Требования регуляторов.
Действительно, в банковской сфере, страховании, биржах и других финансовых институтах во многих странах существует жесткое законодательство, неисполнение которого влечет за собой отзыв лицензии на право заниматься основной деятельностью. В основе большинства требований к информационным системам, хранящим финансовую информацию лежат требования стандартов ISO, Базельские соглашения, стандарт ЦБ РФ по информационной безопасности. Для компаний, торгующих своими акциями на международных биржах, существуют свои требования. Например, Нью-Йоркская фондовая биржа попадает под действие акта Сарбейнса-Оксли 2002 года, регламентирующего управление информационной системой компаний, выставляющие свои ценные бумаги на торги. В последнее время в России особое значение приобрел Закон "О защите персональных данных", требующий от операторов принятия мер по недопущению нарушения конфиденциальности частной информации граждан.
В различных странах есть другие акты: GLBA, HIPAA, локальные акты по защите персональных данных.
Таким образом, модель системы защиты от внутренних ИТ-угроз заложена в стандарты и внедрять эту систему нужно, прежде всего, таким образом, чтобы пройти аудит на соответствие описанным стандартам. В этом случае при конфликте функционала системы между эффективностью и соответствию стандартам выбор делается в ущерб эффективности. Следует также отметить, что ни один регулирующий орган не рекомендует даже тип продуктов, которыми следует защищаться и часть угроз допускается закрывать организационными средствами.
