Klasyczny przegląd zgodności to zdjęcie w jednym punkcie czasu: raz w roku ktoś sprawdza dowody, podpisuje raport i zamyka temat na dwanaście miesięcy. Problem w tym, że stan dowodowy zmienia się codziennie — evidence się starzeje, retesty wygasają, SLA bywa naruszone, zaakceptowane ryzyko traci ważność, a nowe podatności trafiają do KEV. Continuous Monitor odwraca perspektywę: zamiast jednego zdjęcia utrzymuje ciągły sygnał o tym, czy pokrycie dowodowe wciąż się broni. Wszystkie dane na tej stronie są syntetyczne (demonstracja układu), a warstwa ciągłego monitorowania to ROADMAP — poniżej rozdzielamy, co jest gotowe, a co dopiero planowane.
Między jednym przeglądem a kolejnym mija dwanaście miesięcy, w których świat się nie zatrzymuje: pentest sprzed pół roku opisuje inny system niż ten dzisiaj, dowód kontroli mógł stracić ważność, a podatność uznana kiedyś za mało istotną mogła trafić do katalogu aktywnie wykorzystywanych (KEV) z wysokim EPSS. Monitor utrzymuje listę sygnałów, każdemu przypisuje próg i akcję, i pokazuje, kiedy pokrycie dowodowe przestaje się bronić — zanim zauważy to audytor lub incydent.
Każdy sygnał ma zdefiniowany próg (kiedy wchodzi w stan ostrzegawczy) oraz akcję (co system proponuje zrobić). To wsparcie decyzji — akcja jest sugestią do przeglądu przez właściciela, nie automatyczną zmianą. Wartości progów poniżej są przykładowe i konfigurowalne.
| Sygnał | Co sprawdza | Próg (przykład) | Proponowana akcja |
|---|---|---|---|
| Świeżość evidence | Czy dowód kontroli nie jest starszy niż jego okno ważności. | wiek > 180 dni | Oznacz jako do odświeżenia, przypisz właściciela |
| Wygaśnięcie retestu | Czy retest po remediacji został wykonany w oknie. | termin retestu minął | Cofnij status „naprawione" do „do weryfikacji" |
| Naruszenie SLA | Czy czas obsługi podatności/incydentu mieści się w SLA. | P1 > 30 dni otwarte | Eskalacja do właściciela + sponsora |
| Wygaśnięcie akceptacji ryzyka | Czy świadomie zaakceptowane ryzyko nie przekroczyło daty ważności. | data przeglądu minęła | Wznów przegląd — ryzyko wraca do kolejki |
| Sygnał KEV | Czy komponent w zakresie nie trafił do katalogu aktywnie wykorzystywanych podatności. | dopasowanie CVE ↔ KEV | Podnieś priorytet, powiąż z findingiem |
| Wzrost EPSS | Czy prawdopodobieństwo wykorzystania podatności istotnie wzrosło. | EPSS > 0,50 | Rewizja priorytetu remediacji |
| Dryf pokrycia (coverage) | Czy wskaźnik pokrycia dowodowego nie spadł od ostatniego pomiaru. | spadek > 5 pkt | Wskaż, które kontrole straciły dowód |
| Zbliżający się termin reżimowy | Czy nie zbliża się data z osi obowiązków (DORA/NIS2/AI Act). | T-30 dni | Przypomnij właścicielowi, powiąż z deadline-clock |
Nie chodzi o zastąpienie formalnych przeglądów, lecz o wypełnienie luki między nimi. Poniżej różnica w praktyce.
| Wymiar | Przegląd roczny (punktowy) | Monitorowanie ciągłe |
|---|---|---|
| Częstotliwość | Raz na 12 miesięcy | Sygnał na bieżąco, próg wyzwala alert |
| Obraz stanu | Zdjęcie w jednym dniu | Trend i odchylenia w czasie |
| Świeżość evidence | Zakłada się aktualność przez rok | Wiek dowodu liczony i pilnowany |
| Nowa podatność (KEV/EPSS) | Zauważona przy następnym przeglądzie | Wychwycona przy pojawieniu się sygnału |
| Wygasłe akceptacje ryzyka | Łatwo przeoczyć między cyklami | Data ważności pilnowana automatycznie |
| Reakcja | Reaktywna, po fakcie | Wyprzedzająca, przed terminem/incydentem |
| Koszt przygotowania | Skok wysiłku „na audyt" | Rozłożony, mniej pracy jednorazowo |
| Sygnał | Obiekt | Odchylenie | Priorytet | Status |
|---|---|---|---|---|
| Sygnał KEV | komponent auth-gw (CVE-SYN-0007) | wpis w katalogu KEV, EPSS 0,71 | P0 | DO OBSŁUGI |
| Naruszenie SLA | finding F-SYN-118 (P1) | otwarte 41 dni (próg 30) | P1 | ESKALACJA |
| Wygaśnięcie akceptacji ryzyka | RA-SYN-024 (moduł raportowy) | data przeglądu minęła 6 dni temu | P1 | WZNÓW PRZEGLĄD |
| Wygaśnięcie retestu | finding F-SYN-090 | retest zaległy 12 dni | P2 | DO WERYFIKACJI |
| Świeżość evidence | kontrola AC-12 (dowód E-SYN-311) | wiek 204 dni (próg 180) | P2 | ODŚWIEŻ |
| Termin reżimowy | oś DORA — raport okresowy | T-27 dni | P3 | MONITORUJ |
Wykres trendu w interfejsie docelowym; tu przedstawiony jako oś zdarzeń. Wartości wyłącznie demonstracyjne.
Ten sam mechanizm sygnałów utrzymuje ciągły obraz przygotowania wobec kluczowych reżimów. To orientacyjne wskaźniki gotowości i terminów — nie orzeczenie o stanie prawnym. Pełna oś obowiązków: /legal-timeline.
| Reżim | Co monitoruje monitor ciągły | Charakter |
|---|---|---|
| DORA | Terminy raportowania okresowego i świeżość dowodów odporności ICT. | WSPARCIE DECYZJI |
| NIS2 | Aktualność środków zarządzania ryzykiem i gotowość ścieżek notyfikacji. | WSPARCIE DECYZJI |
| AI Act | Zbliżające się daty z osi obowiązków oraz świeżość dowodów dla systemów w zakresie. | WSPARCIE DECYZJI |
| Element | Stan | Uwaga |
|---|---|---|
| Model sygnałów i progów (ten widok) | ROADMAP | Demonstracja na danych syntetycznych |
| Coverage score jako wskaźnik pokrycia | LIVE | Dowodliwe — /coverage-score |
| Deadline clock (oś terminów) | LIVE | Dowodliwe — /deadline-clock |
| Rejestr akceptacji ryzyka z datą ważności | LIVE | Dowodliwe — /risk-acceptance |
| Ciągłe odpytywanie źródeł (evidence, retesty, SLA) | ROADMAP | Odświeżanie sygnałów w czasie |
| Wzbogacanie o KEV/EPSS na bieżąco | ROADMAP | Dopasowanie CVE ↔ katalog i scoring |
| Alerty progowe i eskalacje właścicieli | ROADMAP | Powiadomienia po przekroczeniu progu |
| Trend i historia w czasie | ROADMAP | Wykres pokrycia i odchyleń tydzień po tygodniu |
Powiązane: wskaźnik pokrycia dowodowego → /coverage-score · oś terminów obowiązków → /deadline-clock · rejestr akceptacji ryzyka → /risk-acceptance · granice systemu → /known-limitations.