А если сторонний разработчик, внедряет в вашу систему ПО,  ручками на месте, уже в вашей локальной сети?
Этот вариант вы не рассматривали?
Эти разработчики имеются в виду.

И про СКДПУ вы слышали что то?

ненадо таких слов, глаз дергаться начинает)

У внешнего и внутреннего нарушителя возможности разные.
Одним ещё надо преодолеть МЭ, а другие уже внутри находятся.

МЭ вообще может не быть

Все типа через Интернет напрямую сообщаются?
И доступ в систему гостевой для всех открыт...

вас это удивляет? речь идет о моделировании угроз - система защиты информации только создается

Если хотите контролировать удаленное подключение разработчиков, то дёргаться не будет, а будете применять.

Типовая СЗИ уже давно создана, но время не стоит на месте и в нее включаются новые технологии - типа облака, вертуализация...
Вся СЗИ фактически сводится к изначальному материальному принципу сохранности ценностей - сейф и ключ от его дверей.
Только сейфы и ключи теперь электронные.

это причем здесь?

Вы же писали что СЗИ только создаётся.

Локальный ПК и ЛВС, не подключенная к интернету (ЛВС не выходит за пределы КЗ)  - нарушитель только внутренний.
Есть подключение к Инету  или ЛВС выходит за пределы КЗ - есть и внешний нарушитель.

Нет.
Моделирование угроз проводится и в в ходе создания системы, и в ходе ее эксплуатации. Во втором случае моделирование угроз идёт по выявленным уязвимости и недостаткам.

В целом не вижу смысла делить нарушителей на внутренних и внешних. Определяйте для сценариев начальные точки, с которых стартуют нарушители, и смотрите, есть ли возможность пройтись по инфраструктуре

Дмитрий. Я про другое писал. Что вполне возможны ситуации, когда никаких МЭ в организации нет вообще. И првиел один лишь пример такого варианта

Если инфраструктура масштабная, вам все равно придется выделить какую-то ограниченную область, в которой вы моделирует угрозы и сказать: "А вне этой области нарушитель может получить контроль над любым узлом". И вам будет параллельно, внешний это нарушитель или внутренний.

Ну извини, в твоей фразе читается другое

На самом деле даже вновь создаваемая система проектируется не в вакууме, она вписывается в уже существующую инфраструктуру. Поэтому даже на этой стадии нет смысла игнорировать эту инфраструктуру и ее меры защиты

Как правильно заметил Валерий, это примеры. Видимо, авторы примера держали в голове внутреннюю разработку. А так в методике нет никаких оснований считать какой-то из видов нарушителей обязательно внешним, или обязательно внутренним.

У регулятора обратная позиция при устном общении: не учитывать средства защиты в модели угроз при создаваемой ИС

При определении сценариев? У этого регулятора есть имя или должность?

В первой редакции было прямо прописано, что при создании системы средства защиты учитываться не должны. Причем я сам же и топил за то, что так и нужно. На в процессе апробации стало понятно, чnо это бред, и из методики жесткое упоминание об этом убрано.

Поэтому когда вы говорите "регулятор", мне становится дико интересно, кого конкретно вы имеете в виду