Allegato A
(articolo 2)
Tassonomia degli incidenti
=====================================================================
|Identificativo| | |
|(incidente con| Categoria | Descrizione |
| impatto-ICP) | | |
+==============+=============+======================================+
| | |Infezione (Initial exploitation). Il |
| | |soggetto ha evidenza dell'effettiva |
| | Infezione |esecuzione non autorizzata di codice o|
| ICP-A-1 | (Initial |malware veicolato attraverso vettori |
| |exploitation)|di infezione o sfruttando |
| | |vulnerabilita' di risorse esposte in |
| | |rete. |
+--------------+-------------+--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| ICP-A-2 | |previsto nelle misure di sicurezza di |
| | |cui all'allegato B, in termini di |
| | |risorse di calcolo, memoria e/o banda |
| | |passante. |
+--------------+ +--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| ICP-A-3 | |previsto nelle misure di sicurezza di |
| | |cui all'allegato B, di hot-replica e/o|
| | |cold-replica e/o sito(i) di disaster |
| | |recovery, se previsti. |
+--------------+ +--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| | |previsto nelle misure di sicurezza di |
| ICP-A-4 | |cui all'allegato B, in termini di |
| | |indisponibilita', di perdita |
| | |irreversibile o di corruzione |
| | |irreversibile dei dati provenienti |
| | Guasto |dalle componenti di campo (attuatori e|
| | (Fault) |sensori). |
+--------------+ +--------------------------------------+
| | |Dati hot-replica e/o cold-replica e/o |
| ICP-A-5 | |sito(i) di disaster recovery e/o |
| | |backup, se previsti, persi o corrotti |
| | |in modo irreversibile. |
+--------------+ +--------------------------------------+
| ICP-A-6 | |Perdita di confidenzialita' o |
| | |integrita'. |
+--------------+ +--------------------------------------+
| ICP-A-7 | |Perdita e/o corruzione dati |
| | |irreversibile. |
+--------------+ +--------------------------------------+
| ICP-A-8 | |Perdita e/o compromissione di chiavi |
| | |di cifratura e/o certificati. |
+--------------+ +--------------------------------------+
| ICP-A-9 | |Perdita e/o compromissione di |
| | |credenziali utenti. |
+--------------+ +--------------------------------------+
| | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| ICP-A-10 | |previsto dalle misure di sicurezza di |
| | |cui all'allegato B, in termini di |
| | |impossibilita' di accesso fisico alle |
| | |componenti. |
+--------------+-------------+--------------------------------------+
| | |Ottenimento di privilegi di livello |
| | |superiore (Privilege Escalation). Il |
| ICP-A-11 |Installazione|soggetto ha evidenza dell'impiego non |
| | |autorizzato di tecniche, condotte |
| | |dall'interno della rete, utili ad |
| | |ottenere |
+--------------+-------------+--------------------------------------+
| | (Establish |permessi di livello superiore. |
| |persistence) | |
+--------------+ +--------------------------------------+
| | |Persistenza (Persistence). Il soggetto|
| | |ha evidenza dell'impiego non |
| ICP-A-12 | |autorizzato di tecniche, condotte |
| | |dall'interno della rete, utili ad |
| | |ottenere persistenza di codice |
| | |malevolo o d'accesso. |
+--------------+ +--------------------------------------+
| | |Evasione delle difese (Defence |
| | |Evasion). Il soggetto ha evidenza |
| ICP-A-13 | |dell'impiego non autorizzato di |
| | |tecniche attraverso cui sono stati |
| | |effettivamente elusi i sistemi di |
| | |sicurezza. |
+--------------+ +--------------------------------------+
| | |Comando e Controllo (Command and |
| ICP-A-14 | |Control). Il soggetto ha evidenza di |
| | |comunicazioni non autorizzate verso |
| | |l'esterno della rete. |
+--------------+-------------+--------------------------------------+
| | |Esplorazione (Discovery). Il soggetto |
| | |ha evidenza dell'impiego non |
| ICP-A-15 | |autorizzato di tecniche, condotte |
| | |dall'interno della rete, utili a |
| | |effettuare attivita' di ricognizione. |
+--------------+ +--------------------------------------+
| | |Raccolta di credenziali (Credential |
| | |Access). Il soggetto ha evidenza |
| | Movimenti |dell'impiego non autorizzato di |
| ICP-A-16 | laterali |tecniche utili ad acquisire, |
| | (Lateral |dall'interno della rete, credenziali |
| | Movement) |valide per l'autenticazione alle |
| | |risorse di rete o ne rinviene copie |
| | |non autorizzate. |
+--------------+ +--------------------------------------+
| | |Movimenti laterali (Lateral Movement).|
| | |Il soggetto ha evidenza dell'impiego |
| ICP-A-17 | |non autorizzato di tecniche utili ad |
| | |accedere o eseguire codice tra risorse|
| | |interne della rete. |
+--------------+-------------+--------------------------------------+
| | |Raccolta (Collection). Il soggetto ha |
| | |evidenza dell'impiego non autorizzato |
| ICP-A-18 | |di tecniche utili ad raccogliere, |
| | |dall'interno della rete, dati di |
| |Azioni sugli |interesse di terze parti o ne rinviene|
| | obiettivi |copie non autorizzate. |
+--------------+ (Action on +--------------------------------------+
| | objs) |Esfiltrazione (Exfiltration). Il |
| | |soggetto ha evidenza dell'impiego non |
| ICP-A-19 | |autorizzato di tecniche utili ad |
| | |esfiltrare dati dall'interno della |
| | |rete verso risorse esterne. |
+--------------+-------------+--------------------------------------+
TABELLA 2
====================================================================+
|Identificativo| Categoria | Descrizione |
+==============+=============+======================================+
| ICP-B-1 | |Inibizione delle funzioni di risposta |
| | |(Inhibit Response Function). Il |
| | |soggetto ha evidenza dell'impiego non |
| | |autorizzato di tecniche utili a |
| | |inibire l'intervento delle funzioni di|
| | |sicurezza, di protezione e di "quality|
| | |assurance" dei sistemi di controllo |
| | |industriale predisposte per rispondere|
| | |a un disservizio o a uno stato |
| | |anomalo. |
+--------------+ +--------------------------------------+
| | |Compromissione dei processi di |
| |Azioni sugli |controllo (Impair Process Control). Il|
| | obiettivi |soggetto ha evidenza dell'impiego non |
| ICP-B-2 | (Actions on |autorizzato di tecniche utili a |
| | objectives) |manipolare, disabilitare o danneggiare|
| | |i processi di controllo fisico di |
| | |sistemi di controllo industriale. |
+--------------+ +--------------------------------------+
| ICP-B-3 | |Disservizio intenzionale (Impact). Il |
| | |soggetto ha evidenza dell'impiego non |
| | |autorizzato di tecniche utili a |
| | |manipolare, degradare, interrompere o |
| | |distruggere i sistemi, i servizi o i |
| | |dati. In tale ambito rientrano ad |
| | |esempio gli eventi di tipo Denial of |
| | |Service/Distributed Denial of Service |
| | |che hanno impatto sui beni ICT. |
+--------------+-------------+--------------------------------------+
| ICP-B-4 | |Violazione del livello di servizio |
| | |atteso, definito dal soggetto incluso |
| | |nel perimetro ai sensi di quanto |
| | |previsto nelle misure di sicurezza di |
| | |cui all'allegato B, specie in termini |
| | Disservizio |di disponibilita', del bene ICT. |
+--------------+ (Failure) +--------------------------------------+
| ICP-B-5 | |Divulgazione di dati corrotti o |
| | |esecuzione operazioni corrotte tramite|
| | |il bene ICT. |
+--------------+ +--------------------------------------+
| ICP-B-6 | |Divulgazione non autorizzata di dati |
| | |digitali relativi ai beni ICT. |
+--------------+-------------+--------------------------------------+