Cuestionario ENS
COMENTARIOS |
ESTADÍSTICAS |
RÉCORDS
|
Título del Test:
 Cuestionario ENS Descripción: Esquema Nacional de seguridad |
Nuevo Comentario| Comentarios |
|---|
NO HAY REGISTROS |
|
El ENS establece que se deben realizar pruebas de penetración y análisis de vulnerabilidades: Periódicamente. Por auditorías externas. Ambas son ciertas. La Declaración de Aplicabilidad (DA) del Esquema Nacional de Seguridad (ENS) será un documento en el que... Se definirán las dimensiones de seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad. Se indicarán las medidas de seguridad seleccionadas que deben aplicarse y se justificarán las que no se apliquen. El órgano superior que corresponda aprobará la Política de Seguridad. Según el ENS, el principio básico de "Vigilancia Continua" se refiere a que la seguridad del sistema se reevalúa... Cada vez que se produzcan cambios significativos. Ambas son ciertas. Periódicamente. La Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas: Establece la obligación de las personas físicas de relacionarse con las Administraciones Públicas a través de medios electrónicos. Establece el derecho de las personas jurídicas de relacionarse con las Administraciones Públicas a través de medios electrónicos. Establece el derecho y la obligación de las personas de relacionarse con las Administraciones Públicas a través de medios electrónicos. Todos los órganos superiores de las AA.PP. que manejan Sistemas de Información para el desarrollo de procedimientos administrativos electrónicos deberán disponer de... Un Director General, al menos. Un Sistema de Información propio. Una Política de Seguridad. El mecanismo de Control de Accesos de un Sistema de Información limitará el acceso a aquellas funciones permitidas del mismo, de los... Usuarios y dispositivos. Usuarios. Usuarios, dispositivos y otros sistemas de información. Para la actualización y mejora continua de la Seguridad del Sistema... Se aplicarán criterios y métodos reconocidos nacional e internacionalmente. Se perseguirá la conformidad con ISO 27001. Ambas son falsas. Según el ENS, la seguridad de la información debe ser atendida por personal cualificado, dedicado o instruido en: La instalación y el mantenimiento de los sistemas. Ambas son ciertas. El desarrollo de software. El mecanismo de Control de Accesos de un Sistema de Información limitará el acceso a aquellas funciones permitidas del mismo, de los... Usuarios, dispositivos y otros sistemas de información. Usuarios y dispositivos. Usuarios. La categoría de un sistema de información en el ENS se determina: Considerando sólo el valor de la Confidencialidad y la Integridad. Atendiendo al mayor valor que alcancen las dimensiones de seguridad afectadas. Como resultado de aplicar la fórmula [A x C x I x T] / D. El responsable de un sistema clasificado como ALTO deberá incluir las medidas de seguridad de las categorías... BÁSICA, MEDIA y ALTA. BÁSICA y MEDIA, solo si los riesgos lo exigen. ALTA. Respecto a la adquisición de productos de seguridad empleados en los sistemas de información en el ámbito de aplicación del ENS... Se exigirá una certificación emitida por la CCES, en el caso de pertenecer la organización al sector privado, y por BSI/EFK, caso de pertenecer al sector público. Ambas respuestas son ciertas. Se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. ¿La seguridad de la información será el proceso de protección de los sistemas de la información frente a los ciberataques?. Sí, siempre que los ciberataques comprometan las dimensiones de seguridad. No, sólo la constituyen los elementos materiales y técnicos. No, debe entenderse como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos. La formación en seguridad... Ninguna es cierta. No afecta a los usuarios. Sólo afecta al personal directivo y técnico de la organización. Cada organización que desarrolle e implante sistemas para el tratamiento de la información y las comunicaciones realizará... Su propio tratamiento de riesgos, tras el análisis y evaluación previa de los mismos. Su propia gestión de riesgos, basada en la declaración de aplicabilidad del órgano superior. Su propio tratamiento de riesgos. El ENS establece que la información deberá ser clasificada en: BÁSICO, MEDIO y ALTO. BÁSICO, RESTRINGIDO y ALTO. BÁSICO y ALTO. Según el ENS, la determinación de la categoría del sistema de información se realiza... Según la tecnología utilizada. Según el nivel de riesgo más alto al que se ha enfrentado el sistema en el último año. Atendiendo a la valoración del impacto que tendría un incidente de seguridad sobre las dimensiones de seguridad. ¿Cuál de las siguientes categorías no es una de las establecidas en el ENS para la categorización de los Sistemas?. CRÍTICA. BÁSICA. MEDIA. El Responsable del Sistema: Gestiona la seguridad del sistema de información en su conjunto. Custodia y gestiona los activos de información y sistema. Determina los requisitos de la información. Para la actualización y mejora continua de la Seguridad del Sistema... Se perseguirá la conformidad con ISO 27001. Ambas son falsas. Se aplicarán criterios y métodos reconocidos nacional e internacionalmente. El ENS define los Requisitos Mínimos de Seguridad como: Las exigencias necesarias para asegurar la información y los servicios. Ninguna es cierta. Los fundamento que deben regir las acciones de seguridad. El objetivo del ENS es... El establecimiento de los principios básicos y requisitos mínimos mediante una política de interoperabilidad en la utilización de medios electrónicos, que permita la adecuada protección de la información. Ninguna es cierta. El establecimiento de los principios básicos y requisitos mínimos mediante una política de seguridad en la utilización de medios electrónicos, que permita la adecuada protección de la información. La seguridad de la información debe estar atendida, revisada y auditada por personal cualificado, dedicado o instruido en: Ambas son ciertas. La instalación y el mantenimiento de los sistemas. El desarrollo de software. La Política de Seguridad debe ser aprobada por: El Secretario de Estado de Digitalización e Inteligencia Artificial. El Responsable del Sistema. El Director General u órgano superior que corresponda. El ENS define la "integridad" como: La propiedad consistente en que el activo solo será visible a personas o procesos autorizados. La propiedad consistente en que el activo de información no ha sido alterado de manera no autorizada. La propiedad consistente en que el activo siempre podrá ser accedido cuando sea necesario. Para corregir, o exigir responsabilidades, cada usuario que acceda a la información del sistema... Debe estar identificado de forma única. Podría acceder de forma anónima. Ambas son falsas. El mantenimiento de la seguridad de los sistemas de información exige que en la adquisición de productos de seguridad de las tecnologías de la información y comunicaciones que vayan a ser utilizados por las Administraciones Públicas se valore positivamente aquellos que tengan... Una garantía internacional. Una certificación de la CEOE. Una certificación de la funcionalidad de seguridad relacionada con el objeto de su adquisición. El principio básico de Seguridad como proceso integral se refiere a que: La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema de información. La seguridad se entenderá como un proceso integral constituido por todos los elementos técnicos y organizativos relacionados con el sistema de información. Ninguna es cierta. El Responsable del Servicio... Ambas son ciertas. Determina los requisitos de la información tratada y los servicios prestados. Custodia los activos del sistema. Dentro del contenido habitual de una Política de Seguridad se encuentra: El marco legal y regulatorio en que se desarrollan las actividades. Ambas son ciertas. La metodología empleada para la gestión de riesgos y el organigrama del organismo. El Esquema Nacional de Seguridad (ENS) tiene por objeto: Establecer los principios de la seguridad informática para su cumplimiento obligatorio en los servicios de la Sociedad de la Información, cuando su contenido sea información confidencial. Establecer los principios básicos y requisitos mínimos que permitan una protección adecuada de la información gestionada por medios electrónicos, los servicios prestados por estos, y los sistemas que los procesan. Establecer los principios básicos y requisitos mínimos que permitan una adecuada protección de la información tratada por cualquier medio, y los sistemas que la procesan. El Responsable de la Información es la persona que... Determina los requisitos de la información tratada y de los servicios prestados. Custodia los activos de información. Gestiona los activos del Sistema de Información. Las medidas de seguridad que se aplicarán a un sistema de información en el ámbito de aplicación del ENS serán, como mínimo... Las de nivel BÁSICO, si el sistema es clasificado como MEDIO. Las de nivel BÁSICO, si el sistema es clasificado como BÁSICO. Las de nivel MEDIO, si el sistema es clasificado como ALTO. Según el ENS, son "entornos inseguros"... Ambas son ciertas. Las comunicaciones a través de Internet no cifradas. Los equipos portátiles y memorias flash. Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal correspondiente. Sólo si los ayuntamientos pertenecen a la misma comarca. Cierto. Falso. De conformidad con el ENS, el sistema de información contará con: Una figura responsable del sistema y otra responsable de la seguridad. Una figura responsable del sistema y otra de la información. Una figura responsable de la información y otra de la seguridad. El ENS establece que la información deberá ser... Identificada y protegida adecuadamente, pero no clasificada. Clasificada por el Responsable del Servicio en dos niveles: Alto y Medio. Clasificada en tres niveles: BÁSICO, MEDIO y ALTO. Los requisitos de la información tratada y de los servicios prestados son determinados por: El Responsable de la Seguridad. El Responsable de la Información. El Director General. ¿Qué figura es la encargada de determinar los requisitos de la información tratada y de los servicios prestados?. Responsable del Sistema. Responsable de la Seguridad. Responsable de la Información. Las copias de seguridad se conservarán... El tiempo necesario para poder recuperar el sistema, en caso de fallo, con el nivel de servicio exigido. Ambas son ciertas. El tiempo necesario para poder recuperar los servicios ofrecidos. El conjunto organizado de recursos que cumplen la función de tratar la información en una organización, se denomina: Organismo de Seguridad. Activo. Sistema de Información. El ENS en su glosario define "Trazabilidad" como... La propiedad que permite establecer la relación de actuaciones de un sujeto sobre un activo. La propiedad que permite establecer la relación de actuaciones de un sistema de información sobre otro sistema de información. La propiedad que permite la recuperación de un activo tras un desastre. La Ley 40/2015 de Régimen Jurídico del Sector Público establece el derecho de las personas a... Aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por esta. No aportar documentos que ya se encuentren en poder de la Administración actuante o hayan sido elaborados por esta. Aportar documentos solo en formato electrónico. ¿Qué dimensiones de seguridad establece el ENS?. Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad. Confidencialidad, Integridad y Disponibilidad (C.I.D.). Disponibilidad, Integridad, Confidencialidad y Legalidad. ¿Qué figura del ENS gestiona la seguridad del sistema de información en su conjunto?. Responsable de la Seguridad. Responsable de la Información. Responsable del Sistema. Las medidas de seguridad que se aplicarán a un sistema de información en el ámbito de aplicación del ENS serán, como mínimo: Las de nivel MEDIO, si el sistema es clasificado como ALTO. Las de nivel BÁSICO, si el sistema es clasificado como BÁSICO. Las de nivel BÁSICO, si el sistema es clasificado como MEDIO. El Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información se articula en el ámbito de actuación del... Comité de Ministros de la Unión Europea. Centro Criptológico Nacional. Ministerio del Interior. La protección frente a intrusiones: Es obligatoria sólo para sistemas de categoría ALTA. Es obligatoria en todos los sistemas de información, independientemente de su categorización. Ninguna es cierta. Según el ENS, aquel componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización, se denomina: Información significativa. Servicio imprescindible. Activo. La Categoría del Sistema de Información se determina atendiendo a... Únicamente a la tecnología utilizada. La valoración del impacto que tendría un incidente de seguridad sobre las dimensiones de seguridad. El nivel de seguridad ALTO o MEDIO que tenga el sistema. El ENS establece que la Reevaluación Periódica de la Seguridad del Sistema de Información se hará... Ninguna es cierta. Por una auditoría externa o interna, con carácter periódico. Por un auditor externo, con carácter periódico. Las medidas de seguridad aplicadas a un Sistema de Información... Ambas son ciertas. Establecerán un equilibrio entre la naturaleza de los datos y los tratamientos y los riesgos a los que estén expuestos. Se determinan en la fase de Análisis de Riesgos. Las medidas adoptadas para mitigar o suprimir los riesgos deberán estar... Basadas únicamente en el presupuesto de que se dispone. Justificadas. Justificadas y, en todo caso, existirá una proporcionalidad entre ellas y los riesgos. El ENS define ciberseguridad en su glosario como... El ENS define ciberseguridad en su glosario como... La capacidad de los sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa los servicios o los datos. Sólo cuando tales acciones comprometan la disponibilidad, autenticidad, integridad o confidencialidad de los servicios ofrecidos o de los datos almacenados, transmitidos o tratados. Respecto al cumplimiento del ENS por las Entidades Locales, la Disposición Adicional Primera del Real Decreto 311/2022 establece que: Solo los municipios con más de 10.000 habitantes están obligados a cumplir el ENS de forma individual. Los municipios podrán disponer de una política de seguridad común elaborada por la Diputación, Cabildo, Consejo Insular u órgano unipersonal correspondiente. Los municipios están obligados a elaborar una política de seguridad individual en todo caso. El ENS establece la existencia de tres figuras para un sistema de información, ¿cuáles son?. Director General, Responsable de la Seguridad y Responsable del Sistema. Responsable de la Información, Responsable de Seguridad y Delegado de Protección de Datos. Responsable de la Información, Responsable del Servicio y Responsable de la Seguridad. ¿Cuál de las siguientes medidas es de la dimensión de seguridad "Autenticidad"?. AC.2 (Identificación). PL.2 (Copias de respaldo). MP.4 (Actualización de configuraciones). El Registro de Actividad del Sistema de Información... Custodiará la información necesaria para monitorizar actividades indebidas. Ambas son ciertas. Será conforme a lo dispuesto en la LOPD. El conjunto organizado de recursos que cumplen la función de tratar la información en una organización, se denomina: Sistema de Información. Organismo de Seguridad. Activo. El responsable de un sistema clasificado como ALTO deberá incluir las medidas de seguridad de las categorías... BÁSICA, MEDIA y ALTA. BÁSICA y MEDIA, solo si los riesgos lo exigen. ALTA. La Declaración de Aplicabilidad... Se hará sobre todas las medidas de seguridad del Apéndice II del ENS, salvo las de categoría ALTA. Indicará las medidas de seguridad seleccionadas que deben aplicarse y justificará las que no se apliquen. Ninguna es cierta. La función de la protección frente a código dañino es: Asegurar que la información o servicios no son alterados. Que se detecte el código dañino antes de que se propague a otros sistemas. Ambas son ciertas. La trazabilidad se define como la propiedad que permite establecer la relación de actuaciones de... Un sujeto sobre un sistema de información. Un sujeto sobre un activo. Un sistema de información sobre otro sistema de información. La seguridad de los sistemas de información.. Se entenderá como el proceso de protección de los sistemas de la información frente a los ciberataques. Será un proceso integral formado por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con el sistema. Sólo la constituyen los elementos materiales y técnicos relacionados con el sistema. La determinación de la categoría de los sistemas en el ENS: Atiende a la valoración del impacto que tendría un incidente de seguridad sobre las dimensiones de seguridad. Se realiza únicamente atendiendo a la tecnología utilizada en el sistema. Se realiza atendiendo exclusivamente al nivel de riesgo máximo detectado en los últimos cinco años. El ENS define la "confidencialidad" como: La propiedad consistente en que el activo de información no ha sido alterado de manera no autorizada. La propiedad consistente en que el activo siempre podrá ser accedido cuando sea necesario. La propiedad consistente en que el activo de información solo será visible a personas o procesos autorizados. Según el ENS, el Plan de Acción para atender a las incidencias que se den, que además de resolverlas debe incorporar medidas de desempeño que permitan conocer la calidad del sistema de protección y detectar tendencias antes de que se conviertan en grandes problemas, se denomina... Gestión de Incidentes. Gestión de Desastres. Gestión de Salvaguardas. Según el ENS, la seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado o instruido en: La instalación y el mantenimiento de los sistemas. La gestión de incidencias y el desmantelamiento de los sistemas. Ambas son ciertas. Algunos de los Principios Básicos del ENS son: Ambas son ciertas. Vigilancia continua, Existencia de Líneas de Defensa y Gestión del personal. Seguridad como proceso integral, Gestión de la seguridad basada en los riesgos y Reevaluación Periódica. Respecto a la adquisición de productos de seguridad empleados en los sistemas de información en el ámbito de aplicación del ENS... Se exigirá una certificación emitida por la CCES, en el caso de pertenecer la organización al sector privado, y por SIDIERE, caso de pertenecer al sector público. Se utilizarán, de forma proporcionada a la categoría del sistema y el nivel de seguridad determinados, aquellos que tengan certificada la funcionalidad de seguridad relacionada con el objeto de su adquisición. Ambas respuestas son ciertas. En el Registro de Incidentes de Seguridad se conseguirán... Únicamente los incidentes de seguridad más relevantes para la organización, a criterio del Responsable de la Seguridad. Ambas son falsas. Los sucesos inesperados o no deseados con consecuencias en detrimento de la seguridad del sistema de información, junto con sus acciones de tratamiento. El nivel de seguridad BÁSICO en el ENS: Sólo se aplica si la disponibilidad y la integridad son básicas. Es el nivel de seguridad mínimo que debe aplicarse a todo sistema de información. Sólo se aplica si la confidencialidad de la información es baja. ¿El Responsable de la Seguridad del ENS puede ser la misma persona que el Responsable del Sistema?. Solo excepcionalmente, en aquellas organizaciones que, por su tamaño y recursos, no pudieran observar dicha separación y siempre que la persona posea la formación y capacitación requeridas. Sí, siempre que en la misma persona concurran los requisitos de formación y capacitación previstos. No, en ningún caso. Las dimensiones de seguridad afectadas a un sistema de información se categorizan de la siguiente forma: BÁSICO, MEDIO y ALTO. MINIMA, MEDIA y ALTA. BAJA, MEDIA y ALTA. De conformidad con el ENS, el sistema de información contará con... Una figura responsable del sistema y otra de la información. Una figura responsable del sistema y otra responsable de la seguridad. Una figura responsable de la información y otra de la seguridad. El Responsable de la Seguridad... Gestiona la seguridad del sistema en su conjunto. Determina los requisitos de la información tratada. Custodia y gestiona los activos del sistema. ¿Cuál de las siguientes categorías no es una de las establecidas en el ENS para la categorización de los Sistemas?. MEDIA. BÁSICA. BÁSICA. En un sistema de información, el análisis de riesgos debe realizarse... Periódicamente. Ambas son ciertas. Cuando se produzca un cambio significativo en el sistema, por ejemplo, cambios en la organización, en los activos, en los servicios o en los datos. ¿A qué se refiere el Principio Básico de Seguridad del ENS sobre "Seguridad por defecto"?. La regla de seguridad menos restrictiva será la que se aplique por defecto en el sistema. Los sistemas se diseñarán y configurarán de forma que la actuación más segura sea la que se ejecute por defecto. En caso de duda en la configuración, se aplicará el nivel de seguridad ALTO. La información en soporte no electrónico no está comprendida dentro del ámbito del ENS. Cierto, cualquiera que sea. Falso. Solo estará comprendida aquella que haya sido causa o consecuencia directa de la información electrónica a que se refiere el ENS. El Responsable de la Seguridad: Gestiona la seguridad del sistema de información en su conjunto. Custodia y gestiona los activos del sistema. Determina los requisitos de la información tratada y los servicios prestados. Los sistemas de categoría BÁSICA deberán alcanzar el nivel de seguridad: ALTO en todas las dimensiones. MEDIO en todas las dimensiones. BÁSICO en todas las dimensiones. Para la identificación del personal se emplearán... Medios que cumplan con la seguridad exigida. Ninguna es cierta. Medios de identificación y autenticación que cumplan con la seguridad exigida. ¿Cómo debe entenderse el concepto de órgano superior, responsable de aprobar la Política de Seguridad en una AA.PP.?. Los ministros, secretarios de estado y subsecretarios. Ninguna de ellas es cierta. Los responsables directos de la ejecución de la acción de gobierno, central, autonómico o local. La determinación de la categoría de los sistemas en el ENS: Atiende a la valoración del impacto que tendría un incidente de seguridad sobre las dimensiones de seguridad. Se realiza únicamente atendiendo a la tecnología utilizada en el sistema. Se realiza atendiendo exclusivamente al nivel de riesgo máximo detectado en los últimos cinco años. Los requisitos de la información tratada y de los servicios prestados son determinados por: el Responsable de la Información. El Director General. El Director General. Según el ENS, la seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado o instruido en: La instalación y el mantenimiento de los sistemas. La gestión de incidencias y el desmantelamiento de los sistemas. Ambas son ciertas. La autenticidad se define en el ENS como: La propiedad de que un activo de información no ha sido alterado. La propiedad de que una entidad es quien dice ser. La propiedad de que un activo siempre. La gestión de la seguridad basada en los riesgos consiste en: Ninguna es cierta. Aplicar medidas proporcionadas a los riesgos a los que está expuesto un sistema de información. Aplicar siempre el máximo nivel de seguridad a todos los sistemas. En relación con los "activos" de un sistema de información, el ENS establece que estos deben... Ser identificados, gestionados, inventariados y protegidos por el responsable del sistema. Ser identificados y gestionados por el responsable de la información. Ser identificados e inventariados por el responsable de la seguridad. Ser identificados e inventariados por el responsable de la seguridad. El Apéndice II del ENS. El Apéndice I del ENS. La Ley 39/2015 del Procedimiento Administrativo Común de las Administraciones Públicas. Según el ENS, los fundamentos que deben regir toda acción orientada a asegurar la información y los servicios, es lo que debe entenderse por: Principios Básicos de Seguridad. Requisitos Mínimos De Seguridad. Ambas son ciertas. Para dar cumplimiento a sus objetivos, el ENS determina... Las dimensiones de seguridad y sus niveles. La categoría de los sistemas y sus medidas de seguridad adecuadas. Ambas son ciertas. Todo el personal relacionado con la información y los sistemas deberá... Ser informado de sus deberes y obligaciones en materia de seguridad, que, inexcusablemente, ejercitará y aplicará los principios de seguridad en el desempeño de su cometido. Lo anterior es cierto y, además, sus actuaciones serán supervisadas. Ser informado de sus deberes. En los sistemas de información... Se limitará el acceso a aquellas funciones permitidas solo de los usuarios y dispositivos. Se limitará el acceso a aquellas funciones permitidas del mismo, de los usuarios, dispositivos y otros sistemas de información. Se limitará el acceso a aquellas funciones permitidas solo de los usuarios. |