Normativa y Gestión de Seguridad de la Información

Questions and Answers

Según el texto, ¿cuál es el propósito principal de este marco?

• Definir las responsabilidades del personal en la gestión de la seguridad de la información.
• Establecer lineamientos para la protección de los Sistemas de Información de la Organización. (correct)
• Regular el uso de las redes de comunicación dentro de la Organización.
• Implementar un sistema de control de acceso a la información confidencial.

De acuerdo con el texto, ¿quiénes tienen acceso a este marco?

• Solo los miembros del equipo de gestión de seguridad de la información.
• Todos los miembros de la Organización que lo necesiten. (correct)
• Solamente el personal de la Subdirección de Seguridad en la Información.
• Únicamente los proveedores externos que trabajan con la Organización.

¿Qué tipo de legislación se utiliza como base para este marco?

• Legislación sobre protección de datos personales.
• Legislación vigente en general. (correct)
• Legislación específica para la gestión de la seguridad de la información.
• Legislación sobre propiedad intelectual.

Según el texto, ¿con qué frecuencia se revisa este marco?

Periódicamente, para garantizar su actualización. (A)

De acuerdo con el texto, ¿quién es responsable de la actualización del marco?

No se especifica en el texto. (D)

¿Cuál de las siguientes características de la información NO está incluida dentro del objetivo de garantizar la seguridad de la información de la Organización?

Legibilidad (C)

De acuerdo con el texto, ¿qué relación existe entre la estructura organizativa del 'Modelo de Gobierno' y la seguridad de la información?

La estructura organizativa del 'Modelo de Gobierno' permite una gestión y operación adecuadas de la seguridad de la información en las diferentes Áreas de Negocio. (A)

De las siguientes afirmaciones, ¿cuál describe correctamente la relación entre la seguridad de la información y los sistemas de gestión y operacionales?

Los sistemas de gestión y operacionales se consideran activos estratégicos, al igual que la información, y su seguridad es crucial. (D)

¿Qué implica el compromiso de la Organización con la 'Trazabilidad' de la información?

Mantener un registro de las modificaciones y usos de la información. (D)

Según el texto, ¿cuál es el objetivo principal de la Organización al considerar la información como un activo estratégico?

Garantizar la seguridad de la información y los sistemas que la respaldan. (A)

De acuerdo con el texto, ¿por qué es importante la 'Confidencialidad' de la información?

Para evitar la divulgación de información sensible a terceros no autorizados. (B)

¿Cuál de las siguientes opciones NO es una responsabilidad de la Organización en relación a la seguridad de la información?

Desarrollar estrategias para la protección de la propiedad intelectual de terceros. (C)

Según el texto, ¿cuál es la relación entre los 'sistemas de gestión y operacionales' y los objetivos de seguridad de la información?

Los sistemas de gestión y operacionales deben diseñarse con el objetivo de garantizar la seguridad de la información. (D)

Según el Real Decreto 641/2011, ¿qué tipo de cambios se introducen en el Reglamento sobre seguridad en la circulación de la Red Ferroviaria de Interés General aprobado por Real Decreto 810/2007?

Modifica y actualiza aspectos específicos del reglamento 810/2007, sin derogarlo por completo. (D)

El Reglamento (UE) 910/2014, conocido como eIDAS, ¿a qué ámbito de la seguridad de la información se aplica?

A la identificación electrónica y los servicios de confianza para las transacciones electrónicas dentro del mercado interior. (A)

¿Qué tipo de documento legal regula la protección de las Infraestructuras Críticas en España?

Real Decreto 704/2011. (D)

La Resolución de 8 de septiembre de 2015, ¿qué tipo de documento legal representa?

Una resolución que desarrolla y define aspectos particulares de los planes de seguridad para el sector. (A)

¿Cuál es la relación entre el Real Decreto 641/2011 y el Reglamento (UE) 910/2014? (eIDAS)

El Reglamento eIDAS ofrece un marco general de identificación electrónica y confianza digital que puede aplicarse al ámbito del transporte ferroviario dentro del Real Decreto 641/2011. (A)

Según la información, ¿qué tipo de plan de seguridad es obligatorio para el Operador del sector ferroviario?

Plan de Seguridad del Operador. (B)

¿De qué se encarga la Ley de Protección de Infraestructuras Críticas (LPIC)?

Regular la gestión de las infraestructuras críticas en España, incluyendo medidas de seguridad y respuesta ante amenazas. (D)

De los documentos mencionados, ¿cuál se centra en la seguridad de las infraestructuras críticas en general, sin centrarse en un sector específico?

Real Decreto 704/2011. (C)

Según el contenido, ¿qué es la Comisión de Seguridad Integral?

Un órgano de gobernanza que coordina las estrategias de seguridad entre las distintas áreas. (A)

El objetivo principal del Modelo de Gobierno y Gestión de la Seguridad de la Información es:

Integrar las capas de gobierno, gestión y operación de la seguridad, asegurando la correcta ejecución de las funciones y responsabilidades. (A)

La separación de funciones y responsabilidades en la gestión de seguridad de la información busca principalmente:

Reducir la posibilidad de modificaciones no autorizadas o usos indebidos de los activos de la organización. (D)

De acuerdo con el contenido, ¿qué áreas, además de la Dirección General de Seguridad, Procesos y Sistemas Corporativos, deben estar representadas en la Comisión de Seguridad Integral?

Direcciones de Sistemas de Información, Operaciones y Seguridad. (B)

El contenido enfatiza la importancia de la identificación e implementación de las funciones y responsabilidades en la gestión de la seguridad de la información. Esto implica que:

La comunicación y coordinación entre las áreas con responsabilidad en seguridad es fundamental. (C)

La segregación de funciones en la gestión de seguridad de la información es un mecanismo para:

Evitar riesgos de seguridad al concentrar el control en una sola persona. (D)

El contenido menciona que la Comisión de Seguridad Integral es un órgano de gobierno e interrelación. Esto implica que:

La Comisión de Seguridad Integral debe tener comunicación con las diferentes áreas afectadas. (A)

La frase "garantizando la identificación e implementación de las funciones y responsabilidades clave" se refiere a:

La asignación de roles y tareas específicas a cada miembro del equipo de seguridad. (C)

¿Cuál es el objetivo principal de la Subdirección de Seguridad de la Información (SSI) de la Organización?

Garantizar la seguridad, integridad y privacidad de los sistemas de información de la Organización. (A)

De acuerdo con el texto, ¿qué factores han contribuido al aumento de la complejidad y la importancia de los sistemas de información?

La evolución y desarrollo de los sistemas de información. (B)

¿Cuál es el propósito de la sección "Control de Modificaciones" en este documento?

Documentar las actualizaciones y cambios realizados al documento (A)

¿Cuál de las siguientes afirmaciones es CORRECTA en relación al documento?

La autenticidad del documento se puede verificar a través de un código seguro de verificación único (A)

El número "2" que aparece en la página 2 de 18 del documento se refiere a:

La revisión del documento (A)

De acuerdo con el texto, ¿a qué categoría pertenece la "Política de Seguridad de la Información de ADIF y ADIF AV"?

Normativa interna (B)

El término "USO INTERNO" que aparece en el documento, indica que:

El contenido del documento es confidencial y sólo para uso interno (D)

De acuerdo con el documento, ¿cuál es el propósito de la sección "FIRMAS"?

Asegurar la accountability de las personas que han participado en la revisión y creación del documento (B)

El contenido del documento sugiere que:

Se trata de un documento técnico, escrito por expertos en seguridad de la información (C)

A partir del contenido del documento, ¿qué se puede inferir sobre la estructura organizativa de ADIF?

Existe una estrecha colaboración entre la Dirección General de Seguridad y la Subdirección de Seguridad en la Información (B)

Flashcards

Real Decreto 641/2011

Modifica el Reglamento sobre seguridad en la circulación ferroviaria.

Reglamento UE 910/2014

Reglamento sobre identificación electrónica y servicios de confianza.

Directiva 1999/93/CE

Derogada por el Reglamento UE 910/2014 sobre servicios electrónicos.

Ley de Protección de Infraestructuras Críticas (LPIC)

Normativa para asegurar la protección de infraestructuras clave.

Resolución de 8 de septiembre de 2015

Aprueba nuevos contenidos mínimos para Planes de Seguridad del Operador.

Planes de Seguridad del Operador

Documentos que establecen medidas de seguridad para infraestructuras críticas.

Real Decreto 704/2011

Reglamento que regula la protección de infraestructuras críticas.

Seguridad en la circulación ferroviaria

Normativas que garantizan la seguridad en la Red Ferroviaria de Interés General.

Política de Seguridad de la Información

Normativa que regula la seguridad de la información en ADIF y ADIF AV.

Código seguro de verificación

Código utilizado para comprobar la autenticidad de documentos.

Directriz

Instrucción o guía que establece procedimientos a seguir.

Gestión de Seguridad

Conjunto de prácticas para garantizar la protección de la información.

Subdirección de Seguridad en la Información

Unidad responsable de implementar políticas de seguridad en ADIF.

Normativa interna

Reglamento que guía las operaciones dentro de una organización.

Control de modificaciones

Proceso para gestionar cambios en documentos y sistemas.

Firmas

Marcas que validan la autenticidad de documentos firmados.

Marco Normativo

Conjunto de leyes y regulaciones que guían las prácticas de seguridad.

SSII

Sistemas de Información que apoyan las operaciones de la organización.

Revisiones Periódicas

Evaluaciones programadas para asegurar la vigencia y efectividad del marco normativo.

Objetivo de la PSI

Apoyar y aplicar normas y procedimientos de seguridad de la información.

Activos estratégicos

Información y sistemas considerados fundamentales para la organización.

Características de la información

Acceso, integridad, disponibilidad, autenticidad, confidencialidad, trazabilidad y conservación.

Acceso

Capacidad de obtener información solo por personas autorizadas.

Integridad

Asegura que la información no sea alterada sin autorización.

Disponibilidad

La información debe estar accesible cuando se necesita.

Modelo de Gobierno

Estructura organizativa para gestionar la seguridad de la información.

Responsables de Seguridad de la Información

Personas encargadas de gestionar la seguridad en diferentes áreas de negocio.

Subdirección de Seguridad de la Información (SSI)

Área responsable de la privacidad, integridad y seguridad de sistemas de información y redes.

Privacidad

Protección de información personal y sensible de los usuarios.

Seguridad de los sistemas de información

Medidas para prevenir, detectar y responder a incidentes de seguridad.

Ciberterrorismo

Uso de tecnología para causar daño o intimidación a organizaciones.

Adaptación constante

Proceso de ajuste de estrategias de seguridad ante nuevas amenazas.

Gobierno de la Seguridad de la Información

Marco que regula cómo se gestiona la seguridad de información en la organización.

Recuperación ante incidentes

Proceso para volver a la normalidad tras un incidente de seguridad.

Modelo de Gobierno y Gestión

Marco que integra las capas de gobierno, gestión y operación de la Seguridad de la Información.

Funciones y responsabilidades clave

Actividades esenciales que deben definirse e implementarse dentro de la seguridad de la información.

Segregación de funciones

Práctica de dividir responsabilidades para reducir riesgos de modificaciones no autorizadas.

Comisión de Seguridad Integral

Órgano de gobierno que coordina áreas responsables de la seguridad.

Dirección General de Seguridad

Área responsable de la gestión de la seguridad en la organización.

Procedimientos de seguridad

Conjunto de acciones establecidas para proteger la información y los activos.

Modificaciones no autorizadas

Cambios en los activos que no cuentan con permiso adecuado.

Áreas de responsabilidad

Divisiones específicas donde se asignan funciones relacionadas con la seguridad.

Study Notes

Directriz Política, Marco Normativo y Gestión de Seguridad de la Información (ADIF-C-03)

• This document outlines the policy, framework, and management of information security for ADIF and ADIF AV.
• It's an internal document for ADIF (Alta Velocidad).
• It references numerous regulations and laws, including national and European directives related to data protection, cybersecurity, and e-commerce.
• Key legislation includes Real Decreto 311/2022, Real Decreto 43/2021, Orden PCI/487/2019, Ley Orgánica 3/2018, Real Decreto 810/2007, Reglamento (UE) 2016/679, Reglamento (UE) 910/2014, Ley de Protección de Infraestructuras Críticas, Ley 39/2015, and Ley 40/2015.
• The document provides a framework for organizing, managing, and performing information security actions within ADIF.
• It covers aspects like governance, procedures, roles and responsibilities, and modification controls.
• Includes various annexes.
• The document was last revised in August 2023.

Normativa de Referencia

• Includes a list of internal and external regulations.
• Highlights various decrees, strategies, and laws impacting information security within ADIF.

Antecedentes, Objeto y Alcance

• Provides background information about ADIF and its objectives.
• Explicitly states the scope of the policy encompassing all personnel, external individuals interacting with ADIF systems, and internal departments related to information security.
• Defines security as an integral process that incorporates technological, human, material, procedural, and legal elements of ADIF systems.

Política de Seguridad de la Información

• Establish fundamental principles and commitments for Information Security.
• Covers the organization of information security, including a formal Commission for Comprehensive Security and a Committee for Information Security.
• Outlines procedures for designating roles in information security.
• Includes reference to annexes.
• The document includes multiple aspects of information security, including prevention, detection, response, and recovery from incidents.

Organización de Seguridad de la Información

• Describes the organizational structure related to information security. Includes a Commission for Comprehensive Security, a Committee for Information Security, and other roles.
• Define procedures to designate roles and responsibilities.

Control de Modificaciones

• A log of revisions and changes to the document and included policies. Includes dates and details.