Claude Info
Безопасность

Управление, риски и соответствие (GRC)

Sushegaad/Claude-Skills-Governance-Risk-and-Compliance

Claude Skills для GRC: экспертные консультации по ISO 27001, SOC 2, FedRAMP, GDPR, HIPAA, NIST CSF, PCI DSS, ISO 42001, DORA и DPDPA. 12 специализированных скиллов с точностью 94% против базовых 83% на 300 тестовых утверждениях.

Установка

terminal
bash
git clone https://github.com/Sushegaad/Claude-Skills-Governance-Risk-and-Compliance.git

README

Claude Skills для управления, рисков и соответствия (GRC)

Экспертное руководство по соответствию требованиям ISO 27001, SOC 2, FedRAMP, GDPR, HIPAA, NIST CSF, PCI DSS, TSA Cybersecurity, ISO 42001 AI Management System, ISO 27701 Privacy Information Management, DORA Digital Operational Resilience и Закону Индии о защите персональных цифровых данных (DPDPA) — на базе Claude Skills.

Протестировано на 60 тест-кейсах (по 5 на каждый фреймворк) с использованием eval-фреймворка — каждый оценивался по 5 проверяемым утверждениям независимыми агентами. Скиллы набрали 94% против базового показателя 83% на 300 утверждениях.

Release: v0.4.0 License: MIT Skills: 12 Built with Claude

Содержание

Что такое Claude Skills?

Claude Skills — это устанавливаемые пакеты знаний, расширяющие возможности Claude в конкретных предметных областях. Скилл представляет собой файл .skill — архив, содержащий файл инструкций SKILL.md и опциональные справочные материалы — который загружается в Claude один раз и используется во всех последующих разговорах.

После установки скилл активируется автоматически, когда тема разговора касается его предметной области. Не нужно вызывать его по имени или использовать специальные команды. Claude просто становится более глубоким экспертом в этой области на протяжении всей сессии.

Скиллы идеальны, когда вам нужны:

  • Последовательные ответы экспертного уровня по специализированной теме
  • Результаты, оформленные по профессиональным или регуляторным стандартам (например, готовые к аудиту описания контролей, шаблоны политик с нужными пунктами)
  • Знания предметной области, выходящие за рамки общего обучения LLM — например, понимание того, какие конкретные контроли NIST 800-53 применимы в данном сценарии, или какие статьи GDPR регулируют международную передачу данных

Как скиллы работают изнутри: каждый файл .skill содержит основной SKILL.md, загружаемый в контекст Claude при срабатывании скилла, а также справочные файлы, подгружаемые по запросу для более глубоких подтем. Этот паттерн «прогрессивного раскрытия» обеспечивает эффективное использование контекста, сохраняя доступность исчерпывающих знаний при необходимости.

Для кого это?

Эти скиллы предназначены для специалистов в области информационной безопасности, конфиденциальности и регуляторного соответствия — будь то организации, стремящиеся к сертификации, команды разработчиков, создающие соответствующие требованиям системы, или консультанты, поддерживающие клиентов.

Команды по безопасности и соответствию используют эти скиллы для ускорения анализа пробелов, создания черновиков политик, сопоставления контролей и подготовки пакетов доказательств — сжимая недели справочной работы до нескольких минут.

Разработчики и инженеры используют их, чтобы понять, какие контроли должны быть реализованы в их системах, провести аудит кода и архитектуры на предмет проблем соответствия и получить практические технические рекомендации, привязанные к конкретным регуляторным требованиям.

Юридические, privacy- и GRC-специалисты используют их для составления регуляторных документов (DPA, BAA, уведомлений о конфиденциальности), ответов на вопросы клиентов с точными ссылками на нормативные акты и отслеживания актуальных требований фреймворков.

Медицинские организации используют скилл HIPAA для оценки систем, формирования обязательных уведомлений и соглашений, обучения персонала — без привлечения консультанта по соответствию для каждого вопроса.

Поставщики облачных услуг, претендующие на контракты с федеральным правительством, используют скилл FedRAMP для навигации по процессу ATO, написания нарративов SSP, управления POA&M и подготовки к оценкам 3PAO.

Стартапы и малый бизнес используют эти скиллы, чтобы понять требования конкретного фреймворка, определить границы программы соответствия и получать результаты экспертного качества без большой внутренней команды.

Скиллы

1. 🔐 ISO 27001

Файл: ISO 27001 - Claude Skill/iso27001.skill

Скилл ISO 27001 превращает Claude в эксперта — ведущего аудитора ISO 27001 и консультанта по внедрению СУИБ. Охватывает как ISO 27001:2013 (114 контролей, 14 доменов), так и ISO 27001:2022 (93 контроля, 4 темы), по умолчанию используя актуальную версию 2022 года.

Возможности:

  • Проведение структурированного анализа пробелов по обязательным пунктам (4–10) и всем контролям Приложения A
  • Генерация полных, готовых к аудиту документов политик с блоками управления документами, описаниями области применения и сопоставлением пунктов с контролями
  • Пошаговые руководства по внедрению контролей для любого контроля Приложения A
  • Построение реестров рисков и планов обработки рисков
  • Подготовка к сертификационному аудиту: типичные вопросы аудиторов, необходимые доказательства, распространённые несоответствия
  • Разъяснение различий между версиями 2013 и 2022, помощь в планировании перехода

2. 🛡️ SOC 2

Файл: SOC 2 - Claude Skill/soc2.skill

Скилл SOC 2 делает Claude экспертом по аудиту SOC 2 и консультантом по готовности. Охватывает все пять Критериев доверительных услуг (TSC): безопасность, доступность, целостность обработки, конфиденциальность и приватность.

Возможности:

  • Сопоставление существующих контролей с критериями TSC и выявление пробелов
  • Написание описаний контролей в формате, ожидаемом аудиторами CPA
  • Разъяснение различий между Type I и Type II, помощь в планировании временны́х рамок
  • Подготовка к аудиту: типичные запросы на доказательства, распространённые исключения, вопросы аудиторов
  • Руководство по выбору дополнительных критериев (CC, A, PI, C, P) в зависимости от бизнес-контекста

3. 🏛️ FedRAMP

Файл: FedRAMP - Claude Skill/fedramp.skill

Скилл FedRAMP превращает Claude в эксперта по авторизации FedRAMP и консультанта по готовности к ATO. Охватывает уровни воздействия Low, Moderate и High, а также процессы JAB и Agency ATO.

Возможности:

  • Написание нарративов SSP для контролей NIST 800-53 в формате FedRAMP
  • Управление POA&M: создание, приоритизация, отслеживание устранения
  • Подготовка к оценке 3PAO: что проверяют оценщики, как документировать доказательства
  • Руководство по непрерывному мониторингу (ConMon): ежемесячные отчёты, управление уязвимостями, значительные изменения
  • Разъяснение требований FedRAMP Rev 5 и перехода с NIST 800-53 Rev 4

4. 🇪🇺 GDPR

Файл: GDPR - Claude Skill/gdpr.skill

Скилл GDPR делает Claude экспертом по соответствию GDPR и консультантом по конфиденциальности. Охватывает все 99 статей и 173 преамбулы Регламента (ЕС) 2016/679, а также ключевые руководства EDPB.

Возможности:

  • Анализ операций обработки данных на предмет соответствия GDPR и выявление правовых оснований
  • Составление Соглашений об обработке данных (DPA) и Стандартных договорных условий (SCC)
  • Проведение оценок воздействия на защиту данных (DPIA)
  • Разработка уведомлений о конфиденциальности и политик в соответствии с требованиями прозрачности
  • Руководство по международным передачам данных: SCC, BCR, решения об адекватности
  • Консультации по правам субъектов данных и процедурам ответа на запросы

5. 🏥 HIPAA

Файл: HIPAA - Claude Skill/hipaa.skill

Скилл HIPAA превращает Claude в эксперта по соответствию HIPAA и консультанта по конфиденциальности здравоохранения. Охватывает Правило конфиденциальности, Правило безопасности, Правило уведомления о нарушениях и Правило Omnibus.

Возможности:

  • Определение статуса Covered Entity и Business Associate и соответствующих обязательств
  • Составление Соглашений с деловыми партнёрами (BAA)
  • Проведение анализа рисков безопасности в соответствии с требованиями HIPAA
  • Разработка Уведомлений о практиках конфиденциальности (NPP)
  • Руководство по уведомлению о нарушениях: пороговые значения, сроки, требования к содержанию
  • Разъяснение применимости минимально необходимого стандарта и исключений

6. 🔧 NIST CSF

Файл: NIST CSF - Claude Skill/nistcsf.skill

Скилл NIST CSF делает Claude экспертом по Системе кибербезопасности NIST и консультантом по внедрению. Охватывает CSF 1.1 (5 функций, 23 категории, 108 подкатегорий) и CSF 2.0 (6 функций, включая новую функцию Govern).

Возможности:

  • Проведение оценок текущего профиля и разработка целевых профилей
  • Сопоставление существующих контролей с подкатегориями CSF
  • Создание дорожных карт для устранения пробелов между текущим и целевым профилями
  • Разъяснение информативных ссылок: NIST 800-53, CIS Controls, ISO 27001, COBIT
  • Руководство по уровням реализации (Partial, Risk Informed, Repeatable, Adaptive)

7. 💳 PCI DSS

Файл: PCI DSS - Claude Skill/pcidss.skill

Скилл PCI DSS превращает Claude в эксперта по соответствию PCI DSS и консультанта по безопасности платёжных карт. Охватывает PCI DSS v4.0 (12 требований, более 300 тестовых процедур).

Возможности:

  • Определение области применения CDE (среды данных держателей карт) и стратегий её сокращения
  • Руководство по сегментации сети для изоляции CDE
  • Разъяснение требований к SAQ (Self-Assessment Questionnaire) по типам мерчантов
  • Подготовка к оценке QSA: необходимые доказательства, типичные несоответствия
  • Разъяснение новых требований v4.0 и сроков перехода с v3.2.1

8. ✈️ TSA Cybersecurity

Файл: TSA Cybersecurity - Claude Skill/tsa.skill

Скилл TSA Cybersecurity делает Claude экспертом по директивам TSA по кибербезопасности для операторов критической инфраструктуры транспортного сектора. Охватывает директивы для трубопроводов, железных дорог, авиации и морского транспорта.

Возможности:

  • Разъяснение конкретных требований директив TSA по секторам
  • Разработка планов реализации кибербезопасности (CIP)
  • Руководство по оценкам уязвимостей кибербезопасности
  • Консультации по требованиям сегментации OT/IT
  • Подготовка к проверкам соответствия TSA

9. 🤖 ISO 42001 AI Management System

Файл: ISO 42001 - Claude Skill/iso42001.skill

Скилл ISO 42001 превращает Claude в эксперта по системам управления ИИ и консультанта по ответственному ИИ. Охватывает ISO/IEC 42001:2023 — первый международный стандарт для систем управления ИИ.

Возможности:

  • Разработка политик и целей ИИ в соответствии с требованиями стандарта
  • Проведение оценок воздействия ИИ и управление рисками
  • Построение реестров систем ИИ с документацией по рискам и контролям
  • Разъяснение взаимосвязи ISO 42001 с EU AI Act, NIST AI RMF и другими фреймворками
  • Руководство по подготовке к сертификационному аудиту

10. 🔏 ISO 27701 Privacy Information Management

Файл: ISO 27701 - Claude Skill/iso27701.skill

Скилл ISO 27701 делает Claude экспертом по системам управления информацией о конфиденциальности. Охватывает ISO/IEC 27701:2019 как расширение ISO 27001/27002 для управления конфиденциальностью.

Возможности:

  • Разъяснение дополнительных требований для PII Controllers и PII Processors
  • Сопоставление контролей ISO 27701 с требованиями GDPR и других регламентов
  • Руководство по интеграции СУИБ и СУИКП
  • Подготовка к сертификационному аудиту ISO 27701

11. 🏦 DORA Digital Operational Resilience

Файл: DORA - Claude Skill/dora.skill

Скилл DORA превращает Claude в эксперта по Закону о цифровой операционной устойчивости и консультанта по соответствию для финансового сектора. Охватывает Регламент (ЕС) 2022/2554, применимый с января 2025 года.

Возможности:

  • Разъяснение требований DORA по пяти столпам: управление ИКТ-рисками, управление инцидентами, тестирование устойчивости, риски третьих сторон, обмен информацией
  • Разработка политик управления ИКТ-рисками
  • Руководство по тестированию на проникновение на основе угроз (TLPT)
  • Управление рисками третьих сторон в сфере ИКТ и реестры поставщиков
  • Подготовка к надзорным проверкам регуляторов

12. 🇮🇳 DPDPA — Закон Индии о защите персональных цифровых данных

Файл: DPDPA - Claude Skill/dpdpa.skill

Скилл DPDPA делает Claude экспертом по Закону Индии о защите персональных цифровых данных 2023 года. Охватывает DPDPA 2023 и сопутствующие проекты правил.

Возможности:

  • Разъяснение обязательств Fiduciaries (операторов данных) и Processors (обработчиков)
  • Руководство по требованиям согласия и управлению согласием
  • Консультации по правам субъектов данных по индийскому законодательству
  • Разъяснение требований к локализации данных и трансграничной передаче
  • Сравнение DPDPA с GDPR и другими глобальными регламентами

Возможные сценарии использования

  • Проведение анализа пробелов и подготовка дорожных карт соответствия
  • Написание политик, процедур и описаний контролей
  • Подготовка к сертификационным и надзорным аудитам
  • Обучение команд требованиям конкретных фреймворков
  • Ответы на вопросы клиентов и партнёров по безопасности
  • Оценка архитектуры и кода на соответствие регуляторным требованиям
  • Составление регуляторных документов: DPA, BAA, уведомлений о конфиденциальности

Как установить скилл

  1. Скачайте нужный файл .skill из этого репозитория
  2. Откройте Claude и перейдите в настройки скиллов
  3. Загрузите файл .skill
  4. Скилл активируется автоматически при обсуждении соответствующих тем

Установка через Claude Code Marketplace

Скиллы также доступны через Claude Code Marketplace. Найдите «GRC» или название конкретного фреймворка для установки напрямую.

Оценка скиллов

Каждый скилл тестировался на 5 сценариях, специфичных для фреймворка. Каждый сценарий оценивался по 5 проверяемым утверждениям независимыми агентами.

ФреймворкТест-кейсыУтвержденияРезультат скиллаБазовый результат
ISO 2700152596%84%
SOC 252596%84%
FedRAMP52592%80%
GDPR52596%88%
HIPAA52596%84%
NIST CSF52596%84%
PCI DSS52592%80%
TSA Cybersecurity52592%80%
ISO 4200152596%84%
ISO 2770152592%84%
DORA52596%84%
DPDPA52592%80%
Итого6030094%83%

Отзывы пользователей

«Скилл ISO 27001 сократил нашу подготовку к аудиту с трёх недель до трёх дней. Описания контролей были готовы к использованию с минимальными правками.» — CISO, финтех-компания

«Наконец-то инструмент, который понимает разницу между Covered Entity и Business Associate и может составить BAA, не требующий полной переработки.» — Консультант по конфиденциальности в здравоохранении

«Скилл FedRAMP знает процесс ATO лучше, чем большинство консультантов, с которыми я работал. Нарративы SSP были точными и правильно отформатированными.» — Директор по облачной безопасности, CSP

Поддержка

При возникновении проблем или вопросов создайте issue в этом репозитории.

Автор

Разработано специалистами по GRC и информационной безопасности с многолетним практическим опытом сертификационных аудитов, внедрения фреймворков и регуляторного соответствия.

Отказ от ответственности

Эти скиллы предназначены для помощи специалистам, обладающим соответствующими знаниями, и не заменяют квалифицированную юридическую, аудиторскую или консультационную помощь. Всегда проверяйте результаты у сертифицированных специалистов для критически важных решений по соответствию требованиям.

Похожие скиллы

pegasi-ai/reins

Reins

383
Eyadkelleh/awesome-claude-skills-security

Набор инструментов безопасности

187
agamm/claude-code-owasp

OWASP Security для Claude Code

143
greekr4/playwright-bot-bypass

Playwright Bot Bypass

143