Monitoring infrastruktury jako realne wsparcie dla NIS2, KSC, RODO, ISO 27001 i ISO 22301

Monitoring infrastruktury jako realne wsparcie dla NIS2, KSC, RODO, ISO 27001 i ISO 22301

Jak Zabbix wspiera NIS2, KSC, RODO, ISO 27001 i ISO 22301 poprzez monitoring dostępności usług, backupu, sieci i ciągłości działania.

Monitoring infrastruktury jako realne wsparcie dla NIS2, KSC, RODO, ISO 27001 i ISO 22301

W wielu organizacjach temat cyberbezpieczeństwa zaczyna się od dokumentów: polityk, procedur, rejestrów ryzyka, analiz i instrukcji postępowania. To ważne elementy systemu zarządzania bezpieczeństwem, ale same dokumenty nie pokażą, że przestał działać backup, serwer jest przeciążony, kończy się miejsce na macierzy, UPS zgłasza błąd baterii albo usługa krytyczna od kilku minut nie odpowiada.

Właśnie w tym miejscu pojawia się monitoring infrastruktury IT. Nie jako zamiennik procedur, audytu czy analizy ryzyka, ale jako praktyczne narzędzie nadzoru nad środowiskiem technicznym. Jednym z takich narzędzi jest Zabbix.

Zabbix nie „wdraża NIS2”, nie „zapewnia zgodności z ISO 27001” i nie „rozwiązuje RODO”. Takie stwierdzenia byłyby nieprecyzyjne. Może jednak dostarczyć organizacji konkretnych informacji, które są potrzebne do zarządzania bezpieczeństwem, ciągłością działania i ryzykiem.

Dlaczego monitoring ma znaczenie dla wymagań formalnych?

NIS2, KSC, RODO, ISO 27001 i ISO 22301 nie sprowadzają się do posiadania dokumentacji. W praktyce wymagają, aby organizacja potrafiła nadzorować swoje systemy, reagować na problemy, ograniczać skutki awarii i wykazać, że stosowane zabezpieczenia działają.

Jeżeli organizacja deklaruje, że chroni dane, zapewnia dostępność usług, wykonuje kopie zapasowe i zarządza ryzykiem, to powinna mieć techniczne mechanizmy pozwalające sprawdzić, czy te założenia faktycznie działają.

Przykład jest prosty. Sama procedura backupu nie wystarczy, jeżeli nikt nie zauważy, że kopia zapasowa nie wykonała się od trzech dni. Polityka ciągłości działania nie pomoże, jeżeli awaria zasilania w serwerowni zostanie zauważona dopiero wtedy, gdy użytkownicy przestaną pracować. Deklaracja o wysokiej dostępności systemów nie ma dużej wartości, jeżeli organizacja nie mierzy dostępności najważniejszych usług.

Monitoring infrastruktury pozwala przejść od deklaracji do faktów.

Dostępność systemów i usług

Jednym z podstawowych obszarów, które można monitorować w Zabbixie, jest dostępność systemów i usług. Dla osoby nietechnicznej oznacza to odpowiedź na proste pytanie: czy kluczowe elementy środowiska IT działają?

Można monitorować między innymi:

  • serwery fizyczne,
  • maszyny wirtualne,
  • urządzenia sieciowe,
  • zapory firewall,
  • przełączniki,
  • punkty dostępowe Wi-Fi,
  • usługi DNS, DHCP, LDAP, HTTP, HTTPS, SMTP,
  • systemy backupu,
  • systemy monitoringu bezpieczeństwa,
  • połączenia VPN,
  • kontrolery domeny,
  • aplikacje biznesowe.

Dla organizacji ma to bezpośrednie znaczenie. Jeżeli nie działa serwer plików, system księgowy, poczta, VPN albo kontroler domeny, to problem nie jest wyłącznie techniczny. To może być problem organizacyjny, operacyjny, prawny i biznesowy.

W kontekście NIS2 i KSC dostępność systemów jest istotna, ponieważ regulacje te dotyczą bezpieczeństwa usług i systemów informacyjnych. W kontekście ISO 27001 dostępność jest jednym z podstawowych atrybutów bezpieczeństwa informacji. W ISO 22301 dostępność i odtwarzalność usług są elementem ciągłości działania.

Zabbix pozwala mierzyć, czy dana usługa odpowiada, jak długo była niedostępna i kiedy wystąpił problem. Dzięki temu organizacja nie opiera się na wrażeniu, że „raczej wszystko działa”, tylko posiada dane.

Wczesne wykrywanie problemów

Monitoring nie służy wyłącznie do informowania, że coś już przestało działać. Dobrze skonfigurowany system pozwala zauważyć symptomy problemu wcześniej.

Przykłady:

  • rosnące obciążenie procesora,
  • coraz większe zużycie pamięci RAM,
  • kończące się miejsce na dysku,
  • przeciążenie łącza internetowego,
  • duża liczba błędów na interfejsie sieciowym,
  • częste restarty urządzenia,
  • wzrost opóźnień,
  • spadek dostępnej przestrzeni w repozytorium backupu,
  • utrata komunikacji z agentem monitorującym.

Dla osoby zarządzającej organizacją ważne jest to, że takie objawy mogą wskazywać na zwykłą awarię, błąd konfiguracji, przeciążenie systemu albo potencjalny incydent bezpieczeństwa.

Przykład: nagły wzrost ruchu wychodzącego na łączu internetowym może mieć kilka przyczyn. Może wynikać z legalnego procesu, np. synchronizacji danych. Może też oznaczać błędną konfigurację, infekcję systemu, wyciek danych albo udział urządzenia w ataku. Sam Zabbix nie rozstrzyga, która z tych wersji jest prawdziwa, ale daje sygnał, że sytuacja wymaga sprawdzenia.

To jest istotna różnica. Zabbix nie jest systemem klasy SIEM i nie zastępuje narzędzi takich jak Wazuh, Splunk, Elastic czy FortiAnalyzer. Może jednak pokazać anomalie techniczne, które powinny zostać przeanalizowane przez administratora, zespół bezpieczeństwa lub SOC.

Monitorowanie sieci i łączy

Sieć komputerowa jest krwiobiegiem organizacji. Jeżeli nie działa sieć, nie działają systemy, aplikacje, drukarki, dostęp do internetu, VPN, VoIP, systemy chmurowe i często także procesy biznesowe.

Zabbix może monitorować między innymi:

  • wykorzystanie łącza internetowego,
  • ruch na interfejsach routerów i przełączników,
  • błędy transmisji,
  • utratę pakietów,
  • opóźnienia,
  • dostępność tras,
  • stan tuneli VPN,
  • obciążenie urządzeń sieciowych,
  • dostępność punktów dostępowych Wi-Fi.

W praktyce daje to możliwość szybkiego wykrycia, że łącze jest wysycone, tunel VPN nie działa, przełącznik zgłasza błędy albo urządzenie sieciowe jest przeciążone.

Ma to znaczenie nie tylko techniczne. W organizacjach objętych wymaganiami NIS2, KSC lub ISO 22301 problem z siecią może wpływać na ciągłość działania usług. W przypadku RODO niedostępność systemu może utrudniać realizację praw osób, obsługę procesów lub dostęp do danych potrzebnych do bieżącej działalności.

Monitoring sieci pozwala również odróżnić problem lokalny od problemu zewnętrznego. Jeżeli użytkownicy zgłaszają, że „system nie działa”, dane z monitoringu mogą pokazać, czy problem dotyczy serwera, sieci lokalnej, operatora internetowego, VPN czy aplikacji.

Backup i odtwarzanie danych

Kopie zapasowe są jednym z najważniejszych zabezpieczeń technicznych. Są istotne dla cyberbezpieczeństwa, ciągłości działania, odporności na ransomware i ochrony danych osobowych.

Zabbix może monitorować:

  • czy backup został wykonany,
  • kiedy wykonano ostatnią kopię,
  • czy zadanie backupu zakończyło się błędem,
  • ile trwało wykonanie kopii,
  • jak zmienia się rozmiar backupu,
  • ile miejsca pozostało w repozytorium,
  • czy serwer backupu jest dostępny,
  • czy urządzenie NAS działa poprawnie,
  • czy Proxmox Backup Server, Synology, Veeam lub inne rozwiązanie zgłasza błędy.

To jest jeden z najbardziej praktycznych przykładów powiązania monitoringu z wymaganiami formalnymi.

W NIS2 jednym z istotnych obszarów jest ciągłość działania, backup i odtwarzanie po awarii. ISO 22301 dotyczy zarządzania ciągłością działania. ISO 27001 wymaga podejścia opartego o ryzyko i stosowania adekwatnych zabezpieczeń. RODO wymaga zapewnienia odpowiedniego poziomu bezpieczeństwa danych osobowych, w tym zdolności do przywrócenia dostępności danych w razie incydentu fizycznego lub technicznego.

Jeżeli organizacja nie monitoruje backupu, to może przez długi czas nie wiedzieć, że jej najważniejsze zabezpieczenie przestało działać. Wtedy problem ujawnia się dopiero w najgorszym możliwym momencie, czyli podczas awarii lub ataku.

Zasilanie, UPS i środowisko serwerowni

Ciągłość działania nie zależy wyłącznie od serwerów i aplikacji. Czasem problem zaczyna się dużo niżej: od zasilania, temperatury albo sprzętu fizycznego.

Zabbix może monitorować:

  • stan UPS,
  • poziom obciążenia UPS,
  • czas podtrzymania,
  • stan baterii,
  • zanik zasilania,
  • temperaturę w serwerowni,
  • wilgotność,
  • stan klimatyzacji,
  • czujniki środowiskowe,
  • zasilacze w serwerach,
  • stan macierzy dyskowych,
  • błędy dysków,
  • stan kontrolerów RAID.

Dla osoby nietechnicznej może to brzmieć jak szczegół administracyjny, ale w praktyce są to elementy, które decydują o tym, czy organizacja będzie działać podczas awarii.

Przykład: UPS zgłasza uszkodzoną baterię. Systemy nadal działają, więc z perspektywy użytkownika nie ma problemu. Jednak przy najbliższym zaniku zasilania serwery mogą wyłączyć się natychmiast. Monitoring pozwala wykryć ten problem wcześniej i usunąć go zanim stanie się incydentem.

To bezpośrednio wspiera zarządzanie ciągłością działania oraz ograniczanie ryzyka operacyjnego.

Pojemność i planowanie zasobów

Bezpieczeństwo to nie tylko ataki. Ryzykiem może być również brak miejsca na dysku, przeciążony serwer, zbyt mała ilość pamięci RAM albo repozytorium backupu zapełnione w 98%.

Zabbix pozwala obserwować trendy:

  • wykorzystanie CPU,
  • wykorzystanie RAM,
  • zajętość dysków,
  • tempo przyrostu danych,
  • obciążenie baz danych,
  • przepustowość sieci,
  • wykorzystanie zasobów wirtualizacji,
  • obciążenie storage.

Takie dane są ważne przy analizie ryzyka. Jeżeli system pokazuje, że za dwa miesiące skończy się miejsce na macierzy, to organizacja może zaplanować rozbudowę. Jeżeli tego nie monitoruje, problem pojawi się nagle i może zatrzymać działanie systemów.

Z punktu widzenia ISO 27001 i ISO 22301 jest to element zarządzania ryzykiem i zapewnienia ciągłości działania. Z punktu widzenia zarządu jest to także konkretna informacja do planowania budżetu.

Nadzór nad zabezpieczeniami technicznymi

Zabbix nie ocenia skuteczności wszystkich zabezpieczeń bezpieczeństwa informacji. Nie powie samodzielnie, czy polityka haseł jest dobra, czy reguły firewalla są optymalne, ani czy użytkownik kliknął w phishing.

Może natomiast monitorować, czy wybrane zabezpieczenia techniczne działają i są dostępne.

Przykłady:

  • czy działa serwer RADIUS,
  • czy działa VPN,
  • czy kontroler domeny odpowiada,
  • czy agent Wazuh jest dostępny,
  • czy system zbierania logów działa,
  • czy firewall odpowiada,
  • czy FortiAnalyzer lub inne narzędzie bezpieczeństwa jest dostępne,
  • czy certyfikat SSL/TLS nie wygasa,
  • czy usługa DNS działa poprawnie,
  • czy system antywirusowy lub EDR działa jako usługa na serwerze, jeżeli jest możliwe takie monitorowanie.

To jest ważne, ponieważ wiele organizacji posiada zabezpieczenia, ale nie zawsze sprawdza, czy one faktycznie działają. Jeżeli system logowania nie odbiera danych, agent bezpieczeństwa przestał działać albo certyfikat wygasł, organizacja może utracić ważny element ochrony.

W takim ujęciu Zabbix nie jest narzędziem do zarządzania incydentami, ale może wspierać proces wykrywania zdarzeń, które wymagają reakcji.

Alerty, eskalacje i dowody działania

Samo zbieranie danych nie wystarczy. Kluczowe jest to, co organizacja robi z informacją o problemie.

Zabbix może generować alerty i powiadomienia, na przykład:

  • e-mail,
  • SMS,
  • komunikat do Microsoft Teams,
  • komunikat do Slack,
  • webhook,
  • integrację z systemem zgłoszeń,
  • automatyczne utworzenie zgłoszenia w GLPI, Jira lub innym systemie ITSM.

Dzięki temu problem nie pozostaje wyłącznie wpisem w systemie monitoringu. Może zostać przekazany do osoby odpowiedzialnej, zarejestrowany jako zgłoszenie, obsłużony i zamknięty.

To ważne z punktu widzenia audytu i zgodności. Organizacja może wykazać, że problem został wykryty, zgłoszony, przypisany i rozwiązany. W przypadku poważniejszych zdarzeń takie dane mogą wspierać analizę incydentu.

Trzeba jednak jasno powiedzieć: Zabbix nie zastępuje procesu zarządzania incydentami. Nie klasyfikuje formalnie incydentu, nie prowadzi analizy przyczyn, nie podejmuje decyzji prawnych i nie zastępuje zespołu odpowiedzialnego za bezpieczeństwo. Może natomiast być jednym ze źródeł informacji wejściowej do tego procesu.

Przykładowe powiązanie wymagań z monitoringiem

Wymagania formalne często są zapisane językiem ogólnym. Mówią o bezpieczeństwie, ciągłości, zarządzaniu ryzykiem, reagowaniu na incydenty i ochronie danych. Monitoring przekłada te wymagania na konkretne pomiary.

Przykładowo:

  • wymaganie zapewnienia dostępności usług można powiązać z monitoringiem działania serwerów, aplikacji, DNS, VPN i usług sieciowych;
  • wymaganie ciągłości działania można powiązać z monitoringiem backupu, UPS, storage, serwerowni i zasobów krytycznych;
  • wymaganie zarządzania ryzykiem można powiązać z trendami wykorzystania zasobów, przeciążeniami i powtarzającymi się awariami;
  • wymaganie wykrywania zdarzeń można powiązać z alertami dotyczącymi niedostępności usług, wzrostu ruchu, restartów i anomalii technicznych;
  • wymaganie ochrony danych można powiązać z monitoringiem systemów przetwarzających dane, backupu, certyfikatów i dostępności usług bezpieczeństwa;
  • wymaganie oceny skuteczności środków bezpieczeństwa można częściowo powiązać z monitorowaniem, czy wdrożone środki techniczne faktycznie działają.

To nie oznacza, że Zabbix samodzielnie zapewnia zgodność. Oznacza, że może dostarczać dane, bez których zgodność jest często tylko deklaracją.

Czego Zabbix nie robi?

Dla rzetelności trzeba wskazać również ograniczenia.

Zabbix nie jest systemem SIEM. Nie służy do pełnej korelacji logów bezpieczeństwa. Nie zastępuje Wazuh, Splunk, Elastic, FortiAnalyzer ani innych narzędzi analizy zdarzeń bezpieczeństwa.

Zabbix nie jest skanerem podatności. Nie zastępuje narzędzi takich jak Greenbone, Nessus czy Qualys.

Zabbix nie zarządza zgodnością z NIS2, KSC, RODO, ISO 27001 ani ISO 22301. Nie prowadzi rejestru ryzyka, nie tworzy polityk, nie prowadzi audytu i nie podejmuje decyzji organizacyjnych.

Zabbix nie zastępuje testów odtwarzania backupu. Może pokazać, że backup się wykonał, ale nie udowodni, że dane da się poprawnie odtworzyć. Do tego potrzebne są cykliczne testy odtworzeniowe.

Zabbix nie zastępuje człowieka. Dane z monitoringu muszą być analizowane, a alerty muszą prowadzić do realnych działań.

Jak wdrożyć monitoring, żeby miał sens?

Najczęstszy błąd polega na tym, że organizacja monitoruje wszystko, ale bez priorytetów. Efektem jest duża liczba alertów, których nikt nie analizuje. Taki monitoring szybko traci wartość.

Lepsze podejście polega na rozpoczęciu od najważniejszych procesów i systemów.

W praktyce warto ustalić:

  1. Jakie usługi są krytyczne dla działania organizacji?
  2. Jakie systemy przetwarzają dane osobowe lub informacje istotne biznesowo?
  3. Jakie elementy infrastruktury są niezbędne do działania tych usług?
  4. Jakie awarie mogą zatrzymać organizację?
  5. Jakie parametry trzeba mierzyć, żeby wykryć problem wcześniej?
  6. Kto otrzymuje alert?
  7. Jaki jest oczekiwany czas reakcji?
  8. Czy problem ma automatycznie tworzyć zgłoszenie?
  9. Jak dokumentujemy obsługę zdarzenia?
  10. Jak często przeglądamy dane z monitoringu?

Dopiero po takiej analizie warto konfigurować techniczne szablony, hosty, triggery, dashboardy i raporty.

Przykład praktyczny

Załóżmy, że organizacja posiada system finansowo-księgowy, serwer plików, kontroler domeny, firewall, serwer backupu, przełączniki sieciowe i UPS.

W Zabbixie można monitorować:

  • czy system finansowo-księgowy odpowiada,
  • czy serwer plików działa,
  • czy kontroler domeny jest dostępny,
  • czy firewall działa i ma aktywne interfejsy,
  • czy łącze internetowe nie jest przeciążone,
  • czy tunel VPN działa,
  • czy backup wykonał się poprawnie,
  • czy repozytorium backupu ma wolne miejsce,
  • czy UPS nie zgłasza awarii baterii,
  • czy temperatura w serwerowni nie przekracza progu,
  • czy przełączniki nie zgłaszają błędów na portach,
  • czy certyfikat HTTPS nie wygaśnie w ciągu najbliższych dni.

Dla działu IT to są parametry techniczne. Dla organizacji to są informacje o ryzyku. Jeżeli któryś z tych elementów przestaje działać, może dojść do przerwy w pracy, utraty dostępności danych, problemów z obsługą klientów, naruszenia bezpieczeństwa lub incydentu wymagającego dalszej analizy.

Podsumowanie

Zabbix nie jest narzędziem do „odhaczenia” NIS2, KSC, RODO, ISO 27001 czy ISO 22301. Jest natomiast praktycznym narzędziem, które pomaga organizacji nadzorować środowisko IT, wykrywać problemy, reagować na awarie i gromadzić dane potrzebne do zarządzania ryzykiem.

Wymagania formalne mówią o bezpieczeństwie, ciągłości działania, ochronie danych, reagowaniu na incydenty i skuteczności zabezpieczeń. Zabbix pozwala przełożyć część tych wymagań na konkretne pomiary: dostępność usług, stan backupu, obciążenie sieci, kondycję serwerów, działanie UPS, zajętość dysków, wykorzystanie zasobów i stan wybranych zabezpieczeń technicznych.

Dobrze wdrożony monitoring nie jest dodatkiem do bezpieczeństwa. Jest jednym z elementów, które pozwalają organizacji wiedzieć, co dzieje się z jej infrastrukturą, zanim problem stanie się poważnym incydentem.

Bo w praktyce bezpieczeństwo zaczyna się nie od deklaracji, ale od wiedzy, że coś przestało działać — i od reakcji zanim będzie za późno.

← Wróć do listy artykułów