b1t10 - ENS Flashcards
Qué es la relación de medidas de seguridad que aplican las Administraciones Públicas para cumplir los requisitos mínimos de seguridad teniendo en cuenta los activos de un sistema, su categoría y las decisiones para gestionar los riesgos identificados?
La Declaración de Aplicabilidad
Qué es la manifestación escrita de los órganos o entidades de derecho público, firmada por su responsable, mediante la que se da publicidad que los sistemas a que se refieren cumplen con las exigencias del Esquema Nacional de Seguridad?
Declaración de Conformidad
Qué es la Notificaciones Electrónicas (DEH) (Dirección Electrónica Habilitada) ?
Servicio en la nube en la que el ciudadano o empresas podrá recibir comunicaciones y notificaciones electrónicas administrativas.
Para solicitarlo el alta de esto se pide certificado electronico o DNIe y tambien para firmar los documentos de “solicitud de nueva dirección electrónica”, “suscripción a procedimientos” y “rechazo o entrega de notificación”
Se emite un correo o un sms para avisar de que hay una nueva notificación en la DEH
Si el interesado en 10 días naturales no se accede, se considerará rechazada y el prestador notifica al emisor.
Hace uso de los siguientes estándares:
1. Estándares de información:
* Documentación y notificaciones en PDF
* Mensajes y comunicaciones en XML
* Fechado electrónico en UTC (Universal Coordinated Time), sincronizado con el ROA
* Correo electrónico seguro S/MIME v2 o superior.
* Portal en HTML 4.01 o superior
2. Estándares de comunicación:
* Canal seguro SSL v3 de 128 bits.
* Protocolos POST-https 1.0 o superior.
* Codificación UTF-8.
- Estándares de seguridad:
- Firma Electrónica: Cifrado asimétrico RSA, algoritmos SHA-1
- Cifrado: Claves de al menos 1024 bits, algoritmos 3DES
- Certificados digitales X.509 v3 o superiores
Bajo la responsabilidad de qué órgano está la DEH?
Bajo la responsabilidad del Ministro de Asuntos Económicos y Transformación Digital, Secretaría de Estado de Digitalización e Inteligencia Artificial, Secretaría General de Administración Digital
Qué dos formas de notificaciones por medios electrónicos hay?
Por comparecencia en la Sede Electrónica del organismo
Por Notificación electrónica en DEH (Dirección electrónica Habilitada)
Qué es la plataforma Notific@?
La plataforma Notific@ permite concentrar peticiones de emisión de comunicaciones y notificaciones hacia ciudadanos y empresas en un formato común. Actúa como intermediario y gestor de las peticiones.
Proporciona mediante diversos métodos, la información al organismo emisor sobre el estado de la notificación/comunicación emitida.
Al margen de la herramienta Pilar, qué herramientas permiten preparar y mantener personalizaciones de las herramientas de riesgos?
-
RMAT (Risk Management Additional Tools) Personalización de herramientas en varios aspectos:
- EVL – Perfiles de protección Criterios de evaluación/acreditación específicos de ciertos sectores o de `puntos de vista específicos. Por ejemplo leyes nacionales de protección de datos personales.
- TSV – Perfiles de amenazas. Estableciendo la vulnerabilidad típica de los activos frente a las amenazas en diferentes entornos de operación.
- KB - Protecciones adicionales: Detallando protecciones adicionales sobre ciertos tipos de activos. Se puede llegar a dar instrucciones al administrador del activo.
Cuáles son los PRINCIPIOS BÁSICOS del ENS para establecer las Políticas de Seguridad?
a) Seguridad como proceso integral.
b) Gestión de la seguridad basada en los riesgos.
c) Prevención, detección, respuesta y conservación.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades.
Cuáles son los REQUISITOS MÍNIMOS que se deberán cumplir en el desarrollo de las Políticas de Seguridad, según el ENS?
a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de la actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad
ñ) Mejora continua del proceso de seguridad
Qué distintos responsables define el ENS, entre los cuales reparte las responsabilidades y funciones?
a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
d) El responsable del sistema por sí o a través de recursos propios o contratados se encargará de desarrollar la forma concreta de implementarla seguridad en el sistema y de la supervisión de la operación diaria el mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
Qué es el POC en el caso de la externalización de servicios de seguridad?
El POC es la persona de contacto de la empresa, que será el responsable de seguridad
Cada cuánto será necesaria en la Administración que se hagan las auditorías de seguridad?
Al menos cada dos años
Qué es el Informe del estado de la Seguridad y quién lo prepara?
La Comisión Sectorial de Administración Electrónica
Recoge información relacionada con el estado de las principales variables de la seguridad en los sistemas de información para elaborar un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información
Quién articulará la respuesta a los incidentes de seguridad?
Y en para las empresas privadas?
CCN-CERT
Centro Criptográfico Nacional - Computer Emergency Response Team
También intervienen equipos CSIRT-Equipos de Ciberseguridad y Gestión de Incidentes españoles
Para las empresas privadas, se podrá llamar al INCIBE-CERT
Para temas militares ESPDEF-CERT
En qué tres niveles de seguridad categoriza el ENS a los sistemas?
Cuáles precisan de una auditoría para certificar su conformidad respecto a su nivel?
Categorías BÁSICA, MEDIA y ALTA
los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para la certificación de su conformidad, cada dos años
los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad