Sunday, August 2, 2009

Can we do cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Stack API RESTfully (are we cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re yet?)

I've been working on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A6 API for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past week and I'm certain Mrs IronFog is wondering when I might be done (she's graciously been giving up about two hours of quality time each night - something I am immensely appreciative of).

A6 stands for The Audit, Assertion, Assessment, and Assurance API (a term coined by @CSOAndy via Chris Hoff's Rationale Survivability), so I figured I would know if I was done when I could put a check mark next to each aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 6 A's (this feels like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 start of a buffer overflow joke).

So here we go:

  • Audit - Check - we have /ssapi/compliance/
  • Assertion - Check - we have /ssapi/ISO27002/ and /ssapi/environment/
  • Assessment - Check - we have /ssapi/element/xccdf/
  • And - Check (for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of completeness)
  • Assurance - sort-of, it's somewhat of an emergent or external property - I'll explain below
  • API - Check - we have /ssapi/

Ok, so 5.0 out of 6 is pretty good, but here's why I think we're complete enough to consider this a first draft. The terms Assertion ad Assurance are financial audit terms:

  • Assertion is a self-issued statement made by one party (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 provider) to ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs (end users) about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir state - such as "I have a billion dollars in cash" or "we are secure" - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're not validated by anyone else.
  • Assurance is a validated statement, specifically validated by a trusted third party (like an audit firm) reviews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 supporting facts behind an assertion and confirms cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are true, have integrity and have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 correct scope (or completeness)

Assertions are easy, anyone can make a statement about anything - that's what our stack does - however, we just have to trust that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 statements are true and good.

For assurance, we have three options:

  • Have some trusted mechanism (black box software in a tamperproof appliance) validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack and issue a signed XML blob;
  • Get a third party auditor to validate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 assertions issued by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack and provide a formal sign-off; and
  • Review cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information ourselves and see if we can spot inconsistencies (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n call "liar-liar-combusting-pants")

Barring perfectly trustable computing, we cannot provide true Assurance functions through technology alone - we can just make it easier to share what we know in an easily interpretable fashion.

So basically, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 stack as it stands, is structurally complete enough for a first draft release (which I'll start packaging up shortly). Ofcourse, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's still specifications, nuances, details and documentation to get done; I know ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r things will emerge as I review and cleanup what I've done, but that will be iterative, not net new.



1 comment:

  1. OK, now that you're pretty much at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 complete draft level, I can print this all out (yes, I'm all about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 paper) and read it like a book.

    I think it's totally awesome you've done this and I'll be able to help push cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 concept AND your stuff to some people who can do something about it ;)

    /Hoff

    ReplyDelete