Esquema nacional de seguridade (mayo 24)
COMENTARIOS |
ESTADÍSTICAS |
RÉCORDS
|
Título del Test: Esquema nacional de seguridade (mayo 24) Descripción: Modulo 1, 2 y 3 |
Nuevo Comentario| Comentarios |
|---|
NO HAY REGISTROS |
|
1. As medidas de seguridade para protexer a información, deben ser: Proporcionais ao valor da información que se protexe e aos riscos que a poidan afectar. .................. 2. A ciberseguridade: É a protección de activos de información, a través do tratamento de ameazas que poñen en risco a información que é procesada, almacenada e transportada polos sistemas de información que se encontran interconectados. ............... 3. Sobre as dimensións de seguridade: Para presentar a declaración da renda por internet, a Administración debe identificarte sen lugar a dúbidas, polo que neste contexto a dimensión da autenticidade estará presente á hora de dar seguridade ao trámite. ...................... 4. Na xestión de riscos, todo elemento que aproveita unha vulnerabilidade para atentar contra a seguridade dun activo de información é: Unha ameaza. ........ 5. A xestión do risco: É un proceso continuo que pode, e debe, sistematizarse. ............ 6. Que consecuencias pode ter non protexer a información de xeito adecuado?. Prexuízos graves para o cidadán. Todas as respostas son VERDADEIRAS. Menoscabo do servizo. Perda de prestixio e credibilidade. 7. A dimensión de autenticidade está relacionada: Co aseguramento da identidade da orixe ou destino da información. ............... 8. Que norma específica no ámbito da seguridade centra o seu ámbito de aplicación no tratamento automatizado da información e non tanto no tratamento da información en papel?. O Esquema Nacional de Seguridade. ............. 9. Un risco ou ameaza lóxica pode ser: Un virus informático. .............. 10. Para acadar unha boa seguridade da información: Hai que coñecer os perigos aos que está exposta e tomar medidas de protección en consecuencia. .............. 11. A Comisión de Seguridade e Goberno Electrónico: Debe velar pola dispoñibilidade dos recursos necesarios para desenvolver os obxectivos estratéxicos en materia de seguridade e goberno electrónico. .................. 12. Cal das seguintes figuras NON é un rol recollido na Política de Seguridade e protección de datos persoais da Xunta de Galicia?. CORRECTA. Responsable Esquema Nacional de Interoperabilidade. Responsable da información. Responsable do servizo. Responsable do sistema. 13. A alta dirección: Xoga un papel fundamental en materia de seguridade da información como responsable de fixar os obxectivos perseguidos. ................... 14. Cal das seguintes NON é unha das funcións da figura de Coordinador de Seguridade da Información?. Coordinar os asuntos relativos á seguridade da información. Supervisar a implantación da Política de seguridade da información da Xunta de Galicia en todos os aspectos non relacionados coas TIC. Promover a formación e concienciación en materia de seguridade da información. CORRECTA. Aprobar o risco residual que queda despois das reunións da Comisión de Seguridade e Goberno Electrónico. 15. Os órganos colexiados transversais con responsabilidades en materia de seguridade da información son: A Comisión de Seguridade e Goberno Electrónico e a Subcomisión de Seguridade. ................. 16. Cal é o ámbito de aplicación da política de seguridade da información e protección de datos persoais da Xunta de Galicia?. Todo o ámbito da administración xeral e o sector público autonómico de Galicia. .................... 17. O rol de coordinador de seguridade da información nunha consellería... Pode ser asumido por un órgano colexiado. ...................... 18. O rol de coordinador de seguridade da información nas consellerías... Vela porque se manteña aliñada a seguridade cos obxectivos da organización. .................. 19. Na Comisión de Seguridade e Goberno Electrónico: Participan todas as Consellerías da Xunta de Galicia, a Asesoría Xurídica Xeral e a Amtega. .......................... 20. Cal dos seguintes NON é un dos principios da política de seguridade da Xunta de Galicia?. Principio de mellora continua. CORRECTA. Principio de durabilidade. Principio de xestión do risco. Principio de confidencialidade. 21. Qué factores poden influir na valoración das dimensións de seguridade do ENS?. Os incumprimentos normativos, en caso de que se materialice unha ameaza. Os danos reputacionais dun incidente de seguridade. As posibles perdas económicas no caso dun incidente de seguridade. CORRECTA. Todas son correctas. 22. Un servizo ten a seguinte valoración nas súas dimensións de seguridade: Dispoñibilidade: Media Autenticidade: Baixa Confidencialidade: Baixa Integridade: Baixa Trazabilidade: Non aplica Cal é a súa categoría?. Media. .................. 23. Qué é MAGERIT?. Unha metodoloxía para a análise e xestión de riscos, recomendada polo CCN no ámbito da adecuación ao ENS. .................. 24. No contexto da xestión de riscos, o risco é: Función da probabilidade de que unha ameaza se materialice, e do impacto ou dano que causaría no activo. ................... 25. A xestión do risco consiste en: Identificar as posibles ameazas, a probabilidade de que ocorran e o impacto da materialización da ameaza, para poder adoitar as medidas oportunas de xeito razoable. ................ 26. Se dentro dun servizo/sistema de categoría alta, composto por varias aplicacións informáticas, existe un subconxunto delas, claramente delimitadas, que non requerirían esta categoría alta de seguridade: Podemos considerar que este subconxunto de aplicacións son un subsistema dentro do sistema principal, e aplicarlles unhas medidas de seguridade menos restrictivas, de acordo coa súa valoración. ............... 27. Un sistema terá Categoría Básica cando as consecuencias dun incidente de seguridade que afecte a algunha das dimensións de seguridade supoña: Un prexuízo limitado sobre as funcións da organización, sobre os seus activos ou sobre os individuos afectados. ................. 28. A categoría dun sistema segundo o ENS: Determina o equilibro entre a importancia da información que manexa, os servizos que presta, e o esforzo de seguridade requirido. ....................... 29. A información exposta ao público nos portais web administrativos de forma aberta accesible para todo o mundo: Non ten requisitos de confidencialidade unha vez publicada. ................. 30. Sobre a valoración das distintas dimensións da seguridade segundo o ENS: O Centro Criptolóxico Nacional ten publicada unha guía, a Guía 803 CCN-STIC, con pautas de carácter xeral que afondan nos criterios para determinar o nivel de seguridade requirido en cada dimensión. ....................... Cal das seguintes normas establece os principios xerais que dirixen a xestión da seguridade da información e a protección de datos persoais no contexto específico da Xunta de Galicia?. A Lei Orgánica de Protección de Datos de Carácter Persoal (15/1999), que substituíu á derogada LOPDGDD. A Política de seguridade da información e protección de datos persoais da Xunta de Galicia. O Esquema Nacional de Seguridade. O Decreto da Xunta de Galicia de boas prácticas no uso dos sistemas de información. Un sistema é de categoría básica... Se só ten valoradas dúas, ou menos de dúas, das cinco dimensións da seguridade. Se a maioría das súas dimensións de seguridade teñen un valor baixo. Se algunha das súas dimensións de seguridade alcanza o valor baixo, e ningunha delas alcanza un nivel superior. Se require poucas medidas de seguridade. Cal NON é unha función da Subcomisión de Seguridade?. Propoñer para a súa aprobación pola Comisión de Seguridade e Goberno Electrónico os obxectivos estratéxicos en materia de seguridade da información. Aprobar as directrices e instrucións en materia de seguridade da información. Velar polo cumprimento dos programas de auditoría para verificar o cumprimento das obrigacións en materia de seguridade da información e avaliar os informes resultantes das auditorías. Aprobar as condicións que deben reunir as persoas ou órganos colexiados que desempeñen os roles a que se lles asignen responsabilidades e funcións en materia de seguridade da información. O rol de responsable de tratamento dos datos persoais... Nas consellerías normalmente recae nas secretarías xerais técnicas. Debe contar cun cargo mínimo de xefe de sección. O seu ámbito de competencia son unicamente os sistemas informáticos que tratan datos sensibles. É unha figura que asume a Axencia para a Modernización Tecnolóxica de Galicia (Amtega). Os delegados de protección de datos persoais... Supervisan o cumprimento do RXPD e da LOPDGDD por parte do responsable do tratamento. Unicamente teñen que existir na Amtega e no resto de unidades TIC. Teñen que ser necesariamente as secretarías xerais técnicas. Teñen as mismas funcións que a Subcomisión de Seguridade. No ámbito da xestión do risco, todo aquelo que ten valor para a nosa organización é un... Activo. Servizo. Risco. Sistema de información. A trazabilidade: Está relacionada coa rastrexabilidade das accións sobre a información. É unha dimensión totalmente opcional da seguridade da información. Está relacionada co aseguramento da identidade da orixe da información. É un risco físico. Na política de seguridade da información e protección de datos da Xunta de Galicia, o principio de prevención... Establece que se desenvolverán plans e liñas de traballo específicas orientadas a previr fraudes, incumprimentos ou incidentes relacionados coa seguridade e a protección de datos persoais. Non é un principio que esté incluido na política. Establece o obxectivo de acadar a mellora continua. Persegue garantir unicamente que a información se intercambie cos interlocutores idóneos e que os servizos se acrediten correctamente. Respecto á organización da seguridade nas consellerías... A opción máis recomendable é constituír un órgano colexiado que asuma todas as funcións do rol de coordinador de seguridade da información. Só hai una única opción válida, ter un coordinador de seguridade da información unipersoal. Non é necesario que a teñan, xa que as consellerías non teñen responsabilidade no relativo á seguridade da información. A única posibilidade admitida é que exista un comité que asuma toda a responsabilidade. A concienciación e formación en materia de seguridade da información e protección de datos persoais... Son fundamentais, e polo tanto débense incluir actividades específicas nos plans de formación do persoal empregado público. Non son importantes. Son aspectos que os persoal empregado público xa domina por estar incluídos nos temarios das oposicións. Non é necesario incluílas nas actividades formativas da EGAP. A política de seguridade da información e protección de datos persoais.... Establece que se desenvolverán actividades específicas orientadas á formación e á concienciación de todo o persoal en materia de seguridade da información e protección de datos persoais. Non establece nada ao respecto da formación e concienciación. Establece que a formación e concienciación en seguridade da información é soamente importante para as novas incorporacións, xa que os empregados con experiencia xa non a necesitan. Establece os cursos concretos que todo o persoal empregado público debe facer obrigatoriamente con periodicidade anual. Á hora de valorar as dimensións de seguridade... O mellor é ser cautos e valorar todo de nivel alto, para asegurarnos unha protección absoluta e eficaz ante posibles incidentes de seguridade. As medidas de seguridade son incómodas para traballar, e teñen un custo elevado, polo que hai que tratar de valorar os sistemas o máis baixo posible. Debemos ser prudentes e razoables á hora de facer estas valoracións, para alcanzar un equilibrio entre a importancia da información e dos servizos, e o esforzo de seguridade requirido. A única consideración que hai que ter en conta son os niveis de seguridade marcados pola LOPD e o RXPD. O Esquema Nacional de Seguridade foi definido no: Real Decreto 1720/2007. Inicialmente no Real Decreto 3/2010 e o novo ENS no 311/2022. Non está definido formalmente en ningunha norma. Regulamento UE 2016/679. Cales son as dimensións da seguridade da información?. Confidencialidade, integridade, dispoñibilidade, autenticidade e trazabilidade. Confidencialidade, integridade, dispoñibilidade e autenticidade. Confidencialidade, integridade, dispoñibilidade, autenticidade, trazabilidade e criticidade. Confidencialidade, atomicidade, integridade e dispoñibilidade. Na xestión do risco, entendemos por risco residual: O risco que queda despois de aplicar as contramedidas elixidas para protexer a información. O risco que é imposible que se materialice. As debilidades ou fallos que inevitablemente sempre existirán nun sistema de información debidos á pouca habilidade dos programadores. O risco existente se non aplicásemos contramedidas para protexer a información. En qué consiste a Declaración de Aplicabilidade?. Nun documento no que figura por escrito o conxunto de medidas de seguridade que se aplicarán para dar cumprimento ao ENS, en función da categoría dos nosos sistemas, os activos que o constitúen, e as decisións que se adoiten en función da xestión do risco realizada. Nun documento no que figura por escrito o conxunto de insuficiencias detectadas durante unha auditoría de cumprimento do ENS, en función da categoría dos nosos sistemas, e os activos que o constitúen. Nun documento no que figura por escrito o compromiso da alta dirección dunha organización de aplicar o ENS. Nun documento no que figuran por escrito os pasos a dar para realizar unha avaliación dos riscos aos que están expostos os sistemas dunha organización. Sobre a seguridade da información: Contando coas medidas tecnolóxicas máis avanzadas, podemos garantir unha seguridade absoluta. Os directivos non deben ter ningún tipo de responsabilidade con respecto á seguridade da información, para evitar conflictos de interese. Existe normativa de aplicación ao respecto, tanto no ámbito privado coma no sector público. No contexto da Administración Pública, só ten sentido en contornas nas que se trate información sensible dos cidadáns, como por exemplo, información tributaria ou datos de saúde, pero non no resto de sistemas. Sobre a valoración da información consistente en datos persoais... A normativa en materia de protección de datos é unha normativa totalmente independente do ENS, e por tanto os sistemas que tratan datos persoais non están baixo o ámbito de aplicación do ENS. Debemos ter en conta na valoración o tipo de datos persoais tratados, así como outros aspectos das operacións de tratamento realizadas sobre os mesmos que poidan incrementar o nivel de seguridade esixido, como por exemplo, o volume de datos tratado, ou se o tratamento implica riscos para os dereitos e liberdades dos cidadáns. O tipo de datos persoais tratados determina directamente a categoría ENS do sistema, e xa non é necesario ter nada máis en conta. O tipo de datos persoais tratados incidirá especialmente na dimensión da dispoñibilidade. Para acadar unha axeitada seguridade da información debemos ter en conta que os perigos poden vir: Por un uso neglixente ou malintencionado por parte das persoas usuarias. Por vulnerabilidades e programas informáticos maliciosos. Por desastres naturais como por exemplo un incendio. Todas as opcións son verdadeiras. A seguridade da información ... É cousa de todo o persoal da organización. É cousa exclusivamente das unidades TIC. É cousa exclusivamente da dirección. Non é importante. Un servizo ten a seguinte valoración nas súas dimensións de seguridade: Dispoñibilidade: Baixa Autenticidade: Baixa Confidencialidade: Baixa Integridade: Baixa Trazabilidade: Non aplica Cal é a súa categoría?. Crítica. Básica. Media. Alta. Un sistema con nivel de dispoñibilidade baixo... Automáticamente ten categoría Baixa. Considérase que podería estar indispoñible máis dun día sen causar un prexuízo apreciable á organización. Non ten ningunha importancia para a organización. Non podería estar indispoñible máis de 1 hora, ou a detención do servizo ou a imposibilidade de acceder á información desembocaría en protestas masivas. Se un incidente de seguridade nun sistema de información pode causar un prexuízo grave, de difícil ou imposible reparación para algún individuo, podemos considerar que... O sistema é de categoría crítica. O sistema terá categoría alta segundo o ENS. Dito sistema non está suxeito a requerimentos de trazabilidade. Dita sistema non debería estar en funcionamento. A norma que detalla as regras de utilización dos sistemas de información da Xunta de Galicia é ... O Decreto da Xunta de Galicia de boas prácticas no uso dos sistemas de información (Decreto 230/2008). A Lei Orgánica 3/2018 de Protección de Datos Persoais e Garantía dos Dereitos Dixitais. O Estatuto Básico do Empregado Público. O esquema nacional de interoperabilidade. O Decreto 73/2014, modificado polo Decreto 169/2016, establece que, na Xunta de Galicia, os órganos colexiados transversais con responsabilidade en materia de seguridade da información son: A Comisión de Administración Electrónica e o Consello da Xunta. A Comisión de Seguridade e Goberno Electrónico, e a Comisión de Transparencia. A Comisión de Seguridade e Goberno Electrónico, e a Subcomisión de Seguridade. O Consello Reitor da Xunta, e a Subcomisión de Seguridade e Bo Goberno. As medidas de seguridade recollidas no ENS clasifícanse nos seguintes tipos: Tres grupos: medidas do marco organizativo, medidas do marco operacional, e medidas de protección. Cinco grupos: medidas para a confidencialidade, medidas para a integridade, medidas para a autenticidade, medidas para a dispoñibilidade, e medidas para a trazabilidade. Tres grupos: medidas para sistemas de categoría básica, medidas para sistemas de categoría media, e medidas para sistemas de categoría alta. Dous grupos: medidas básicas, e medidas críticas. Unha ameaza de ámbito físico pode ser: Un incendio no Centro de Proceso de Datos. Un virus informático. O borrado ilícito de información. A corrupción dunha base de datos. A nova versión do documento de modelo de roles e responsabilidades, publicada en 2018 para adaptar o modelo ao RXPD, inclúe as seguintes figuras relacionadas coa protección de datos persoais... Responsable do tratamento, estrutura organizativa de cargos intermedios, delegados de protección de datos. Unicamente os delegados de protección de datos. O responsable de seguridade LOPD. Unicamente o responsable do tratamento. No marco do ENS, un servizo defínese como... Un órgano de apoio aos órganos de dirección de cada consellería, segundo se recolle na Lei 16/2010, do 17 de decembro, de organización e funcionamento da Administración xeral e do sector público autonómico de Galicia. O conxunto organizado de recursos para que a información poda recollerse, almacenarse, procesarse ou tratarse, manterse, usarse, compartirse, distribuírse, pórse a disposición, presentarse ou transmitirse. Toda actividade levada a cabo por unha Administración ou, baixo un certo control e regulamento desta, por unha organización, especializada ou non, e destinada a satisfacer necesidades da colectividade. O conxunto total de activos que teñen valor para unha Administración. Segundo o documento de Roles e Responsabilidades en materia de seguridade da información, cal das seguintes é unha función do Responsable do Servizo?. Xestionar técnicamente os ordenadores persoais utilizados polas persoas usuarias. Aprobar os niveis de seguridade requiridos polo servizo do cal é responsable. Auditar técnicamente o nivel de seguridade requirido polo servizo do cal é responsable. Adquirir o equipamento TIC que da soporte ao servizo do cal é responsable. |