Куплено три зажигалки:
образец 1 – Zippo;
образец 2 – Cricket (если читателю лучше знаком BiC – пусть будет BiC);
образец 3 – китайская "стекляшка" noname.
Вопрос: что из этого качественная зажигалка?
Опрос не провожу.
Правильный ответ: мы не знаем. В задаче недостаточно данных для ответа.
И вовсе не потому, что нет сведений об исправности – допустим, что все три новенькие и рабочие. А просто качество зажигалки не определяется свойствами зажигалки. Поэтому будет ошибкой сказать, что качественна та, в которой дороже материалы, или та, которая дольше прослужит. Трехгодовалый ребенок с обалденным ответом "Красная!" ничуть не дальше от истины, между прочим.
Качество – это степень соответствия требованиям. Не свойства зажигалки, а разница между ними и неизвестными нам требованиями не указанного в задаче лица.
Пусть это производитель. И пусть производитель Zippo хотел создать свежий инновационный продукт, который вернет молодежную аудиторию, Cricket требовалось сохранить свои 2500 вспышек при одновременном понижении себестоимости на 2 цента, а китайское изделие должно работать у среднего курильщика месяц и вдвое отстоять по цене от брендов вроде Cricket, иначе не купят. Чей продукт справился с задачей? Наверно, последние два справились. А чей лучше справился? Так нельзя ответить, ибо задачи разные.
А если требования смотреть потребительские? У одного они студенческие: как можно больше прикуриваний на рубль. Другой – трубочник, ему только газ и большая высота пламени. У третьего тремор, зажигалка должна гаснуть при падении. Четвертому подай максимальную прочность корпуса при открывании пива, пятому ремонтопригодность в условиях техасской степи, шестому нужна зажигалка под костюм, среди названных моделей их нет.
А если для продавца оценивать? У него, скорее всего, качественная определяется через спрос, маржу, процент возврата и что-нибудь неожиданное типа штабелируемости и крепости коробок.
Стоят три сервера, какой безопасен? Правильный ответ: смотря для кого, смотря какие угрозы тому страшны. Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет. "Гоги, ты помидоры любишь?".
образец 1 – Zippo;
образец 2 – Cricket (если читателю лучше знаком BiC – пусть будет BiC);
образец 3 – китайская "стекляшка" noname.
Вопрос: что из этого качественная зажигалка?
Опрос не провожу.
Правильный ответ: мы не знаем. В задаче недостаточно данных для ответа.
И вовсе не потому, что нет сведений об исправности – допустим, что все три новенькие и рабочие. А просто качество зажигалки не определяется свойствами зажигалки. Поэтому будет ошибкой сказать, что качественна та, в которой дороже материалы, или та, которая дольше прослужит. Трехгодовалый ребенок с обалденным ответом "Красная!" ничуть не дальше от истины, между прочим.
Качество – это степень соответствия требованиям. Не свойства зажигалки, а разница между ними и неизвестными нам требованиями не указанного в задаче лица.
Пусть это производитель. И пусть производитель Zippo хотел создать свежий инновационный продукт, который вернет молодежную аудиторию, Cricket требовалось сохранить свои 2500 вспышек при одновременном понижении себестоимости на 2 цента, а китайское изделие должно работать у среднего курильщика месяц и вдвое отстоять по цене от брендов вроде Cricket, иначе не купят. Чей продукт справился с задачей? Наверно, последние два справились. А чей лучше справился? Так нельзя ответить, ибо задачи разные.
А если требования смотреть потребительские? У одного они студенческие: как можно больше прикуриваний на рубль. Другой – трубочник, ему только газ и большая высота пламени. У третьего тремор, зажигалка должна гаснуть при падении. Четвертому подай максимальную прочность корпуса при открывании пива, пятому ремонтопригодность в условиях техасской степи, шестому нужна зажигалка под костюм, среди названных моделей их нет.
А если для продавца оценивать? У него, скорее всего, качественная определяется через спрос, маржу, процент возврата и что-нибудь неожиданное типа штабелируемости и крепости коробок.
Стоят три сервера, какой безопасен? Правильный ответ: смотря для кого, смотря какие угрозы тому страшны. Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет. "Гоги, ты помидоры любишь?".
17 комментариев:
> Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет.
Ты же знаешь, что риски, как и качество, вопрос субъективный. И имея на руках ТОЛЬКО отчет о рисках ты сам рискуешь вступить в полемику с человеком, его составлявшим. Нужно "погружение в среду". Метод Станиславского. Поставить себя на их место. Посмотреть на все их глазами. Тогда только можно что-то сказать.
> риски, как и качество, вопрос субъективный.
Если они [заказчик, составитель отчета] определили себе такие риски - значит с ними и нужно работать. Когда ты вступаешь в полемику - это значит что ты и сам уже начинаешь оценивать риски - лезешь не в свое дело.
Я могу пойти от противного - ткну пальцем в сервер и скажу что вот он - безопасен. И пофиг мне на все риски и отчеты. Он безопасен для меня потому, что мне он нафиг не нужен. Ни он (потому как старый и пора списывать), ни информация, что на нем есть. Формальным языком такая позиция означает "любые риски принимаются". Но зачем тогда он работает? А шут его знает... Не наше дело.
> Имея в руках отчет об оценке рисков, можно что-то еще сказать, а так – нет.
Ну как бы и с отчетом на руках сделать можно будет не больше, чем "что-то".
Риски-то субъективны, но относительно того же субъекта, для которого RA писан.
RA имеет какую-то погрешность, но она всяко меньше 100%, поэтому и по сколь угодно плохому RA можно сказать больше, чем вслепую.
Разумеется, чем RA достовернее, тем точнее можно оценить и безопасность.
На фиг не нужный сервер действительно безопасен - он ведь не порождает рисков.
> На фиг не нужный сервер действительно безопасен - он ведь не порождает рисков.
Порождает, просто ты их не замечаешь в RA. Например, риск возникновения пожара от КЗв его блоке питания? Он же старый. Да, тебе сказали что старый, в RA это написано. Но ты ж не знал, что это реально раздолбай.
Отсюда вывод - безопасность, ее критерии и риски у каждого свои. Субъективные. И ничего ты по карте РА не скажешь. В большинстве случаев расстроишься только.
> На фиг не нужный сервер действительно безопасен - он ведь не порождает рисков.
С нафиг ненужного сервера ДДоСятся сайты гос. органов и управляются ботнеты.
> ДДоСятся сайты гос. органов и управляются ботнеты.
А это другая сторона медали - ведь для владельца сервера он безопасен: не смотря на то, что это его сервер, доказать причастность хозяина к DDOS будет тяжело. Разве что репутационные риски.
> порождает
Надо было писать "почти безопасен" - поленился, хотя про ботнет подумал.
В то же время это ведь Вы делаете допущение о наличии другого актива, для которого этот может быть источником угроз, в исходной фразе о другом активе речи нет.
ДДоСом дело не ограничится: боты будут брутфорсить и спамить, С&C будут ботоводить, а ДДоС это так, довесок.
А пренебрежение репутационными рисками это из опыта или традиция?
> А пренебрежение репутационными рисками это
> из опыта или традиция?
Это рассмотрение чистого примера. Догадка о ценности репутации - догадка.
Если придираться - то никакой не безопасен, понятие безопасность вообще вредно заложенным в себя обманом..а так - тот, за которым больше всего трясутся, т.е. на котором крутятся наиболее критичные для бизнеса сервисы среди трех (это при условии, что не все три нафик никому не нужны).
А насчет отчета - согласен, правда, любая бумага с описанием системы в наших реалиях уже позитивно, куча ведь совсем недокументированных систем десятилетиями крутятся..
Никакой - это с общефилософской точки зрения, а мы тут на простых модельках. На кошечках, если можно так сказать.
На хомячках.
Я серьезно. Я же с этого начал - не годится ответ, для которого в задаче нет посылок.
Лучшая - та которая выполнила свою функцию в нужный момент...
А так полностью согласен!
> функцию в нужный момент
Что опять же является _чьим-то_ ожиданием
Отправить комментарий