a11r - rant machine?

Wenn einem der Sat-Receiver passend zu Weihnachten abraucht, man mit dem Erdferkel im Channel bekloppte Links austauscht (an dieser Stelle: http://www.ectomo.com/ ist ein dermassen empfehlenswert wirrer Link, das zwingende Klickempfehlung besteht.), kommt man auch irgendwie auf Verlinkungen zu "Octophrost, Santa of the Sea". Weil, "99 Octopi, 1 Tree" ist schlicht chtulhuös.

Anyway, weil ich keine Lust auf WoW hatte und aktuell auch kein umwerfender Lesestoff vorlag, habe ich die Schränke geplündert und mir die letzten Nächte mit Nadel und Faden um die Ohren gehauen.

Therefore i present:
Octophrost, Santa of the Sea - to late for Christmas, 'cause the sea is too far away!





So, könnte ich bitte wieder TV haben? Sonst suche ich mir noch grüne Wolle zum verfilzen...
Felted Wool Squid USB Flash Drive by Nifer Fahrion (NifNaks)

Heute gesehen in Siegburg, beim kurzen Besuch des mittelalterlichen Weihnachtsmarktes.

http://www.youtube.com/watch?v=PSRPGHyYq90

Herrlich.
Ein Dank an die PGP Corp. ;-)

Erholsame Feiertage an Euch da draussen!



Eine davon war sogar ganz allein für mich...
... und deswegen: weiterhin viel Erfolg und so gute Arbeit dort draussen in den Krisengebieten, werte Angehörige des LACHEN helfen e.V.!

(Der ist mir Dienstag doch durch die Lappen gerutscht, aber zur Vollständigkeit)

1stWD ISO 9798-5 "Information technology -- Security techniques -- Entity authentication -- Part 5: Mechanisms using zero knowledge techniques" wurde zu Study&Comment freigegeben.

(Ich mache das jetzt mal zu einer regelmäßigen Serie...)

Der vierte Entwicklungsstand des kommenden ISO-Standards ISO 24760 "Information technology -- Security techniques -- A framework for identity management" wurde heute für Study&Comment verteilt.

Beim schnellen Drüberblättern sind mir grade noch einige offene Stellen mit Bitte um Textvorschläge im Bereich Regulativa und Privacy aufgefallen, es sieht aber schon ziemlich solide aus. Und Identity Management ist ja nicht nur in Bezug auf die Kombination Useraccount && Passwort von Interesse..

Ein Auszug aus dem Artikel "Am Drehkreuz" aus der <kes> 2007#6, S.43ff:
(..)"Die Normenreihe ISO/IEC 27000 behandelt Informationssicherheits-Managementsysteme (ISMS), Anforderungen zur Zertifizierung eines ISMS enthält dabei ISO/IEC 27001:2005 "Information technology - Security techniques - Information security managements systems - Requirements". Darin sind auf 17 Seiten im Anhang A "Control objectives and controls" (Sicherheitsziele und Prüfpunkte) die normativen, also zertifizierungsrelevanten, Anforderungen aufgelistet." (..)

Der zweite Satz ist in dieser Formulierung dermassener Schwachsinn, das es weh tut. Leider liest/hört man ihn zu häufig.

Der Annex A ist als normativ benannt, das ist korrekt.
Jedoch liest es sich so, als ob allein die Umsetzung der in Annex A gelisteten Controls reichen würde, um ein ISMS erfolgreich zu betreiben.
Und das wäre so falsch, das es gar nicht mehr geht.

Fakt ist: Die relevanten Anforderungen an ein ISMS nach ISO/IEC 27001:2005 befinden sich in den Kapiteln 4 bis einschliesslich 8, auf den Seiten 3 bis 12 des Standards.
Setze ich diese Forderungen als Prozesse korrekt um, besitze ich ein ISMS. Punkt.

Die Controls aus Annex A bzw. deren erläuterte Langform in ISO/IEC 27002:2005 (ex-ISO 17799) kommen (erst) dann zu Aufmerksamkeit, wenn ich im Rahmen des zwingend erforderlichen Risikomanagements zur Entscheidung gelange, erfasste Risiken für die Informationssicherheit mit einem Control aus Annex A zu behandeln. ( Siehe Kap. 4.2.1.g) )

Von Relevanz im Kontext ist der Prozess der Risikoerkennung, -abschätzung und schliesslich der -behandlung. Wenn ich mich dazu entschliesse, einen Control um- bzw. einzusetzen, wird dessen Begründung zertifizierungsrelevant - und damit auch die Implementation des Controls. Erst dann!

Soll ebenfalls heissen: ich kann ein ISMS komplett ohne Controls aus Annex A betreiben, wenn ich es für den konkreten Fall angemessen begründen kann und die verbleibenden Risiken akzeptiere.

Ich kann auch ein ISMS mit eine variablen Anzahl der angebotenen Controls betreiben, und bin standardkonform, wenn der Prozess den Anforderungen aus den Kapiteln 4 bis 8 genügt.

Ich kann auch ein ISMS betreiben, das zusätzliche Controls beinhaltet, welche NICHT im Annex A aufgeführt wurden. Schliesslich sagt der Standard selber, das es sich dabei um eine nicht erschöpfende Liste handelt, welche als allgemein relevant betrachtete Controls beinhaltet und dafür sorgen möchte, das nicht Bereiche übersehen werden. ( Siehe Kap. 4.2.1.g) NOTE )

Ja, ich könnte auch ein ISMS nur mit Controls betreiben, welche nicht im Annex A aufgeführt sind. Zum Beispiel: komplett mit den geforderten Schutzmassnahmen aus dem PCI-DSS. (Wobei dies Überlappungen ergäbe, weil PCI-DSS durchaus vergleichbare Schutzmassnahmen fordert, welche bereits als Controls im Annex A erfasst wurden. Selber Fall mit so ziemlich jedem anderen Standard.)
Wobei ich zugebe, das dieses Beispiel dann besser einen extrem fokussierten Scope des ISMS benötigen würde, welcher sich auf die relevanten Bereiche (Geschäftsprozesse, Organisationseinheiten, Netzwerke, IT-Systeme, etc.) beschränkt, welche mit cardholder data in Kontakt kommen. Zumindest, wenn es nicht ziemlich unhandlich sein soll.

Oh: Und natürlich kann ich auch ein ISMS betreiben, wenn nirgendwo ein IT-System herumsteht.
Die Erklärung des Unterschiedes zwischen Informationssicherheit und IT-Sicherheit gibt es als Hausaufgabe zum selbermachen.

Im Juli schrieb ich noch über die Umbenennung der 18028er in 27033-x, so geht es auch bei den technischen Standards zur Informationssicherheit derzeit gut weiter.

Heute morgen kam die Rundmail mit u.a. dem Hinweis darauf, das der zweite Working Draft für ISO 27033-1 "Network security – Part 1: Guidelines for network security" vorliegt.

So viel zu lesen, so wenig Zeit...

Jemand 'ne passende Überschrift?

Auch um es für mich selber mal festzuhalten.

Man nehme eine Rinderroulade


und klicke für das restliche Rezept auf

Heute wurde der 3rd Committee Draft von ISO 27000 "Overview and vocabulary" durch den DIN-Verteiler geschickt.
Im Moment sieht es wirklich so aus, als würde man es schaffen, bis Mitte des kommenden Jahres einen neuen ISMS-Standard zu verabschieden. So auch die mir gegenüber geäusserte Absicht ;-)

Eben kam ein kleines, feines, und aufgepepptes Tasting-Paket für mich an - Ein dicker Dank an Dr. K.!

Der Inhalt:
Glenallachie, 14y, distilled 13.02.1992, bottled 24.02.2006, matured in Bourbon Barrel, 43%.

Clynelish, 14y, distilled 28.11.1990, bottled 17.03.2005, matured in Bourbon Barrel, 43%

Clynelish, 14y, distilled 27.06.1991, bottled 24.04.2006, matured in Hogshead, 46%

Caol Ila, 12y Port Finish, distilled 13.01.1994, bottled 09.02.2006, matured in Hogshead, 46%

Caol Ila, 11y, distilled 25.04.1994, bottled 25.01.2006, matured in Hogshead, 43%

Glendullan, 14y, distilled 14.04.1991, bottled 13.03.2006, matured in Hogshead, 46%

Bladnoch, 15y, distilled 06.03.1990, bottled 24.11.2005, matured in Bourbon Barrel, 43%

Glenturret, 13y, distilled 24.11.1992, bottled 05.10.2006, matured in Sherry Butt, 43%

Glenburgie, 16y, distilled 05.09.1989, bottled 30.05.2006, matured in Hogshead, 43%

sowie "Islay Surprise I" und "Islay Surprise II".

Wessen unangekündigten Überfall darf ich demnächst erwarten? :D

Wieder ist ein interessantes Grundlagenbuch zum kostenfreien Download freigegeben worden:

Das Handbook of Applied Cryptography von Alfred J. Menezes, Paul C. van Oorschot und Scott A. Vanstone.

Okay, schon 2006, aber hey :-)

"Last Christmas" von Wham! dieses Jahr gehört.

Und zwar nicht irgendwie im Radio, wie zu erwarten.

Nein.

In einer gottverdammten Klingeltonwerbung, AAARGHH!

Gabs eine Vertragsänderung?

Vor zwei Jahren hatte ich eine Fotostrecke gepostet, bei der ich die Herstellung von netten Holzsternen als Weihnachtsschmuck beschrieb.

Heute: die Fortsetzung.


Der Stern des Anstosses war ein kleiner, käuflich erwerblicher Holzstern, der zusammensteckbar war.


Ein bisschen langweilig, so mit diesen massiven Flächen - also Innenausschnitte müssen her, damit es luftiger wirkt.

Schweinefiletstück, mit Harissa und weissen Pfeffer beschmiert, in die Schmorpfanne.
Zwiebeln und Paprika dazu, das ganze anbraten.
Ein Schlückchen Sojasosse als Basis, einen grösseren Schluck schwarzen Bacardi drüber, vier kleine Zehen Knoblauch grob zerdrückt, halbes Tütchen Sahne dazu, eine runde Dreiviertelstunde auf'm Herd abgedeckt bei mittlerer Hitze parken...

(Kein Foodporn-Pic, da nichts mehr übrig.)

ToJe schreibt, das der Nerd-test in neuer Auflage existiert. Da ich ja schon Ewigkeiten keinen solchen Unfug mehr mitgemacht habe, nachfolgend das Update zum alten Ergebnis


http://www.nerdtests.com/nt2ref.html


(Wie ich grad sehe, muss ich dem Uber Cool Nerd God Isotopp huldigen, und kann auf den einfachen Nerd King JollyOrc herabblicken. Ha!

... an den Menschen bei der Bundeswehr, welcher letzten Mittwoch hier aufschlug mit der Suche nach "ZDv + Weihnachtsbaum".

Ich bin sicher, die Tante Bw leidet etwas unter Vorschriften, aber wenn es auch Regelungen zu Beschaffung, Aufstellung und Entsorgung von Dienstweihnachtsbäumen geben sollte... dann vermutlich als Anhang der ZDv 5/10 "Leben in der militärischen Gemeinschaft".

Ich hoffe aber, das nicht.

Udn ansonsten erfüllt die einfache Tanne vom Händler am Discounter sicher auch die Grundvoraussetzung für den Einsatz in einem Gebäude der Bundeswehr - sie steht stramm und ist grün.

Letzteres könnte sich allerdings ab Dreikönige ändern.