У профессионалов безопасности существует свой критерий выбора системы защиты: защита должна делать экономически невыгодной проникновение в систему. Например, у меня дома стоит беспроводная точка доступа Wi-Fi и выделенный канал доступа в Интернет. Я, как параноик в области безопасности, защитил его с помощью встроенного механизма WPA. Взломать это код, наверно, смогут специалисты из ФСБ за несколько месяцев работы сверхмощных компьютеров. Я думаю, что вряд ли эту организацию заинтересует перспектива потратить столько ресурсов, чтобы «украсть» мой предоплаченный трафик стоимостью 25 долларов в месяц. А никаких секретных данных у меня нет — разве что текст этой книги, но наш книжный рынок пока не дошел до такой прибыльности, чтобы воровать книгу прямо с компьютера автора.
Правило «стоимости и затрат» хорошо для крупных компаний и параноиков вроде меня. Для всех остальных более полезно другое правило которое можно легко запомнить и объяснить с помощью старого анекдота:
Два геолога наткнулись в тайге на медведя, а ружья они забыли в лагере. Один геолог бросился бежать. Второй побежал за ним и кричит:
— Это бессмысленно. Медведь легко догоняет лошадь. Тебе не удастся его обогнать!
— А мне это и не нужно. Мне достаточно бежать быстрее тебя!
То есть если вы защитите себя хотя бы минимально, то большая часть охотников за чужими секретами отправится искать более простые цели.
Управляемость. Мы уже говорили о стоимости владения системой. Понятие управляемости очень близко к этой теме. Информационная система не должна отнимать слишком много ресурсов на свое обслуживание. В небольших и средних организациях обычно пренебрегают эти фактором, считая, что он проявляется только при сотнях и тысячах пользователей, но это не всегда правильно. Особенно велики могут быть скрытые потери.