La guida ACN sulle specifiche baseline descrive le tipologie di incidente significativo tramite un modello pratico basato su tre elementi: condizione, compromissione e oggetto della compromissione. Questo modello aiuta i soggetti a decidere quando scattano gli obblighi di notifica e a classificare gli incidenti in modo coerente.
Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base
Punti chiave
- Il modello di tipologia supporta una qualificazione ripetibile degli incidenti significativi.
- La condizione di attivazione è collegata all’acquisizione di evidenza dell’incidente.
- Tipologia di compromissione e oggetto impattato guidano l’inquadramento nel flusso di notifica.
- I dettagli per ciascun codice incidente sono definiti nella documentazione ufficiale baseline.
Fonti: Guida ACN lettura specifiche
Componenti del modello in pratica
1. Condizione
La condizione è la circostanza che determina l’obbligo di notifica. Operativamente, coincide con il momento in cui il soggetto acquisisce evidenza dell’incidente rilevante.
2. Compromissione
La compromissione descrive la natura dell’evento di sicurezza (ad esempio perdita di riservatezza, perdita di integrità o violazione del livello di servizio, secondo la tipologia applicabile).
3. Oggetto della compromissione
L’oggetto identifica cosa è impattato, ad esempio dati o componenti di servizio/rete, in base alla tipologia incidente considerata.
Fonti: Guida ACN lettura specifiche, Determinazione ACN obblighi di base
Come usare il modello nelle operation
| Passo | Domanda operativa | Output atteso |
|---|---|---|
| Check evidenza | Abbiamo evidenza oggettiva del verificarsi dell’incidente? | Record evidenza con timestamp |
| Mappatura tipologia | Quale pattern di compromissione si applica? | Classificazione tipo incidente |
| Identificazione oggetto | Quale asset/servizio/dato è impattato? | Statement oggetto impattato |
| Supporto decisione | Il caso rientra nei criteri di notifica? | Decisione di escalation/notifica |
Fonti: Guida ACN lettura specifiche
Checklist operativa per 90 giorni
- Standardizzare i record incidente con campi espliciti per condizione, compromissione e oggetto.
- Allineare triage SOC/CSIRT al modello tipologico prima delle decisioni di escalation.
- Definire criteri di qualità dell’evidenza per il checkpoint “evidenza acquisita”.
- Eseguire simulazioni per testare coerenza di assegnazione tipologia tra team.
- Mantenere un registro decisionale che colleghi tipologia valutata ed esito di notifica.
FAQ
Il modello sostituisce l’investigazione tecnica?
No. Il modello struttura classificazione e decisioni di notifica, mentre l’investigazione tecnica resta necessaria per definire perimetro e cause. Fonte: Guida ACN lettura specifiche
Da quando decorrono le tempistiche di notifica?
I riferimenti temporali sono legati al momento in cui il soggetto acquisisce evidenza di incidente significativo, come definito nella documentazione ufficiale. Fonte: Guida ACN lettura specifiche
Dove sono definiti i dettagli dei codici incidente (IS)?
I dettagli sono definiti nella documentazione ufficiale e negli allegati baseline ACN. Fonte: Determinazione ACN obblighi di base
Guide correlate in questa serie
- perdita di riservatezza (IS-1)
- perdita di integrità (IS-2)
- violazione del livello di servizio (IS-3)