Я сейчас потихоньку описываю, как мы моделируем угрозы, и как раз собирался до этого вопроса дойти.

Мы описываем нарушителя как набор навыков: умеет вот это и вот это, не умеет вот это и вот это.   Самый высокий уровень нарушителя, который мы рассматриваем, это:
- может купить себе точно такие же железки и софт, которые использует жертва, и проводить их лабораторные исследования;
- может раздобыть исходники любого программного компонента и искать в них уязвимости;
- может использовать программные закладки;
- не может использовать аппаратные закладки.

Все 4 пункта - возможности, характерные только для спецслужб. Последнее "не может" - это не "спецслужба не будет", а честная декларация "у нас нет способов защититься от таких действий, связанные с ними риски мы понимаем и принимаем".

Есть нюансы в отношении модели нарушителя. Ее же надо применять в рамках текущего БДУ. Там определены уровни возможностей нарушителей. Уровни низкий и средний - это для большинства объектов. Высокий - это в понимании ФСТЭК спецслужбы. Если он есть, значит д.б. защита от НДВ. По текущим применимым подходам использование БДУ состоит в фильтрации перечня угроз исходя из наличия объектов атаки и предполагаемых нарушителей и всё. При том сами эти уровни определены в БДУ недостаточно хорошо, не так подробно, как, к примеру, в требованиях ФСБ по крипте. Т.е. можно попытаться описать эти уровни, но чтобы они не противоречили определениям в БДУ и в нормативке. При том также определения о возможностях ничего не говорят ни о целях, ни о мотивации нарушителя. О которых могут только предполагать эксперты на основании опыта (компетентности).

Ага, а через пару месяцев выкинуть результаты этой работы, потому что они не будут соответствовать методике моделирования угроз - так себе идея.

Этим или нужно было заниматься сразу же, или уже не пороть горячку после полутора лет бездействия

Вот на данный момент многие работы поставлены в эту зависимость ((( При том нет ничего более постоянного, чем временное.

Потому что нельзя целью этой работы делать "соответствие требованиям регулятора" :)

Ну это специалисты понимают :)

Зачем выкидывать? Можно же их учесть при разработки новой модели угроз. При нормальной проработке переделать не сложно и даже нужно (периодически).
Если ничего не делать и сидеть на месте чего-то выжидая, можно потерять месяцы и годы, вместо того, чтобы начать выстраивать систему ИБ.

Затем, что "выбрать из БДУ угрозы,  применимые к объектам атак" не имеет ничего общего с разработкой модели угроз.

1. Угроза должна приводить к заранее заданным негативным последствиям. Не приводит - не нуждается в моделировании.

2. Угроза должна быть реализуемой, т.е. должны быть описаны сценарии, позволяющие реализовать угрозу.

Т.е. вы не можете просто выписать из БДУ какое-нибудь "исчерпание ресурсов гипервизора" только потому, что у вас есть гипервизор. Придется показать, что а) оно приведет к вот такому заранее заданному негативному последствию и б) вы должны показать, как может исчерпать ресурсы гипервизора человек, сидящий за рабочим местом рядового клерка (а он может).

И "не сидеть на попе ровно" стоило полтора года назад, когда были основания считать, что такая "модель угроз" может прокатить. Сейчас, когда совершенно точно известно, что она не годится, прыгать не стоить

Да, помнятся разговоры годовой (даже двухгодовой) давности, что стоит дождаться методики ФСТЭК, живы они и по сей день (
Имхо, субъект КИИ вполне сам сможет разобраться в своих системах, какие угрозы для него наиболее вероятные и опасные, разработать модель угроз и приступить к защите )

Может. Но таких единицы

Методика ФСТЭК не для того, чтобы научить моделировать угроз. Она для того, чтобы вместо модели угроз не подсовывали совсем уж лажу :)

Кстати, со стороны внешнего аудита, всегда приятней читать авторские работы, а не шаблонные типовые модели )

Я пока ни разу не видел что бы проверяли содержание документа. Обычно или да или нет.

Потому что модель угроз в ее нынешнем виде - никому не нужный ритуальный танец. ФСТЭК пытается это изменить.

Согласен на все 100

Это касается не только модели а ЗИ и иб в целом. В гос секторе 100%

К сожалению вы правы

Не все 100% в гос секторе )) Большинство - да, но не все.

Вы скорее исключение