Ley 40/2015 y Esquema Nacional de Seguridad

Questions and Answers

¿Qué aspectos garantiza el Esquema Nacional de Seguridad (ENS) respecto a la información tratada?

• La inmutabilidad de los datos
• La rapidez en el acceso a la información
• Integridad y disponibilidad de los servicios (correct)
• Solo la confidencialidad de la información

¿Cuál es uno de los derechos de las personas en su relación con las Administraciones Públicas según la Ley 39/2015?

• Derecho a la protección de datos de carácter personal (correct)
• Derecho a la transparencia total de la información
• Derecho a evitar el archivo de documentos
• Derecho a requerimientos inmediatos de información

¿Qué menciona la Ley 40/2015 en relación al Esquema Nacional de Seguridad?

• La seguridad en medios de comunicación masivos
• Las relaciones de las administraciones por medios electrónicos (correct)
• El fomento de la actividad pública sin restricciones
• La limitación del acceso a archivos electrónicos

¿Qué elemento NO se menciona como parte de las garantías de seguridad en los documentos y registros?

La eliminación de datos antiguos (D)

¿Qué artículo de la Ley 40/2015 se refiere al Esquema Nacional de Seguridad?

Artículo 156 (C)

¿Qué garantiza el Registro Electrónico General de cada Administración en relación con los documentos almacenados?

La identificación de los usuarios y control de accesos. (A)

¿Cuál es la relación entre las copias auténticas y los documentos originales según la normativa?

Las copias auténticas tendrán la misma validez que los documentos originales. (B)

¿Cuál de las siguientes medidas no está incluida en las garantías de seguridad para el almacenamiento de documentos?

Facilidad de acceso sin control. (A)

¿Qué esquema deben seguir las Administraciones Públicas para garantizar la identidad y contenido de las copias electrónicas?

Esquema Nacional de Interoperabilidad. (C)

¿Qué aspectos deben garantizar los medios de almacenamiento según el Esquema Nacional de Seguridad?

Integridad, autenticidad y confidencialidad. (B)

¿Qué garantiza el Esquema Nacional de Seguridad en el ámbito subjetivo de aplicación?

La seguridad de la información tratada. (C)

¿A qué entidades se aplica el ámbito subjetivo de la Ley 40/2015?

A organismos del sector público local y autonómico. (B)

¿Cuál de los siguientes conceptos no está mencionado como objetivo del ENS?

Desarrollo de software específico. (C)

¿Qué artículo define el ámbito subjetivo de la LRJSP?

Artículo 2. (B)

¿Cuál de las siguientes afirmaciones describe mejor el ENS?

Es un conjunto de medidas que asegura la integridad y disponibilidad de la información pública. (A)

¿Cuál es el propósito principal del Esquema Nacional de Seguridad (ENS)?

Gestionar los efectos de amenazas y aprender de ellas. (D)

¿Qué se debe garantizar respecto a las claves criptográficas según el ENS?

Su protección durante todo su ciclo de vida. (D)

¿Qué se exige antes de la utilización de servicios externos según el modelo del ENS?

Certificación de conformidad ENS al prestador del servicio. (B)

¿Qué significa 'in eligiendo' dentro del contexto del ENS?

Exigir garantías de cumplimiento antes de la contratación. (A)

¿Cuál es una medida importante para garantizar la continuidad de los servicios según el ENS?

Establecer medios alternativos para garantizar el servicio. (B)

Flashcards

Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) es un conjunto de medidas que garantizan la integridad, confidencialidad, autenticidad y trazabilidad de la información tratada por las Administraciones Públicas, así como la disponibilidad de los servicios que prestan.

Derecho a la protección de datos personales

La Ley 39/2015 reconoce el derecho de las personas a la protección de datos personales en sus relaciones con las Administraciones Públicas. Esto incluye la seguridad y confidencialidad de los datos que se almacenan en los sistemas de las Administraciones Públicas.

Seguridad en las relaciones electrónicas entre Administraciones Públicas

La Ley 40/2015 incluye el Esquema Nacional de Seguridad y enfatiza la importancia de la seguridad en las relaciones electrónicas entre las Administraciones Públicas. Esto incluye la seguridad de la sede electrónica, el archivo electrónico de documentos y las transmisiones de datos.

Integridad de la información

El ENS garantiza la integridad de la información, lo que significa que la información no se altera o corrompe.

Confidencialidad de la información

El ENS protege la confidencialidad de la información, lo que significa que solo las personas autorizadas pueden acceder a la información.

Requisitos de seguridad del ENS

El ENS exige que los sistemas de información aseguren la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los datos.

Seguridad de Documentos según el ENS

El ENS establece requisitos específicos para la seguridad de los documentos almacenados, incluyendo la identificación de usuarios y el control de acceso.

Validez de las copias electrónicas según el ENS

El ENS garantiza la validez y eficacia de las copias electrónicas mediante la utilización de tecnologías de seguridad.

Importancia del ENS

El ENS es una herramienta fundamental para garantizar la seguridad y la integridad de la información en las administraciones públicas.

Ámbito de aplicación del ENS (subjetivo)

El ENS se aplica a los sistemas de información del Sector Público para asegurar la seguridad de la información, incluyendo el acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación de los datos.

Ámbito de aplicación del ENS (objetivo)

El ENS se aplica a los sistemas de información del Sector Público, independientemente de la naturaleza o formato de los datos.

Amplitud del ámbito subjetivo del ENS

La Ley de Régimen Jurídico del Sector Público (LRJSP) define el ámbito subjetivo del ENS como el sector público que incluye a la Administración General del Estado, las Administraciones de las Comunidades Autónomas, las Entidades que integran la Administración Local y el sector público institucional.

Sector público institucional

El sector público institucional comprende entidades como las universidades públicas, organismos autónomos y fundaciones públicas.

Objetivo del ENS según la LRJSP

El ENS establece principios básicos y requisitos mínimos para garantizar la seguridad de la información tratada en el Sector Público.

Aprendizaje de amenazas

El proceso de recopilar información sobre los ataques y amenazas para mejorar la seguridad del sistema.

Registro de la actividad de los usuarios

Monitorear y registrar todas las acciones de los usuarios en el sistema para detectar actividades sospechosas.

Protección de las claves criptográficas

Proteger las claves criptográficas en todo su ciclo de vida, desde su creación hasta su destrucción. Se deben utilizar métodos seguros para almacenar y administrar las contraseñas.

In Eligiendo

Es un proceso de evaluación para asegurar que los proveedores externos de servicios cumplan con los requisitos de seguridad del ENS antes de contratarlos.

In Vigilando

Monitorear continuamente la actividad de los proveedores externos para garantizar que cumplan con las obligaciones establecidas en el contrato. Se implementa después de contratar un servicio externo.

Study Notes

Esquema Nacional de Seguridad (ENS)

• El ENS es un esquema europeo para el tratamiento de la ciberseguridad, aplicado a entidades del sector público.
• Se crea con el Real Decreto 3/2010 y se basa en la Ley 40/2015 del Régimen Jurídico del Sector Público.
• Se busca crear confianza en el uso de medios electrónicos para que tanto ciudadanos como administraciones puedan ejercer derechos y cumplir sus deberes.
• El ENS crea una política de seguridad en la utilización de medios electrónicos estableciendo principios básicos y requisitos mínimos para proteger la información.
• Promueve la gestión continua de la seguridad, independiente de los impulsos puntuales.
• Promueve la prevención, detección y corrección de problemas de seguridad informáticos.
• Promueve una cooperación homogénea en la prestación de servicios de administración electrónica cuando participan diferentes entidades.
• Aporta un lenguaje común entre las administraciones públicas para facilitar la comunicación de los requisitos de seguridad de la información en la industria.

Elementos del ENS

• Los principios básicos a considerar en las decisiones en materia de seguridad.
• Los requisitos mínimos para una adecuada protección de la información.
• El mecanismo para alcanzar el cumplimiento de los principios y requisitos mínimos, utilizando medidas de seguridad proporcionadas a la naturaleza de la información a proteger.
• Las comunicaciones electrónicas.
• La auditoría de la seguridad.
• La respuesta ante incidentes de seguridad.
• La certificación de la seguridad, incluyendo componentes evaluados y certificados.
• La conformidad con el ENS.
• La formación y la concienciación en materia de seguridad.

Adecuación al ENS

• El plazo máximo para la adecuación de los sistemas de las administraciones públicas al ENS es de 48 meses desde su entrada en vigor.
• Posteriormente, se estableció un plazo de 24 meses para la adecuación a la modificación del Real Decreto 3/2010.
• El plazo finalizó el 5 de noviembre de 2017.
• Para la adecuación al ENS, es necesaria la preparación y aprobación de la política de seguridad, incluyendo la definición de roles y responsabilidades.
• El análisis de riesgos, incluyendo la valoración de las medidas de seguridad existentes.
• La elaboración de un plan de adecuación para mejorar la seguridad.
• La implantación, operación y monitorización de las medidas de seguridad.
• La auditoría de la seguridad, con verificación del cumplimiento de las medidas.
• Informes sobre el estado de la seguridad al órgano competente.

Ámbito de aplicación del ENS

• El ENS se aplica a los sistemas de información del Sector Público, para asegurar aspectos como el acceso, integridad, disponibilidad, autenticidad, confidencialidad y trazabilidad de los datos e informaciones.
• Se aplica a sistemas electrónicos gestionados por administraciones públicas.
• Además, se aplica a las entidades del sector público, comunidades autónomas, entidades locales, organismos públicos, y también a entidades de derecho privado vinculados.
• El ámbito de aplicación se refiere a entidades públicas que realizan tareas administrativas electrónicamente.
• También se aplica a quienes prestan servicios al sector público.

Roles personales en el ENS

• El Responsable de la Información definirá los requisitos de la información tratada.
• El Responsable del Servicio definirá los requisitos de los servicios prestados.
• El Responsable de Seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y los servicios.
• El Responsable del Sistema se encarga de la operación y explotación de los sistemas.
• Puede existir un Comité de Seguridad de la Información que coordine las responsabilidades.

Las instrucciones técnicas de seguridad

• El Ministerio de Asuntos Económicos y Transformación Digital, a propuesta del Centro Criptológico Nacional, aprobará las instrucciones técnicas de seguridad.
• El cumplimiento de estas instrucciones es esencial para la implantación del ENS. Estas instrucciones contemplan aspectos como el informe del estado de la seguridad, la notificación de incidentes, la auditoría, la conformidad con el ENS, la adquisición de productos de seguridad, y la criptología.

Auditorías del ENS

• El Esquema Nacional de Seguridad (ENS) prescribe un procedimiento para categorizar la seguridad de los sistemas de información.
• Las auditorías se realizan evaluando el impacto de un incidente en los sistemas de información de la organización.
• Las auditorías tienen en cuenta las siguientes dimensiones de seguridad: la satisfacción de competencias, la protección de los activos propios, el respeto a la legalidad y los derechos de la persona.
• Se determinan los niveles de seguridad: Básico, Medio, Alto.