Las amenazas se organizan en grupos simplemente a efectos de clasificación.
Un grupo puede contener amenazas o, a su vez, más grupos, permitiendo una clasificación a tantos niveles como sea pertinente en cada caso.
atributo | ¿requerido? | descripción |
---|---|---|
nombre | req | Descripción textual. |
cod | opc | Código de referencia. Si no se indica, se le da un código de trámite. |
vulnerabilidad | opc | Valor por defecto para todas las
amenazas
pertenecientes al grupo. Si no se indica, se usa un valor por defecto. Este atributo no tiene más objetivo que simplificar la especificación. |
degradación | opc | Valor por defecto para todas las
amenazas
pertenecientes al grupo. Si no se indica, se usa un valor por defecto. Este atributo no tiene más objetivo que simplificar la especificación. |
<amenazas cod="xxx" [opcional] v="x%" [opcional] d="x%" [opcional] > nombre del grupo <amenazas> ... </amenazas> ... <amenaza ... > ... </amenaza> ... </amenazas>
<amenazas cod="P3"> acceso lógico no autorizado, con alteración o sustracción de la información <amenaza cod="021" tipo="A"> acceso no autorizado a recursos y servicios </amenaza> <amenaza cod="008" tipo="C"> sustracción de información </amenaza> <amenaza cod="023" tipo="I"> modificación de información </amenaza> <amenaza cod="024" tipo="I"> modificación de programas </amenaza> </amenazas>