b1t10 - ENS Flashcards

1
Q

Qué es la relación de medidas de seguridad que aplican las Administraciones Públicas para cumplir los requisitos mínimos de seguridad teniendo en cuenta los activos de un sistema, su categoría y las decisiones para gestionar los riesgos identificados?

A

La Declaración de Aplicabilidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Qué es la manifestación escrita de los órganos o entidades de derecho público, firmada por su responsable, mediante la que se da publicidad que los sistemas a que se refieren cumplen con las exigencias del Esquema Nacional de Seguridad?

A

Declaración de Conformidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Qué es la Notificaciones Electrónicas (DEH) (Dirección Electrónica Habilitada) ?

A

Servicio en la nube en la que el ciudadano o empresas podrá recibir comunicaciones y notificaciones electrónicas administrativas.

Para solicitarlo el alta de esto se pide certificado electronico o DNIe y tambien para firmar los documentos de “solicitud de nueva dirección electrónica”, “suscripción a procedimientos” y “rechazo o entrega de notificación”

Se emite un correo o un sms para avisar de que hay una nueva notificación en la DEH

Si el interesado en 10 días naturales no se accede, se considerará rechazada y el prestador notifica al emisor.

Hace uso de los siguientes estándares:
1. Estándares de información:
* Documentación y notificaciones en PDF
* Mensajes y comunicaciones en XML
* Fechado electrónico en UTC (Universal Coordinated Time), sincronizado con el ROA
* Correo electrónico seguro S/MIME v2 o superior.
* Portal en HTML 4.01 o superior
2. Estándares de comunicación:
* Canal seguro SSL v3 de 128 bits.
* Protocolos POST-https 1.0 o superior.
* Codificación UTF-8.

  1. Estándares de seguridad:
    • Firma Electrónica: Cifrado asimétrico RSA, algoritmos SHA-1
    • Cifrado: Claves de al menos 1024 bits, algoritmos 3DES
    • Certificados digitales X.509 v3 o superiores
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Bajo la responsabilidad de qué órgano está la DEH?

A

Bajo la responsabilidad del Ministro de Asuntos Económicos y Transformación Digital, Secretaría de Estado de Digitalización e Inteligencia Artificial, Secretaría General de Administración Digital

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qué dos formas de notificaciones por medios electrónicos hay?

A

Por comparecencia en la Sede Electrónica del organismo
Por Notificación electrónica en DEH (Dirección electrónica Habilitada)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Qué es la plataforma Notific@?

A

La plataforma Notific@ permite concentrar peticiones de emisión de comunicaciones y notificaciones hacia ciudadanos y empresas en un formato común. Actúa como intermediario y gestor de las peticiones.
Proporciona mediante diversos métodos, la información al organismo emisor sobre el estado de la notificación/comunicación emitida.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Al margen de la herramienta Pilar, qué herramientas permiten preparar y mantener personalizaciones de las herramientas de riesgos?

A
  • RMAT (Risk Management Additional Tools) Personalización de herramientas en varios aspectos:
    • EVL – Perfiles de protección Criterios de evaluación/acreditación específicos de ciertos sectores o de `puntos de vista específicos. Por ejemplo leyes nacionales de protección de datos personales.
    • TSVPerfiles de amenazas. Estableciendo la vulnerabilidad típica de los activos frente a las amenazas en diferentes entornos de operación.
    • KB - Protecciones adicionales: Detallando protecciones adicionales sobre ciertos tipos de activos. Se puede llegar a dar instrucciones al administrador del activo.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Cuáles son los PRINCIPIOS BÁSICOS del ENS para establecer las Políticas de Seguridad?

A

a) Seguridad como proceso integral.
b) Gestión de la seguridad basada en los riesgos.
c) Prevención, detección, respuesta y conservación.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Cuáles son los REQUISITOS MÍNIMOS que se deberán cumplir en el desarrollo de las Políticas de Seguridad, según el ENS?

A

a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de la actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad
ñ) Mejora continua del proceso de seguridad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Qué distintos responsables define el ENS, entre los cuales reparte las responsabilidades y funciones?

A

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
d) El responsable del sistema por sí o a través de recursos propios o contratados se encargará de desarrollar la forma concreta de implementarla seguridad en el sistema y de la supervisión de la operación diaria el mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Qué es el POC en el caso de la externalización de servicios de seguridad?

A

El POC es la persona de contacto de la empresa, que será el responsable de seguridad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Cada cuánto será necesaria en la Administración que se hagan las auditorías de seguridad?

A

Al menos cada dos años

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Qué es el Informe del estado de la Seguridad y quién lo prepara?

A

La Comisión Sectorial de Administración Electrónica

Recoge información relacionada con el estado de las principales variables de la seguridad en los sistemas de información para elaborar un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Quién articulará la respuesta a los incidentes de seguridad?
Y en para las empresas privadas?

A

CCN-CERT
Centro Criptográfico Nacional - Computer Emergency Response Team

También intervienen equipos CSIRT-Equipos de Ciberseguridad y Gestión de Incidentes españoles

Para las empresas privadas, se podrá llamar al INCIBE-CERT
Para temas militares ESPDEF-CERT

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

En qué tres niveles de seguridad categoriza el ENS a los sistemas?
Cuáles precisan de una auditoría para certificar su conformidad respecto a su nivel?

A

Categorías BÁSICA, MEDIA y ALTA

los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para la certificación de su conformidad, cada dos años
los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Cuándo se reevaluará la categoría de seguridad de los sistemas de información?

A

Anualmente, o siempre que se produzcan modificaciones significativas en los citados criterios de determinación, deberá re-evaluarse la categoría de seguridad de los sistemas de información concernidos.

17
Q

Cuáles son las 5 dimensiones de la seguridad para el ENS?

A

a) Confidencialidad [C].
b) Integridad [I].
c) Trazabilidad [T].
d) Autenticidad [A].
e) Disponibilidad [D].

18
Q

Las categorías de seguridad ALTA, MEDIA y BAJA, se entienden en función de las consecuencias de un posible incidente. Qué tipo de perjucio en cada caso?

A

BAJA -> Perjuicio limitado
1.º La reducción de forma apreciable de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose.
2.º Causar un daño menor en los activos de la organización.
3.º El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
4.º Causar un perjuicio menor a algún individuo, que pese a resultar molesto, pueda ser fácilmente reparable.
5.º Otros de naturaleza análoga.

MEDIA -> Perjuicio grave
1.º La reducción significativa de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose.
2.º Causar un daño significativo en los activos de la organización.
3.º El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
4.º Causar un perjuicio significativo a algún individuo, de difícil reparación.
5.º Otros de naturaleza análoga.

ALTA -> Perjuicio muy grave
1.º La anulación efectiva de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias.
2.º Causar un daño muy grave, e incluso irreparable, de los activos de la organización.
3.º El incumplimiento grave de alguna ley o regulación.
4.º Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
5.º Otros de naturaleza análoga.

19
Q

En qué tres grupos se dividen las medidas de seguridad?

A

a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
c) Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.

20
Q

Leer procedimiento para notificaciones en domicilio del interesado

A

Cuando la notificación se practique en el domicilio del interesado, de no hallarse presente éste en el momento de entregarse la notificación, podrá hacerse cargo de la misma cualquier persona mayor de catorce años que se encuentre en el domicilio y haga constar su identidad. Si nadie se hiciera cargo de la notificación, se hará constar esta circunstancia en el expediente, junto con el día y la hora en que se intentó la notificación, intento que se repetirá por una sola vez y en una hora distinta dentro de los tres días siguientes. En caso de que el primer intento de notificación se haya realizado antes de las quince horas, el segundo intento deberá realizarse después de las quince horas y viceversa, dejando en todo caso al menos un margen de diferencia de tres horas entre ambos intentos de notificación.

21
Q

memorizar esquema

A

https://drive.google.com/file/d/1JsxJRSO3-Xx5Mnb3Ai1ZT0PqOC2sC-ao/view?usp=share_link

22
Q

Cuáles son las guías del ENS

A
23
Q

Existe obligación de comunicar al CCN-CERT los incidentes de seguridad cuando éstos tengan un nivel
de impacto catalogado como:

A

Crítico, muy alto y alto