Ну вообще там создавалась система на базе двух старых и с тобой старейшими срзи от нсд, только антивирус нормальный...
Но это уже частности

Даже если угроза неактуальна, её нужно сначала рассмотреть и признать таковой

Коллеги, подскажите ресурс где можно приобрести поддержку Extended Security Updates for Windows 7

как это стыкуется со следующими угрозами из БДУ:

УБИ. 185

Угроза несанкционированного изменения параметров настройки средств защиты информации

УБИ. 205

Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты

Тоже аргумент. Но вендору проще нанять дешёвого  низкоквалифицированного спеца, который будет шаблонно подходить к моделированию, чем дорогого спеца, умеющего глубоко вникать системы

тут больше к регулятору вопрос, если они настаивают на проведение моделирования без учета существующих СрЗИ

А что такого-то?
Это лишь значит, что эта угроза сама по себе почти всегда актуальна. И ее надо соответствующим образом учитывать при проектировании. Подсеть управления там выделить, АРМ админа выделить, требования к паролям админов построже прописать.

А когда угроза не актуальна будет? Когда например 1 пользователь в системе. Он же админ.

Все зависит от того что в итоге необходимо. Если по окончанию работ по формированию Модели угроз необходимо что либо докупить, то модель угроз пишешь с существующими средствами защиты, с условием что существующих средств нехватает. Если для того чтобы реализовать комплект документов с минимизацией финансовых вложений то модель угроз делаешь без учёта средств защиты (при условии что ИСПДн новая).  Опят таки если Модель угроз необходима для прохождения проверки РКН, то вообще без разницы, главное чтобы по окончанию всех процедур по защите ПДн все было защищено, так как РКН проверяет наличие Модели угроз, а не ее наполнения. Если идет актуализация модели угроз, например по прошествию 3 лет, то пишешь с учётом существующих средств защиты.  PS понятия не имею как в банковской сфере, не работал.

я буквоедством занимаюсь - регулятор говорит рассматривать без учета средств защиты, но тем не менее в БДУ есть угрозы, которые учитывают их наличие

речь может идти не только про наложенные СЗИ, но и про встроенные

Ты описываешь ИСПДн , ИСПДн обрабатывается в какой либо программе, для определенных целей. Например. УБИ. 185
Угроза несанкционированного изменения параметров настройки средств защиты информации. Для защиты информации в  ИС существует разграничение доступа по паролям и ролям. Ответственные администраторы прошли инструктаж, взято обязательство.

Опят таки достаточность защиты от той или другой угрозы можно определять коллегиально. В том числе пригласив сторонних специалистов. Например используя Метод Дэлфи (Дельфийский метод). Это поможет минимизировать ответственность и придаст большей значимости.

Необходимо учитывать угрозы без наличия средств защиты от этих угроз

Средства защиты отсутствуют - угроза неактуальна, все просто))

да. Поставишь средства - пересмотришь модель. И получишь "присутствуют и актуальна"

Ну да. Нельзя вскрыть тот замок, которого нет. Но есть угроза бесконтрольногл доступа.
Поставили дешевый замОк - появилась угроза вскрытия отмычками. Поставили более сложный цилиндр - угроза скручивания. И тд и тп. Поставили 3 замка четвертого класса, стала актуальной угроза среза петель. А ведь они была не актуальна, когда замков не была - кто ж будет срезать петли с двери без петель.

Ещё парочка итераций, и дойдем до: нет нарушителя нет и угроз, нет человека нет и угроз (если ии не появится). :) А если по делу, то надо, конечно же соблюдать разумность, просто по моему мнению ФСТЭК просит, чтобы не было таких ситуаций, когда делают МУ, из которой вытекает, что все неактуально и система защиты особо не нужна, ограничиваясь в лучшем случае антивирусом с мэ.

Просто на этапе отмычек включаем здравый смысл и пишем что в рабочее время в помещении постоянно  присутствует сотрудник, а в нерабочее включена сигнализация и охрана. Угроза неактуальна.

Зачем Вам охрана и сигнализация, если угроза неактуальна? Сколько ежегодная стоимость владения сигнализацией, охраной и сотрудником (ему смена нужна, т.е. несколько человек на ЗП)? Я, честно говоря, не могу однозначно назвать здравым смыслом  замену хорошего замка охранником. Если для Вашей организации это дешевле (я ХЗ, может вы ВЧ какая), то да - Вам так выгоднее, но опять же - только, если угроза актуальна нужны меры защиты, которые её нейтрализуют.
Или вы про бумажную безопасность? Мол "мне - модель угроз - бумажка, просто заказал интегратору, распечатал, отправил не читая во ФСТЭК, а потом в архив"? Модель угроз и использовать можно как первый шаг к карте рисков. Да много где.

Вообще модель - это про угрозы, про негатив, про проблемы - хакеры, дырки, разрушительные процессы. Поэтому там и не учитывают меры защиты. Техпроект - это про защиту, позитив и решение проблем.
Ну или сразу риск - там вэлкам сразу с мерами защиты, опять же надо дважды считать и первичный, и остаточный риски. Тут же никто не возмущается, какой плохой риск-менеджмент аля 31х гост и ща всех обману напишу, что охранник будет и риск можно игнорить

А вы исходный вопрос читали вообще? Это был просто пример, без всякой конкретики, про здравый смысл.