Las amenazas se organizan en grupos simplemente a efectos de clasificación.
Un grupo puede contener amenazas o, a su vez, más grupos, permitiendo una clasificación a tantos niveles como sea pertinente en cada caso.
| atributo | ¿requerido? | descripción |
|---|---|---|
| nombre | req | Descripción textual. |
| cod | opc | Código de referencia. Si no se indica, se le da un código de trámite. |
| vulnerabilidad | opc | Valor por defecto para todas las
amenazas
pertenecientes al grupo. Si no se indica, se usa un valor por defecto. Este atributo no tiene más objetivo que simplificar la especificación. |
| degradación | opc | Valor por defecto para todas las
amenazas
pertenecientes al grupo. Si no se indica, se usa un valor por defecto. Este atributo no tiene más objetivo que simplificar la especificación. |
<amenazas
cod="xxx" [opcional]
v="x%" [opcional]
d="x%" [opcional]
>
nombre del grupo
<amenazas> ... </amenazas>
...
<amenaza ... > ... </amenaza>
...
</amenazas>
<amenazas cod="P3">
acceso lógico no autorizado,
con alteración o sustracción de la información
<amenaza cod="021" tipo="A">
acceso no autorizado a recursos y servicios
</amenaza>
<amenaza cod="008" tipo="C">
sustracción de información
</amenaza>
<amenaza cod="023" tipo="I">
modificación de información
</amenaza>
<amenaza cod="024" tipo="I">
modificación de programas
</amenaza>
</amenazas>