Situaciones de la Acreditación y Inspecciones

Questions and Answers

¿Qué debe contener el anexo adjunto a la documentación de seguridad (POS) respecto a las personas autorizadas a acceder al Sistema y a la información?

Identificación única y derechos de acceso. (correct)

Número de personas autorizadas solamente.

Permisos de acceso y ubicación geográfica.

Información sobre el tipo de Sistema utilizado.

¿Qué requisito debe cumplir una área donde se accede a información clasificada según el texto?

Certificación según nivel de clasificación de la información y requisitos de integridad y disponibilidad. (correct)

Decoración acorde al nivel de seguridad.

Ubicación geográfica estratégica.

Cantidad de escritorios disponibles.

¿Cómo deben ser protegidos los documentos que contienen información clasificada según las Leyes y Normas en vigor?

Según las Leyes y Normas en vigor o normativa interna si no está contemplado. (correct)

Conformidad a las normas de otros países.

Sin ninguna medida de seguridad.

Solo con normativa interna de cada Organismo.

¿Qué normativa se aplica para proteger la información clasificada contra radiaciones electromagnéticas no deseadas?

Normativa establecida por la Autoridad correspondiente.

¿Qué tipo de certificados deben figurar en la documentación de seguridad del Sistema?

Certificados de las áreas y certificados de Seguridad de Emanaciones (TEMPEST)

¿Qué es obligatorio en aquellos Sistemas que manejen información clasificada y empleen medios o procedimientos de cifra?

Normativa vigente y empleo de productos con certificación criptológica

¿Qué deben tener los Sistemas que manejen información clasificada para alcanzar los objetivos de seguridad requeridos?

Conjunto equilibrado de servicios de seguridad

¿Cuál es uno de los objetivos de seguridad que deben permitir alcanzar los servicios de seguridad en los Sistemas que manejen información clasificada?

Identificar y autenticar a las personas con acceso autorizado

¿Qué deben emplear los Sistemas para manejar información clasificada y cifrar la información?

Productos con certificación criptológica

¿Cuál es el propósito principal de acreditar un sistema en relación con la información clasificada?

Proteger la confidencialidad, integridad y disponibilidad de la información.

¿Por qué es importante evitar la pérdida de integridad y disponibilidad de los propios sistemas de información clasificada?

Para garantizar que la información clasificada se mantenga segura y accesible cuando sea necesario.

¿Qué debe garantizar un conjunto equilibrado de medidas de seguridad en un entorno seguro para el Sistema?

Protección contra pérdida de confidencialidad, integridad y disponibilidad.

¿Cuál es una característica esencial que deben tener las medidas de seguridad en un sistema acreditado?

Equilibrio entre confidencialidad, integridad y disponibilidad.

¿Por qué es crucial proteger la confidencialidad de la información clasificada en un sistema acreditado?

Para evitar posibles fugas de información sensible.

¿Cuál es uno de los principios básicos que deben seguir las medidas de seguridad en un sistema acreditado?

Proteger contra pérdida accidental o intencionada de confidencialidad, integridad y disponibilidad.

¿Cuándo ocurre la interconexión entre sistemas?

Cuando tienen diferentes niveles de confianza.

¿Quién es responsable de acreditar la interconexión de un Sistema acreditado a otros Sistemas si recaen dentro de su ámbito de actuación?

Una única Autoridad.

¿Qué situaciones contempla la Autorización temporal con propósito operacional (ATPO)?

Situaciones sin acreditación del sistema.

¿Qué se requiere tener para la Autorización para pruebas (AP) en términos de documentación?

Documentación de seguridad redactada.

¿Qué papel juega el Comité de Acreditación en la interconexión de sistemas?

Acreditar la interconexión cuando las Autoridades no están involucradas en su ámbito de actuación.

¿Qué implica que los Sistemas tengan diferentes Autoridades Operativas en términos de interconexión?

Es necesario un Comité de Acreditación para gestionar la interconexión.

¿Cuál es el paso final que realiza la Autoridad responsable de la acreditación una vez que se ha cumplimentado toda la documentación de seguridad?

Comunicar la acreditación a la Autoridad Operativa del Sistema.

¿Cuál es el rol de las Entidades de Certificación (EC) en los sistemas que manejan información clasificada?

Realizar las inspecciones STIC.

¿Qué deben demostrar las Entidades de Certificación para poder realizar evaluaciones STIC?

Compromiso y competencia técnica.

¿Cuál es el siguiente paso después de que la Autoridad Acreditadora revise y valide la documentación de seguridad proporcionada por la Autoridad Operativa?

Inspeccionar y verificar los requisitos del proceso.

¿Qué ocurre luego de que las EC superan un proceso de autorización previa para realizar evaluaciones STIC?

Están habilitadas para realizar las inspecciones STIC.

¿Cuál es el paso previo al paso en el que la Autoridad responsable emite el resultado de la inspección STIC acompañado del informe con las deficiencias detectadas?

Inspeccionar y verificar los requisitos del proceso.

Study Notes

• La Autoridad Operativa del Sistema recibe un informe de inspección de la Autoridad responsable de la acreditación.
• La Autoridad Operativa inicia el proceso de acreditación una vez validado el informe.
• La Autoridad responsable de la acreditación envía documentación de seguridad a la Autoridad Operativa.
• La Autoridad Operativa implementa los requisitos de la documentación de seguridad.
• La Autoridad responsable de la acreditación inspecciona y verifica los requisitos del sistema.
• La Autoridad acredita el sistema si la inspección resulta positiva.
• Las inspecciones STIC en sistemas con información clasificada se delegan a Entidades de Certificación.
• Las Entidades de Certificación deben demostrar competencia técnica para realizar evaluaciones STIC.
• Se requiere un entorno seguro para proteger la información clasificada.
• Se deben aplicar medidas de seguridad equilibradas para proteger la integridad y disponibilidad de los sistemas.
• La interconexión de sistemas requiere acreditación por una única autoridad o un Comité de Acreditación.
• Se pueden dar situaciones de autorización para pruebas y autorización temporal con propósitos operacionales.
• En sistemas criptológicos, se debe cumplir con normativas vigentes y usar productos con certificación criptológica.
• Los sistemas que manejen información clasificada deben contar con servicios de seguridad para alcanzar objetivos requeridos.

Description

Explora situaciones posibles y la validez de la acreditación en el contexto de inspecciones. Descubre aspectos clave relacionados con la acreditación y las inspecciones.