El Esquema Nacional de Seguridad. GUI_000933_ES

Questions and Answers

¿Cuál es el propósito principal del Esquema Nacional de Seguridad (ENS), según la Ley 40/2015?

• Regular el acceso a la información clasificada.
• Establecer la política de seguridad en la utilización de medios electrónicos. (correct)
• Gestionar la seguridad física de las instalaciones gubernamentales.
• Promover la contratación de servicios de seguridad informática.

Según el ENS, ¿qué elementos comprende la seguridad de los sistemas de información?

• Solo los datos digitales almacenados y tratados.
• Redes de comunicaciones electrónicas, dispositivos interconectados y datos digitales. (correct)
• Únicamente las redes de comunicaciones electrónicas.
• Únicamente los dispositivos interconectados que realizan tratamiento automático de datos.

¿Cómo deben las administraciones públicas garantizar la seguridad según el ENS?

• Contratando únicamente servicios de seguridad certificados por el CCN.
• Adecuándose al ENS e implementando las medidas necesarias para garantizar niveles plenos de seguridad. (correct)
• Implementando medidas de seguridad solo en los sistemas que manejan información clasificada.
• Limitándose a cumplir con los requisitos mínimos establecidos en el ENS sin posibilidad de ampliarlos.

¿Qué papel juegan los informes de autoevaluación o auditoría en relación a las entidades privadas que prestan servicios a las administraciones públicas?

Las administraciones públicas pueden solicitarlos en cualquier momento para verificar la adecuación al ENS. (A)

¿Qué significa el color 'amarillo' en las tablas del Anexo II del ENS?

Indica medidas y refuerzos que comienzan a aplicarse en sistemas de categoría MEDIA o superior. (B)

En el contexto de la seguridad como proceso integral dentro del ENS, ¿qué se busca evitar?

Que la ignorancia, la falta de organización y coordinación constituyan fuentes de riesgo para la seguridad. (B)

Dentro de los requisitos mínimos del ENS, ¿a qué se refiere el concepto de 'mínimo privilegio'?

Limitar el acceso de los usuarios a los recursos estrictamente necesarios para realizar su trabajo. (D)

¿Cómo se determina la categoría de seguridad de un sistema de información según el ENS?

En función del nivel más alto alcanzado en cualquiera de las dimensiones de seguridad valoradas. (C)

¿Cuál es el documento en el que se formalizan las medidas de seguridad seleccionadas por una entidad tras realizar el análisis de riesgos según el ENS?

Declaración de Aplicabilidad. (A)

Según el ENS, ¿cuál de las siguientes dimensiones de seguridad previene la filtración de información gestionando el acceso?

Confidencialidad. (A)

Considerando la evolución del ENS a través del Real Decreto 3/2010 y sus modificaciones, ¿cuál fue el principal objetivo de establecer plazos de adecuación para las administraciones públicas?

Permitir una adaptación gradual y realista a las exigencias del ENS, teniendo en cuenta las posibles dificultades iniciales. (B)

En relación con la actualización del ENS mediante el Real Decreto 311/2022, ¿cuál fue la motivación principal para adaptar el anterior Real Decreto 3/2010?

Alinear el ENS con la nueva realidad normativa y el incremento de las ciberamenazas para garantizar una mayor seguridad de la información y los servicios públicos. (A)

Si una entidad del sector privado ofrece un servicio a una Administración Pública que implica el tratamiento de información clasificada, ¿qué normativa debe cumplir en relación con el ENS?

El ENS en su totalidad, sin perjuicio de la aplicación de la Ley 9/1968 y otra normativa especial. (C)

¿Qué implicación tiene para una entidad pública usuaria de soluciones o servicios provistos por el sector privado la exhibición de Declaraciones o Certificaciones de Conformidad con el ENS por parte de dicho proveedor?

Permite a la entidad pública solicitar en todo momento los Informes de Autoevaluación o Auditoría del proveedor para verificar la adecuación e idoneidad de sus manifestaciones. (B)

En el contexto de los principios básicos de seguridad del ENS, ¿qué significa que la seguridad debe entenderse como un 'proceso integral'?

Que la seguridad abarca todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información, excluyendo actuaciones puntuales. (C)

¿Cuál es la implicación práctica del principio de 'gestión de la seguridad basada en los riesgos' según el ENS?

Realizar un análisis y gestión de riesgos continua y actualizada para mantener un entorno controlado y minimizar los riesgos a niveles aceptables. (A)

¿Cómo se aplica el principio de 'existencia de líneas de defensa' en un sistema de información según el ENS?

Estableciendo múltiples capas de seguridad de naturaleza organizativa, física y lógica, de forma que, si una capa es comprometida, las demás puedan mitigar el impacto. (C)

En el contexto de los requisitos mínimos del ENS, ¿qué significa el concepto de 'mejora continua del proceso de seguridad'?

Adaptar las medidas de seguridad a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad si fuese necesario. (B)

¿Cómo influye la categoría de seguridad de un sistema de información (Básica, Media o Alta) en la aplicación de las medidas de seguridad recogidas en el Anexo II del ENS?

La categoría de seguridad determina el nivel de exigencia de las medidas de seguridad, siendo más rigurosas para las categorías más altas. (B)

¿Qué proceso se debe seguir para determinar la categoría de seguridad de un sistema de información según el ENS?

Valorar los niveles de seguridad de cada una de las dimensiones (CITAD) que afectan al sistema y determinar la categoría en función del nivel más alto alcanzado. (C)

En el contexto de la aplicación del ENS, ¿qué implicación tiene que una dimensión de seguridad de un sistema de información no se vea afectada?

No se adscribe a ningún nivel de seguridad. (B)

Según el ENS, si un sistema de información tiene una dimensión de seguridad clasificada como ALTA, ¿cuál es la categoría de seguridad del sistema?

Alta, ya que la presencia de una dimensión en nivel Alto prevalece. (D)

En relación con las medidas de protección indicadas en el ENS, ¿cuál es la implicación de que una medida sea de color 'rojo' en el Anexo II?

La medida solo es obligatoria para sistemas de categoría ALTA o requiere un esfuerzo de seguridad superior al de la categoría MEDIA. (A)

¿Qué significa que la seguridad de la información deba entenderse como un 'proceso integral' según el ENS?

Que la seguridad debe incluir factores humanos, materiales, técnicos, jurídicos y organizativos, evitando acciones puntuales. (D)

Dentro de los requisitos mínimos del ENS, ¿qué implica el concepto de 'mínimo privilegio' en la gestión de accesos a sistemas de información?

Limitar los derechos de acceso a los estrictamente necesarios para realizar las funciones asignadas. (B)

Según el ENS, ¿qué papel juegan los Informes de Autoevaluación o Auditoría en el contexto de entidades privadas que prestan servicios a las Administraciones Públicas y exhiben Declaraciones o Certificaciones de Conformidad con el ENS?

Permiten a las entidades públicas verificar la adecuación e idoneidad de las manifestaciones de conformidad. (B)

Si una entidad pública contrata un servicio en la nube, ¿qué implicaciones tiene el subapartado de 'Servicios en la Nube' [op. nub] del ENS en relación con la 'Protección de servicios en la nube'?

Es aplicable en la categoría Básica, con refuerzos en Media (Servicios certificados) y Alta (Servicios certificados y Guías de Configuración de Seguridad Específicas). (B)

En el proceso de selección de medidas de seguridad según el ENS, ¿cuál es el primer paso que cada entidad debe realizar?

Identificación de los tipos de activos presentes. (B)

¿Cuál es el documento en el que se formalizan las medidas de seguridad seleccionadas por una entidad tras realizar el análisis de riesgos según el ENS, y quién debe firmarlo?

La Declaración de Aplicabilidad firmada por el responsable de la seguridad. (B)

¿Cómo se relacionan los 'refuerzos de seguridad (R)' en las tablas del Anexo II del ENS con los requisitos base de una medida?

Los refuerzos señalan una mayor exigencia a los requisitos base de la medida. (D)

Flashcards are hidden until you start studying