ENS Anexo II Flashcards

1
Q

Principios básicos

A
  • Seguridad integral
  • Gestión de riesgos
  • Prevención, reacción y recuperación
  • Líneas de defensa
  • Reevaluación periódica
  • Función diferenciada
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Requisitos mínimos

A
  • Organización e implantación del proceso de seguridad
  • Análisis y gestión de los riesgos
  • Gestión de personal
  • Profesionalidad
  • Autorización y control de los accesos
  • Protección de las instalaciones
  • Adquisición de productos
  • Seguridad por defecto
  • Integridad y actualización del sistema
  • Protección de la información almacenada y en tránsito
  • Prevención ante otros sistemas de información interconectados
  • Registro de actividad
  • Incidentes de seguridad
  • Continuidad de la actividad
  • Mejora continua del proceso de seguridad
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Dimensiones

A
  • Disponibilidad [D]
  • Autenticidad [A]
  • Integridad [I]
  • Confidencialidad [C]
  • Trazabilidad [T]
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Nivel BAJO

A

Se entenderá por perjuicio limitado:

  1. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
  2. El sufrimiento de un daño menor por los activos de la organización.
  3. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
  4. Causar un perjuicio menor a algún individuo, que aun siendo molesto pueda ser fácilmente reparable.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Nivel MEDIO

A

Se entenderá por perjuicio grave:

  1. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
  2. El sufrimiento de un daño significativo por los activos de la organización.
  3. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal** que **no** tenga carácter de **subsanable.
  4. Causar un perjuicio significativo a algún individuo, de difícil reparación.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Nivel ALTO

A

Perjuicio muy grave

  1. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
  2. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
  3. El incumplimiento grave de alguna ley o regulación.
  4. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Marco organizativo

A

Conjunto de 4 medidas relacionadas con la organización global de la seguridad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Marco operacional

A

Las 31 medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Medidas de protección

A

Las 40 medidas de protección se centrarán en proteger activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Medidas marco organizativo

A
  • Política de seguridad [org.1]
  • Normativa de seguridad [org.2]
  • Procedimientos de seguridad [org.3]
  • Proceso de autorización [org.4]
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Medidas marco operacional - planificación (op.pl)

A
  • Análisis de riesgos [op.pl.1]+++
  • Arquitectura de seguridad [op.pl.2]+++
  • Adquisición de nuevos componentes [op.pl.3]
  • Dimensionamiento / gestión de capacidades [op.pl.4] D
  • Componentes certificados [op.pl.5]
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Medidas marco operacional - acceso (op.acc)

A
  • Identificación [op.acc.1] A T
  • Requisitos de acceso [op.acc.2] I C A T
  • Segregación de funciones y tareas [op.acc.3] I C A T
  • Proceso de gestión de derechos de acceso [op.acc.4] I C A T
  • Mecanismo de autenticación [op.acc.5]+++ I C A T
  • Acceso local [op.acc.6]+++ I C A T
  • Acceso remoto [op.acc.7]+ = I C A T
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Medidas marco operacional - explotación (op.exp)

A
  • Inventario de activos [op.exp.1]
  • Configuración de seguridad [op.exp.2]
  • Gestión de la configuración [op.exp.3]
  • Mantenimiento [op.exp.4]
  • Gestión de cambios [op.exp.5]
  • Protección frente a código dañino [op.exp.6]
  • Gestión de incidentes [op.exp.7]
  • Registro de la actividad de los usuarios [op.exp.8]+++ T
  • Registro de la gestión de incidentes [op.exp.9]
  • Protección de los registros de actividad [op.exp.10] T
  • Protección de claves criptográficas [op.exp.11]+ =
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Medidas marco operacional - servicios externos (op.ext)

A
  • Contratación y acuerdos de nivel de servicio [op.ext.1]
  • Gestión diaria [op.ext.2]
  • Medios alternativos [op.ext.9] D
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Medidas marco operacional - continuidad del servicio (op.cont)

A
  • Análisis de impacto [op.cont.1] D
  • Plan de continuidad [op.cont.2] D
  • Pruebas periódicas [op.cont.3] D
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Medidas marco operacional - monitorización del sistema (op.mon)

A
  • Detección de intrusión [op.mon.1]
  • Sistema de métricas [op.mon.2]+++
17
Q

Medidas de protección - protección de las instalaciones y las infraestructuras (mp.if)

A
  • Áreas separadas y con control de acceso [mp.if.1]
  • Identificación de las personas [mp.if.2]
  • Acondicionamiento de los locales [mp.if.3]
  • Energía eléctrica [mp.if.4]+ = D
  • Protección frente a incendios [mp.if.5] D
  • Protección frente a inundaciones [mp.if.6] D
  • Registro de entrada y salida de equipamiento [mp.if.7]
  • Instalaciones alternativas [mp.if.9] D
18
Q

Medidas de protección - gestión del personal (mp.per)

A
  • Caracterización del puesto de trabajo [mp.per.1]
  • Deberes y obligaciones [mp.per.2]
  • Concienciación [mp.per.3]
  • Formación [mp.per.4]
  • Personal alternativo [mp.per.9] D
19
Q

Medidas de protección - protección de los equipos (mp.eq)

A
  • Puesto de trabajo despejado [mp.eq.1]+ =
  • Bloqueo de puesto de trabajo [mp.eq.2]+ A
  • Protección de portátiles [mp.eq.3]+
  • Medios alternativos [mp.eq.9] D
20
Q

Medidas de protección - protección de las comunicaciones (mp.com)

A
  • Perímetro seguro [mp.com.1] +
  • Protección de la confidencialidad [mp.com.2] + C
  • Protección de la autenticidad y de la integridad [mp.com.3] + ++ I A
  • Segregación de redes [mp.com.4]
  • Medios alternativos [mp.com.9] D
21
Q

Medidas de protección - protección de los soportes de información (mp.si)

A
  • Etiquetado [mp.si.1] C
  • Criptografía.[mp.si.2] + I C
  • Custodia [mp.si.3]
  • Transporte [mp.si.4]
  • Borrado y destrucción [mp.si.5] + = C
22
Q

Medidas de protección - protección de las aplicaciones informáticas (mp.sw)

A
  • Desarrollo de aplicaciones [mp.sw.1]
  • Aceptación y puesta en servicio [mp.sw.2] + ++
23
Q

Medidas de protección - protección de la información (mp.info)

A
  • Datos de carácter personal [mp.info.1]
  • Calificación de la información [mp.info.2] + = C
  • Cifrado de la información [mp.info.3] C
  • Firma electrónica [mp.info.4] + ++ I A
  • Sellos de tiempo [mp.info.5] T
  • Limpieza de documentos [mp.info.6] C
  • Copias de seguridad (backup) [mp.info.9] D
24
Q

Medidas de protección - protección de los servicios (mp.s)

A
  • Protección del correo electrónico (e-mail) [mp.s.1]
  • Protección de servicios y aplicaciones web [mp.s.2] +
  • Protección frente a la denegación de servicio [mp.s.8] + D
  • Medios alternativos [mp.s.9] D