itomek

26 URODZINY NAZWA.PL Dzień 14 kwietnia to dla nas szczególna data. Dlaczego? Bo obchodzimy dziś nasze 26. urodziny! W tym miejscu chcielibyśmy podziękować przede wszystkim naszym Klientom i sympatykom, bo to właśnie dzięki ich zaufaniu, od 1997 roku, nieustannie się rozwijamy, dostarczając nowoczesne rozwiązania IT dla firm i osób prywatnych. Wspólnie przebyliśmy długą, a zarazem owocną drogę. Naszą misją 26 lat temu było i dzisiaj nadal jest dążenie do tego, aby polski Internet był nowoczesnym i przyjaznym miejscem. Zapraszamy, celebrujcie ten dzień z razem nami! Przy okazji tego dnia, o historii nazwa.pl piszemy także na naszym blogu: https://www.nazwa.pl/blog/26-urodziny-nazwapl

Lekceważące podejście do procesu certyfikacji ISO 27001 i jego wyników nie napawa mnie optymizmem. Rozumiem, że ktoś może nie być zainteresowany otrzymaniem ISO - z różnych przyczyn - ale pisanie między słowami o tym, że to działanie będące sztuką dla sztuki jest dla mnie zatrważające, szczególnie że wypowiadają się w temacie osoby związane z branżą IT. Podejrzewam, że kontestatorzy ISO 27001 nie mieli okazji uczestniczyć ani w procesie tworzenia procedur ochrony, ani nie miały okazji uczestniczyć chociażby w procesie faktycznego ich audytu. Myślę, że dla znających się na rzeczy jest w pełni zrozumiałe, czemu jako przedstawiciel jednej z firm na tym forum nie opisuję w swoich odpowiedziach wprost know how procesu i efektów certyfikacji. O takich rzeczach się po prostu nie dyskutuje. ISO 27001 albo zostaje przyznane albo nie, nie ma tutaj innej możliwości. Jeżeli ktoś nie miał dotychczas okazji dowiedzieć się, czemu tak ważne są systemy zarządzania bezpieczeństwem informacji, czemu ISO 27001 jest istotne w firmach IT, czego wymaga od nich i jakie efekty niesie sama certyfikacja, w tym celu powstał właśnie artykuł, który opublikowaliśmy na blogu, a do którego link został uznany za... kryptoreklamę. Pozostaje mi w tym miejscu życzyć powodzenia każdemu, kto nie ufa certyfikatom i audytom, a w kolejną zimę wybierze się np. w Alpy Francuskie powierzając swoje zdrowie sprzętowi do wspinaczki wysokogórskiej, który został wyprodukowany w firmie nie posiadającej wymaganych certyfikatów.

Certyfikat ISO 27001 to kwestia bardzo ważna, nie tylko w firmach hostingowych. Certyfikatu nikt nie wydaje "na piękne oczy". Jego uzyskanie to bardzo złożony procese, nierzadko kilkunastomiesięczny, a kończy go drobiazgowy, trwający również dość długo audyt w siedzibie firmy. Procedury bezpieczeństwa w podmiotach IT gwarantują zachowanie najwyższych standardów ochrony informacji. To polityki zarządzania dokumentacją, rozwojem, personelem, usługami, obsługą klientów, ochroną danych osobowych, rozwojem, obsługą techniczną itd itd. Regulują wszystkie kluczowe aspekty działania firmy. Jak istotne są to elementy można zweryfikować chociażby patrząc na największe firmy sektora IT nie tylko w Polsce, ale przede wszystkim na świecie. Klient, który jest odbiorcą całego tego mechanizmu, ma więc do wyboru firmę z certyfikatem, wydanym na podstawie niezależnego audytu, oraz firmę, która sama sobie opracowała i sama sobie zatwierdziła (lub nie) procedury. Kogo wybierze - fakt, to już jego decyzja.

Jak już kilkakrotnie wspomniałem, audyt ISO 27001 przeprowadzany jest przez niezależny podmiot certyfikujący. Tego typu weryfikacja uwzględnia wiele czynników, w tym to, czy dana firma zdaje sobie sprawę z zagrożeń i słabych punktów swojej działalności. Dodatkowo, weryfikowane są plany awaryjne, w tym także system szkoleń pracowników w zakresie zapobiegania zagrożeniom. ISO 27001 pozwala redukować powstawanie ludzkich błędów, które są nieuniknione w normalnej działalności. To dzięki procedurom, które są zweryfikowane i których przestrzeganie jest nadzorowane przez specjalnie do tego celu powołane osoby w organizacji. Wypowiedzi, że są to martwe procedury, niezweryfikowane, niepewne mogą powstawać tylko w sytuacji, gdy osoba głosząca taki pogląd nie ma doświadczenia z procesami certyfikacji i stosowania ISO 27001. Jesteśmy na branżowym forum, zatem tego typu stwierdzenia tym bardziej mnie dziwią i tylko pokazują, jak dużo edukacji i rozmów w tym temacie jest jeszcze potrzebne.

Odnosząc się do pierwszej części pytania, ISO 27001 potwierdza w jednym ze swoich elementów m.in. wprowadzenie zasad dotyczących kontynuacji działalności w przypadku naruszenia bezpieczeństwa danych. W ten sposób firma zachowuje integralność informacji, także w trakcie prowadzonego dochodzenia w sprawie ewentualnych naruszeń. Procedura certyfikacji obejmuje dokładnie wszystkie kluczowe aspekty działalności, mające wpływ nie tylko na świadczone usługi hostingowe, ale także na całą organizację.

Skoro link został usunięty, w odpowiedzi zacytuję to, o czym piszemy na blogu nazwa.pl: Przenosząc to na odpowiedź w kwestii pożarów w centrum danych, certyfikat ISO 27001 to, jak napisaliśmy, zbiór praktyk dotyczących sposobu zarządzania, który w sytuacji zaistnienia problemu pozwala posiadającej go firmie podjąć właściwe działania, które mają na celu eliminację problemu i zapewnienie ciągłości pracy organizacji. Nie jest to tylko pakiet "życzeń", ale potwierdzony przez niezależnego audytora dobrze opracowany plan. Dzięki tym czynnościom, które są przeprowadzane w trakcie audytu, użytkownik korzystający z hostingu z certyfikatem ISO 27001 może mieć pewność, że taki urząd jak np. DEKRA, zweryfikował procedury w poszczególnych działach firmy i uznał, że są one prawidłowe. I na koniec zaznaczę, czemu naszym zdaniem ISO 27001 jest istotne: Oczywiście nie oznacza to, że firmy bez certyfikatu nie mają procedur, a wiedza ich pracowników jest na niewystarczającym poziomie. Oznacza to, że np. my w nazwa.pl po raz kolejny przeszliśmy z sukcesem niezależny audyt, a jego wynik potwierdził spełnienie przez nas międzynarodowych norm. Jeżeli dla kogoś jest to istotne, z pewnością zwróci uwagę na to, czy jego hosting ma ISO 27001. Jeżeli dla kogoś nie jest to istotne, potraktuje ISO 27001 jako kolejny parametr, obok innych którymi dysponuje dany hosting.

Na wstępie napiszę, że jeżeli problemem w naszej dyskusji jest link do bloga nazwa.pl, na którym mamy artykuł o ISO 27001, to można ten link usunąć. Bo chyba o to chodzi, a nie o samą kwestię istoty posiadania (lub nie) certyfikatu ISO 27001? Zwiększająca się świadomość użytkowników wymaga, aby zwracać uwagę na nowe aspekty, których inni albo nie chcą dostrzegać, albo nie wiedzą, że powinni dostrzegać. Osobiście uważam, że na tym właśnie polega rozwój. Gdyby było to "nic", "nieważne", "niepotrzebne", pewnie takie firmy jak AWS czy Google także nie pisałyby u siebie o tym, że działają w zgodności z ISO 27001. Dzisiaj zwraca się na to uwagę, a moim zdaniem forum branżowe, jakim jest rootnode.pl, powinno uwzględniać zmieniające się trendy w podejściu użytkowników chociażby do tematu bezpieczeństwa.

Nie dyskutuję w tym wątku wyłącznie o nazwa.pl, tylko o firmach hostingowych, które tak jak nazwa.pl wdrożyły i posiadają ISO 27001. Bezpieczeństwo informacji w przypadku podmiotów, które przetwarzają nie tylko dane swoich klientów, ale też dane klientów tych klientów, jest bardzo ważne. Już w dyskusji w tym wątku zostało między wierszami napisane, że zwykły użytkownik nie wie, że może lub powinien sprawdzać, czy dana firma / organizacja w sposób właściwy wypełnia standardy zarządzania bezpieczeństwem informacji. A informacja o certyfikacji ISO 27001 to właśnie umożliwia. Ochrona danych ma dzisiaj kluczowe znaczenie i stąd dyskusja, która nie jest żadną kryptoreklamą. Nie widzę wątku na tym forum, który mówi o tym, w jaki sposób użytkownicy mają weryfikować usługodawców w tym zakresie. Chyba, że wszystko co jest obce dla np. 95% firm w Polsce, a nie jest obce dla 5%, będzie uznane za kryptoreklamę....

Samo ISO 27001 nie było i nigdy nie będzie wystarczającym czynnikiem determinującym wybór tego lub innego usługodawcy hostingowego. Wszyscy wiemy, że firmy hostingowe przechowują duże ilości danych klientów, w tym ich wrażliwe dane osobowe i biznesowe. Posiadanie ISO 27001 pomaga więc w minimalizacji ryzyka naruszenia bezpieczeństwa danych. W tym aspekcie postrzegam posiadanie ISO 27001 jako inwestycję w bezpieczeństwo informacji. Zgodzę się również, że nie może ono być rozpatrywane w oderwaniu od innych istotnych elementów. Dlatego napisałem, że moim zdaniem warto patrzeć na nie jak na parametr usługi, podobnie jak pojemność czy transfer. Usługi hostingowe nie są usługami standaryzowanymi, zatem użytkownik dokonując wyboru może brać po uwagę wiele czynników, także te mniej oczywiste na pierwszy rzut oka. Warto o tym mówić.

Nie wiem, jak to było w przypadku procesu, w którym uczestniczyłeś, ale jeżeli w firmie jest ISO 27001, to na naszym przykładzie powiem, że nie da się funkcjonować inaczej, niż zostało to zapisane w procedurach. Są odpowiedni ludzie (stanowiska), którzy pilnują przestrzegania procedur, wszystko musi przebiegać zgodnie z SZBI. Każdy z kilkuset naszych pracowników ma obowiązek pracować w ten sposób, jakiekolwiek odstępstwo jest bardzo łatwe do wykrycia. ISO 27001 nie jest przyznawane na stałe, między procesami recertyfikacji w każdym roku są audyty kontrolne.

Firmy hostingowe poddając się certyfikacji ISO 27001 lub równorzędnej udowadniają swoim klientom, że zarządzają ryzykiem w sposób właściwy i mają gotowe plany na wypadek zaistnienia incydentów. Klient nie musi wierzyć komukolwiek "na słowo", bo weryfikację w tym zakresie przeprowadza niezależny audytor. To, czy klient ostatecznie skorzysta z usług firmy legitymującej się certyfikatem, czy wybierze podmiot niecertyfikowany, zależy oczywiście od niego samego. Tym niemniej, moim zdaniem warto mówić o certyfikatach, nawet jako o parametrze usługi, tak samo, jak parametrem jest pojemność, transfer czy SLA, które dana firma oferuje. Oczywiście, rynek hostingowy nie jest regulowany, więc to od klientów ostatecznie będzie zależało, czy będą oczekiwać od swoich usługodawców potwierdzenia istnienia u nich właściwych systemów zarządzania bezpieczeństwem informacji.

Wszyscy wiemy, że firma, która chce otrzymać certyfikat ISO 27001, musi przejść niezależny audyt. Jego pozytywny wynik potwierdza wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji, co jednocześnie zdejmuje z użytkowników certyfikowanego hostingu konieczność samodzielnej weryfikacji, czy usługa w sposób właściwy jest przygotowana do ochrony danych, jakie za jej pomocą są przetwarzane. Wybór hostingu z certyfikatem ISO 27001 w pewnym stopniu pokazuje więc, że także jego użytkownik, w stosunku do swoich klientów, stosuje najlepsze praktyki, aby zapewnić bezpieczeństwo informacji. Podejmując decyzję o wyborze usługodawcy hostingowego rozważa się wiele czynników. Warto przypominać, że istotne są nie tylko parametry i technologia, ale również podejście usługodawcy do zarządzania ryzykiem, przyjęte praktyki w zakresie kontroli bezpieczeństwa czy awaryjne plany na wypadek zaistnienia incydentów.

ISO 27001 i SOC 2 są ze sobą często porównywane. Fakt jest taki, że SOC 2 bardziej kojarzony z firmami w USA, a ISO 27001 z firmami w Europie. ISO 27001 koncentruje się na systemie zarządzania bezpieczeństwem informacji, stawiając nacisk na ochronę danych, a SOC 2 w tym zakresie jest mniej rygorystyczny. Oczywiście dobrze jest, aby firma miała jeden z tych standardów, który - moim zdaniem nie jest już to tak kluczowe, bo zależy od skali i zakresu działalności firmy.

ISO 27001 to międzynarodowa norma, która określa systemy zarządzania bezpieczeństwem informacji. Mimo dużego znaczenia dla ochrony przetwarzanych informacji, niewiele polskich firm hostingowych, w sposób potwierdzony niezależnym audytem, właściwie zidentyfikowało zagrożenia dotyczące ich działalności i wprowadziło odpowiednie środki zapobiegawcze w celu eliminacji potencjalnych ryzyk. Ci, którzy podjęli się certyfikacji ISO 27001 wiedzą, że jest to zadanie bardzo złożone, wymagające dużych nakładów pracy. Korzyść z posiadania ISO 27001 można jednak wprost porównać do istnienia właściwych procedur w lotnictwie. W sytuacji niestandardowej, piloci dysponują odpowiednimi schematami postępowania, które powstały dzięki licznym doświadczeniom i obserwacjom. Podobnie jest w przypadku tak istotnej dla dzisiejszego świata działalności, jaką są usługi hostingowe. Oczywiście procedury - procedurom nie równe, dlatego ISO 27001 jest przyznawane tylko na określony czas, po wnikliwym audycie w danej firmie. Notka od administracji: usunięto link do bloga nazwa.pl

Klient ma możliwość samodzielnego pobrania logów error_log i access_log z poziomu CloudHosting Panel. Usługi IT to opcja dla tych użytkowników, którzy z jakiejś przyczyny nie chcą samodzielnie pobrać logów dostępu z CloudHosting Panel, tylko chcą, aby to zrobił to nasz Dział Obsługi Klienta i przekazał je w wiadomości mailowej (jako załącznik). Oprócz logów access_log i error_log, w ramach Usług IT, można też zawnioskować o udostępnienia logów slow_log dla baz danych.

Ps. Osoby chcące przetestować Mail Backup zapraszam do kontaktu przez PW

Mail Backup to bezpieczna kopia Twojej poczty e-mail Mail Backup jest nową usługą nazwa.pl, która pozwala zabezpieczyć zawartość kont poczty elektronicznej, niezależnie od tego, na serwerze jakiego dostawcy są one utrzymywane. Maile można przywrócić na tą samą skrzynkę lub sklonować je na zupełnie inne konto e-mail. Atutem Mail Backup jest wykonywanie automatycznych kopii zawartości kont e-mail nawet co 5 minut. Dodatkowo dane, zanim zostaną wysłane do chmury, są szyfrowanie algorytmem AES-256 w celu ich ochrony przed nieuprawnionym dostępem. Dzięki Mail Backup można chronić pocztę z bezpłatnych skrzynek takich jak gmail.com, wp.pl, onet.pl, interia.pl, o2.pl itd., jak również z serwerów komercyjnych. Mail Backup działa na komputerach z systemem Windows, macOS i Linux. Więcej informacji na jego temat dostępnych jest na naszym blogu: https://www.nazwa.pl/blog/mail-backup-czyli-bezpieczna-kopia-twojej-poczty

Czytając art. 17 ust. 6 dowiadujemy się, że na dostawcę usług poczty elektronicznej dla podmiotów publicznych nakłada się obowiązek oferowania poczty elektronicznej z możliwością stosowania metod uwierzytelniania wieloskładnikowego. Nie rozpatrujemy tutaj, czy podmiot publiczny zastosuje (i kiedy) takie rozwiązanie, to dostawca ma obowiązek je oferować i taką ofertę przedstawić podmiotowi publicznemu. Żeby jednak mówić o tym, czy oferowana forma zabezpieczenia jest w rzeczywistości uwierzytelnianiem wieloskładnikowym trzeba brać pod uwagę wszystkie zapisy ustawy oraz dodatkowo uzasadnienie. Skoro wiemy, co w myśl ustawy jest uwierzytelnianiem wieloskładnikowym, jak może być ono realizowane i co ma zabezpieczać (pocztę elektroniczną definiowaną jako SMTP, POP3 i IMAP4) to nie mamy uprawnienia zawężenie jego zakresu działania tylko webmaila, o ile dostęp przez IMAP4/POP3 nie zostanie zablokowany.

Nie zgodzę się. W art. 2 ustawy czytamy: Interesujące nas tutaj przepisy art. 17 odnoszą się do dostawcy "poczty elektronicznej". Z tego względu zabezpieczenie za pomocą uwierzytelniania wieloskładnikowego czyli np. 2FA wyłącznie webmaila, w ujęciu tej ustawy, stanowi zwykły ozdobnik, a nie formę ochrony. Jeżeli usługodawca a) umożliwia dostęp do poczty przez IMAP4/POP3 i b) ten dostęp IMAP4/POP3 nie jest w żaden sposób blokowany, nie można mówić o tym, że ochrona w postaci uwierzytelniania wieloskładnikowego jest spełniona. O ile w definicjach w art. 2 projektu ustawy nie ma wyjaśnionego, czym jest uwierzytelnianie wieloskładnikowe, to jednak jest to opisane jest w uzasadnieniu do projektu ustawy, a w takich sytuacjach właśnie uzasadnienie stanowi formę wykładni dla podmiotów stosujących prawo (tu np. prezesa UKE): Jak więc widać, gdy dostęp przez IMAP4/POP3 jest aktywny, to 2FA dla webmaila nie spełnia wymogów przyjętego projektu ustawy.

Dla osób, które bardzo chciały zobaczyć nagrodę Top10 Cloud Hosting - wklejam bezpośredni link https://pl.hostadvice.com/hosting-company/nazwa-pl-reviews/#main-info

Prośba, aby nie przeinaczać moich wypowiedzi.

Znów zaznaczę, że pisze we własnym imieniu, bo wywoływały jestem do dyskusji - moim zdaniem - czysto akademickiej. Co do zasady w Polsce jadąc 160km/h na autostradzie otrzymasz mandat, w Niemczech jadąc 300km/h nie. Absolutnie nie uważam, aby jakiekolwiek naruszanie przepisów obowiązujących na danym obszarze, bez względu na to, czy to w Internecie, czy poza nim, było działaniem właściwym, ale różnice w systemach prawnych to codzienność. Żyjemy bowiem w globalnym świecie, a Internet pozwala stosować określone typy jurysdykcji w zależności od potrzeb i woli twórcy. Podobnie, jak reklamy piwa nie postrzegam jako promocji alkoholizmu i patologii z tym związanej, tak samo nie uważam, żeby mówienie czy listownie offshore hostingu byłoby samo w sobie czymś niewłaściwym. O ile w Internecie istniałaby anonimowość, offshore hosting mógłby być przydatny np dla osób żyjących w reżimach. Ale czy ta anonimowość faktycznie jest, to już inna sprawa.

Offshore jest to po prostu usługa realizowana poza granicami kraju rezydencji użytkownika takiego hostingu. Jeżeli zawężasz, zakładam mimo wszystko że tylko na potrzeby tej dyskusji, rolę offshore do hostowania niedozwolonego contentu, to moim prywatnym zdaniem powinieneś w osobnym wątku zażądać zamknięcia witryny Google.

HostAdvice przeprowadza samodzielne i niezależne testy usług hostingowych. Nie będę ukrywał, że nagroda, którą przyznaje podmiot znający się na branży, będący jednym z największych katalogów usług hostingowych firm działających globalnie i mających miliony klientów, jest dla nas istotna. Stanowi kolejne, niezależne potwierdzenie jakości naszych usług.

Informacja o nagrodzie wkrótce pojawi się na naszym profilu na HostAdvice