ENS Flashcards
Según el Real Decreto 311/2022, señala cuál de las siguientes frases es incorrecta acerca de la seguridad:
a) Se entenderá como un proceso
específicamente tecnológico, contemplando exclusivamente elementos técnicos.
b) Se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales, jurídicos y organizativos.
c) El principio de seguridad integral presidirá la aplicación del Esquema Nacional de Seguridad.
d) Se prestara la máxima atención a la concienciación de las personas que
establecen en el proceso y a sus responsables jerárquicos.
7 .Según el Real Decreto 311/2022, señala cuál de las siguientes frases es incorrecta acerca de la seguridad:
a) Se entenderá como un proceso
específicamente tecnológico, contemplando exclusivamente elementos técnicos.
b) Se entenderá como un proceso integral constituido por elementos técnicos, humanos, materiales, jurídicos y organizativos.
c) El principio de seguridad integral presidirá la aplicación del Esquema Nacional de Seguridad.
d) Se prestara la máxima atención a la concienciación de las personas que
establecen en el proceso y a sus responsables jerárquicos.
18.Indica cuál de las siguientes NO es una “dimensión de la seguridad” a tener en cuenta para establecer la categoría del sistema, según lo especificado en el Anexo I del Esquema Nacional de Seguridad (Real Decreto 311/2022):
a) Disponibilidad (D)
b) Trazabilidad (T)
c) Autenticidad (A)
d) Conservación (C)
18.Indica cuál de las siguientes NO es una “dimensión de la seguridad” a tener en cuenta para establecer la categoría del sistema, según lo especificado en el Anexo I del Esquema Nacional de Seguridad (Real Decreto 311/2022):
a) Disponibilidad (D)
b) Trazabilidad (T)
c) Autenticidad (A)
d) Conservación (C)
17.Respecto al requisito mínimo de protección de información almacenada y en tránsito definido en el RD 311/2022 ¿Cuál de las siguientes afirmaciones NO es correcta?
a) En la organización e implantación de la seguridad se prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.
b) Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información comprendidos en el ámbito de aplicación de este real decreto, cuando ello sea exigible.
c) Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica a la que se refiere este real decreto, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.
d) Se protegerá el perímetro del sistema de información, especialmente, si se conecta a redes públicas, tal y como se definen en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.
17.Respecto al requisito mínimo de protección de información almacenada y en tránsito definido en el RD 311/2022 ¿Cuál de las siguientes afirmaciones NO es correcta?
a) En la organización e implantación de la seguridad se prestará especial atención a la información almacenada o en tránsito a través de los equipos o dispositivos portátiles o móviles, los dispositivos periféricos, los soportes de información y las comunicaciones sobre redes abiertas, que deberán analizarse especialmente para lograr una adecuada protección.
b) Se aplicarán procedimientos que garanticen la recuperación y conservación a largo plazo de los documentos electrónicos producidos por los sistemas de información comprendidos en el ámbito de aplicación de este real decreto, cuando ello sea exigible.
c) Toda información en soporte no electrónico que haya sido causa o consecuencia directa de la información electrónica a la que se refiere este real decreto, deberá estar protegida con el mismo grado de seguridad que ésta. Para ello, se aplicarán las medidas que correspondan a la naturaleza del soporte, de conformidad con las normas que resulten de aplicación.
d) Se protegerá el perímetro del sistema de información, especialmente, si se conecta a redes públicas, tal y como se definen en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, reforzándose las tareas de prevención, detección y respuesta a incidentes de seguridad.
Fecha de entrada en vigor Rd 311/2022
5 de mayo de 2022
op.ext.3 Protección de la cadena de suministro
Alta
Categoria
op.cont.2 Plan de continuidad
Alta
Disponibilidad (D)
op.cont.3 Pruebas periódicas
Alta
Disponibilidad (D
op.cont.4 Medios alternativos
Alta
Disponibilidad (D
mp. info.4 Sellos de tiempo
ALTA
Trazabilidad (T)
op.pl.5 Componentes certificados
Media
Categoría
op.acc.3 Segregación de funciones y tareas
Media
C I T A
op.exp.5 Gestión de cambios
Media
Categoria
op.ext.1 Contratación y acuerdos de nivel de servicio
Media
Categoría
op.ext.2 Gestión diaria
Media
Categoria
op.ext.4 Interconexión de sistemas
Media
Categoria
op.cont.1 Análisis de impacto
Media
D
mp.if.6 Protección frente a inundaciones
Media
D
mp.per.1 Caracterización del puesto de trabajo
Media
Categoría
mp.eq.2 Bloqueo de puesto de trabajo
Media
A
mp.com.4 Separación de flujos de información en la red
Media
Categoría
mp.si.1 Marcado de soportes
Media
C
mp.si.2 Criptografía
Media
C I
mp.sw.1 Desarrollo de aplicaciones
Media
Categoria
mp.info.2 Calificación de la información
Media
C
mp.s.4 Protección frente a denegación de servicio
Media
D
17.Según se establece en el Real Decreto 311/2022, ¿qué órgano recogerá la información que permita elaborar un perfil general del estado de la seguridad de las entidades titulares de un sistema de información?
a) El Centro Criptológico Nacional.
b) El Consejo Superior de Administración Electrónica.
c) La Comisión Sectorial de Administración Electrónica.
d) La Comisión Interministerial de Administración Electrónica.
17.Según se establece en el Real Decreto 311/2022, ¿qué órgano recogerá la información que permita elaborar un perfil general del estado de la seguridad de las entidades titulares de un sistema de información?
a) El Centro Criptológico Nacional.
b) El Consejo Superior de Administración Electrónica.
c) La Comisión Sectorial de Administración Electrónica.
d) La Comisión Interministerial de Administración Electrónica.
Señala cual de las siguientes afirmaciones es incorrecta acerca de la firma electrónica según el RD 311/2022:
a) Se empleará cualquier tipo de firma electrónica de los previstos en el vigente
ordenamiento jurídico
b) Cuando se empleen sistemas de firma electrónica avanzada basados en
certificados, estos serán cualificados.
c) En nivel alto se usará firma electrónica cualificada, incorporando certificados cualificados y complementada por un segundo factor de autenticación.
d) Aplica en todas las dimensiones de nivel bajo.
10.Señala cual de las siguientes afirmaciones es incorrecta acerca de la firma electrónica según el RD 311/2022:
a) Se empleará cualquier tipo de firma electrónica de los previstos en el vigente
ordenamiento jurídico
b) Cuando se empleen sistemas de firma electrónica avanzada basados en
certificados, estos serán cualificados.
c) En nivel alto se usará firma electrónica cualificada, incorporando certificados cualificados y complementada por un segundo factor de autenticación.
d) Aplica en todas las dimensiones de nivel bajo.
8.Según el RD 311/2022 la medida de seguridad op.pl.5 Componentes certificados:
a) Aplica en todas las dimensiones y con los mismos requisitos.
b) Aplica a partir de categoría media
c) Establece que en todas las dimensiones y categorías se utilizarán sistemas productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales.
d) Aplica a partir de categoría alta.
8.Según el RD 311/2022 la medida de seguridad op.pl.5 Componentes certificados:
a) Aplica en todas las dimensiones y con los mismos requisitos.
b) Aplica a partir de categoría media
c) Establece que en todas las dimensiones y categorías se utilizarán sistemas productos o equipos cuyas funcionalidades de seguridad y su nivel hayan sido evaluados conforme a normas europeas o internacionales.
d) Aplica a partir de categoría alta.
- De acuerdo con el RD311/2022, señala cual de las siguientes afirmaciones es incorrecta acerca de la medida de seguridad org.1 Política de Seguridad:
a) Aplica en todas las dimensiones y con los mismos requisitos.
b) Será aprobada por el órgano superior competente.
c) Aplica sólo en las categorías media y alta.
d) Pertenece al grupo de medidas del marco organizativo.
- De acuerdo con el RD311/2022, señala cual de las siguientes afirmaciones es incorrecta acerca de la medida de seguridad org.1 Política de Seguridad:
a) Aplica en todas las dimensiones y con los mismos requisitos.
b) Será aprobada por el órgano superior competente.
c) Aplica sólo en las categorías media y alta.
d) Pertenece al grupo de medidas del marco organizativo.
5.¿Según el RD 311/2022, a qué categoría de seguridad aplica la caracterización del puesto de trabajo?
a) Baja
b) Media
c) Alta
d) Ninguna
5.¿Según el RD 311/2022, a qué categoría de seguridad aplica la caracterización del puesto de trabajo?
a) Baja
b) Media
c) Alta
d) Ninguna
4.Señala cual de las siguientes no es una medida de protección:
a) Protección de las instalaciones e infraestructuras
b) Control de acceso
c) Gestión del personal
d) Protección de la información
4.Señala cual de las siguientes no es una medida de protección:
a) Protección de las instalaciones e infraestructuras
b) Control de acceso
c) Gestión del personal
d) Protección de la información
22.En relación con las categorías de los sistemas del Real Decreto 311/2022, por el que se regula el ENS en el ámbito de la Administración electrónica, es correcto:
a) Un sistema de información será de categoría MEDIA si una de sus dimensiones
de seguridad alcanza el nivel MEDIO.
b) A fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, y de poder establecer la categoría del sistema, se tendrán en cuenta cuatro dimensiones de la seguridad: Autenticidad, Confidencialidad, Integridad y
Disponibilidad.
c) Para determinar el nivel requerido de una dimensión de seguridad, si dicha dimensión no se ve afectada, no se adscribirá a ningún nivel.
d) Para determinar el nivel requerido de una dimensión de seguridad, el nivel
ALTO se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave.
22.En relación con las categorías de los sistemas del Real Decreto 311/2022, por el que se regula el ENS en el ámbito de la Administración electrónica, es correcto:
a) Un sistema de información será de categoría MEDIA si una de sus dimensiones
de seguridad alcanza el nivel MEDIO.
b) A fin de poder determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información o de los sistemas, y de poder establecer la categoría del sistema, se tendrán en cuenta cuatro dimensiones de la seguridad: Autenticidad, Confidencialidad, Integridad y
Disponibilidad.
c) Para determinar el nivel requerido de una dimensión de seguridad, si dicha dimensión no se ve afectada, no se adscribirá a ningún nivel.
d) Para determinar el nivel requerido de una dimensión de seguridad, el nivel
ALTO se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave.
19.Según el RD 311/2022, las dimensiones de seguridad se adscribirán a uno de los siguientes niveles:
a) Bajo, Medio o Alto
b) Limitado, Grave o Muy Grave
c) Básico, Medio o Alto
d) Básico, Medio, Alto o Muy Alto
19.Según el RD 311/2022, las dimensiones de seguridad se adscribirán a uno de los siguientes niveles:
a) Bajo, Medio o Alto
b) Limitado, Grave o Muy Grave
c) Básico, Medio o Alto
d) Básico, Medio, Alto o Muy Alto
18.Indica cuál de las siguientes NO es una “dimensión de la seguridad” a tener en cuenta para establecer la categoría del sistema, según lo especificado en el Anexo I del Esquema Nacional de Seguridad (Real Decreto 311/2022):
a) Disponibilidad (D)
b) Trazabilidad (T)
c) Autenticidad (A)
d) Conservación (C)
18.Indica cuál de las siguientes NO es una “dimensión de la seguridad” a tener en cuenta para establecer la categoría del sistema, según lo especificado en el Anexo I del Esquema Nacional de Seguridad (Real Decreto 311/2022):
a) Disponibilidad (D)
b) Trazabilidad (T)
c) Autenticidad (A)
d) Conservación (C)
16.¿Cual de las siguientes afirmaciones acerca de los distintos responsables definidos en el ENS es correcta?
a) El responsable de la seguridad será distinto del responsable del sistema, pudiendo existir dependencia jerárquica entre ambos.
b) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
c) El responsable de la seguridad determinará los requisitos de la información tratada y los requisitos de los servicios prestados.
d) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de determinar los requisitos de la información tratada y los requisitos de los servicios prestados.
16.¿Cual de las siguientes afirmaciones acerca de los distintos responsables definidos en el ENS es correcta?
a) El responsable de la seguridad será distinto del responsable del sistema, pudiendo existir dependencia jerárquica entre ambos.
b) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.
c) El responsable de la seguridad determinará los requisitos de la información tratada y los requisitos de los servicios prestados.
d) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de determinar los requisitos de la información tratada y los requisitos de los servicios prestados.
13.¿En qué anexo se detallan las medidas de seguridad el RD 311/2022 (ENS)?
a) 4
b) 1
c) 2
d) 5
13.¿En qué anexo se detallan las medidas de seguridad el RD 311/2022 (ENS)?
a) 4
b) 1
c) 2
d) 5
12.Según el RD 311/2022, las Instrucciones Técnicas de Seguridad:
a) Las aprueba el Ministerio de Asuntos Económicos y Transformación Digital a propuesta de del Centro Criptológico Nacional, y a iniciativa de las Administraciones Públicas.
b) Las aprueba el Ministerio de Ciencia e Innovación, a propuesta del Centro
Criptológico Nacional e iniciativa del Comité Sectorial de Administración Electrónica.
c) Las aprueba el Ministerio de Ciencia e Innovación, a propuesta de las
Administraciones Públicas y a iniciativa del Centro Criptológico Nacional.
d) Las aprueba el Ministerio de Asuntos Económicos y Transformación
Digital, a propuesta del Comité Sectorial de Administración Electrónica e iniciativa del Centro Criptológico Nacional.
12.Según el RD 311/2022, las Instrucciones Técnicas de Seguridad:
a) Las aprueba el Ministerio de Asuntos Económicos y Transformación Digital a propuesta de del Centro Criptológico Nacional, y a iniciativa de las
Administraciones Públicas.
b) Las aprueba el Ministerio de Ciencia e Innovación, a propuesta del Centro
Criptológico Nacional e iniciativa del Comité Sectorial de Administración Electrónica.
c) Las aprueba el Ministerio de Ciencia e Innovación, a propuesta de las
Administraciones Públicas y a iniciativa del Centro Criptológico Nacional.
d) Las aprueba el Ministerio de Asuntos Económicos y Transformación
Digital, a propuesta del Comité Sectorial de Administración Electrónica e iniciativa del Centro Criptológico Nacional.
9.El artículo 10 del ENS (Esquema Nacional de Seguridad) establece que el responsable de seguridad:
a La responsabilidad de la seguridad de los sistemas de información estará
diferenciada de la responsabilidad sobre los servicios.
b) En los sistemas de información se diferenciará el responsable de la explotación y el responsable del sistema.
c) En los sistemas de información se diferenciará el responsable de seguridad y el responsable de coordinación.
d) La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación.
9.El artículo 10 del ENS (Esquema Nacional de Seguridad) establece que el responsable de seguridad:
a La responsabilidad de la seguridad de los sistemas de información estará
diferenciada de la responsabilidad sobre los servicios.
b) En los sistemas de información se diferenciará el responsable de la explotación y el responsable del sistema.
c) En los sistemas de información se diferenciará el responsable de seguridad y el responsable de coordinación.
d) La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación.
¿Cuál de las siguientes se corresponde con la definición de “evento de seguridad”?
a) Ocurrencia identificada que indica un posible incumplimiento de la política de seguridad de la información, una falla de los controles o una situación desconocida que puede ser relevante para la seguridad.
b) Suceso inesperado o deseado con consecuencias en no detrimento de la seguridad de las redes y sistemas de información.
c) Incidente relacionado con la seguridad de las tecnologías de la información y las comunicaciones que se produce en el ciberespacio.
d) Incidente de seguridad en el que, debido a una violación de las medidas técnicas u organizativas de seguridad, una información o un servicio quedan expuestos, o potencialmente expuestos, a un acceso no autorizado.
¿Cuál de las siguientes se corresponde con la definición de “evento de seguridad”?
a) Ocurrencia identificada que indica un posible incumplimiento de la política de seguridad de la información, una falla de los controles o una situación desconocida que puede ser relevante para la seguridad.
b) Suceso inesperado o deseado con consecuencias en no detrimento de la seguridad de las redes y sistemas de información.
c) Incidente relacionado con la seguridad de las tecnologías de la información y las comunicaciones que se produce en el ciberespacio.
d) Incidente de seguridad en el que, debido a una violación de las medidas técnicas u organizativas de seguridad, una información o un servicio quedan expuestos, o potencialmente expuestos, a un acceso no autorizado.
Según el Real Decreto 311/2022, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica, la medida op.pl.1 “análisis y gestión de riesgos” es una parte esencial del proceso de seguridad, debiendo mantenerse permanentemente actualizado. Para ello, el propio ENS establece que se debe realizar un análisis de riesgos formal para los sistemas de:
a) Categoría básica
b) Categoría media
c) Categoría alta
d) Categoría media y alta
Según el Real Decreto 311/2022, de 8 de enero, por el que se regula el ENS en el ámbito de la Administración Electrónica, la medida op.pl.1 “análisis y gestión de riesgos” es una parte esencial del proceso de seguridad, debiendo mantenerse permanentemente actualizado. Para ello, el propio ENS establece que se debe realizar un análisis de riesgos formal para los sistemas de:
a) Categoría básica
b) Categoría media
c) Categoría alta
d) Categoría media y alta
DIF
