Warstwa dowodowa systemu. Każdy incydent istnieje operacyjnie tylko na tyle, na ile jest udowodniony. Tablica rozkłada zgłoszenia na kolumny wg statusu dowodowego, prowadzi łańcuch nadzoru (chain of custody) i wylicza % GAP jako wskaźnik ryzyka systemowego — im więcej twierdzeń bez dowodu, tym słabsza pozycja audytowa i procesowa organizacji.
confidence i wpisy chain of custody na tej stronie są przykładowe (demo). Nie odzwierciedlają realnych naruszeń. Ramka statusów dowodowych jest metodyczna i produkcyjna — dane w niej są symulowane.
Twierdzenie o incydencie nie może być „mocniejsze" niż stojący za nim dowód. Zgłoszenie bez dowodu ma status GAP, nie CONFIRMED. Klasyfikacja, priorytet i raport prawny dziedziczą po najsłabszym ogniwie dowodowym.
Miara: udział incydentów bez wystarczającego dowodu w całości otwartych spraw. Wysoki % GAP = organizacja „widzi" zdarzenia, ale nie potrafi ich udokumentować — słaba pozycja wobec audytora, regulatora i w postępowaniu.
Pasek: udział GAP w portfelu incydentów. Cel operacyjny: utrzymać poniżej 25% (żółty próg), poniżej 10% (cel dojrzały).
| evidence_id | incident_id | typ | confidence | collected_by | visibility | status |
|---|---|---|---|---|---|---|
EVD-5110 | INC-2044 | log auth (4624/4625) | 96 | SOC-analyst-2 | internal | CONFIRMED |
EVD-5108 | INC-2044 | zrzut sesji RDP | 92 | DFIR-lead | restricted | CONFIRMED |
EVD-5104 | INC-2039 | PCAP bramy VPN | 88 | NetSec-1 | internal | CONFIRMED |
EVD-5102 | INC-2041 | nagłówki e-mail | 41 | reporter@bank | internal | DO WERYFIKACJI |
EVD-5099 | INC-2040 | artykuł/OSINT | 28 | threat-intel | public | MEDIA |
EVD-5093 | INC-2038 | log promptu agenta | 35 | ai-safety-off. | restricted | DO WERYFIKACJI |
EVD-5090 | INC-2029 | metryki WAF | 52 | SOC-analyst-1 | internal | DISPUTED |
— | INC-2033 | (brak próbki danych) | 0 | — | — | GAP |
confidence 0–100: waga dowodu = f(typ źródła, integralność custody, powtarzalność, korelacja). Progi: <40 słaby · 40–74 częściowy · ≥75 mocny. Incydent może być CONFIRMED tylko przy co najmniej jednym dowodzie ≥75 i spójnym łańcuchu nadzoru.
Łańcuch nadzoru dokumentuje każdy transfer dowodu: kto, kiedy, hash przed/po, cel. Luka czasowa lub niezgodność hash obniża confidence i może przenieść incydent do DISPUTED.
{
"evidence_id": "EVD-5108", // SYMULACJA
"incident_id": "INC-2044",
"type": "rdp_session_capture",
"sha256": "9f2a...c71e",
"confidence": 92,
"sealed": true,
"chain_of_custody": [
{ "seq": 1, "ts": "2026-07-04T08:12:03Z", "actor": "SOC-analyst-2",
"action": "collect", "from": "host WKS-114", "hash_after": "9f2a...c71e" },
{ "seq": 2, "ts": "2026-07-04T08:19:40Z", "actor": "DFIR-lead",
"action": "transfer", "to": "evidence-vault-01", "hash_before": "9f2a...c71e",
"hash_after": "9f2a...c71e", "integrity": "OK" },
{ "seq": 3, "ts": "2026-07-04T09:02:11Z", "actor": "Analyst-review",
"action": "review", "verdict": "supports_incident", "confidence_delta": +6 },
{ "seq": 4, "ts": "2026-07-04T09:40:55Z", "actor": "Legal/DPO",
"action": "legal_hold", "reason": "possible NIS2/RODO reporting", "integrity": "OK" }
],
"gaps": [], // brak luk czasowych → waga utrzymana
"status": "CONFIRMED"
}
visibility (public/internal/restricted) decyduje, kto widzi artefakt — Public Viewer nigdy nie widzi restricted.Dowód CONFIRMED zasila decyzje o terminach raportowania (AI Act art.73, NIS2, RODO art.33/34).
Zamknięcie działania wymaga dowodu naprawy — walidacja przez evidence_id.
Nowe zgłoszenie trafia domyślnie do kolumny GAP do czasu zebrania dowodu.
Klasyfikacja dziedziczy po najsłabszym ogniwie dowodowym incydentu.