Продукт · Доказательства соответствия
Статус контролей и доказательства, привязанные к стандартам
Модуль XIII считывает активность, которую вы уже фиксируете, и сопоставляет её со статусом по каждому контролю в рамках таких стандартов, как EU AI Act, NIST AI RMF и ISO/IEC 42001 — а затем опечатывает доказательства в защищённом от подделки журнале с хеш-цепочкой и режимом «только добавление». Это статус контролей и доказательства, которые можно передать аудитору, а не сертификация, которую выдаём мы.
В продукте
Консоль соответствия
Реальный скриншот с демонстрационными данными. Статус по каждому контролю в рамках каждого стандарта, покрытие с первого взгляда, карта соответствия возможностей и доказательств, а также опечатанные пакеты доказательств, привязанные к журналу. Каждый отчёт сопровождается оговоркой: это статус контролей и доказательства, а не сертификация.
Что на выходе
От активности к доказательствам, понятным аудитору
Четыре результата, каждый из которых опирается на то, что реально зафиксировал журнал, — и каждый помечен честно.
Статус по каждому контролю, а не значок «пройдено/не пройдено»
Каждый контроль приводится к одному из пяти состояний — satisfied, by_design, partial, gap или unmapped. «Satisfied» подкреплён реальной операционной телеметрией; «by_design» — это гарантия на уровне архитектуры, по которой телеметрии пока нет. Мы никогда не смешиваем эти два состояния: обещание на уровне архитектуры не является доказательством работы.
Анализ пробелов и карта возможностей
Анализ пробелов называет возможности, которых вам не хватает для конкретного контроля; карта соответствия возможностей и доказательств показывает, какая возможность порождает какое доказательство. Сводка по нескольким стандартам объединяет всё так, что один контроль закрывает сразу несколько стандартов.
Опечатанные пакеты доказательств
Доказательства экспортируются как опечатанные пакеты, привязанные к защищённому от подделки журналу с хеш-цепочкой и режимом «только добавление», — так что целостность того, что вы передаёте, поддаётся проверке, а любое последующее изменение разорвало бы цепочку. Доказательством служит журнал, а не документ, поверить которому мы вас просим.
Классификация рисков агентов и резидентность данных
Каждый агент классифицируется по уровням риска EU AI Act с перекрёстным сопоставлением с NIST AI RMF и сопровождается аттестацией резидентности данных. Уровень риска и резидентность — это входные данные для доказательств: они влияют на статус контролей, но не сертифицируют итоговый результат.
Как это работает
Активность превращается в сопоставленные, опечатанные доказательства
Журнал активности питает модуль сопоставления контролей, который приводит каждый контроль к статусу; результат экспортируется как пакет доказательств в привязке к стандартам. То, что подтверждено телеметрией, и то, что объявлено by_design, отображаются как разные состояния — и никогда не сливаются в одну зелёную галочку.
Что реально
Статус контролей и доказательства уже работают; сертификацию вам предстоит получить самостоятельно
Мы формулируем это точно, потому что слова здесь имеют юридический вес:
- Работает на стабильном контракте: статус по каждому контролю, анализ пробелов, карта соответствия возможностей и доказательств, сводка по нескольким стандартам, опечатанные пакеты доказательств, классификация рисков агентов и аттестация резидентности данных.
- Сопоставлены шесть устоявшихся семейств стандартов — EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 и GDPR. Ещё несколько источников являются лишь ориентирами при проектировании — OWASP Agentic, CSA MAESTRO, рекомендации CISA Five-Eyes по агентным системам и оверлеи NIST — и не несут заявления о соответствии; архитектура учитывает их, но не утверждает соответствие им.
- Это не сертификация. Olivares находится в стадии до релиза и не сертифицирован по SOC 2, ISO или EU AI Act. Этот модуль даёт вам статус контролей и доказательства в поддержку сертификации, которую вы решите получить; сам он сертификат не выдаёт, а отсутствие сертификации не блокирует v1. Каждый отчёт прямо об этом сообщает.
Доказательства соответствия — вопросы
Делает ли это нас соответствующими требованиям или сертифицированными?
Нет — и мы не станем утверждать обратное. Модуль XIII производит статус контролей и доказательства: состояние по каждому контролю в рамках каждого стандарта плюс опечатанные пакеты доказательств, понятные аудитору. Сертификация по SOC 2, ISO или EU AI Act — это процесс, который вы проходите с сертифицирующим органом; сам Olivares находится в стадии до релиза и не сертифицирован. Каждый отчёт несёт эту оговорку.
В чём разница между «satisfied» и «by_design»?
«Satisfied» означает, что контроль подкреплён реальной операционной телеметрией — журнал зафиксировал активность, которая это подтверждает. «By_design» означает, что архитектура гарантирует контроль, но телеметрия его ещё не задействовала. Это намеренно разные состояния, потому что обещание на уровне архитектуры — не то же самое, что доказательство того, что что-то отработало. Остальные состояния — partial, gap и unmapped.
Какие стандарты сопоставлены на самом деле?
Шесть устоявшихся семейств стандартов: EU AI Act, NIST AI RMF, ISO/IEC 42001, SOC 2, ISO/IEC 27001 и GDPR. Помимо них архитектура учитывает несколько неокончательных источников — OWASP Agentic, CSA MAESTRO, рекомендации CISA Five-Eyes по агентным системам и оверлеи NIST. Мы помечаем их как ориентиры при проектировании и не делаем заявлений о соответствии им.
Как узнать, что пакет доказательств не редактировали после экспорта?
Каждый пакет опечатан и привязан к защищённому от подделки журналу с хеш-цепочкой и режимом «только добавление». Целостность проверяется по цепочке, поэтому любое последующее изменение доказательств — или активности, лежащей в их основе — разорвало бы хеш и проявилось бы. Доверие — к журналу, а не к PDF, поверить которому мы вас просим.
Передайте аудитору доказательства, а не утверждения
Разверните Olivares на собственной инфраструктуре, сопоставьте свою активность со статусом по каждому контролю в рамках стандартов и экспортируйте опечатанные доказательства, привязанные к журналу.