K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / continuous-compliance

Continuous Evidence & Compliance Monitor (F10) — stan dowodów sprawdzany ciągle, nie raz w rokuROADMAP

Klasyczny przegląd zgodności to zdjęcie w jednym punkcie czasu: raz w roku ktoś sprawdza dowody, podpisuje raport i zamyka temat na dwanaście miesięcy. Problem w tym, że stan dowodowy zmienia się codziennie — evidence się starzeje, retesty wygasają, SLA bywa naruszone, zaakceptowane ryzyko traci ważność, a nowe podatności trafiają do KEV. Continuous Monitor odwraca perspektywę: zamiast jednego zdjęcia utrzymuje ciągły sygnał o tym, czy pokrycie dowodowe wciąż się broni. Wszystkie dane na tej stronie są syntetyczne (demonstracja układu), a warstwa ciągłego monitorowania to ROADMAP — poniżej rozdzielamy, co jest gotowe, a co dopiero planowane.

Status i uczciwość. Continuous Monitor jest dziś w statusie ROADMAP — ta strona pokazuje docelowy model pracy i przykładowy dashboard na danych syntetycznych. Elementy dowodliwe w innych modułach (coverage score, deadline clock, rejestr akceptacji ryzyka) są oznaczone LIVE tam, gdzie mają kod, test i endpoint. Ciągłe odpytywanie źródeł, progi z automatycznym alertem i trend w czasie to warstwa planowana. Wskaźniki reżimowe (DORA/NIS2/AI Act) traktujemy jako wsparcie decyzji, nie porada prawna — każdą kwalifikację potwierdza radca.
Zgodność to nie jest stan „zdany raz w roku" — to sygnał, który trzeba obserwować ciągle.

Między jednym przeglądem a kolejnym mija dwanaście miesięcy, w których świat się nie zatrzymuje: pentest sprzed pół roku opisuje inny system niż ten dzisiaj, dowód kontroli mógł stracić ważność, a podatność uznana kiedyś za mało istotną mogła trafić do katalogu aktywnie wykorzystywanych (KEV) z wysokim EPSS. Monitor utrzymuje listę sygnałów, każdemu przypisuje próg i akcję, i pokazuje, kiedy pokrycie dowodowe przestaje się bronić — zanim zauważy to audytor lub incydent.

MODEL: źródłasygnałyprogiodchylenieakcja / właścicieltrend w czasie

Co monitorujemy ciągle

Każdy sygnał ma zdefiniowany próg (kiedy wchodzi w stan ostrzegawczy) oraz akcję (co system proponuje zrobić). To wsparcie decyzji — akcja jest sugestią do przeglądu przez właściciela, nie automatyczną zmianą. Wartości progów poniżej są przykładowe i konfigurowalne.

SygnałCo sprawdzaPróg (przykład)Proponowana akcja
Świeżość evidenceCzy dowód kontroli nie jest starszy niż jego okno ważności.wiek > 180 dniOznacz jako do odświeżenia, przypisz właściciela
Wygaśnięcie retestuCzy retest po remediacji został wykonany w oknie.termin retestu minąłCofnij status „naprawione" do „do weryfikacji"
Naruszenie SLACzy czas obsługi podatności/incydentu mieści się w SLA.P1 > 30 dni otwarteEskalacja do właściciela + sponsora
Wygaśnięcie akceptacji ryzykaCzy świadomie zaakceptowane ryzyko nie przekroczyło daty ważności.data przeglądu minęłaWznów przegląd — ryzyko wraca do kolejki
Sygnał KEVCzy komponent w zakresie nie trafił do katalogu aktywnie wykorzystywanych podatności.dopasowanie CVE ↔ KEVPodnieś priorytet, powiąż z findingiem
Wzrost EPSSCzy prawdopodobieństwo wykorzystania podatności istotnie wzrosło.EPSS > 0,50Rewizja priorytetu remediacji
Dryf pokrycia (coverage)Czy wskaźnik pokrycia dowodowego nie spadł od ostatniego pomiaru.spadek > 5 pktWskaż, które kontrole straciły dowód
Zbliżający się termin reżimowyCzy nie zbliża się data z osi obowiązków (DORA/NIS2/AI Act).T-30 dniPrzypomnij właścicielowi, powiąż z deadline-clock
Granica narzędzia. Monitor sygnalizuje odchylenia i proponuje akcje na podstawie skonfigurowanych progów. Nie orzeka o stanie prawnym ani nie zamyka zadań za człowieka — decyzję i kwalifikację obowiązku podejmuje właściciel oraz, gdy dotyczy reżimu prawnego, radca.

Przegląd roczny a monitorowanie ciągłe

Nie chodzi o zastąpienie formalnych przeglądów, lecz o wypełnienie luki między nimi. Poniżej różnica w praktyce.

WymiarPrzegląd roczny (punktowy)Monitorowanie ciągłe
CzęstotliwośćRaz na 12 miesięcySygnał na bieżąco, próg wyzwala alert
Obraz stanuZdjęcie w jednym dniuTrend i odchylenia w czasie
Świeżość evidenceZakłada się aktualność przez rokWiek dowodu liczony i pilnowany
Nowa podatność (KEV/EPSS)Zauważona przy następnym przeglądzieWychwycona przy pojawieniu się sygnału
Wygasłe akceptacje ryzykaŁatwo przeoczyć między cyklamiData ważności pilnowana automatycznie
ReakcjaReaktywna, po fakcieWyprzedzająca, przed terminem/incydentem
Koszt przygotowaniaSkok wysiłku „na audyt"Rozłożony, mniej pracy jednorazowo
Komplementarność, nie zastąpienie. Formalny przegląd nadal daje niezależną, całościową ocenę. Monitor ciągły utrzymuje pokrycie dowodowe między przeglądami i sprawia, że kolejny przegląd zaczyna się od aktualnego, a nie zaległego obrazu.

Przykład dashboardu (dane syntetyczne)

Stan bieżący — migawka demonstracyjna
78
Coverage score
−4 pkt / 7 dni · dryf ostrzegawczy
2
Sygnały KEV
dopasowane do zakresu
5
Evidence do odświeżenia
wiek > 180 dni
3
Retesty wygasłe
status cofnięty do weryfikacji
Aktywne odchylenia — kolejka sygnałów
SygnałObiektOdchyleniePriorytetStatus
Sygnał KEVkomponent auth-gw (CVE-SYN-0007)wpis w katalogu KEV, EPSS 0,71P0DO OBSŁUGI
Naruszenie SLAfinding F-SYN-118 (P1)otwarte 41 dni (próg 30)P1ESKALACJA
Wygaśnięcie akceptacji ryzykaRA-SYN-024 (moduł raportowy)data przeglądu minęła 6 dni temuP1WZNÓW PRZEGLĄD
Wygaśnięcie retestufinding F-SYN-090retest zaległy 12 dniP2DO WERYFIKACJI
Świeżość evidencekontrola AC-12 (dowód E-SYN-311)wiek 204 dni (próg 180)P2ODŚWIEŻ
Termin reżimowyoś DORA — raport okresowyT-27 dniP3MONITORUJ
Trend pokrycia dowodowego — ostatnie tygodnie (syntetyczny)
T-4 tyg. — coverage 84 · brak aktywnych sygnałów KEV · 1 evidence do odświeżenia.
T-3 tyg. — coverage 83 · retest F-SYN-090 wchodzi w okno wygaśnięcia.
T-2 tyg. — coverage 82 · SLA F-SYN-118 przekracza próg 30 dni · eskalacja.
T-1 tydz. — coverage 80 · akceptacja RA-SYN-024 wygasa · 4 evidence starzeje się.
dziś — coverage 78 · dwa sygnały KEV dopasowane do zakresu · dryf −6 pkt / 4 tyg.

Wykres trendu w interfejsie docelowym; tu przedstawiony jako oś zdarzeń. Wartości wyłącznie demonstracyjne.

Trend ciągły wobec reżimów (wsparcie decyzji)

Ten sam mechanizm sygnałów utrzymuje ciągły obraz przygotowania wobec kluczowych reżimów. To orientacyjne wskaźniki gotowości i terminów — nie orzeczenie o stanie prawnym. Pełna oś obowiązków: /legal-timeline.

ReżimCo monitoruje monitor ciągłyCharakter
DORATerminy raportowania okresowego i świeżość dowodów odporności ICT.WSPARCIE DECYZJI
NIS2Aktualność środków zarządzania ryzykiem i gotowość ścieżek notyfikacji.WSPARCIE DECYZJI
AI ActZbliżające się daty z osi obowiązków oraz świeżość dowodów dla systemów w zakresie.WSPARCIE DECYZJI
Granica. Wskaźniki reżimowe pokazują trend przygotowania i zbliżające się terminy na podstawie danych, które sami dostarczyliśmy. Kwalifikacji obowiązku i decyzji o działaniu wobec organu nie zastępują — to rola zespołu prawnego.

Co jest LIVE, a co ROADMAP

ElementStanUwaga
Model sygnałów i progów (ten widok)ROADMAPDemonstracja na danych syntetycznych
Coverage score jako wskaźnik pokryciaLIVEDowodliwe — /coverage-score
Deadline clock (oś terminów)LIVEDowodliwe — /deadline-clock
Rejestr akceptacji ryzyka z datą ważnościLIVEDowodliwe — /risk-acceptance
Ciągłe odpytywanie źródeł (evidence, retesty, SLA)ROADMAPOdświeżanie sygnałów w czasie
Wzbogacanie o KEV/EPSS na bieżącoROADMAPDopasowanie CVE ↔ katalog i scoring
Alerty progowe i eskalacje właścicieliROADMAPPowiadomienia po przekroczeniu progu
Trend i historia w czasieROADMAPWykres pokrycia i odchyleń tydzień po tygodniu
„100%" u nas znaczy pokrycie dowodowe, nie nieprzenikalność. Continuous Monitor deklaruje dokładnie tyle, ile potrafimy pokazać: dziś to udokumentowany model pracy plus dowodliwe moduły źródłowe (coverage, deadline, akceptacja ryzyka). Warstwa ciągłego odpytywania i alertów jest jawnie oznaczona jako ROADMAP, zgodnie z doktryną claim ≤ proof.
Granica etyczna i prawna. Continuous Monitor to narzędzie porządkowania obrony i przygotowania (GRC/blue) w trybie ciągłym. Wskaźniki reżimowe oraz sygnały terminów to wsparcie decyzji, nie porada prawna — kwalifikację obowiązku potwierdza radca. Dane na tej stronie są syntetyczne i służą wyłącznie prezentacji układu; monitor obserwuje wyłącznie dane, które sam wprowadzasz.

Powiązane: wskaźnik pokrycia dowodowego → /coverage-score · oś terminów obowiązków → /deadline-clock · rejestr akceptacji ryzyka → /risk-acceptance · granice systemu → /known-limitations.