Чек-лист нефункциональных требований: 14 категорий (2026)

Главное

• Нефункциональные требования (НФТ) — это 30–60 % всей работы по проекту. Большинство оценок учитывает функциональные фичи и забывает о производительности, безопасности, масштабе, комплаенсе и доступности. Оценки без НФТ ошибаются на 30–60 %.

• Модель из 14 категорий покрывает то, что ISO 25010 прячет в академической глубине. Производительность, масштабируемость, доступность, надёжность, безопасность, комплаенс, удобство использования, поддерживаемость, переносимость, совместимость, восстанавливаемость, наблюдаемость, экономичность, продуктивность разработки. У каждой — конкретный числовой порог в спецификации.

• В 2026 часть НФТ стала обязательной. Обновление HIPAA Security Rule 2024 года перевело шифрование данных на хранении, MFA и инвентарь активов из «по возможности» в «обязательно». EU AI Act со своими уровнями риска вводит новые НФТ для любых классификаторов, работающих с лицами или поведением. Шаблон НФТ из 2022 года устарел.

• Числовые пороги вместо прилагательных. «Быстро» — это не НФТ. «Задержка API на p95 меньше 250 мс при 1 000 одновременных пользователей» — это НФТ. У каждого требования должно быть число, метод измерения и способ проверки.

• НФТ идут в контракт, а не только в бриф. Подрядчик, который сделал функционал, но не выполнил НФТ, проект не сдал. Привяжите НФТ к критериям приёмки с верифицируемыми артефактами.

Почему Фора Софт написала этот плейбук

Фора Софт выпустила более 625 проектов с 2005 года. Мы писали, обсуждали с клиентами и проверяли спецификации НФТ для BrainCert (мультиарендная платформа e-learning с годовой выручкой 750 млн ₽), CirrusMED (телемедицина уровня HIPAA), VALT (e-discovery для юристов с цепочкой хранения доказательств), TransLinguist (NHS UK, перевод с задержкой меньше секунды), StreamLayer (NBC, CBS, Red Bull) и EyeBuild (солнечные системы видеонаблюдения). У каждого проекта свой профиль НФТ; паттерны в этом руководстве — из этих внедрений.

Мы разбираем 80+ оценок подрядчиков в год, и главный источник промахов в прогнозе бюджета — пропуск НФТ. Подрядчик считает фичи, заказчик подписывает, на шестом месяце команда узнаёт, что нужны MFA, аудит-логи, размещение данных в ЕС по GDPR и SLA на 99,95 % — и бюджет взрывается. Этот плейбук — внутренняя инструкция, которой мы пользуемся, чтобы такого не случалось.

Если вы CTO и пишете RFP, нетехнический основатель, оценивающий предложения, или закупщик, ведущий выбор подрядчика — это руководство расскажет, какие 14 категорий НФТ описывать, как переводить прилагательные в числа, что изменилось в 2026 (HIPAA, EU AI Act, доступность) и как зашить НФТ в контракт так, чтобы подрядчик обязан был их выполнить.

Нужна проверка спецификации НФТ перед подписанием контракта?

Пришлите драфт RFP. Мы вернёмся со страничным разбором пробелов по модели из 14 категорий через 48 часов. Бесплатно.

Позвоните нам → Напишите нам →

Почему большинство проектов проваливается на нефункциональных требованиях

По данным PMI, 28 % промахов в прогнозе бюджета приходится на неточные оценки. Исследование IT-проектов McKinsey 2020 года показало, что крупные проекты в среднем вылезают за бюджет на 45 %. Обе цифры сходятся к одной первопричине: оценивали функционал, а сдавали функционал плюс все НФТ, которые с ним приходят.

В нашем портфеле из 80 ежегодных оценок четыре самых частых пропуска НФТ выглядят так:

1. Требования комплаенса всплывают по ходу разработки. «Нам понадобится отчёт SOC 2 до первого корпоративного клиента» — это слышишь на четвёртом месяце. Архитектура под это не проектировалась. Дорабатывать комплаенс задним числом — в 3 раза дороже, чем заложить его сразу.

2. Обещания по производительности превращаются в реальные числа слишком поздно. В брифе написано «чат в реальном времени». В реализации сообщения доставляются за 4 секунды на медленном соединении, потому что никто не задал p95-задержку.

3. Прогнозы по нагрузке ошибаются на порядок. Сделали под «несколько тысяч пользователей». Продукт стрельнул, в день запуска заходит 50 000 пользователей, база падает.

4. Доступность добавляют в панике. Аудит доступности перед запуском находит 200+ нарушений WCAG, доработка занимает 6–10 недель внепланово, а в части юрисдикций ещё и грозит исками о дискриминации.

Что такое нефункциональные требования и чем они отличаются от функциональных

Функциональное требование описывает, что делает система. НФТ — насколько хорошо, при каких условиях, какой ценой и как это будет проверено. «Пациент может записаться на видеоконсультацию» — функциональное. «Запись завершается менее чем за 3 секунды end-to-end на p95 при 1 000 одновременных пользователей» — это уже парное к нему НФТ.

Модель качества ISO 25010 формализует НФТ в 8 категорий верхнего уровня и 31 подкатегорию. Она исчерпывающая и академичная. На практике мы используем более плоскую модель из 14 категорий, которая ложится на реальные инженерные компромиссы и пункты контракта. Эти 14 категорий — ниже.

Три свойства, которые должны быть у любого НФТ. Число (или перечислимый порог), метод измерения и способ проверки. «Система должна быть быстрой» — это пожелание. «Время отклика API на p95 менее 250 мс, измеряется нагрузочным тестом k6 на staging при 1 000 одновременных пользователей» — это НФТ. Подрядчик может сдать второе, но не первое.

Нужно НФТ (а не функциональное требование), когда: ответ на вопрос «фича готова?» зависит от чисел, условий или порогов, а не от бинарного «нажимается ли кнопка».

14 категорий нефункциональных требований с конкретными примерами

Матрица ниже — основа любой нашей спецификации. Под каждую категорию в таблице НФТ проекта идёт строка с целевым порогом, методом измерения и артефактом проверки, привязанным к контракту.

Категория	Что задавать	Пример порога
1. Производительность	Задержка p50/p95, пропускная способность, время отклика	p95 API <250 мс; пропускная способность 500 RPS
2. Масштабируемость	Вертикальная / горизонтальная / эластичная ёмкость	10 тыс. DAU; автоскейл до 50 тыс. на пиках
3. Доступность	Целевой SLA, методика измерения uptime	99,95 % в месяц; межрегиональный failover
4. Надёжность	MTBF, MTTR, бюджет ошибок	MTTR <5 мин на критических инцидентах
5. Безопасность	Аутентификация, шифрование, модель угроз	SSO + MFA; AES-256 на хранении; митигации OWASP Top 10
6. Комплаенс	HIPAA, SOC 2, GDPR, PCI, EU AI Act	SOC 2 Type 2 к 15-му месяцу; цепочка HIPAA BAA
7. Удобство использования	WCAG, время выполнения задач, доля ошибок	WCAG 2.2 AA; 90 % выполнения задач в юзер-тестах
8. Поддерживаемость	Цикломатическая сложность, покрытие документацией и тестами	<10 цикломатики на горячих путях; 80 % покрытия юнит-тестами
9. Переносимость	Браузеры, ОС, облачные провайдеры, регионы	Chrome 110+, Safari 16+, iOS 15+, Android 12+
10. Совместимость	API, форматы данных, интеграции со сторонними сервисами	REST + OpenAPI 3.1; FHIR R5 для медицинских данных
11. Восстанавливаемость	RTO, RPO, частота бэкапов, учения по восстановлению	RTO <1 час; RPO <15 мин; ежеквартальные учения
12. Наблюдаемость	Метрики, логи, трейсы, алертинг	Datadog APM; структурированные JSON-логи; PagerDuty
13. Экономичность	Стоимость транзакции, стоимость пользователя в месяц, потолок инфраструктуры	375 ₽ на пользователя в месяц при 10 тыс. DAU; стоимость CDN <15 % выручки
14. Продуктивность разработки	Время сборки, частота деплоев, lead time	CI <10 мин; ежедневный деплой; lead time <1 неделя

Полные 14 категорий нужны, когда: проект нацелен на enterprise-сегмент, регулируемый или растёт после Series A. На более ранних стадиях — выбирайте 6–8 самых релевантных.

Подмножества из 6 категорий хватает, когда: вы на стадии до MVP и проверяете product-market fit. Описывайте только производительность, безопасность, масштабируемость и комплаенс; остальное — «разумные значения по умолчанию».

НФТ под комплаенс нужны, когда: вы работаете с PHI (HIPAA), платёжными картами (PCI-DSS), гражданами ЕС (GDPR), госконтрактами (FedRAMP / Cyber Essentials) или AI-классификаторами в ЕС (EU AI Act).

НФТ по доступности нужны с первого дня, когда: вы работаете с госсектором, образованием, здравоохранением или с рынком ЕС. Минимальная планка — WCAG 2.2 AA.

Готовый шаблон нефункциональных требований

Наш внутренний шаблон (Excel + Word) сопоставляет каждой из 14 категорий: целевой порог, обоснование, метод измерения, артефакт проверки, приоритет (must-have / should-have / nice-to-have), ответственного и критерий приёмки, который зашивается в контракт.

Например, одна строка по производительности выглядит так: «p95 времени установления видеосоединения <1,5 с; обоснование: выше 2 с пользователь воспринимает поток как сломанный; измерение: синтетический мониторинг через Pingdom из 5 регионов; верификация: еженедельный отчёт; приоритет: must-have; ответственный: Platform Eng; приёмка: подписывается QA на staging перед каждым релизом». Все строки спецификации построены по этому шаблону.

Пришлите нам бриф проекта — за 5 рабочих дней вернёмся с заполненным шаблоном НФТ. Бесплатно. См. CTA ниже.

Разбор: нефункциональные требования для телемедицины

Телемедицинский продукт в США, работающий с PHI: 50 врачей и 5 000 пациентов в первый день, рост до 30 000 пациентов в первый год. Релевантные НФТ (избранные):

Производительность. p95 времени установления видеоконсультации <2,5 с. Сквозная задержка glass-to-glass <1 с. Время ответа на запрос к EHR <500 мс.

Доступность. 99,95 % в месяц в часы приёма врачей (8:00–20:00 ET); 99,9 % в нерабочие часы. Деплой по нескольким AZ; задокументированный плейбук failover.

Безопасность. SSO через Auth0 + обязательный MFA для врачей; AES-256 на хранении с KMS-ключами под управлением клиента; DTLS-SRTP для видео; аудит-лог на каждый доступ к PHI с хранением 6 лет.

Комплаенс. Соответствие обновлению HIPAA Security Rule 2024 года; подписанные BAA со всеми вендорами в цепочке (AWS, Auth0, Datadog, видео-SDK, сервис субтитров); SOC 2 Type 1 к 9-му месяцу, Type 2 к 15-му.

Совместимость. Ресурсы FHIR R5 для пациентов и эпизодов; интеграция с Epic AppOrchard или Cerner через SMART-on-FHIR; записи эпизодов с CPT-кодами для биллинга.

Восстанавливаемость. RTO <1 час (медицинская срочность не позволяет дольше); RPO <5 мин; ежеквартальные учения по восстановлению после катастрофы.

Разбор: нефункциональные требования для платформы лайв-стриминга

OTT-платформа для прямых трансляций спорта: 1,4 млн одновременных зрителей на пиках, работа 24/7, монетизация рекламой плюс подписочный тариф. Избранные НФТ:

Производительность. Сквозная задержка glass-to-glass p50 <500 мс через WHIP/WHEP для интерактивного тарифа; p95 <1 с. Резерв на LL-HLS — <5 с. Время до первого кадра <800 мс.

Масштабируемость. Пики до 1,4 млн одновременных зрителей; автомасштабируемая SFU-сеть в 4 регионах; ежемесячный стресс-тест по сценарию «полный стадион» (10x от обычной нагрузки).

Доступность. 99,99 % во время запланированных трансляций (любая минута простоя в эфире матча — это прямые потери выручки); 99,9 % вне трансляций.

Экономичность. Стоимость CDN <12 % подписной выручки; целевая стоимость доставки минуты эфира <0,06 ₽.

Переносимость. Web, iOS, Android, Apple TV, Roku, Fire TV, Samsung Tizen, LG WebOS. У каждой платформы — своя строка НФТ по поддержке кодеков и DRM.

Хотите наш шаблон НФТ из 14 категорий под ваш проект?

Пришлите бриф или тип проекта. За 5 рабочих дней вернёмся с заполненным шаблоном Excel + Word и порогами под вашу вертикаль.

Позвоните нам → Напишите нам →

Разбор: нефункциональные требования для AI-агента

Голосовой AI-агент — например, ИИ-агент для регистратуры стоматологических клиник, собранный на OpenAI Realtime + LiveKit Agents. Избранные НФТ:

Производительность. Голос-в-голос задержка p50 <800 мс; p95 <1,4 с. Доля успешных вызовов инструментов >96 %.

Надёжность. Доля помеченных галлюцинаций <1 % (контролируется периодической выборкой). Доставляемость аудит-логов 100 %.

Комплаенс. Подпадает под классификацию рисков EU AI Act; в медицинском контексте попадает в Annex III — система высокого риска. Документация, человеческий контроль и пострелизный мониторинг — обязательны с первого дня.

Наблюдаемость. Helicone или LangSmith на каждой сессии агента: полный аудиозахват, транскрипт, все вызовы инструментов, задержка p50/p95 на каждом ходе, стоимость токенов на сессию.

Как глубина нефункциональных требований меняется по фазам проекта

Спецификация НФТ — не разовый артефакт. Она ужесточается по мере зрелости продукта, а цена ошибки растёт нелинейно от стадии к стадии.

Дискавери и прототип (недели 0–6). Всего 4–6 НФТ. Производительность (примерная цель по p95), безопасность (никаких утечек PII), переносимость (целевые браузеры и ОС). Остальное — «разумные значения по умолчанию». Закладывать две недели на спецификацию из 14 категорий ради одноразового прототипа — непрофессионально.

MVP и первый платящий клиент (месяцы 2–6). 8–15 НФТ по 6 категориям: производительность, масштабируемость, безопасность, комплаенс, удобство использования, наблюдаемость. Числа уже реальные, но консервативные; верификация — ручная или выборочная.

Рост и Series A и далее (месяцы 6–18). Все 14 категорий. Числа ужесточаются; верификация автоматизируется в CI; SLA-контракты начинают нести штрафы. Цена пропущенного НФТ на этой стадии — масштаба корпоративной сделки, а не бага.

Зрелость и регулируемый масштаб (год 2+). 80+ НФТ, иногда разбитых на отдельные спецификации по регулируемым доменам (HIPAA, SOC 2, EU AI Act). Внешние аудиторы проверяют каждый релиз. Нарушение НФТ — это инцидент безопасности.

Как обсуждать нефункциональные требования с подрядчиками

1. НФТ идут в RFP, а не в кикофф. Если подрядчик впервые слышит про HIPAA на кикофф-звонке, оценка ошибается на десятки тысяч долларов. Перечислите все НФТ прямо в RFP.

2. Подрядчик должен спорить с невыполнимыми НФТ. «p95 задержка <50 мс при глобальных пользователях» физически недостижима в публичном интернете. Зрелая команда оспорит такое требование; неопытная согласится со всем — и не дойдёт до цели.

3. Привяжите НФТ к критериям приёмки. Раздел приёмки в контракте должен перечислять каждое НФТ вместе с артефактом проверки (отчёт нагрузочного тестирования, транскрипт аудита, сканирование доступности). Без этого подрядчик может объявить «готово» по фичам и обойти НФТ.

4. Различайте must-have и should-have. Доступность 99,99 % дороже 99,9 % в 10 раз. Будьте честны с собой о том, какие НФТ действительно обязательны, а какие — обсуждаемы; подрядчик заложит цену соответственно.

Как проверить, что нефункциональные требования действительно выполнены

Производительность. Нагрузочные тесты k6 / Locust / JMeter на staging с профилями трафика, повторяющими прод. Синтетический мониторинг (Datadog Synthetics, Pingdom) — для непрерывной проверки.

Доступность. Мониторинг uptime с дашбордами SLA (Datadog, Better Uptime); пост-мортемы инцидентов с привязкой к целям RTO/RPO.

Безопасность. Внешний пентест перед запуском и ежегодно; SAST/DAST в CI; генерация SBOM; SLA на устранение уязвимостей.

Комплаенс. Внешний аудитор подписывает отчёт. Оценка рисков по HIPAA, аттестация SOC 2, GDPR ROPA — всё проверяется третьей стороной.

Доступность для людей с особыми потребностями. Автоматический скан (axe-core, Lighthouse) плюс ручной аудит сертифицированного консультанта по доступности.

Восстанавливаемость. Живые учения по восстановлению из бэкапов, при свидетелях и с протоколом. Минимум раз в квартал.

Модель затрат: сколько стоит работа над нефункциональными требованиями

Цифры — из нашей выборки 80 оценок подрядчиков в год, валидной для типичного SaaS-продукта на рынки США + ЕС. Используйте их как ориентиры для планирования, не как обещания.

Базовый комплаенс (HIPAA + SOC 2 Type 2). 2,2–6 млн ₽ на аудит плюс 4–8 недель работы senior-инженеров на внедрение контролей. Каждый дополнительный фреймворк (GDPR, PCI, FedRAMP) добавляет около 2 недель.

Доступность (WCAG 2.2 AA, ретрофит). 6–10 недель на зрелый продукт, около 1,8–4,5 млн ₽ с учётом сертифицированного ручного аудита. Если закладывать с первого дня — около 2 недель.

Закаливание производительности (базовый p95 + стенд нагрузочного тестирования). 3–5 недель плюс 0,5 FTE на постоянной основе для синтетического мониторинга и отлова регрессий. Цена резко растёт, когда p95 на глобальном масштабе уходит ниже 100 мс.

Подъём доступности (с 99,9 до 99,95). Удваивает стоимость инфраструктуры (мульти-регион, горячий резерв), добавляет дежурство, требует ранбуков и chaos-учений. С 99,95 до 99,99 — снова удвоение.

Стек наблюдаемости (Datadog или аналог). 75–375 ₽ за хост в месяц на низком масштабе, до 3 750–15 000 ₽ за хост при высокой кардинальности. Самохостинг Grafana снижает счёт, но добавляет 0,25 FTE на эксплуатацию.

Хотите проверку статей вашей оценки, связанных с НФТ?

Пришлите текущую оценку. За 48 часов отметим в ней все пункты, продиктованные НФТ, и сравним с бенчмарками наших последних проектов. Бесплатно.

Позвоните нам → Напишите нам →

Типичные ошибки в нефункциональных требованиях

1. Прилагательные вместо чисел. «Быстро», «надёжно», «безопасно» — это не НФТ. Замените каждое на число и метод измерения.

2. Конфликтующие НФТ без разрешения компромисса. «99,99 % доступности + потолок стоимости 150 ₽ на пользователя в месяц + p95 50 мс глобально» — это внутренне противоречивая система. Проставьте приоритеты и признайте компромисс.

3. Перебор на гринфилд-продуктах. Стартапу до PMF задавать SOC 2 Type 2 + SLA 99,95 % + WCAG AAA — это сжигание бюджета. Глубина НФТ должна соответствовать стадии.

4. Забытые обновления комплаенса. Обновление HIPAA Security Rule 2024 года сделало шифрование на хранении, MFA и инвентарь активов обязательными. EU AI Act действует с 2025 года для классификаторов высокого риска. Шаблон НФТ из 2022 года устарел.

5. НФТ в отдельном документе. Если НФТ лежат в файле, отдельном от функциональных требований, подрядчики читают функционал и забывают про НФТ. Сведите всё в одну спецификацию, где НФТ — сквозные заголовки.

Фреймворк принятия решений — выбираем глубину НФТ за пять вопросов

В1. До MVP или после MVP? До: 6 категорий (производительность, безопасность, масштабируемость, комплаенс, удобство использования, наблюдаемость). После: все 14.

В2. Регулируемая отрасль? Здравоохранение, финансы, госсектор и образование в ЕС — везде НФТ по комплаенсу обязательны, не опциональны.

В3. Профиль нагрузки? <10 тыс. DAU: масштабируемость — best-effort. 10 тыс.–1 млн DAU: must-have. >1 млн: масштабируемость доминирует в разделе НФТ.

В4. География? Мульти-региональный деплой меняет требования по доступности, восстанавливаемости и задержкам. Один регион — всё резко проще.

В5. Тип контракта? Fix-bid: НФТ должны быть точными (риск на подрядчике). T&M: НФТ могут эволюционировать, но дисциплина по компромиссам всё равно нужна.

KPI для оценки соответствия нефункциональным требованиям

KPI качества. Доля нарушенных НФТ на релиз (цель: 0 критичных, <3 минорных). Критичные находки пентеста (цель: 0 неустранённых старше 30 дней). Балл сканирования доступности (цель: 95+ в Lighthouse).

Бизнес-KPI. Нарушения SLA (цель: ноль клиентских инцидентов в квартал). Прохождение комплаенс-аудитов (цель: 100 % с первого раза).

KPI надёжности. Успешность учений по восстановлению (цель: 100 % успешных квартальных учений). MTTR инцидентов против целевого (цель: укладываемся в RTO).

Когда формальные нефункциональные требования избыточны

Одноразовые прототипы. Кликабельная демка на 2 недели, чтобы проверить UX-гипотезу. Пропускайте шаблон НФТ; задача — чтобы демка прошла end-to-end.

Внутренние инструменты на <10 пользователей. Математика компромиссов не оправдывает формальных НФТ. Достаточно разумных значений по умолчанию плюс обязательства по поддерживаемости.

Гипер-итеративный продуктовый дискавери. Если продукт меняется еженедельно по результатам исследований, профиль НФТ меняется быстрее, чем его можно формально зафиксировать. Закрепляйте НФТ на стабильном MVP, а не на v0.

Мини-кейс: ретрофит нефункциональных требований на телемедицинской платформе уровня Series A

Ситуация. Американский телемед-клиент подписал первую сеть госпиталей. Открытие: госпиталь требовал SOC 2 Type 2, шифрование на хранении с клиентскими ключами, аудит-лог с хранением 6 лет и доступность 99,95 % с задокументированным failover. В исходной спецификации НФТ было две строки: «соответствует HIPAA» и «высокая доступность». В анкете безопасности госпиталя — 287 вопросов.

План на 12 недель. Недели 1–2: написана и привязана к контракту спецификация НФТ из 14 категорий. Недели 3–6: внедрение контролей (ротация KMS, обязательный MFA, структурированные аудит-логи в защищённое от изменений хранилище, мульти-AZ failover с задокументированными RTO/RPO). Недели 7–9: подключён внешний аудитор для аттестации SOC 2 Type 1. Недели 10–12: нагрузочные тесты, chaos-учения, аудит доступности, пентест безопасности, сухой прогон 287-вопросной анкеты госпиталя.

Результат. До: p95 запроса к EHR — 4 секунды, аудит-лога нет, деплой в одной AZ, 0 % прохождения анкеты. После: p95 запроса к EHR — 380 мс, полный аудит-лог по доступу к PHI с хранением 6 лет, мульти-AZ с задокументированным failover за 23 минуты, 94 % прохождения анкеты (оставшиеся 6 % — неблокирующие документационные запросы). Отчёт SOC 2 Type 1 — на 14-й неделе. Контракт с госпиталем закрыт на 16-й неделе.

FAQ

В чём разница между функциональными и нефункциональными требованиями?

Функциональные требования описывают, что делает система («пациент может записаться на приём»). НФТ описывают, насколько хорошо, при каких условиях, какой ценой и как это будет проверено («запись завершается за <3 с на p95 при 1 000 одновременных пользователей»). Нужны и те, и другие: функциональные отвечают на «что», нефункциональные — на «насколько хорошо».

Сколько НФТ должно быть у типового проекта?

До MVP: 8–15 НФТ по 6 категориям. Зрелый SaaS: 30–60 НФТ по всем 14. Enterprise / регулируемый: 80+. Качество важнее количества — у каждого НФТ должны быть число, метод измерения и способ проверки.

НФТ — это то же, что атрибуты качества?

По сути да — НФТ и атрибуты качества ПО — это синонимы. ISO 25010 называет их «характеристиками качества продукта». SAFe называет «нефункциональными требованиями». На практике термин НФТ удобнее для контракта, потому что он формулирует обязательства.

Как писать НФТ по доступности WCAG?

Выберите версию и уровень соответствия WCAG (2.2 AA — дефолт 2026 года). Задайте пороги автоматического сканирования (балл доступности в Lighthouse ≥ 95). Добавьте требование ручного аудита перед запуском. Сошлитесь на European Accessibility Act, если вы работаете в ЕС.

Что изменилось в 2026 году в комплаенс-НФТ?

Обновление HIPAA Security Rule 2024 года сделало шифрование на хранении, MFA и инвентарь активов обязательными (раньше — «по возможности»). Классификация рисков EU AI Act действует с 2025 года для любых классификаторов, работающих с лицами, поведением и биометрией. European Accessibility Act вступил в силу в июне 2025 года. Обновите шаблон НФТ из 2022 года до следующего аудита.

Можно ли проверять НФТ в CI/CD?

Да — тестируемые НФТ (производительность, сканирование безопасности, сканирование доступности, уязвимости зависимостей) идут в CI. Добавьте quality gates, которые блокируют деплой при превышении порога. Ручные НФТ (аттестация комплаенса, ручной аудит доступности) — на этап подписания релиза.

Кто владеет НФТ — продукт или инженерия?

И те, и другие. Продукт владеет НФТ с бизнес-эффектом (экономичность, удобство использования, целевая доступность). Инженерия — реализационными (поддерживаемость, наблюдаемость, продуктивность разработки). НФТ по комплаенсу и безопасности — совместные, чаще всего у CISO или DPO.

Как НФТ влияют на оценку?

Сильно. Один комплаенс (HIPAA + SOC 2) — это 2,2–6 млн ₽ на аудит плюс 4–8 недель работы senior-инженеров. Доступность, добавленная поздно, обходится в 6–10 недель.

Что почитать дальше

Оценка

Гайд CTO по оценке проекта

Как НФТ определяют реальную цену проекта.

Комплаенс

HIPAA + SOC 2 для телемедицины

Подробный разбор комплаенс-НФТ для телемедицины.

Архитектура

Build vs Buy: видео-SDK

Разбор НФТ по экономичности на конкретном кейсе.

Гайд по продакшену OpenAI Realtime

НФТ голосовых AI-агентов: задержка, галлюцинации, аудит.

Готовы описывать НФТ, которые действительно работают?

НФТ — это 30–60 % работы по проекту, но в брифе им достаётся 5 %. Решение — модель из 14 категорий с числовыми порогами, методами измерения, способами проверки, приоритетами и ответственными. Зашейте всё в контракт. Проверяйте на каждом релизе. Обновляйте по мере изменения комплаенса — в HIPAA 2024 года, EU AI Act 2025 года и European Accessibility Act планка уже сместилась.

Подрядчик, который спорит с невыполнимыми НФТ и считает по реалистичным, — это партнёр, который вам нужен. Подрядчик, который говорит «да, всё сделаем», — это партнёр, который удивит вас change orders на четвёртом месяце.

Хотите наш шаблон НФТ под ваш проект?

Пришлите бриф и целевую дату запуска. За 5 рабочих дней вернёмся с заполненной спецификацией НФТ из 14 категорий. Бесплатно.

Позвоните нам → Напишите нам →

Технологии

Тип доставки	Контроль	Масштаб	Стоимость	Когда выбирать
OTT (ваша платформа)	Всё под вашим контролем	от 1 тыс. до 100+ млн зрителей	3–67 млн ₽ и выше на разработку; 150 тыс.–3,7 млн ₽/мес на эксплуатацию	Уникальный контент, сложный биллинг, контроль над брендом
SaaS OTT (Brightcove, Kaltura)	Платформа владеет инфраструктурой	от 1 до 500 тыс. зрителей	75 тыс.–375 тыс. ₽/мес фикс; egress включён	MVP, нет команды медиа-инженерии, быстрый запуск
IPTV (телеком-оператор)	Оператор контролирует сеть и доставку	Миллионы (закрытая сеть)	от 75 млн ₽ (только корпоративный сегмент)	Унаследованные пакеты платного ТВ (кабель, DSL); постепенно уходит в 2026
Эфир / кабель	Регулирование вещания (FCC и аналоги)	Миллионы (линейное лицензированное вещание)	от 750 млн ₽ (физическая инфраструктура)	Лицензированное линейное ТВ (морально устаревшее в 2026)

Вариант	Сроки запуска	Стоимость в первый год	Кому подходит
SaaS OTT (Brightcove, Kaltura, JW Player)	2–4 недели	900 тыс.–3,7 млн ₽	MVP, нет ops-команды, быстрый запуск
Гибрид (SaaS + кастомные модули)	8–12 недель	3,7–11 млн ₽	Кастомный биллинг, брендинг, единая платформа
Полностью кастом (Wowza + собственный код)	16–24 недели	11–37 млн ₽	500+ тыс. минут просмотра, контроль затрат, дифференциация
Корпоративный multi-tenant кастом	24–52 недели	30–75 млн ₽ и выше	B2B-маркетплейс OTT, региональные операторы

Тир	Стоимость (Фора Софт)	Срок до v1	Набор протоколов	Пиковая аудитория	Модель инфраструктуры
Тир 1 — лёгкий	2,6–5,2 млн ₽	10–14 нед.	RTMP/WHIP вход → LL-HLS на выход	< 10K	Полностью управляемая (Mux / Cloudflare)
Тир 2 — креатор	6–11 млн ₽	16–24 нед.	RTMP/WHIP + LL-HLS + WebRTC-чат	10K–50K	Гибрид: управляемые сервисы + собственные
Тир 3 — корпоративный	от 13 млн ₽	24–40 нед.	WebRTC SFU + LL-HLS + multi-CDN	50K–1M+	Self-hosted origin + управляемый edge
Дополнение — AI-набор	+1,1–2,6 млн ₽	+3–5 нед.	Любой	Любая	Cloudflare AI / OpenAI / LiveKit Agents

Функция	Часы	Стоимость	Тир	Заметки
Аутентификация + профиль пользователя	40–70	180–337 тыс. ₽	1+	OAuth, email, сброс пароля, MFA по желанию
Базовый ингест → воспроизведение (LL-HLS)	180–320	825 тыс.–1,5 млн ₽	1+	Включая ингест RTMP/WHIP, лестницу из трёх ступеней, плеер
Запись + библиотека VOD	50–90	225–450 тыс. ₽	1+	Архив на S3/R2, подписанные URL, HLS catch-up
Live-чат + модерация	80–160	375–750 тыс. ₽	1+	WebSocket, бан/мьют, медленный режим, фильтр сквернословия
Реакции, подарки, донаты	40–70	180–337 тыс. ₽	2+	Stripe/Paddle, разделение выплат
Подписки + paywall	60–120	270–562 тыс. ₽	2+	Триал, dunning, сервис прав доступа
Реклама / VAST + SSAI	90–170	412–787 тыс. ₽	2+	SpotX / Google IMA / AWS MediaTailor
DVR + перемотка	60–110	270–525 тыс. ₽	2+	Буфер на 30–60 мин., тюнинг origin
Дашборд аналитики	80–140	375–675 тыс. ₽	2+	Конкурентность, QoE, выручка; Mux Data или своё
AI-субтитры + перевод в реальном времени	60–110	270–525 тыс. ₽	2+	Cloudflare Workers AI, AWS Transcribe, SyncWords
AI-хайлайты + авто-обложки	90–160	412–750 тыс. ₽	2+	Детекция сцен, нарезки по всплескам реакций
Multi-DRM (Widevine + FairPlay)	80–140	375–675 тыс. ₽	3	EZDRM/BuyDRM + ротация ключей
WebRTC SFU (интерактив)	200–360	900 тыс.–1,6 млн ₽	3	LiveKit / mediasoup / Janus, авто-масштабирование
Резервирование multi-CDN	80–140	375–675 тыс. ₽	3	Active-active обмен токенами, проверки здоровья
Готовность к SOC2 / HIPAA	120–200	562–937 тыс. ₽	3	Контроли, логирование, управление ключами, аудиты

Сервис	Модель	Стартовая цена	Egress	Для чего лучше
Cloudflare Stream	Минуты доставки	75 ₽ за 1 000 мин.	Включён	Предсказуемые счета; гибрид live + VOD
Mux	Кодирование + доставка	~1,1 ₽/мин кодирование; 0,07 ₽/ГБ доставка	За ГБ (по тирам)	Дев-ориентированный; отличная наблюдаемость (Mux Data)
AWS IVS	Часы входа + ГБ выхода	150 ₽/час HD-вход; 37 ₽/час multitrack	~6 ₽/ГБ базово	AWS-нативный; интерактивные функции
LiveKit Cloud	Участник-минуты	~0,03 ₽/мин (WebRTC)	Включён	Интерактив, AI-агенты, задержка меньше секунды
Agora	Минуты (по качеству)	74–299 ₽ за 1 000 мин. HD	Включён	Китай / APAC; устаревшие ILS-клиенты
Dolby.io / 100ms	Участник-минуты	Индивидуально / по тирам	Включён	Премиальный звук, событийные форматы

Чек-лист нефункциональных требований: 14 категорий (2026)

Почему Фора Софт написала этот плейбук

Почему большинство проектов проваливается на нефункциональных требованиях

Что такое нефункциональные требования и чем они отличаются от функциональных

14 категорий нефункциональных требований с конкретными примерами

Готовый шаблон нефункциональных требований

Разбор: нефункциональные требования для телемедицины

Разбор: нефункциональные требования для платформы лайв-стриминга

Разбор: нефункциональные требования для AI-агента

Как глубина нефункциональных требований меняется по фазам проекта

Как обсуждать нефункциональные требования с подрядчиками

Как проверить, что нефункциональные требования действительно выполнены

Модель затрат: сколько стоит работа над нефункциональными требованиями

Типичные ошибки в нефункциональных требованиях

Фреймворк принятия решений — выбираем глубину НФТ за пять вопросов

KPI для оценки соответствия нефункциональным требованиям

Когда формальные нефункциональные требования избыточны

Мини-кейс: ретрофит нефункциональных требований на телемедицинской платформе уровня Series A

FAQ

Что почитать дальше

Готовы описывать НФТ, которые действительно работают?

Похожие статьи

Хотите обсудить ваш проект?

Слой	Выбор	Почему
Ингест	RTMP + WHIP, фронтированные Cloudflare или Mux	RTMP — ради совместимости со всеми энкодерами; WHIP — ради ингеста с задержкой меньше секунды из OBS 30+
Транскодирование	Mux / Cloudflare Stream	Лестница ABR из трёх ступеней, per-title там, где контент оправдывает compute
Доставка	LL-HLS поверх CDN Cloudflare / Mux	Задержка 2–3 секунды, масштабируется до миллионов, кэшируется на CDN
Интерактивность	LiveKit Cloud для соведущих и гостей	WebRTC с задержкой меньше 500 мс только для активных участников
Чат	Собственный WebSocket + Redis Streams	Полный контроль над модерацией, подарками, UI; в 10 раз дешевле Stream Chat на масштабе
Запись / VOD	S3 или R2, подписанные URL, HLS catch-up	Дешёвое долгосрочное хранение, ноль egress через R2 в связке с доставкой Cloudflare
AI-слой	Cloudflare Workers AI / OpenAI Whisper	Субтитры, перевод, детекция хайлайтов; pay-as-you-go
Наблюдаемость	Mux Data + Grafana	QoE по каждому зрителю + метрики инфраструктуры в одном дашборде

Статья	Допущение	Месяц, ₽
Доставка (LL-HLS через Mux)	3 класса × 45 мин × 30 дней × в среднем 12 000 зрителей @ 2,8 Мбит/с	285–345 тыс. ₽
Кодирование	4 050 live-минут @ ~1,1 ₽/мин	4,5 тыс. ₽
Чат + вовлечённость	Собственный WebSocket на AWS (c7i.xlarge × 3 + Redis)	33 тыс. ₽
Запись + VOD-хранилище	R2, 400 часов архива, хранение 6 месяцев	3,3 тыс. ₽
AI-субтитры + модерация	4 050 минут субтитров + вызовы API токсичности	16,5 тыс. ₽
Наблюдаемость + мониторинг	Mux Data + Grafana Cloud	26 тыс. ₽
Итого инфра	—	~375–435 тыс. ₽

Фаза	Недели	Результаты
Discovery + ТЗ	1–2	Продуктовое ТЗ, документ архитектуры, рекомендация по протоколу, спецификация инфраструктуры
Базовый стриминг	3–6	Ингест RTMP/WHIP, доставка LL-HLS, веб-плеер, мобильные SDK для просмотра
Вовлечённость + чат	5–9	Чат, реакции, подарки, очередь модерации, push-уведомления
Монетизация	8–12	Подписки, pay-per-view, интеграция рекламы, дашборд выручки
AI + аналитика	10–13	Live-субтитры, фильтр токсичности, генератор хайлайтов, дашборд QoE
Закалка + нагрузочные тесты	13–15	Нагрузочные тесты до 2x ожидаемого пика, chaos-учения, ревью безопасности
Запуск + стабилизация	15–16	Мягкий запуск, тюнинг наблюдаемости, runbooks, передача дежурств