07.12.2011

Контрольный в голову

Куплено три зажигалки:
образец 1 – Zippo;
образец 2 – Cricket (если читателю лучше знаком BiC – пусть будет BiC);
образец 3 – китайская "стекляшка" noname.
Вопрос: что из этого качественная зажигалка?
Опрос не провожу.
Правильный ответ: мы не знаем. В задаче недостаточно данных для ответа.

И вовсе не потому, что нет сведений об исправности – допустим, что все три новенькие и рабочие. А просто качество зажигалки не определяется свойствами зажигалки. Поэтому будет ошибкой сказать, что качественна та, в которой дороже материалы, или та, которая дольше прослужит. Трехгодовалый ребенок с обалденным ответом "Красная!" ничуть не дальше от истины, между прочим.

Качество – это степень соответствия требованиям. Не свойства зажигалки, а разница между ними и неизвестными нам требованиями не указанного в задаче лица.

Пусть это производитель. И пусть производитель Zippo хотел создать свежий инновационный продукт, который вернет молодежную аудиторию, Cricket требовалось сохранить свои 2500 вспышек при одновременном понижении себестоимости на 2 цента, а китайское изделие должно работать у среднего курильщика месяц и вдвое отстоять по цене от брендов вроде Cricket, иначе не купят. Чей продукт справился с задачей? Наверно, последние два справились. А чей лучше справился? Так нельзя ответить, ибо задачи разные.
А если требования смотреть потребительские? У одного они студенческие: как можно больше прикуриваний на рубль. Другой – трубочник, ему только газ и большая высота пламени. У третьего тремор, зажигалка должна гаснуть при падении. Четвертому подай максимальную прочность корпуса при открывании пива, пятому ремонтопригодность в условиях техасской степи, шестому нужна зажигалка под костюм, среди названных моделей их нет.
А если для продавца оценивать? У него, скорее всего, качественная определяется через спрос, маржу, процент возврата и что-нибудь неожиданное типа штабелируемости и крепости коробок.

Стоят три сервера, какой безопасен? Правильный ответ: смотря для кого, смотря какие угрозы тому страшны. Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет. "Гоги, ты помидоры любишь?".

17 комментариев:

Alexey Volkov комментирует...

> Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет.

Ты же знаешь, что риски, как и качество, вопрос субъективный. И имея на руках ТОЛЬКО отчет о рисках ты сам рискуешь вступить в полемику с человеком, его составлявшим. Нужно "погружение в среду". Метод Станиславского. Поставить себя на их место. Посмотреть на все их глазами. Тогда только можно что-то сказать.

Артем Аветян комментирует...

> риски, как и качество, вопрос субъективный.

Если они [заказчик, составитель отчета] определили себе такие риски - значит с ними и нужно работать. Когда ты вступаешь в полемику - это значит что ты и сам уже начинаешь оценивать риски - лезешь не в свое дело.

Alexey Volkov комментирует...

Я могу пойти от противного - ткну пальцем в сервер и скажу что вот он - безопасен. И пофиг мне на все риски и отчеты. Он безопасен для меня потому, что мне он нафиг не нужен. Ни он (потому как старый и пора списывать), ни информация, что на нем есть. Формальным языком такая позиция означает "любые риски принимаются". Но зачем тогда он работает? А шут его знает... Не наше дело.

Vlad Styran комментирует...

> Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет.

Ну как бы и с отчетом на руках сделать можно будет не больше, чем "что-то".

Ригель комментирует...

Риски-то субъективны, но относительно того же субъекта, для которого RA писан.
RA имеет какую-то погрешность, но она всяко меньше 100%, поэтому и по сколь угодно плохому RA можно сказать больше, чем вслепую.
Разумеется, чем RA достовернее, тем точнее можно оценить и безопасность.
На фиг не нужный сервер действительно безопасен - он ведь не порождает рисков.

Alexey Volkov комментирует...

> На фиг не нужный сервер действительно безопасен - он ведь не порождает рисков.

Порождает, просто ты их не замечаешь в RA. Например, риск возникновения пожара от КЗв его блоке питания? Он же старый. Да, тебе сказали что старый, в RA это написано. Но ты ж не знал, что это реально раздолбай.

Отсюда вывод - безопасность, ее критерии и риски у каждого свои. Субъективные. И ничего ты по карте РА не скажешь. В большинстве случаев расстроишься только.

Vlad Styran комментирует...

> На фиг не нужный сервер действительно безопасен - он ведь не порождает рисков.

С нафиг ненужного сервера ДДоСятся сайты гос. органов и управляются ботнеты.

Alexey Volkov комментирует...

> ДДоСятся сайты гос. органов и управляются ботнеты.

А это другая сторона медали - ведь для владельца сервера он безопасен: не смотря на то, что это его сервер, доказать причастность хозяина к DDOS будет тяжело. Разве что репутационные риски.

Ригель комментирует...

> порождает

Надо было писать "почти безопасен" - поленился, хотя про ботнет подумал.
В то же время это ведь Вы делаете допущение о наличии другого актива, для которого этот может быть источником угроз, в исходной фразе о другом активе речи нет.

Vlad Styran комментирует...

ДДоСом дело не ограничится: боты будут брутфорсить и спамить, С&C будут ботоводить, а ДДоС это так, довесок.

А пренебрежение репутационными рисками это из опыта или традиция?

Ригель комментирует...

> А пренебрежение репутационными рисками это
> из опыта или традиция?

Это рассмотрение чистого примера. Догадка о ценности репутации - догадка.

Александр Бодрик комментирует...

Если придираться - то никакой не безопасен, понятие безопасность вообще вредно заложенным в себя обманом..а так - тот, за которым больше всего трясутся, т.е. на котором крутятся наиболее критичные для бизнеса сервисы среди трех (это при условии, что не все три нафик никому не нужны).

А насчет отчета - согласен, правда, любая бумага с описанием системы в наших реалиях уже позитивно, куча ведь совсем недокументированных систем десятилетиями крутятся..

Ригель комментирует...

Никакой - это с общефилософской точки зрения, а мы тут на простых модельках. На кошечках, если можно так сказать.

Alexey Volkov комментирует...

На хомячках.

Ригель комментирует...

Я серьезно. Я же с этого начал - не годится ответ, для которого в задаче нет посылок.

Анонимный комментирует...

Лучшая - та которая выполнила свою функцию в нужный момент...
А так полностью согласен!

Ригель комментирует...

> функцию в нужный момент

Что опять же является _чьим-то_ ожиданием

Отправить комментарий