Если честно, не хотелось форсировать события и оглашать правильный ответ, а чтобы разговор сам к этому пришел. Но ладно.

Правда жизни в том, что рисков, в т.ч. связанных с инсайдерами,  очень много - в разы больше, чем привык побеждать "ИТ-безопасник" или "традиционный безопасник" (и, кстати, очень часто адекватной обработке рисков мешает именно узость профессионального взгляда - вообразите человека, который борется с утечкой с помощью любимой технологии опломбирования всех щелей в заборе и неусыпного надзора за их расковыриванием, а люди с нескрываемым удовольствием пользуются факсами).

Так вот, хотя полный список граблей у большинства организаций одинаков процентов на 70 (есть вариации в возможных методах реализации угроз, а сами угрозы такие же процентов на 70), но заслуживающие внимания риски у них разные. Не будем углубляться в методологические проблемы оценки, но актуальность для Вас того или иного риска напрямую связана с величиной возможного ущерба и вероятностью его наступления.
Вы хотели найти универсальный ответ, как бороться с инсайдерами? Универсального не существует. Потому что способы защиты подбираются для тех рисков, которые превышают приемлемый уровень, и для кого-то неприемлемы одни, а для кого-то другие.
А бороться со всеми ни одна организация не может себе позволить. И не только потому, что многие дешевле игнорировать, чем закрывать, но и просто пупок развяжется.

Задайте топ-менеджерам двух организаций один и тот же вопрос. Например, "Что будет от 8-часовой dos-атаки на платежную систему?".
В одной ответят: "Это пипец. Я на следующий же день разорюсь на пенях всем необслуженным клиентам - у меня столько денег нет".
В другой скажут: "Переживем. У меня только один клиент, но очень крупный. Только иск он подавать не будет, т.к мы с их директором выросли вместе и до сих пор каждую неделю в баню вместе ходим." или "Да фигня все. Я с соседним банком договорюсь, они через себя деньги проведут. Мы уже так делали".
Согласитесь, что "категорически не допустить dos" и "когда возникнет, пресечь в течение суток" это очень разные цели и, соответственно, необходимые для противодействия ресурсы.
Что интересно, даже и выбранные стратегии обработки риска могут разниться: одному сподручнее уходить, другому переносить, третьему снижать...

Это самая обычная ситуация, повсеместно встречающаяся в быту и совершенно несложная для понимания. И у Вас, и у меня могут украсть бумажник/мобильник/барсетку. Три одинаковых угрозы. Давайте даже допустим, что у нас одинаковые модели бумажника, мобильника и барсетки.
Но вероятности реализации угрозы уже разные, т.к. у меня бумажник во внутреннем кармане пиджака, а у Вас в заднем кармане джинсов, у меня телефон в костюме, а у Вас в кобуре, моя барсетка ездит на машине, а Ваша в руках и т.д.
Ущербы будут тоже разные, т.к. у меня в барсетке ключи от дома и машины, в телефоне ничего ценного, в бумажнике кредитные карты, права, техпаспорт и несколько полисов. Вдобавок, самой барсетке и мобильнику уже года 2 и они мне надоели.
Итого: за мобильник голова не болит, ключи надо переложить в карман или изменить способ транспортировки барсетки, а вот с бумажником уже больше ничего не поделать, но его и хрен украдешь.
У Вас: мобильник при Вашей зарплате это серьезная потеря и в нем важные контакты - перевесить на шею или переложить в барсетку, в бумажнике сто рублей и проездной - плевать, барсетке продолжать носить КПК, т.к. тактильный контакт - это надежно.
Примеры, как Вы понимаете, произвольные, и вообще на составление точной модели не было времени, главное - сама идея.

Не ожидайте, что два безопасника сойдутся во мнении, что им делать с угрозами от инсайдеров. Ищите пути, адекватные своей ситуации, потому что "мобильники у нас одинаковые, а потребности в защите разные"  

Складывается впечатление, что читается только заголовок форумной темы, а не сама новость.

Многие дело говорят: проблема-то многогранна. Это только одни риски видеть вредно, а разные полезно.

А теперь представьте, что задача не узнать о планах конкурента, а повлиять на них (мы ведь про информационную безопасность говорим, а не только про защиту информации, верно?). Скажем, подтолкнуть к отказу от идеи поглощения.
Сравните возможности уборщицы в кабинете Генерального (админа, электрика) и юриста, который готовит Генеральному справку о шансах лишиться лицензии при первой же проверке.
Кого надо покупать? То то же.

Нет: от таких всего лишь удобнее защищаться.

Не вел такой статистики, но вряд-ли сильно погрешу против истины, если скажу, что на 1 преднамеренную утечку приходится 9 непреднамеренных (нечаянно сболтнуть).
Часто это происходит в кругу коллег из конкурирующих организаций (съезд, выставка, конференция, встреча выпускников кафедры, интернет-форум), которые могут адекватно воспринять услышанное, т.к. заняты в той же или близкой профессиональной области.
А вот админ (электрик, уборщица) и не могут незаметно для самого себя за разговором сообщить приятелю, что инвестиции во что-то с каждым кварталом только удваиваются, потому что для них это не обыденная информация, и собеседник их чаще всего "рубит" в кнопках и проводах, а не финансовых операциях.

Кроме того, сливать через ит-средства или сервисы попросту опасно, т.к. они потенциально (при наличии на то соответствующей воли) лучше контролируются. "Казачок", копирующий базу, больше рискует быть пойманным, чем списывающий ключевую цифру с монитора на сигаретную пачку, поэтому его труднее купить, а не легче. Или возьмите, например, пару имейл/факс: да, по факсу можно слить значительно меньший объем, но и риск наследить в разы меньше, поэтому идут на это охотнее.

И еще насчет высокопоставленного сотрудника тоже некоторый миф. Спросите номер "черного" банковского счета у Генерального и той бухгалтерши, которая с ним постоянно оперирует - кто из них Вам его легко назовет по памяти? А потом для полноты эксперимента попросите уборщицу или админа найти Вам этот же номер.
Ну и кого же имеет смысл подкупать, поить, шантажировать?

А и черт с ним! Есть же ссылка на оригинальный pdf, его и обсуждаем.

Вы опять ищете проникновение, только теперь внутреннее.
Первая загвоздка с инсайдерами в том, что это как раз легальные, правильные пользователи. Инсайдер - лицо, ИМЕЮЩЕЕ доступ к защищаемой информации в силу своих должностных обязанностей. Он инсайдером зовется не оттого, что находится внутри периметра, а внутри процесса.
Вторая - в том, что они выносят не мегабайты, а саму информацию, зерно, т.к. способны его вычленить.

Кадровик сдаст не гиговую базу Отдела кадров, а вывод "секретный проект практически готов, раз началась перегруппировка персонала из подразделений разработки в сбыт".
И не террабайты проектной документации Вам повредят, а, скажем, сведение о том, что такими темпами новый продукт никак не будет выведен на рынок к следующей выставке (заметьте, чтобы вынести два слова "не успеваем" емкие носители опять не нужны).
И секрет конкурентного преимущества, заключающийся в особой рецептуре производимого Вами печенья, тоже будет выписан в блокнотик легальным пользователем, одним из тех десяти, которые его каждый день смешивают.

Вот теперь можем обсудить проблему инсайдеров.

Это ляп в законе о КТ. Государство имело в виду, что их нельзя скрывать от него.

Если говорить об информационной безопасности, а не ИТ-безопасности, то никакие ИТ-меры проблемы инсайдеров до конца не исчерпывают.

- Человек может показать документ коллеге, которому он не предназначен.
- Человек может забыть документ в принтере.
- Человек может выписать с экрана на листочек.
- Человек может зачитать по телефону или наговорить на диктофон.
- Человек в конце концов может просто запомнить (а подлинно чувствительная для бизнеса информация компактна до жути - например, "проект в Венесуэле это наш блеф, деньги-то на него в бюджете следующего года и не заложены") и вынести в голове.

И это еще только разглашение, а есть и ошибка, и уничтожение, и намеренное искажение...

Защищать информацию (см. знание про венесуэльский блеф) и защищать файлы, увы, не одно и то же.

Там он уже много лет есть, у нас 2 месяца.
Нельзя обрабатывать (в т.ч. хранить) дольше, чем того требуют цели обработки.

"Сам виноват" это очень распространенная концепция.
Машину угнали? Сам виноват: надо на маршрутке в супермаркет ездить.
Кошелек украли? Сам виноват: надо работать там, где на карточку перечисляют.
Бутылкой из окна кинули? Сам виноват: надо в каске гулять.

Актуальные версии (в редакции 2005 года) в русских переводах еще не встречаются.
27001 вообще в русском переводе не встречается, т.к. до 2005 не выходил.

Секрет Полишинеля в том, что существует и третья сторона - пользователи этого продукта. О жертвах среди мирного населения Вы никогда не думали?

Уязвимость опубликована, легионы скрипткидисов кидаются валить тьмы серваков. Организации теряют деньги на простоях и восстановлениях. Кто-то теряет работу, т.к. некоторые бизнесы разоряются от компрометации своих сервисов в глазах потребителей. Кто-то лишается денег на счете, отложенных дочке на рождественский подарок. Кто-то не попадает на свадьбу подруги, потому что начальство выгоняет в выходной перевколачивать все те платежки, которые пропали с предыдущего бекапа. Кто-то теряет плоды каких-то других многочасовых (если не многолетних) трудов. Продолжать примеры не буду за недостатком времени.

В чем они виноваты - в том, что они (или их админы) использовали продукт КЛМН вместо ПРСТ? А в ПРСТ тоже рано или поздно находятся дыры. Даже если ПРСТ безгрешен, заслужили ли они именно эту цену расплаты за свою ошибку в выборе? Заслуженно ли пострадала за их грехи дочь/подруга? Долго могу спрашивать, но опять же некогда.

Смешно.

Двенадцать страниц форума инкриминируют высшей школе, что выпускаемые специалисты по "КОМПЛЕКСНОЙ информбезопасности" не являются специалистами по какой-нибудь ОДНОБОКОЙ (для большинства высказавшихся - сетевой, но были и другие мнения) информбезопасности.

Со своей колокольни всегда кажется, что весь выпуск ВУЗов (в немаленькой, заметьте, стране) должен обладать всеми теми же уникальными бзиками и перекосами в голове, каковые имеет именно Ваша фирма.

Развернутого комментария не будет за очевидностью.