Модель угроз строится изначально из условия, что у вас нет средств защиты, а далее вырабатывая систему защиты вы оцениваете достаточность имеющихся СЗИ и необходимость в дополнительных СЗИ и мерах защиты.

Конечно же нет.

Так категорично...

Вы хотите вписать имеющиеся СЗИ в состав изначальной существующей  ИС и они останутся константой навсегда?

Почему навсегда? Модель угроз пересматривается с постоянной периодичностью :)

Почитайте, пожалуйста, методику внимательно, начиная со стр. 31

Моделирование угроз проводится и на стадии создания системы, и на стадии ее эксплуатации. И на стадии эксплуатации оценка угроз проводится "в интересах оценки эффективности принятых технических мер по защите информации", причем с использованием результатов  тестирования на проникновения. Поэтому:
- на этой стадии не учесть меры защиты не получится в принципе;
- они и должны оставаться константой, если оценка угроз показывает, что угрозы реализовать не получается.

При создании системы сложнее:
- есть компоненты собcтвенно создаваемой системы;
- есть уже существующая инфраструктура, в которую эти компоненты вписываются.

Нет никакого смысла на этой стадии игнорировать меры защиты, которые в уже существующей инфраструктуре созданы и показали свою эффективность. А у вновь создаваемых компонентов никаких мер защиты нет и учитывать нечего

Если СЗИ изначально внесено как прикладное ПО, то при обновлении прикладного ПО вы должны пересмотреть и модель
Проблемно как то получается.

Это типа как пример модели угроз -
Всех собак должны выгуливать в намордниках и вам нечего бояться, что вас покупают.
Вы же учли это требование

Неправильно. Это типа как пример: "Я не пускаю в свой двор собак без намордников, и это подтверждается периодическими проверками. Поэтому на моей территории вам необязательно дополнительно защищаться от укусов."

Это написано на табличке при входе во двор?

Спор ради спора?

Вы привели аналогию - я показал, как в этой аналогии выглядела бы модель угроз

Чтобы не спорить зря - утверждение "меры защиты учитываться не должны" никак не следует из текста методики. А дальше решение каждый принимает сам в меру своей добросовестности

На стадии обследования имеющейся ИС, проводится анализ всех процессов в ИС, с учётом имеющихся СЗИ.
Частная модель угроз это прогноз максимума, что может произойти в системе, с используемым прикладным ПО, без учёта СЗИ.
А дальше создаём систему защиты, оценивая возможность использования имеющихся СЗИ и внедрения новых, которые нейтрализуют все угрозы, указанные в модели угроз.
Не кто не требует убирать имеющееся СЗИ и на их место ставить другой аналог.

Это ваше мнение, никто не запрещает вам так делать. Но не нужно выдавать это за требование регулятора.

Точно также как и не надо выдавать Ваше мнение за позицию регулятора.
Я на практике встречался с именно таким мнением регулятора, которое выше озвучил. Здесь не буду раскрывать имена

Регулятор (авторы методики), обозначил свою позицию, убрав из нее прямое указание "без учёта средств защиты". Так как я не знаю, с кем вы общались, не могу сказать, отражает ли его мнение мнение регулятора, или он вообще не имеет отношения к этому вопросу.

Насколько я понимаю Алексей Викторович Л. по аналогичным вопросам заряжает обращения в адрес ФСТЭК и многие вопросы разъясняются может быть просто сделать аналогично?)

Я так делал по спорным вопросам документов ФСБ это же не смертельно

Весь прикол методички с рекомендациями регулятора, которые вы используете и все ее косяки, это косяки разработчиков, но если вы пошли своим путём, то это возможно потребует, дополнительной экспертной оценки регулятора (как частного случая).
Зачем усложнять жизнь себе и регулятору - вы один, но таких получается много и их ресурсы тратятся на рассмотрение иных, может и правильных имеющих место в том или ином случае решениях.
Все равно в массовом потоке все должно проводиться к единой системе и последовательности.
Я не ярый фанат регуляторов, но пока что что-то определенно-конкретное  предлагают они.

Очень странный спор. "Это так, потому что я так считаю. Методика этого не требует? Авторы накосячили. Другие со мной не согласны? Они злоупотребляют косяками методики". Сожалею, ваша точка зрения - отнюдь не истина а последней инстанции.

В экспертной группе мнения по этому вопросу разделились. Поэтому в первую редакцию требование не учитывать меры защиты попало, а из второй, после общественного обсуждения и апробации, оно исчезло. И для этого у авторов были причины

Вы имеете полное право не учитывать меры защиты - методика вас не ограничивает. Но это ваш личный способ реализации методики, и не надо его выдавать за единственно правильный, тем более от имени регулятора.