Только по проишествии некоторого времени работы системы информационной защиты можно браться за анализ эффективности ее применения. Проектирование, организация и работа компьютерны� систем безопасности фактически связаны с неизвестными событиями в будущем, поэтому всегда содержат элементы неопределенности, а также недостаточный объем информации для принятия управленчески� решений, плюс человеческий фактор. По мере реализации проекта уровень неопределенности снижается, но все равно эффективность защиты не может быть выражена или описана определенными показателями. Объективной � арактеристикой качества применяемы� методов безопасности в условия� воздействия большого количества случайны� факторов служит только вероятность, � арактеризующая степень возможностей конкретной системы защиты при заданны� условия� .

В отношении информационной безопасности руководителю предприятия стоит уяснить три главные истины. Первая – информационной защитой стоит заниматься, � отя бы потому, что опасности существуют. Злоумышленники не просто � одят по одним с нами улицам, они запросто могут оказаться в числе самы� доверенны� сотрудников. А когда «гром грянет», можно не просто понести убытки, но даже остаться ни с чем.

И третья – опасности эволюционируют. Старые приспосабливаются об� одить известные способы защит, появляются новые, с доселе невиданными зловредными ме� анизмами. А значит, и системы защиты обязаны эволюционировать, ведь застой даже самой передовой через некоторое время превратит ее в набор бесполезны� программны� пакетов.