено

3

Воспроизведение цепочки

цепочка хешей аудита пересчитывается от якоря до головы

4

Подпись манифеста

Ed25519 действителен — относительно внешнего ключа, если он у вас есть

5

Сигнатуры входа

каждая строка журнала индивидуально подписана и проверена

Проверено на мутации: один перевернутый байт, одна пропущенная строка, один неверный ключ — НЕВЕРНО. В руководстве для аудитора простым языком объясняется, что доказывают доказательства и чего они не могут (события защищены с момента их записи — а не раньше; честная модель угроз является частью формата). Источник верификатора: packages/leanctx-verify.

FAQ

Вопросы, которые задают команды по комплаенсу.

Позволяет ли LeanCTX соответствовать требованиям EU AI Act / ISO 42001 / SOC 2?

Ни один инструмент не может этого заявить, и мы тоже нет. LeanCTX технически обеспечивает соблюдение контролей, которые находятся в конвейере контекста — и доказывает это с помощью CI-тестов и доказательств во время выполнения. Матрицы соответствия указывают для каждого контроля, является ли покрытие полным (обеспечено + протестировано), частичным (описан остаточный пробел) или отсутствует (организационная обязанность). Комплаенс — это оценка, которую проводят люди; LeanCTX предоставляет им принудительные контроли и проверяемые доказательства.

Что именно содержится в матрицах соответствия?

Машиночитаемые файлы TOML — по одному на каждый фреймворк, закрепленные за точной редакцией фреймворка с полугодовым циклом обзора. Каждый контроль содержит пункт, однопредложенное требование, механизм LeanCTX (правило упаковки, событие аудита, экспорт доказательств), доказательство, которое получает оценщик, заявление о покрытии — и для каждого полного заявления имя CI-теста, который доказывает принудительное исполнение. Тест на дрейф прерывает сборку, если заявление указывает на несуществующий тест.

Как мне проверить нашу собственную настройку по отношению к фреймворку?

lean-ctx policy coverage --framework eu-ai-act (или iso42001, soc2) генерирует артефакт аудита-диалога: каждый контроль как ИСПОЛНЕН (проверено в реальном времени по вашей разрешенной упаковке политик), ДВИЖИТЕЛЬ (гарантия движка, доказанная CI), НЕИСПОЛНЕН (ваша упаковка не содержит правило — код выхода 1, можно контролировать через CI) или ПРОБЕЛА (документированная организационная обязанность). Добавьте --json для машин.

Что такое пакет доказательств?

Детерминированный ZIP-архив с подписью Ed25519, созданный аудитом доказательств lean-ctx: сегмент аудиторской цепочки, защищенный от несанкционированного изменения за период, разрешенная упаковка политик, которая действовала, и отчеты о покрытии CGB + фреймворка. Идентичные входные данные производят идентичные по байтам пакеты, поэтому две стороны могут регенерировать и сравнить их. Формат — это открытый контракт (evidence-bundle-v1).

Как аудитор может проверить пакет, не доверяя нам?

С помощью leanctx-verify — автономного инструмента, который не использует код движка и независимо реализует опубликованный контракт. Он воспроизводит цепочку хешей и проверяет все подписи в режиме офлайн за пять шагов УСПЕХ/НЕУДАЧА менее чем за минуту. Тесты на мутации доказывают, что один перевернутый байт, пропущенная строка журнала или неверный ключ меняют вердикт на НЕВЕРНО. Руководство для аудитора простым языком объясняет, что доказывают доказательства — и, столь же явно, чего они не могут доказать.

Предоставьте доказательства в ходе вашего следующего диалога по аудиту.

Запустите отчет о покрытии для ваших собственных пакетов сегодня — локально, бесплатно. Или поговорите с нами о пилоте с участием вашей команды по комплаенсу.