ENS Anexo II

Question 1

Principios básicos

Answer 1

• Seguridad integral
• Gestión de riesgos
• Prevención, reacción y recuperación
• Líneas de defensa
• Reevaluación periódica
• Función diferenciada

Question 2

Requisitos mínimos

Answer 2

• Organización e implantación del proceso de seguridad
• Análisis y gestión de los riesgos
• Gestión de personal
• Profesionalidad
• Autorización y control de los accesos
• Protección de las instalaciones
• Adquisición de productos
• Seguridad por defecto
• Integridad y actualización del sistema
• Protección de la información almacenada y en tránsito
• Prevención ante otros sistemas de información interconectados
• Registro de actividad
• Incidentes de seguridad
• Continuidad de la actividad
• Mejora continua del proceso de seguridad

Question 3

Dimensiones

Answer 3

• Disponibilidad [D]
• Autenticidad [A]
• Integridad [I]
• Confidencialidad [C]
• Trazabilidad [T]

Question 4

Nivel BAJO

Answer 4

Se entenderá por perjuicio limitado:

1. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
2. El sufrimiento de un daño menor por los activos de la organización.
3. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
4. Causar un perjuicio menor a algún individuo, que aun siendo molesto pueda ser fácilmente reparable.

Question 5

Nivel MEDIO

Answer 5

Se entenderá por perjuicio grave:

1. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
2. El sufrimiento de un daño significativo por los activos de la organización.
3. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal** que **no** tenga carácter de **subsanable.
4. Causar un perjuicio significativo a algún individuo, de difícil reparación.

Question 6

Nivel ALTO

Answer 6

Perjuicio muy grave

1. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
2. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
3. El incumplimiento grave de alguna ley o regulación.
4. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.

Question 7

Marco organizativo

Answer 7

Conjunto de 4 medidas relacionadas con la organización global de la seguridad

Question 8

Marco operacional

Answer 8

Las 31 medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.

Question 9

Medidas de protección

Answer 9

Las 40 medidas de protección se centrarán en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.

Question 10

Medidas marco organizativo

Answer 10

• Política de seguridad [org.1]
• Normativa de seguridad [org.2]
• Procedimientos de seguridad [org.3]
• Proceso de autorización [org.4]

Question 11

Medidas marco operacional - planificación (op.pl)

Answer 11

• Análisis de riesgos [op.pl.1]+++
• Arquitectura de seguridad [op.pl.2]+++
• Adquisición de nuevos componentes [op.pl.3]
• Dimensionamiento / gestión de capacidades [op.pl.4] D
• Componentes certificados [op.pl.5]

Question 12

Medidas marco operacional - acceso (op.acc)

Answer 12

• Identificación [op.acc.1] A T
• Requisitos de acceso [op.acc.2] I C A T
• Segregación de funciones y tareas [op.acc.3] I C A T
• Proceso de gestión de derechos de acceso [op.acc.4] I C A T
• Mecanismo de autenticación [op.acc.5]+++ I C A T
• Acceso local [op.acc.6]+++ I C A T
• Acceso remoto [op.acc.7]+ = I C A T

Question 13

Medidas marco operacional - explotación (op.exp)

Answer 13

• Inventario de activos [op.exp.1]
• Configuración de seguridad [op.exp.2]
• Gestión de la configuración [op.exp.3]
• Mantenimiento [op.exp.4]
• Gestión de cambios [op.exp.5]
• Protección frente a código dañino [op.exp.6]
• Gestión de incidentes [op.exp.7]
• Registro de la actividad de los usuarios [op.exp.8]+++ T
• Registro de la gestión de incidentes [op.exp.9]
• Protección de los registros de actividad [op.exp.10] T
• Protección de claves criptográficas [op.exp.11]+ =

Question 14

Medidas marco operacional - servicios externos (op.ext)

Answer 14

• Contratación y acuerdos de nivel de servicio [op.ext.1]
• Gestión diaria [op.ext.2]
• Medios alternativos [op.ext.9] D

Question 15

Medidas marco operacional - continuidad del servicio (op.cont)

Answer 15

• Análisis de impacto [op.cont.1] D
• Plan de continuidad [op.cont.2] D
• Pruebas periódicas [op.cont.3] D

Question 16

Medidas marco operacional - monitorización del sistema (op.mon)

Answer 16

• Detección de intrusión [op.mon.1]
• Sistema de métricas [op.mon.2]+++

Question 17

Medidas de protección - protección de las instalaciones y las infraestructuras (mp.if)

Answer 17

• Áreas separadas y con control de acceso [mp.if.1]
• Identificación de las personas [mp.if.2]
• Acondicionamiento de los locales [mp.if.3]
• Energía eléctrica [mp.if.4]+ = D
• Protección frente a incendios [mp.if.5] D
• Protección frente a inundaciones [mp.if.6] D
• Registro de entrada y salida de equipamiento [mp.if.7]
• Instalaciones alternativas [mp.if.9] D

Question 18

Medidas de protección - gestión del personal (mp.per)

Answer 18

• Caracterización del puesto de trabajo [mp.per.1]
• Deberes y obligaciones [mp.per.2]
• Concienciación [mp.per.3]
• Formación [mp.per.4]
• Personal alternativo [mp.per.9] D

Question 19

Medidas de protección - protección de los equipos (mp.eq)

Answer 19

• Puesto de trabajo despejado [mp.eq.1]+ =
• Bloqueo de puesto de trabajo [mp.eq.2]+ A
• Protección de portátiles [mp.eq.3]+
• Medios alternativos [mp.eq.9] D

Question 20

Medidas de protección - protección de las comunicaciones (mp.com)

Answer 20

• Perímetro seguro [mp.com.1] +
• Protección de la confidencialidad [mp.com.2] + C
• Protección de la autenticidad y de la integridad [mp.com.3] + ++ I A
• Segregación de redes [mp.com.4]
• Medios alternativos [mp.com.9] D

Question 21

Medidas de protección - protección de los soportes de información (mp.si)

Answer 21

• Etiquetado [mp.si.1] C
• Criptografía.[mp.si.2] + I C
• Custodia [mp.si.3]
• Transporte [mp.si.4]
• Borrado y destrucción [mp.si.5] + = C

Question 22

Medidas de protección - protección de las aplicaciones informáticas (mp.sw)

Answer 22

• Desarrollo de aplicaciones [mp.sw.1]
• Aceptación y puesta en servicio [mp.sw.2] + ++

Question 23

Medidas de protección - protección de la información (mp.info)

Answer 23

• Datos de carácter personal [mp.info.1]
• Calificación de la información [mp.info.2] + = C
• Cifrado de la información [mp.info.3] C
• Firma electrónica [mp.info.4] + ++ I A
• Sellos de tiempo [mp.info.5] T
• Limpieza de documentos [mp.info.6] C
• Copias de seguridad (backup) [mp.info.9] D

Question 24

Medidas de protección - protección de los servicios (mp.s)

Answer 24

• Protección del correo electrónico (e-mail) [mp.s.1]
• Protección de servicios y aplicaciones web [mp.s.2] +
• Protección frente a la denegación de servicio [mp.s.8] + D
• Medios alternativos [mp.s.9] D