[{ "origin" : "KyMAN", "sources" : [], "title" : "Específico - Tema 28 - ENS - Variables", "group" : "kyman_examen_t28", "group_variables" : { "objetivos_elementos" : ["list", [ "los datos", "la información", "los servicios utilizados por los medios electrónicos que gestionen" ]], "objetivos_acciones" : ["list", [ "el asegurar el acceso", "la confidencialidad", "la integridad", "la trazabilidad", "la autenticidad", "la disponibilidad", "la conservación" ]], "pliegos" : ["list", [ "contemplar todos aquellos requisitos necesarios para asegurar la conformidad con el {ens}", "la presentación de las correspondientes Declaraciones de Conformidad con el {ens}", "la presentación de las correspondientes Certificaciones de Conformidad con el {ens}" ]], "objetivos_ultimos" : ["list", [ "poder cumplir sus objetivos", "desarrollar sus funciones", "ejercer sus competencias utilizando sistemas de información" ]], "principios_basicos" : ["list", [ "la seguridad como proceso integral", "la gestión de la seguridad basada en los riesgos", "la {mix:y,prevención|detección|respuesta|conservación", "la existencia de líneas de defensa", "la vigilancia continua", "la reevaluación periódica", "la diferenciación de responsabilidades" ]], "proceso_integral_elementos" : ["list", [ "los humanos", "los materiales", "los técnicos", "los jurídicos", "los organizativos" ]], "fuentes_de_riesgo" : ["list", [ "la ignorancia", "la falta de organización", "la falta de coordinación", "la falta de instrucciones adecuadas" ]], "responsables" : ["list", [ "de la información", "del servicio", "de la segurida", "del sistema" ]], "politicas_de_seguridad" : ["list", [ "las atribuciones de cada responsable", "los mecanismos de coordinación", "la resolución de conflictos" ]], "politicas_de_seguridad_elementos" : ["list", [ "{mix:y,los objetivos|la misión} de la organización", "el marco regulatorio donde se desarrollarán las actividades", "{mix:y,los deberes|las responsabilidades} de cada rol y su {mix:y,designación|renovación}", "{mix:y,estructura|composición} {rand:del compité|de los compités} para la {mix:y,gestión|coordinación} de la seguridad con {mix:y,su ámbito de responsabilidad|la relación con el resto de la organización}", "las directrices para la estructuración de la documentación de seguridad del sistema con su {mix:y,gestión|acceso}", "los riesgos que se derivan del tratamiento de los datos personales" ]], "entidades_politicas_propias" : ["list", [ "cada ministerio", "los organismos públicos", "entidades pertenencientes al sector público institucional estatal", "los centros directivos de la propia Administración General del Estado que gestionen servicios bajo la declaración de servicios compartidos", "la Secretaría General de Administración Digital del Ministerio de {mix:y,Asuntos Económicos|Transformación Digital}" ]], "entidades_politicas_comunes" : ["list", [ "las entidades locales comarcales", "las entidades provinciales" ]], "politicas_requisitos_minimos" : ["list", [ "{mix:y,organizacioń|implntación} del proceso de seguridad", "{mix:y,análisis|gestión} de los riesgos", "gestión de personal", "profesionalidad", "{mix:y,autorización|control} de los accesos", "protección de las instalaciones", "{mix:y,adquisición de productos de seguridad|contratación de servicios de seguridad}", "mínimo privilegio", "{mix:y,integridad|actualización} del sistema", "protección de la información {mix:y,almacenada|en tránsito}", "prevención ante otros sistemas de información interconectados", "{mix:y,registro de la actividad|detección de código dañino}", "incidentes de seguridad", "continuidad de la actividad", "mejora continua del proceso de seguridad" ]], "misiones_poc" : ["list", [ "tener el apoyo de los órganos de dirección", "{mix:y,canalizar|supervisar} el cumplimiento de requisitos de seguridad del {mix:o,servicio|solución}", "{mix:y,canalizar|supervisar} las comunicaciones relativas a la seguridad de la información", "gestionar los incidentes para el ámbito de dicho servicio" ]], "ciclo_de_vida" : ["list", [ "la planificación", "el diseño", "la adquisición", "la construcción", "el despliegue", "la explotación", "el mantenimiento", "la gestión de incidencias", "el desmantelamiento" ]], "ccn_competencias" : ["list", [ "los requisitos {mix:y,funcionales de seguridad|de aseguramiento de la certificación}", "las certificaciones de seguridad adicionales que se requieran normalmente", "el criterio a seguir, excepcionalmente, en los casos en que no existan {mix:o,productos|servicios} certificados" ]], "minimo_privilegio_aspectos" : ["list", [ "el sistema proporcionará la funcionalidad imprescindible{rand:| para que la organización alcance sus objetivos {mix:o,competenciales|contractuales}}", "las funciones de {mix:y,operación|administración|registro} de actividad {mix:y,serán las mínimas necesarias|se asegurará que sólo son desarrolladas por las personas autorizadas}", "se {mix:o,eliminarán|desactivarán}, mediante el control de la configuración, las funciones que sean {mix:o,innecesarias|inadecuadas} al fin que se persigue", "se aplicarán guías de configuración de seguridad para las diferentes tecnologías" ]], "monitorizacion_condiciones" : ["list", [ "a las deficiencias de configuracin", "a las vulneravilidades identificadas", "a las actualizaciones que afecten a los sistemas", "a la detección temprana de cualquier incidente que tenga lugar en los sistemas" ]], "informacion_entornos" : ["list", [ "los {mix:o,dispositivos|equipos} {mix:o,portátiles|móviles}", "los dispositivos periféricos", "los soportes de información", "las comunicaciones abiertas" ]], "interconexiones_tareas_de_refuerzo" : ["list", [ "la protección", "la detección", "la respuesta a incidentes de seguridad" ]], "actividad_actos" : ["list", [ "la monitorización", "el análisis", "la investigación", "la documentación de actividades {mix:o,indebidas|no autorizadas}" ]], "actividad_derechos" : ["list", [ "al honor", "a la intimidad personal", "a la intimidad famialiar", "a la propia imagen" ]], "actividad_garantias" : ["list", [ "el derecho {select:1-4,y,list:actividad_derechos}", "el {ue_2016_679} cara la función {mix:o,pública|laboral}", "las disposiciones que resulten de aplicación" ]], "actividad_objetivos" : ["list", [ "impedir el acceso no autorizado a {mix:y,las redes|los sistemas de información}", "detener ataques de {DoS}", "evitar la distribución malintencionada de código dañino", "evitar daños variados que puedan afectar a {mix:y,las redes|los sistemas de información}" ]], "actividad_principios" : ["list", [ "de limitación de finalidad", "de minimización de los datos", "de limitación del plazo de conservación" ]], "actividad_analisis_respetar" : ["list", [ "los principios de actuación de las {AAPP}", "lo dispuesto en el {ue_2016_679}", "los principios {rand:establecidos en el artículo 2 del {ens_ci} de este {RD}|select:1-3,y,list:actividad_principios}" ]], "titular_sistemas_información_disponibilidades" : ["list", [ "de mecanismos de detección", "de criterios de clasificación", "de procedimientos de {mix:y,análisis|resolución}", "de los cauces de comunicación a las partes interesadas", "del registro de las actuaciones" ]], "cumplimiento_requisitos_minimos_condiciones" : ["list", [ "los activos que constituyen los sistemas de información concernidos", "la categoría del sistema{rand:| según lo previsto {mix:y,en el Artículo 40|en el {ens_ai}}", "las decisiones que se adopten para gestionar los riesgos identificados" ]], "cumplimiento_requisitos_minimos_ampliacion_condiciones" : ["list", [ "del estado de la tecnología", "de la naturaleza", "de la información tratada", "de los servicios prestados", "de los riesgos a que estén expuestos" ]], "reemplazo_medidas_anexo_ii_condiciones" : ["list", [ "ser compensatorias", "justificar documentalmeente qué protegen{rand:| cara el riesgo sobre los activos}", "proteger igual o mejor", "satisfacer los principios básicos", "satisfacer los requisitos mínimos previstos en los {mix:y,{ens_cii}|{ens_ciii}}" ]], "auditoria_utiles" : ["list", [ "los criterios", "los métodos de trabajo", "la conducta", "la normalización nacional", "la normalización internacional" ]], "auditoria_elementos" : ["list", [ "los criterios medológicos utilizados", "el alcance", "el objetivo", "los datos de las conclusiones", "los hechos para las conclusiones", "las observaciones de las conclusiones" ]], "audotoria_deficiencias_altas" : ["list", [ "el tratamiento de informaciones", "la prestación de servicios", "la total operación del sistema" ]] }, "queries" : [{ "question" : "¿Cada cuánto tiempo ha de gestionarse una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 1 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : [ "{Cap:{rand:|al menos, }una} cada dos años.", "Cada vez que se produzcan modificaciones sustanciales en los sistemas de información que puedan repercutir en las medidas de seguridad requeridas." ] }, { "question" : "¿Desde cuándo se produce el conteo de los 2 años para la realización de una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 1 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["A partir de su última realización, independientemente de que ésta halla sido {select:1-2,o,extraordinaria|extendida}."] }, { "question" : "¿Se puede extender el periodo de realización de una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 1 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["Sí, por impedimentos de causa mayor no imputables a {mix:o,la entidad titualr del sistema|los sistemas de información concernidos}."] }, { "question" : "¿Cuál es el tiempo máximo de extensión del periodo de realización de una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 1 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["3 meses."] }, { "question" : "¿En base a cuáles de las siguientes opciones se realizará la auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 2 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["{Select:1-2,y,a la categoría del sistema|al perfil de cumplimiento específico}."] }, { "question" : "¿En cuales de las siguientes opciones se dispone los criterios para la realización de una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 2 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["{Select:1-2,y,en lo dispuesto en el Anexo {select:1-2,y,{ens_ai}|{ens_aiii}}|En la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información}."] }, { "question" : "¿Cuáles de la siguientes opciones se utilizará para la realización de una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 3 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["{Select:1-5,y,list:auditoria_utiles}."] }, { "question" : "¿Qué deberá dictaminar la auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 4 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["El grado de cumplimiento del {RD} identificando los hallazgos de {mix:y,cumplimiento|incumplimiento} detectados."] }, { "question" : "¿Cuáles de las siguientes opciones deberá incluir el informe de auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 4 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["{Select:1-6,y,auditoria_elementos}."] }, { "question" : "¿Qué regula una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["La Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información."] }, { "question" : "¿A quiénes de los siguientes se les presentan los informes de auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 5 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["Al {select:1-2,o,responsable del sistema de información|responsable de de la seguridad}."] }, { "question" : "¿Quién ha de adoptar las medidas correctoras adecuadas para subsanar los hallazgos detectados en una auditoría que verifique el cumplimiento de los requerimientos del {ens} según el Apartado 5 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["El responsable del sistema de información."] }, { "question" : "En caso de deficiencias de eventual gravedad en un sistema de categoría alta según el Apartado 6 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}. ¿Cuáles de las siguientes opciones estará habilitado para suspender temporalemente el responsable del sistema mientras no se establezcan las adecuadas medidas de {mix:o,subsanación|mitigación}?", "rights" : ["{Select:list:audotoria_deficiencias_altas}."] }, { "question" : "¿En qué casos, un responsable de sistema puede suspender temporalmente {rand:list:audotoria_deficiencias_altas} según el Apartado 6 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["Cuando la categoría del sistema sea Alta y sufra una eventual gravedad de deficiencias encontradas mientras éstos no se {mix:o,subsanen|mitiguen}."] }, { "question" : "¿Quiénes de los siguientes podrán requerir de los informes de auditoría, según el Apartado 7 del Artículo 31 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["{Cap:{rand:los responsables de cada organización con competencias en seguridad|el {CCN}}}."] }, { "question" : "¿Quén se encarga de elaborar un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información comprendidos en el ámbito de aplicación del Artículo 2 del Capítulo {ens_ci} del {ens} según el Apartado 1 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["La Comisión Sectorial de Administración Electrónica."] }, { "question" : "¿Cómo elaborará la Comisión Sectorial de Administración Electrónica un perfil general del estado de la seguridad en las entidades titulares de los sistemas de información comprendidos en el ámbito de aplicación del Artículo 2 del Capítulo {ens_ci} del {ens} según el Apartado 1 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["Recogiendo la información relacionada con el estado de las principales variables de la seguridad en los sistemas de información a los que se refiere el mismo {RD}."] }, { "question" : [ "¿Quién articulará los procedimientos necesarios para la {select:1-2,y,recogida|consolidación} de la información según el Apartado 2 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?", "¿Quién articulará los aspectos metodológicos para {select:1-2,y,el tratamiento|la explotación} de la información según el Apartado 2 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?", "¿Quiénes de los siguientes proporcionan las herramientas para que las autoridades compententes puedan impulsar las medidas oportunas para facilitar la mejora continua del estado de la seguridad según el Apartado 3 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?" ], "rights" : ["El {CCN}."] }, { "question" : "Cara la información que recogerá la Comisión Sectorial de Administración Electrónica. ¿De cuáles de las siguientes opciones se encarga el {CCN} según el Apartado 2 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["{Select:1-4,y,de la recogida|de la consolidación|del tratamiento|de la explotación}}."] }, { "question" : "¿Quiénes se encargan de impulsar las medidas oportunas para facilitar la mejora continua del estado de la seguridad según el Apartado 3 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["Las autoridades competentes."] }, { "question" : "¿Cuáles de las siguientes opciones son herramientas que usarán las autoridades competentes para impulsar las medidas oportunas para facilitar la mejora continua del estado de la seguridad según el Apartado 3 del Artículo 32 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["{Select:1-2,y,cuadros de mando|indicadores que contribuyan a la toma de decisines}."] }, { "question" : "¿Qué es el CCN?", "rights" : ["El Centro Criptológico Nacional."] }, { "question" : "¿Qué es CERT cara el CCN-CERT?", "rights" : ["El {rand:Computer Emergency Response Team|Equipo de Respuesta ante Incidentes de Seguridad}{rand:| del Centro Criptológico Nacional}."] }, { "question" : "¿Qué es el STIC cara el CCN-STIC?", "rights" : ["El Servicio de Tecnologías de {mix:y,la Información|las Comunicaciones}{rand:| del Centro Criptológico Nacional}."] }, { "question" : "¿Qué es el CSIRT?", "rights" : ["El {rand:Computer Security Incident Response Team|Equipo de Respuesta ante Incidentes de Seguridad Informática}."] }, { "question" : "¿Cuál es la estructura sobre la cual el {CCN} articulará la respuesta a los incidentes de seguridad según el Apartado 1 del Artículo 33 del Capítulo {ens_civ} del mismo {RD}?", "rights" : ["El {CCN_CERT}."] }] }, { "origin" : "KyMAN", "sources" : [], "title" : "Específico - Tema 28 - ENS", "group" : "kyman_examen_t28_b", "queries" : [{ "question" : "Según el Apartado 1 del Artículo 1 del Capítulo {ens_ci} del {ens}. ¿Para qué se estableció el {ens}?", "rights" : ["Para el regular el {ens} según lo establecido en el Apartado 2 del Artículo 156 del Capítulo {l_40_2015_tiii_civ} del Título {l_40_2015_tiii} de la {l_40_2015}."] }, { "question" : "¿Cuáles de las siguientes opciones son constituyentes del {ens}, según el Apartado 2 del Artículo 1 del Capítulo {ens_ci} del {ens}?", "rights" : ["Por los {select:1-2,y,principios básicos|requisitos mínimos necesarios} para {select:1-2,y,una protección adecuada de la información tratada|los servicios prestados} por las entidades de su ámbito de aplicación."] }, { "question" : "¿Cuáles de los siguientes son objetivos del {ens}, según el Apartado 2 del Artículo 1 del Capítulo {ens_ci} del {ens}?", "rights" : ["{Select:1-5,y,list:objetivos_acciones} de {select:1-3,y,list:objetivos_elementos} en el ejercicio de sus competencias."] }, { "question" : "¿En dónde podemos ver {select:1-2,y,los recursos|los procedimientos} integrantes del Sistema, según el Apartado 3 del Artículo 1 del Capítulo {ens_ci} del {ens}?", "rights" : ["En la {l_36_2015}."] }, { "question" : "¿Cuál es el ámbito de aplicación según el Apartado 1 del Artículo 2 del Capítulo {ens_ci} del {ens}?", "rights" : ["En todo el sector público{rand:| en los términos que se definen en el Artículo 2 del Titulo {l_40_2015_tp} de la {l_40_2015}{rand:|, de acuerdo con lo previsto en el Apartado 2 del Artículo 156 del Capítulo {l_40_2015_tiii_civ} del Título {l_40_2015_tiii} de la misma Ley}}."] }, { "question" : "¿En qué casos se externaliza el cumplimiento legal que atañen al {ens} según el Apartado 2 del Artículo 2 del Capítulo {ens_ci} del mismo {RD} cara el tratamiento de Información Clasificada?", "rights" : ["Nunca, sólo se complementa."], "wrongs" : [ "Dependiendo de los compromisos internacionales contraídos por España.", "La pertenencia de España a organismos o foros internacionales.", "Dependiendo de que se pise con el ámbito de aplicación con la {l_8_1968}.", "Cuando se trate de servicios de consultoría y auditoría.", "Cuando se trate de servicios de mantenimiento y soporte técnico.", "Cuando se trate de servicios en la nube.", "Cuando se trate de servicios de desarrollo y adaptación de sistemas y aplicaciones informáticas." ] }, { "question" : "¿A cuáles de los siguientes casos afecta al sector privado el Artículo 12 del Capítulo {ens_ciii} del {ens} cara la Política de Seguridad, según el Apartado 3 del Artículo 2 del Capítulo {ens_ci} del mismo {RD}?", "rights" : ["A los que presten servicios al sector público."] }, { "question" : "¿Qué órgano es el encargado de aprobar la Política de Seguridad según el Apartado 3 del Artículo 2 del Capítulo {ens_ci} del {ens}?", "rights" : ["El que ostente las máximas competencias ejecutivas."] }, { "question" : "¿Cuáles de las siguientes opciones son requerimientos en los pliegos de prescripciones administrastivas o técnicas de los contratos que celebren las entidades del sector público según el Apartado 3 del Artículo 2 del Capítulo {ens_ci} del {ens}?", "rights" : ["{Select:1-3,y,list:pliegos}."] }, { "question" : "Según el Apartado 3 del Artículo 2 del Capítulo {ens_ci} del {ens}. ¿A qué entidades se extienden los requerimientos de los pliegos de prescripciones administrativas o ténicas de los contratos que celebren las entidades del sector público?", "rights" : ["A la cadena de suministro."] }, { "question" : "Según el Apartado 3 del Artículo 2 del Capítulo {ens_ci} del {ens}. ¿A qué va condicionada la extensión de los requerimientos de los pliegos de prescripciones administrativas o ténicas de los contratos que celebren las entidades del sector público a la cadena de suministro?", "rights" : ["A los resultados del correspondiente análisis de riesgos."] }, { "question" : [ "¿Quiénes de los siguientes asesoran {mix:o,al responsable|al encargado} del tratamiento de los datos personales para la realización del análisis de riesgos establecido en el Artículo 24 del {ue_2016_679} según el Apartado 2 del Articulo 3 del {ens}?", "¿Quiénes de los siguientes asesoran {mix:o,al responsable|al encargado} del tratamiento de los datos personales para la realización de la evaluación establecida en el Artículo 35 del {ue_2016_679} según el Apartado 2 del Articulo 3 del {ens}?" ], "rights" : ["El delegado de protección de datos."] }, { "question" : [ "En caso de agravio en el análisis de riesgos establecido en el Artículo 24 del {ue_2016_679} según el Apartado 3 del Articulo 3 del {ens}. ¿Qué sucede?", "En caso de agravio en la evaluación establecida en el Artículo 35 del {ue_2016_679} según el Apartado 3 del Articulo 3 del {ens}. ¿Qué sucede?" ], "rights" : ["Prevalecerán las medidas a implantar por parte de dicha acción."] }, { "question" : "¿Cuáles de los siguientes son objetivos últimos de la seguridad cara una organización según el Artículo 5 del Capítulo {ens_cii} del {ens}?", "rights" : ["{Select:1-3,y,list:objetivos_ultimos}."] }, { "question" : "¿Cuáles de los siguientes son principios básicos del {ens} según el Artículo 5 del Capítulo {ens_cii} del {ens}?", "rights" : ["{Select:1-4,y,list:principios_basicos}."] }, { "question" : "¿Cuáles de los siguientes son elementos del proceso integral de la seguridad, según el Apartado 1 del Artículo 6 del Capítulo {ens_cii} del {ens}?", "rights" : ["{Select:1-4,y,list:proceso_integral_elementos} relacionados con el sistema de información."] }, { "question" : "¿Para qué se prestará la máxima atención a la concienciación {mix:y,de las personas que intervienen en el proceso|de los responsables jerárquicos} según el Apartado 2 del Artículo 6 del Capítulo {ens_cii} del {ens}?", "rights" : ["Para evitar que {mix:y,list:fuentes_de_riesgo} constituyan fuentes de riesgo para la seguridad."] }, { "question" : "Según el Apartado 2 del Artículo 6 del Capítulo {ens_cii} del {ens}. ¿Cuáles de las siguientes opciones se deben evitar pues constituyan fuentes de riesgo para la seguridad cara {select:1-2,y,las personas que intervienen en el proceso|los responsables jerárquicos}?", "rights" : ["{Select:1-4,y,list:fuentes_de_riesgo}."] }, { "question" : "¿Cuáles de las siguientes opciones van proporcionadas las medidas de seguridad cara la reducción de los riesgos según el Apartado 2 del Artículo 7 del Capítulo {ens_cii} del {ens}?", "rights" : ["{Select:1-3,y,a la naturaleza de la información tratada|de los servicios a prestar|de los riesgos a los que estén expuestos}."] }, { "question" : "¿Cuál es el objetivo de la gestión de riesgos según el Apartado 2 del Artículo 7 del Capítulo {ens_cii} del {ens}?", "rights" : ["Mantener un entorno controlado minimizando los riesgos a niveles aceptables."] }, { "question" : "¿De qué se encargan las medidas de detección de un sistema de seguridad según el Apartado 3 del Artículo 8 del Capítulo {ens_cii} del {ens}?", "rights" : [ "De descubrir la presencia de un ciberincidente.", "De identificar las posibles incidencias de seguridad." ] }, { "question" : "¿De qué se encargan las medidas de respuesta de un sistema de seguridad según el Apartado 4 del Artículo 8 del Capítulo {ens_cii} del {ens}?", "rights" : ["De restaurar la información y los servicios {rand:|que puedieren verse }afectados{rand:| por un incidente de seguridad}."] }, { "question" : "¿De qué se encargan las medidas de prevención de un sistema de seguridad según el Apartado 2 del Artículo 8 del Capítulo {ens_cii} del {ens}?", "rights" : ["De {mix:o,eliminar|reducir} la posibilidad de que las amenazas lleguen a materializarse."] }, { "question" : "¿Qué se garantiza sobre los principios básicos y las medidas de seguridad según el Apartado 5 del Artículo 8 del Capítulo {ens_cii} del {ens}?", "rights" : ["Garantizar la conservación de los {mix:y,datos|información} en soporte electrónico."] }, { "question" : "Según el Apartado 5 del Artículo 8 del Capítulo {ens_cii} del {ens}. ¿Cómo se podrá garantizar la disponibilidad de los servicios durante todo el ciclo vital de la informacioń digital?", "rights" : ["Mediante {mix:y,una concepción|procedimientos} que sean la base para la preservación del patrimonio digital."] }, { "question" : "Según el Apartado 1 del Artículo 8 del Capítulo {ens_cii} del {ens}. ¿Cuáles de las siguientes opciones deberán contemplar las seguridad cara la reducción de {mix:y,vulnerabilidades|materialización de amenazas}?", "rights" : ["{Mix:y,la prevención|la detección|la respuesta}."] }, { "question" : "En caso de no lograr la reducción de {select:1-2,o,las amenazas|las vulnerabilidades} según el Apartado 1 del Artículo 8 del Capítulo {ens_cii} del {ens}. ¿Qué se deberá hacer?", "rights" : ["Evitar que éstas afecten gravemente {mix:o,a la información que maneja|a los servicios que presta}."] }, { "question" : "¿Cuáles de los siguientes son objetivos del uso de múltiples líneas de defensa según el Apartado 1 del Artículo 9 del Capítulo {ens_cii} del {ens}?", "rights" : ["{Select:1-2,y,reducir la probabilidad de compromiso del sistema|minimizar el impacto final sobre el sistema}."] }, { "question" : "¿De cuántas capas de seguridad ha de contar un sistema de información según el Apartado 1 del Artículo 9 del Capítulo {ens_cii} del {ens}?", "rights" : ["De varias.", "Múltiples."] }, { "question" : "¿Cuál de las siguientes opciones son parte de cómo han de disponerse las capas de seguridad según el Artículo 9 del Capítulo {ens_cii} del {ens}?", "rights" : [ "De forma que reduzca {select:1-2,y,el impacto|el compromiso del sistema}.", "Por medidas de naturaleza {select:1-3,y,organizativa|física|lógica}." ] }, { "question" : "¿Para qué es necesaria la vigilancia continua según el Apartado 1 del Artículo 10 del Capítulo {ens_cii} del {ens}?", "rights" : ["Para la detección de {mix:o,actividades|comportamientos} anómalos y su portuna respuesta."] }, { "question" : "¿Qué se debe {select:1-2,y,actualizar|reevaluar} periódicamente según el Apartado 3 del Artículo 10 del Capítulo {ens_cii} del {ens}?", "rights" : ["Las medidas de seguridad."] }, { "question" : "¿Cómo han de {select:1-2,y,reevaluarse|actualizarse} las medidas de seguridad según el Apartado 3 del Artículo 10 del Capítulo {ens_cii} del {ens}?", "rights" : ["Adecuando su eficacia a {mix:y,la evolución de los riesgos|los sistemas de protección}."] }, { "question" : "¿Para qué sirve la evaluación permanente del estado de la seguridad de los activos según el Apartado 2 del Artículo 10 del Capítulo {ens_cii} del {ens}?", "rights" : ["Para medir su evolución, {mix:y,detectando vulnerabilidades|identificando deficiencias de configuración}."] }, { "question" : [ "Según el Apartado 2 del Artículo 13 del Capítulo {ens_ciii} del {ens}. ¿Cuáles de los siguientes han de identificar inequívocamente a los responsables de la organización?", "¿Cuáles de los siguientes son responsables que han de diferenciarse según el Apartado 1 del Artículo 11 del Capítulo {ens_cii} del {ens}?" ], "rights" : ["{Select:1-4,y,list:responsables}."] }, { "question" : "¿En dónde se datallarán {select:1-3,y,list:politicas_de_seguridad} según el Apartado 3 del Artículo 11 del Capítulo {ens_cii} del {ens}?", "rights" : ["En la Política de Seguridad."] }, { "question" : "Cuáles de las siguientes opciones son elementos que ha de detallar la Política de Seguridad según el Apartado 3 del Artículo 11 del Capítulo {ens_cii} del {ens}?", "rights" : ["{Select:1-3,y,list:politicas_de_seguridad}."] }, { "question" : "¿Qué es la Política de Seguridad según el Apartado 1 del Artículo 12 del Capítulo {ens_ciii} del {ens}?", "rights" : ["El conjunto de directrices que rigen la forma en que una organización {mix:y,gestiona|protege} {mix:y,la información que trata|los servicios que presta}."] }, { "question" : "¿Cuáles de las siguientes opciones pertenencen a las Políticas de Seguridad según el Apartado 1 del Artículo 12 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-6,y,list:politicas_de_seguridad_elementos}."] }, { "question" : "¿Cuándo {select:1-2,y,list:entidades_politicas_comunes} pueden tener su propia Política de Seguridad según el Apartado 5 del Artículo 12 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Cuando asumen la responsabilidad de la seguridad de la información de los sistemas municipales."] }, { "question" : [ "¿Cuáles de los siguientes son los requisitos mínimos que ha de contener la Política de Seguridad según el Apartado 6 del Artículo 12 del Capítulo {ens_ciii} del {ens}?", "¿En cuáles de las siguientes opciones se desglosan los principios básicos{rand:| señalados en el Capítulo {ens_ciii}} según el Apartado 6 del Artículo 12 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["{Select:1-10,y,list:politicas_requisitos_minimos}."] }, { "question" : "¿Qué han de hacer los miembros de una organización cara la seguridad de la organización, según el Apartado 2 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Identificar a cada uno de los responsables{rand:| establecidos {select:1-2,y,en el Artículo 11 del Capítulo {ens_cii}|detallados en la sección 3.1 del Anexo {ens_aii}}."] }, { "question" : "¿Qué sucede cuando {select:1-2,y,el grado jerárquico es distinto|es la misma persona} entre el responsable de sistemas y el responsable de seguridad según el Apartado 3 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Habrá que garantizar la finalidad del principio de diferenciación de responsabilidades{rand:| previsto en el Artículo 11}."] }, { "question" : "¿Cómo se regulará el Esquema de Certificación de Responsabilidades de la Seguridad según el Apartado 4 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Por una Instrucción Técnica."] }, { "question" : "¿Qué ha de contener la Instrucción Técnica que regule el Esquema de Certificación de Responsabilidades de la Seguridad según el Apartado 4 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Mix:y,las condiciones|los requisitos} exigibles a dicha figura."] }, { "question" : "¿En qué caso ha de establecerse un POC según el Apartado 5 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Cuando los servicios de seguridad están externalizados, salvo por causa {mix:y,justificada|documentada}."] }, { "question" : "¿Cuáles de las siguientes opciones son misiones de un POC según el Apartado 5 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-4,y,list:misiones_poc}"] }, { "question" : "¿En donde reside la responsabilidad última de la seguridad según el Apartado 5 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["En la entidad del sector público destinataria de los servicios."] }, { "question" : "¿Qué metodologías se usarán para el {mix:y,análisis|gestión} de riesgos según el Apartado 2 del Artículo 14 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Metodologías reconocidas internacionalmente{rand:| independientemente de lo dispuesto en el Anexo {ens_aii}}."] }, { "question" : "¿Cómo deberán de ser las medidas para {select:1-2,o,{rand:reducir|mitigar}|suprimir} los riesgos según el Apartado 3 del Artículo 14 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Justificadas, con la proporcionalidad entre {mix:y,éstas|los riesgos}."] }, { "question" : "¿De cuáles de las siguientes opciones deberán ser {mix:y,formados|informados} el personal relacionado con los sistemas de información sujetos al {ens} según el Apartado 1 del Artículo 15 del Capítulo {ens_ciii} del mismo {RD}?", "rights" : ["De sus {select:1-3,y,deberes|obligaciones|responsabilidades} en materia de seguridad."] }, { "question" : "¿Cómo se verificará que se siguen los procedimientos establecidos, segun el Apartado 1 del Artículo 15 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Mediante supervisión."] }, { "question" : "¿Cómo será la supervisión de la actividad cara el personal relacionado con los sistemas de información sujetos al {ens} según el Apartado 1 del Artículo 15 del Capítulo {ens_ciii} del mismo {RD}?", "rights" : ["Aplicando {mix:y,las normas|los procedimientos} operativos de seguridad aprobados en el desempeño de sus cometidos."] }, { "question" : "¿Cuáles de las siguientes opciones pertenencen a las fases del ciclo de vida de la seguridad de los sistemas de información según el Apartado 1 del Artículo 16 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-9,y,list:ciclo_de_vida}."] }, { "question" : "¿Cuáles de las siguiente sopciones han de exigir las entidades del ámbito de aplicación del {ens} a las organizaciones que les presten servicios de seguridad según el Apartado 2 del Artículo 16 del Capítulo {ens_ciii} del mismo {RD}?", "rights" : ["Que cuenten {select:1-3,y,con profesionales cualificados|con niveles idóneos de gestión|con madurez en los servicios prestados}"] }, { "question" : "¿Cómo se controlarán los accesos a los sistemas de información según el Artículo 17 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Mediante la limitación de acceso a los sistemas información{rand:| como {select:2-3,usuarios|procesos|dispositivos}, etc}."] }, { "question" : "¿Cómo se limita el acceso a los sistemas de información según el Artículo 17 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Concediendo debidamente las autorizaciones exclusivamente a las funciones permitidas."] }, { "question" : "¿Cómo ha de ser la protección de las instalaciones de los sistemas de información y su infraestructura asociada según el Artículo 18 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Han de {mix:y,permanecer en áreas controladas|disponer de los mecanismos de acceso {mix:,y,adecuados y proporcionales}} en función del análisis de riesgos."] }, { "question" : "¿Cómo será la utilización {select:1-2,o,de productos de seguridad|contratación de servicios de seguridad} de las tecnologías de {select:1-2,y,la información|la comunicación} adquiridos que vayan a ser empleados en los sistemas de información del ámbito de aplicación del {ens} según el Apartado 1 del Artículo 19 del Capítulo {ens_ciii} del mismo {RD} entre las siguientes opciones?", "rights" : ["Proporcional {select:1-2,y,a la categoría del sistema|al nivel de seguridad}."] }, { "question" : "¿Cómo ha de ser la funcionalidad de seguridad relacionada con la adquisisión {select:1-2,o,de productos de seguridad|contratación de servicios de seguridad} de las tecnologías de {select:1-2,y,la información|la comunicación} según el Apartado 1 del Artículo 19 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Certificada."] }, { "question" : "¿De cuáles de las siguientes opciones se encarga de determinar el Organismo de Certificación del {ens} y Certificación del Seguridad de las Tecnologías de la Información del {ccn} según el Apartado 2 del Artículo 19 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-3,y,list:ccn_competencias}."] }, { "question" : "¿Cuáles de las siguientes opciones pertenecen al mínimo privilegio según el Artículo 20 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-3,y,list:minimo_privilegio}."] }, { "question" : "¿Qué implica, en el aspecto de mínimo privilegio, la {select:1-2,o,eliminación|desactivación} de funciones {select:1-2,o,innecesarias|inadecuadas} según el Punto c del Artículo 20 del Capítulo {ens_ciii} del {ens}?", "rights" : [ "Un uso ordinario {mix:y,sencillo|seguro} del sistema.", "Para que un usuario realice una acción insegura requiera de un acto consciente por parte del mismo." ] }, { "question" : "¿A qué van condicionadas las guías de configuracioń de seguridad para las diferentes tecnologías según el Punto d del Artículo 20 del Capítulo {ens_ciii} del {ens}?", "rights" : ["A la categorización del sistema."] }, { "question" : [ "¿Qué vinculan los puntos C y D del Artículo 20 del Capítulo {ens_ciii} del {ens}?", "¿Cuál es el efecto que se busca con las guías de configuración de seguridad del Punto d del Artículo 20 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["La {mix:o,eliminación|desactivación} de funciones {mix:o,innecesarias|inadecuadas}"] }, { "question" : "¿Qué requerirá previamente la {select:1-2,o,inclusión|modificación} de cualquier elemento {select:1-2,o,físico|lógico} en el sistema de información según el Apartado 1 del Artículo 21 del Capítulo {ens_ciii} del {ens}?", "rights" : ["La autorización formal."] }, { "question" : "¿Para cuáles de los siguientes casos se realiza la {select:1-2,y,evaluación|monitorización} permanentes del sistema según el Apartado 2 del Artículo 21 del Capítulo {ens_ciii} del {ens}?", "rights" : "Para la adecuación de la seguridad del sistema." }, { "question" : "¿A qué va condicionada la adecuación del estado de seguridad de los sistemas dentro de la {mix:y,evaluación|monitorización}, según el Apartado 2 del Artículo 21 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-4,y,list:monitorizacion_condiciones}."] }, { "question" : "¿Cuáles de las siguientes opciones son dispostivos que han de ser analizados especialmente cuando hablamos {rand:del Apartado 1 del del Artículo 22|de protección de información almacenada y en tránsito} del Capítulo {ens_ciii} del {ens} para lograr una adecuada protección?", "rights" : ["{Select:1-4,y,list:informacion_entornos}."] }, { "question" : "¿A cuánto tiempo ha de garantizarse la {select:1-2,y,recuperación|conservación} de los documentos según el Apartado 2 del Artículo 22 del Capítulo {ens_ciii} del {ens} cuando ello sea exigible?", "rights" : ["A largo plazo."] }, { "question" : "¿Cómo ha de protegerse la información que se encuentre en un soporte no electrónico que haya sido generada por {select:1-2,o,causa|consecuencia} de la información electrónica según el Apartado 3 del Artículo 22 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Al mismo grado de seguridad que la información electrónica."] }, { "question" : "¿Cómo se puede garantizar la protección de la información en soporte no electrónico generado a partir de información electrónica según el Apartado 3 del Artículo 22 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Con las medidas que correspondana a dichos soportes{rand:| en conformidad con las normas que resulten de aplicación}."] }, { "question" : "¿Qué Ley regular la protección del perímetro del sistema de información ante interconexiones según el Artículo 23 del Capítulo {ens_ciii} del {ens}?", "rights" : ["La {l_9_2014}."] }, { "question" : "¿En qué casos tiene más fuerza la protección del perímetro de los sistemas de información ante interconexiones, según el Artículo 23 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Cuándo dichos sistemas se conectan a redes públicas."] }, { "question" : "¿Cuáles de las siguientes tareas hay que reforzar cuando hablamos de proteger los sistemas de información ante interconexiones según el Artículo 23 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{select:1-3,y,list:interconexiones_tareas_de_refuerzo}."] }, { "question" : "¿Cómo se puede llevar a cabo la protección entre sistemas de información interconectados según el Artículo 23 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-2,y,analizando los riesgos derivados|controlando el punto de unión} de dichas interconexiones."] }, { "question" : "¿Qué determina una adecuada interconexión entre sistemas de información según el Artículo 23 del Capítulo {ens_ciii} del {ens}?", "rights" : ["La Instrucción Técnica de Seguridad correspondiente."] }, { "question" : "¿Cuál es el objetivo cara {select:1-4,y,list:actividad_actos} según el Apartado 1 del Artículo 24 del Capítulo {ens_ciii} del {ens}?", "rights" : "Identificar en cada momento a la persona que actúa." }, { "question" : "¿A cuáles de las siguientes opciones va condicionada {select:1-4,y,actividad_actos} orientados a la identificación en cada momento de la persona que actúa según el Apartado 1 del Artículo 24 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-3,y,list:actividad_garantias}."] }, { "question" : "¿Qué información es la que se retiene cara la actividad de {select:1-4,y,monitorización|análisis|investigación|documentación} de actividades {mix:o,indebidas|no autorizadas} según el Apartado 1 del Artículo 24 del Capítulo {ens_ciii} del {ens}?", "rights" : ["La estrictamente necesaria{rand:|, siempre de acuerdo con respetar {select:1-3,y,list:actividad_garantias}}."] }, { "question" : "¿Cuáles de las siguietes opciones son objetivos cara el análisis de las comunicaciones {select:1-2,o,entrantes|salientes} según el Apartado 2 del Artículo 24 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-4,y,list:actividad_objetivos}."] }, { "question" : "¿Qué ha de respetarse para llevar a cabo el análisis de las comunicaciones {select:1-2,o,entrantes|salientes} según el Apartado 2 del Artículo 24 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-3,y:list:actividad_analisis_respetar}."] }, { "question" : [ "¿Cómo se puede exigir responsabilidades según el Apartado 3 del Artículo 24 del Capítulo {ens_ciii} del {ens}?", "¿Cómo se puede garantizar la identificación en cada momento de la persona que actúa{rand:|, establecido en el Apartado 1 del mismo artículo,} según el Apartado 3 del Artículo 24 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["Mediante la identificación única de acceso de cada usuario que haya realizado una determinada actividad."] }, { "question" : "¿Qué requiere una entidad titutal de los sistemas de información del ámbito del {ens} según el Apartado 1 del Artículo 25 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Disponer de un procedimiento de gestión a incidentes de seguridad{rand:| de acuerdo con lo previsto en el artículo 33 del Capítulo {ens_iv} del mismo {RD}}."] }, { "question" : "¿Qué condiciones requiere el procedimiento de gestión de incidentes de seguridad según el Apartado 1 del Artículo 25 del Capítulo {ens_ciii} del {ens}, las entidades titulares de los sistemas de información que se traten {select:1-2,o,de un operador de servicios esenciales|de un proveedor de servicios digitales}?", "rights" : ["Lo previsto en el Anexo del {rd_43_2021}."] }, { "question" : "Según el Apartado 2 del Artículo 25 del Capítulo {ens_ciii} del {ens}. ¿De cuales de las siguientes copiones deberá disponer la entidad titula de los sistemas de información en el ámbito del {ens}?", "rights" : "{Select:1-5,y,titular_sistemas_información_disponibilidades}." }, { "question" : "Según el Apartado 2 del Artículo 25 del Capítulo {ens_ciii} del {ens}. ¿Cuál es el objetivo del registro de actuaciones?", "rights" : ["Para la mejora continua de la seguridad del sistema."] }, { "question" : "¿Cuáles de las siguientes opciones se exige el Artículo 26 del Capítulo {ens_ciii} del {ens} cara la continuidad de la actividad?", "rights" : ["{Select:1-2,y,disponer de copias de seguridad|establecer los mecanismos necesarios para garantizar la continuidad de las operaciones en caso de la pérdidad e los medios habituales}."] }, { "question" : "¿Cada cuánto tiempo ha de ser {select:1-2,y,actualizado|mejorado} el proceso{rand:| integral} de seguridad implantado según el Artículo 27 del Capítulo {ens_ciii} del {ens}?", "rights" : ["De forma continua."] }, { "question" : "¿Cómo se garantiza la mejora continua del proceso{rand:| integral} de seguridad según el Artículo 27 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Aplicando los {mix:y,criterios|métodos} reconocidos en la práctica {mix:y,internacional|nacional} relativos a la gestión de la seguridad de las tencologías de la información."] }, { "question" : [ "¿Qué {select:1-2,y,medidas|refuerzos} han de adoptar las entidades propietarias de los sistemas de información según el Apartado 1 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "¿Cuáles son {select:1-2,y,las medidas|los refuerzos} a establecer para el cumplimiento de los requisitos mínimos son mínimos exigibles según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["Lo establecido en el {ens_aii}."] }, { "question" : "¿Cuáles de las siguientes opciones son elementos a tener en cuenta cara la adopción de {select:1-2,y,las medidas|los refuerzos} establecidas en el {ens_aii} según el Apartado 1 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-3,y,list:cumplimiento_requisitos_minimos_condiciones}."] }, { "question" : "¿Pueden ser ampliables {select:1-2,y,las medidas|los refuerzos} establecidos cómo mínimos exigibles cara el cumplimiento de los requisistos mínimos según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Sí, a criterio del responsable de ciberseguridad."] }, { "question" : [ "¿Quién puede ampliar {select:1-2,y,las medidas|los refuerzos} establecidos cómo mínimos exigibles cara el cumplimiento de los requisistos mínimos según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "¿Qué es la Declaración de Aplicabilidad según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "En caso de haber reemplazos compensatorios cara el cumplimiento de los requisitos mínimos. ¿Quién aprueba la Declaración de Aplicabilidad según el Apartado 3 del Artículo 28 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["El responsable de seguridad."] }, { "question" : "Cara la ampliación de {select:1-2,y,las medidas|los refuerzos} establecidos cómo mínimos exigibles según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}. ¿Cuáles de las siguientes opciones son elementos condicionan las medidas adicionales?", "rights" : ["Las {select:1-5,y,list:cumplimiento_requisitos_minimos_ampliacion_condiciones}."] }, { "question" : [ "¿Cómo se llama el documento donde se formalizarán la relación de medidas de seguridad seleccionadas según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "¿En qué documento se formalizarán la relación de medidas de seguridad seleccionadas según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["La Declaración de Aplicabilidad."] }, { "question" : "¿Qué es la Declaración de Aplicabilidad según el Apartado 2 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Donde se formalizan las medidas de seguridad seleccionadas para el cumplimiento de los requisitos mínimos."] }, { "question" : "¿Se pueden reemplazar las medidas de seguridad referenciadas en el {ens_aii} según el Apartado 3 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Sí, por otras que proporcionen un nivel de seguridad equivalente o superior."] }, { "question" : "¿Cuáles de las siguientes opciones son condiciones que han de cumplir los reemplazos de las medidas de seguridad referenciadas en el {ens_aii} según el Apartado 3 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-5,y,list:reemplazo_medidas_anexo_ii_condiciones}."] }, { "question" : "¿Cómo se integran los reemplazos compensatorios en la Declaración de Aplicabilidad según el Apartado 3 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["De forma detallada, la relación entre las medidas compensatorias y las medidas del {ens_aii} que compensan."] }, { "question" : "¿Existe alguna guía para poder desarrollar la Declaración de Aplicabilidad fuera del {ens} según el Apartado 3 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Sí, del {CCN_STIC}."] }, { "question" : "¿Cuáles de las siguientes opciones contiene la guía cara la Declaración de Aplicabilidad del {CCN_STIC} según el Apartado 3 del Artículo 28 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-3,y,la selección|el registro|la inclusión} de las medidas de seguridad en la propia Declaración de Aplicabilidad."] }, { "question" : "¿Para qué se utilizan {select:1-2,y,las infraestructuras|los servicios} comunes según el Artículo 29 del Capítulo {ens_ciii} del {ens}?", "rights" : ["PAra facilitar el complimiento de lo dispuesto en el {ens}."] }, { "question" : "¿Quiénes determinarán el uso de {select:1-2,y,las infraestructuras|los servicios} comunes según el Artículo 29 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Cada Administración Pública."] }, { "question" : "Según el Apartado 1 del Artículo 30 del Capítulo {ens_ciii} del {ens}. ¿Se pueden establecer perfiles de cumplimiento específicos?", "rights" : ["Sí{rand:|, {select:1-2,y,aunque sólo a {select:1-2,o,determinadas entidades|determinados sectores de activdad concretos|{select:1-3,y,en virtud del principio de proporcionalidad|buscando una {select:1-2,y,eficad|eficiente} aplicación del {ens}}}}."] }, { "question" : "¿Qué se requiere para poder establecer los perfiles de cumplimiento específicos según el Apartado 1 del Artículo 30 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Que tras el preceptivo análisis de riesgos resulten idóneas para una concreta categoría de seguridad."] }, { "question" : "¿Cómo se posibilita la adecuada {select:1-2,y,implementación|configuración} de {select:1-2,o,soluciones|plataformas} suministradas por terceros, que vayan a ser usadas por entidades comprendidas en el ámbito de aplicación del {ens} según el Apartado 2 del Artículo 30 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Mediante la posibilidad de implementar esquemas de {mix:y,acreditación de entidades|validación de personas} que garanticen la seguridad de dichas {mix:o,soluciones|plataformas}{rand:| en conformidad con lo dispuesto en dicho {RD}}."] }, { "question" : "¿Cuáles de las siguientes son funciones del {CCN} según el Apartado 3 del Artículo 30 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-2,y,validar|publicar} los correspondientes perfiles de cumplimiento específicos."] }, { "question" : "¿Cuáles de las siguientes opciones han de aparecer en {rand:las instrucciones técnias de seguridad|las guías de Seguridad {CCN_STIC}} según el Apartado 4 del Artículo 30 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Cara los {select:1-3,o,productos|sistemas|servicios}, {select:1-2,y,las condiciones a las que han de sujetarse las implementaciones en modo local originalmente prestados {select:1-2,o,en la nube|en forma remota}|las condiciones específicas para la {select:1-2,y,evaluación|auditoría}"] }] }, { "origin" : "KyMAN", "sources" : [], "title" : "Específico - Tema 28 - ENS - Normativas", "group" : "kyman_examen_t28", "queries" : [{ "question" : "¿En dónde se establece el {ens} legalmente en España, según el Apartado 1 del Artículo 1 del Capítulo {ens_ci} del {ens}?", "rights" : ["En el Apartado 2 del Artículo 156 del Capítulo {l_40_2015_tiii_civ} del Título {l_40_2015_tiii} de la {l_40_2015}."], "brothers_are_wrongs" : true }, { "question" : "¿A qué va condicionada {select:1-3,y,la instalación|el despliegue|la explotación} de las redes 5G según el Apartado 4 del Artículo 2 del Capítulo {ens_ci} del {ens}?", "rights" : ["Al {rdl_7_2022}."], "brothers_are_wrongs" : true }, { "question" : "¿De cuáles de las siguientes opciones son normativas que depende para los sistemas de información que traten datos personales según el Apartado 1 del Artículo 3 del Capítulo {ens_ci} del {ens}?", "rights" : ["De el {ue_2016_679}."], "brothers_are_wrongs" : true }, { "question" : "¿Cuáles de las siguientes leyes fueron derogadas por el {ens} cara los sistemas de información que traten datos personales según el Apartado 1 del Artículo 3 del Capítulo {ens_ci} del mismo {RD}?", "rights" : ["De {select:1-2,y,la {lo_7_2021}|la {lo_3_2018}|el {d_95_46_ce_ley}}."], "brothers_are_wrongs" : true }, { "question" : "¿De cuáles de las siguientes opciones depende la contratación de servicios de seguridad según el Apartado 3 del Artículo 19 del Capítulo {ens_ciii} del {ens}?", "rights" : [ "De lo establecido en el Artículo 19 del {rd_3_2010}.", "De lo establecido en el Artículo 16 del {rd_3_2010}." ], "brothers_are_wrongs" : true }, { "question" : "¿Cómo ha de conformarse la protección de las instalaciones de los sistemas de información y su infraestructura asociada cara {rand:la {l_8_2011}|el {rd_704_2011}} según el Artículo 18 del Capítulo {ens_ciii} del {ens}?", "rights" : ["De acuerdo a lo establecido en dicho artículo, sin perjuicio de dicha Ley."], "brothers_are_wrongs" : true }, { "question" : "¿Sobre qué está constituído el Organismo de Certificación del {ens} y Certificación de Seguridad de las Tecnologías de la Información del {ccn} según el Apartado 2 del Artículo 19 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Al amparo de lo dispuesto en el Apartado 2 del Artículo 2 del {rd_421_2024}."], "brothers_are_wrongs" : true }] }, { "origin" : "KyMAN", "sources" : [], "title" : "Específico - Tema 28 - ENS - Sí y no", "group" : "kyman_examen_t28", "queries" : [{ "question" : "¿Pueden, las medias de prevención, incorpoar componentes orientados {select:1-2,o,a la disuasión|a la reducción de la superficie de exposición} según el Apartado 2 del Artículo 8 del Capítulo {ens_cii} del {ens}?", "rights" : ["Sí."], "brothers_are_wrongs" : true }, { "question" : "Según el Apartado 3 del Artículo 10 del Capítulo {ens_cii} del {ens}. ¿Podría darse el caso de que hubiera un replanteamiento de la seguridad?", "rights" : ["Sí, si se diera el caso cara {mix:y,la adecuación|la eficacia}."], "brothers_are_wrongs" : true }, { "question" : "¿Es la misma persona o equipo de personas el responsable de la seguridad y el responsable del sistema según el Apartado {select:1-2,y,1|2} del Artículo 11 del Capítulo {ens_cii} del {ens}?", "rights" : ["No."], "brothers_are_wrongs" : true }, { "question" : "¿Se exigen los mismos requisitos mínimos en la Política de Seguridad que tenemos en el Apartado 6 del Artículo 12 del Capítulo {ens_ciii} del {ens} según el Apartado 7 del mismo Artículo para todas las entidades del sector público?", "rights" : ["No{rand:|, irán en conformidad con el Artículo 28 del {ens_ciii} del {ens}|, se adaptarán a los riesgos identificados en cada sistema}."], "brothers_are_wrongs" : true }, { "question" : "¿Se puede considerar que un sistema no tenga 'riesgos significativos' según el Apartado 7 del Artículo 12 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Sí{rand:|, y podrán obviarse cara ciertos requisitos mínimos|, si así lo determina el análisis de riesgos}."], "brothers_are_wrongs" : true }, { "question" : "¿Se pueden delegar las supervisiones del responsable del sistema según el Apartado 2 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Sí, por {mix:o,administrador|operadores} bajo su responsabilidad."], "brothers_are_wrongs" : true }, { "question" : [ "¿Pueden ser la misma persona tanto el responsable de sistemas como el responsable de seguridad según el Apartado 3 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "¿Pueden tener distinto grado jerárquico el responsable de sistemas como el responsable de seguridad según el Apartado 3 del Artículo 13 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["No, salvo en los casos que se justifique la imposibilidad."], "brothers_are_wrongs" : true }, { "question" : "¿La implementación de funciones de {select:1-3,y,operación|administración|registro} de actividad para el mínimo privilegio podría conllevar restricciones {select:1-2,y,de horarios|de puntos de acceso facultados}, según el Punto b del Artículo 20 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Sí."], "brothers_are_wrongs" : true }] }, { "origin" : "KyMAN", "sources" : [], "title" : "Específico - Tema 28 - ENS - Órganos", "group" : "kyman_examen_t28", "queries" : [{ "question" : [ "¿Quiénes de los siguientes tienen la obligación de realizar un análisis de riesgos conforme al Artículo 24 del {ue_2016_679} según el Apartado 2 del Articulo 3 del {ens}?", "¿Quiénes de los siguientes tienen la obligación de ññevar a cabo una evaluación conforme al Artículo 35 del {ue_2016_679} según el Apartado 2 del Articulo 3 del {ens}?" ], "rights" : ["{Mix:o,el responsable|los encargados del tratamiento}."], "brothers_are_wrongs" : true }, { "question" : "Según el Apartado 2 del Artículo 12 del Capítulo {ens_ciii} del {ens}. ¿Quiénes de los siguientes tienen la obligación de tener una Política de Seguridad?", "rights" : [ "Cada Administración Pública.", "Cada {select:1-2,o,órgano|entidad} con personalidad jurídica propia que {select:1-2,y,presten servicios|provean soluciones} al sector público." ], "brothers_are_wrongs" : true }, { "question" : [ "¿Quiénes son los encargados de aprobar las Políticas de Seguridad según el Apartado 2 del Artículo 12 del Capítulo {ens_ciii} del {ens}?", "¿Quiénes son los que determinan qué sujetos del sector público quedan incluídos en las Políticas de Seguridad según el Apartado 2 del Artículo 12 del Capítulo {ens_ciii} del {ens}?" ], "rights" : ["El órgano competente."], "brothers_are_wrongs" : true }, { "question" : "Según los Apartados 3 y 4 del Artículo 12 del Capítulo {ens_ciii} del {ens}. ¿Quiénes de los siguientes tienen su propia Política de Seguridad?", "rights" : ["{Select:1-4,y,list:entidades_politicas_propias}."], "wrongs" : ["{Select:1-4,y,list:entidades_politicas_comunes|list:entidades_politicas_propias}."], "brothers_are_wrongs" : true }, { "question" : "¿A quiénes tiene que compromoter la seguridad de los sistemas de información según el Apartado 1 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["A todos los miembros de la organización."], "brothers_are_wrongs" : true }, { "question" : "¿Quiénes de los siguientes sería el POC de seguridad dentro de la organización contratada según el Apartado 5 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Select:1-3,o,el responsable de seguridad|alguien que forme parte de su área|alguien que tenga comunicación directa con la misma}."], "brothers_are_wrongs" : true }, { "question" : "¿Qué es un POC según el Apartado 5 del Artículo 13 del Capítulo {ens_ciii} del {ens}?", "rights" : ["{Mix:o,la Persona|el Punto} de Contacto."], "brothers_are_wrongs" : true }, { "question" : "¿Quiénes de los siguientes paorbarán las normas de seguridad que determinan el {select:1-2,y,significado|alcance} del uso seguro según el Apartado 2 del Artículo 15 del Capítulo {ens_ciii} del {ens}?", "rights" : ["La dirección{rand:| de la organización}.", "El órgano superior correspondiente."], "brothers_are_wrongs" : true }, { "question" : "¿Cuáles de los siguientes organismos realizarán su propia gestión de riesgos según el Apartado 1 del Artículo 14 del Capítulo {ens_ciii} del {ens}?", "rights" : ["Aquellas organizaciones {select:1-2,o,que {select:1-2,y,desarrollen|implementen} sistemas para el tratamiento de la información|que presten servicios}."], "brothers_are_wrongs" : true }, { "question" : "¿Quién {select:1-3,y,atiende|revisa|audita} la seguridad de los sistemas de información según el Apartado 1 del Artículo 16 del Capítulo {ens_ciii} del {ens}?", "rights" : ["El personal cualificado."], "brothers_are_wrongs" : true }, { "question" : "¿Quiénes son los responsables que determinan lso requisitos de {select:1-2,y,formación|experiencia} necesita el personal de su puesto de trabajo según el Apartado 3 del Artículo 16 del Capítulo {ens_ciii} del {ens}?", "rights" : ["La organización para la que trabaja dicho personal."], "brothers_are_wrongs" : true }, { "question" : "¿Qué organismo tiene determinará {select:1-3,y,list:ccn_competencias} según el Apartado 2 del Artículo 19 del Capítulo {ens_ciii} del {ens}?", "rights" : ["El Organismo de Certificación del {ens} y Certificación de Seguridad de las Tecnologías de la Información del {ccn}."], "brothers_are_wrongs" : true }] }, { "origin" : "KyMAN", "sources" : [], "title" : "Específico - Tema 28 - ENS - Tiempos", "group" : "kyman_examen_t28", "queries" : [{ "question" : "¿Cómo ha de ser {select:1-2,y,el análisis|la gestión} de los riesgos, según el Apartado 1 del Artículo 7 del Capítulo {ens_cii} del {ens}?", "rights" : ["{Mix:y,continu{rand:o|a}|permanentemente actualizado}."], "brothers_are_wrongs" : true }, { "question" : "¿Cuál es el tiempo de respuesta que deben tener las medidas de respuesta ante un incidente de seguridad según el Apartado 4 del Artículo 8 del Capítulo {ens_cii} del {ens}?", "rights" : ["El tiempo oportuno."], "brothers_are_wrongs" : true }, { "question" : "Según el Apartado 1 del Artículo 10 del Capítulo {ens_cii} del {ens}. ¿Cómo es la vigilancia en el tiempo?", "rights" : ["Continua."], "brothers_are_wrongs" : true }, { "question" : "Según el Apartado 2 del Artículo 10 del Capítulo {ens_cii} del {ens}. ¿Cómo es la evaluación en el tiempo?", "rights" : ["Permanente."], "brothers_are_wrongs" : true }, { "question" : "Según el Apartado 3 del Artículo 10 del Capítulo {ens_cii} del {ens}. ¿Cómo es {select:1-2,y,la reevaluación|la actualización} en el tiempo?", "rights" : ["Periódica."], "brothers_are_wrongs" : true }, { "question" : "¿Cada cuánto tiempo, el responsable del sistema ha de supervisar la implementación de seguridad que desarrolla, según el {ens}?", "rights" : ["Diaria."], "brothers_are_wrongs" : true }] }]