atributo | ¿requerido? | descripción |
---|---|---|
V | opc | Vulnerabilidad.
Grado de exposicón del activo frente a la amenaza. Se mide por medio de la probabilidad de que ocurra. Si no se indica y se indicó un valor V en la amenaza, se utiliza aquel valor. Si no se indica, se usa un valor por defecto. |
D | opc | Degradación.
Estimación del grado de afección del activo. Si no se indica y se indicó un valor V en la amenaza, se utiliza aquel valor. Si no se indica, se usa un valor por defecto. |
I | eval | Impacto. Estimación económica de la degradación del activo y los que de él dependen. |
RI | eval | Riesgo intrínseco. Estimación calculada para reflejar lo que perderíamos si se materializaran todas amenazas potenciales sobre este activo, en el supuesto de que no hubiéramos dispuesto ninguna salvaguarda. |
RE | eval | Riesgo efectivo. Estimación calculada para reflejar lo que perderíamos si se materializaran todas amenazas potenciales sobre este activo en el supuesto de que funcionen las salvaguardas previstas con el grado de implantación previsto. |
Rm | eval | Riesgo mínimo. Estimación calculada para reflejar lo que perderíamos si se materializaran todas amenazas potenciales sobre este activo en el supuesto de que funcionen todas las salvaguardas previstas al 100%. |
<activo-amenaza> <aa act="xxx" amz="xxx" v="nnn" [opcional] d="nnn" [opcional] /> ... </activo-amenaza>
El atributo "act" puede incluir
El atributo "amz" puede incluir
<activo-amenaza> <aa act="0010" amz="001" v="FN" d="67%"/> <aa act="0010" amz="003" v="MF" d="67%"/> <aa act="0010" amz="005" v="PF" d="67%"/> <aa act="0010" amz="009" v="PF" d="33%"/> </activo-amenaza>
I= activo.DA * amenaza.D;
RI= I * V;
RE= I*(1-amenaza.DIE) * V*(1-amenaza.DVE);
Rm= I*(1-amenaza.DIm) * V*(1-amenaza.DVm);