b1t10 - ENS

Question 1

Qué es la relación de medidas de seguridad que aplican las Administraciones Públicas para cumplir los requisitos mínimos de seguridad teniendo en cuenta los activos de un sistema, su categoría y las decisiones para gestionar los riesgos identificados?

Answer 1

La Declaración de Aplicabilidad

Question 2

Qué es la manifestación escrita de los órganos o entidades de derecho público, firmada por su responsable, mediante la que se da publicidad que los sistemas a que se refieren cumplen con las exigencias del Esquema Nacional de Seguridad?

Answer 2

Declaración de Conformidad

Question 3

Qué es la Notificaciones Electrónicas (DEH) (Dirección Electrónica Habilitada) ?

Answer 3

Servicio en la nube en la que el ciudadano o empresas podrá recibir comunicaciones y notificaciones electrónicas administrativas.

Para solicitarlo el alta de esto se pide certificado electronico o DNIe y tambien para firmar los documentos de “solicitud de nueva dirección electrónica”, “suscripción a procedimientos” y “rechazo o entrega de notificación”

Se emite un correo o un sms para avisar de que hay una nueva notificación en la DEH

Si el interesado en 10 días naturales no se accede, se considerará rechazada y el prestador notifica al emisor.

Hace uso de los siguientes estándares:
1. Estándares de información:
* Documentación y notificaciones en PDF
* Mensajes y comunicaciones en XML
* Fechado electrónico en UTC (Universal Coordinated Time), sincronizado con el ROA
* Correo electrónico seguro S/MIME v2 o superior.
* Portal en HTML 4.01 o superior
2. Estándares de comunicación:
* Canal seguro SSL v3 de 128 bits.
* Protocolos POST-https 1.0 o superior.
* Codificación UTF-8.

3. Estándares de seguridad:
   
   • Firma Electrónica: Cifrado asimétrico RSA, algoritmos SHA-1
   • Cifrado: Claves de al menos 1024 bits, algoritmos 3DES
   • Certificados digitales X.509 v3 o superiores

Question 4

Bajo la responsabilidad de qué órgano está la DEH?

Answer 4

Bajo la responsabilidad del Ministro de Asuntos Económicos y Transformación Digital, Secretaría de Estado de Digitalización e Inteligencia Artificial, Secretaría General de Administración Digital

Question 5

Qué dos formas de notificaciones por medios electrónicos hay?

Answer 5

Por comparecencia en la Sede Electrónica del organismo
Por Notificación electrónica en DEH (Dirección electrónica Habilitada)

Question 6

Qué es la plataforma Notific@?

Answer 6

La plataforma Notific@ permite concentrar peticiones de emisión de comunicaciones y notificaciones hacia ciudadanos y empresas en un formato común. Actúa como intermediario y gestor de las peticiones.
Proporciona mediante diversos métodos, la información al organismo emisor sobre el estado de la notificación/comunicación emitida.

Question 7

Al margen de la herramienta Pilar, qué herramientas permiten preparar y mantener personalizaciones de las herramientas de riesgos?

Answer 7

• RMAT (Risk Management Additional Tools) Personalización de herramientas en varios aspectos:
  
  • EVL – Perfiles de protección Criterios de evaluación/acreditación específicos de ciertos sectores o de `puntos de vista específicos. Por ejemplo leyes nacionales de protección de datos personales.
  • TSV – Perfiles de amenazas. Estableciendo la vulnerabilidad típica de los activos frente a las amenazas en diferentes entornos de operación.
  • KB - Protecciones adicionales: Detallando protecciones adicionales sobre ciertos tipos de activos. Se puede llegar a dar instrucciones al administrador del activo.

Question 8

Cuáles son los PRINCIPIOS BÁSICOS del ENS para establecer las Políticas de Seguridad?

Answer 8

a) Seguridad como proceso integral.
b) Gestión de la seguridad basada en los riesgos.
c) Prevención, detección, respuesta y conservación.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades.

Question 9

Cuáles son los REQUISITOS MÍNIMOS que se deberán cumplir en el desarrollo de las Políticas de Seguridad, según el ENS?

Answer 9

a) Organización e implantación del proceso de seguridad.
b) Análisis y gestión de los riesgos.
c) Gestión de personal.
d) Profesionalidad.
e) Autorización y control de los accesos.
f) Protección de las instalaciones.
g) Adquisición de productos de seguridad y contratación de servicios de seguridad.
h) Mínimo privilegio.
i) Integridad y actualización del sistema.
j) Protección de la información almacenada y en tránsito.
k) Prevención ante otros sistemas de información interconectados.
l) Registro de la actividad y detección de código dañino.
m) Incidentes de seguridad.
n) Continuidad de la actividad
ñ) Mejora continua del proceso de seguridad

Question 10

Qué distintos responsables define el ENS, entre los cuales reparte las responsabilidades y funciones?

Answer 10

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de la seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.
d) El responsable del sistema por sí o a través de recursos propios o contratados se encargará de desarrollar la forma concreta de implementarla seguridad en el sistema y de la supervisión de la operación diaria el mismo, pudiendo delegar en administradores u operadores bajo su responsabilidad.

Question 11

Qué es el POC en el caso de la externalización de servicios de seguridad?

Answer 11

El POC es la persona de contacto de la empresa, que será el responsable de seguridad

Question 12

Cada cuánto será necesaria en la Administración que se hagan las auditorías de seguridad?

Answer 12

Al menos cada dos años

Question 13

Qué es el Informe del estado de la Seguridad y quién lo prepara?

Answer 13

La Comisión Sectorial de Administración Electrónica

Recoge información relacionada con el estado de las principales variables de la seguridad en los sistemas de información para elaborar un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información

Question 14

Quién articulará la respuesta a los incidentes de seguridad?

Answer 14

CCN-CERT
Centro Criptográfico Nacional - Computer Emergency Response Team

También intervienen equipos CSIRT-Equipos de Ciberseguridad y Gestión de Incidentes españoles

Question 15

En qué tres niveles de seguridad categoriza el ENS a los sistemas?
Cuáles precisan de una auditoría para certificar su conformidad respecto a su nivel?

Answer 15

Categorías ALTA, MEDIA Y BAJA

los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para la certificación de su conformidad
los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad

Question 16

Cuándo se reevaluará la categoría de seguridad de los sistemas de información?

Answer 16

Anualmente, o siempre que se produzcan modificaciones significativas en los citados criterios de determinación, deberá re-evaluarse la categoría de seguridad de los sistemas de información concernidos.

Question 17

Cuáles son las 5 dimensiones de la seguridad para el ENS?

Answer 17

a) Confidencialidad [C].
b) Integridad [I].
c) Trazabilidad [T].
d) Autenticidad [A].
e) Disponibilidad [D].

Question 18

Las categorías de seguridad ALTA, MEDIA y BAJA, se entienden en función de las consecuencias de un posible incidente. Qué tipo de perjucio en cada caso?

Answer 18

BAJA -> Perjuicio limitado
1.º La reducción de forma apreciable de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose.
2.º Causar un daño menor en los activos de la organización.
3.º El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
4.º Causar un perjuicio menor a algún individuo, que pese a resultar molesto, pueda ser fácilmente reparable.
5.º Otros de naturaleza análoga.

MEDIA -> Perjuicio grave
1.º La reducción significativa de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias, aunque estas sigan desempeñándose.
2.º Causar un daño significativo en los activos de la organización.
3.º El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
4.º Causar un perjuicio significativo a algún individuo, de difícil reparación.
5.º Otros de naturaleza análoga.

ALTA -> Perjuicio muy grave
1.º La anulación efectiva de la capacidad de la organización para desarrollar eficazmente sus funciones y competencias.
2.º Causar un daño muy grave, e incluso irreparable, de los activos de la organización.
3.º El incumplimiento grave de alguna ley o regulación.
4.º Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
5.º Otros de naturaleza análoga.

Question 19

En qué tres grupos se dividen las medidas de seguridad?

Answer 19

a) Marco organizativo [org]. Constituido por el conjunto de medidas relacionadas con la organización global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.
c) Medidas de protección [mp]. Se centran en proteger activos concretos, según su naturaleza y la calidad exigida por el nivel de seguridad de las dimensiones afectadas.

Question 20

Leer procedimiento para notificaciones en domicilio del interesado

Answer 20

Cuando la notificación se practique en el domicilio del interesado, de no hallarse presente éste en el momento de entregarse la notificación, podrá hacerse cargo de la misma cualquier persona mayor de catorce años que se encuentre en el domicilio y haga constar su identidad. Si nadie se hiciera cargo de la notificación, se hará constar esta circunstancia en el expediente, junto con el día y la hora en que se intentó la notificación, intento que se repetirá por una sola vez y en una hora distinta dentro de los tres días siguientes. En caso de que el primer intento de notificación se haya realizado antes de las quince horas, el segundo intento deberá realizarse después de las quince horas y viceversa, dejando en todo caso al menos un margen de diferencia de tres horas entre ambos intentos de notificación.