El Esquema Nacional de Seguridad

[5.1] Cmo estudiar este tema?

[5.2] Introduccin
[5.3] mbito de aplicacin y nociones bsicas
[5.4] Medidas de seguridad del ENS y guas
[5.5] El plan de adecuacin al ENS

TEMA

[5.6] Cumplimiento integral del ENS

TEMA 5 Esquema

Principios

Finalidad
(crear las condiciones de
confianza en el uso de
los medios electrnicos)

Origen
(Art. 42 Ley 11/2007, de
22 de junio)

Introduccin

Subjetivo

Objetivo

mbito de
aplicacin

Activos

Dimensiones de
seguridad

Requisitos bsicos

Nociones bsicas

Guas:
(Gua 801 a 824)

Medidas:
Marco organizativo (org)
Marco operacional (op)
Medidas de proteccion (mp)

Medidas de
seguridad y guas

Esquema Nacional de Seguridad

Plan de
adecuacin

Cumplimiento
integral

Aspectos legales y regulatorios

Esquema

Aspectos legales y regulatorios

Ideas clave
5.1. Cmo estudiar este tema?
Para el estudio de este tema debes leer el documento elaborado por el profesor
Tema 5: El Esquema Nacional de Seguridad.
Para estudiar este tema debes leer el RD 3/2010 que aprueba el Esquema Nacional
de Seguridad (ENS), puedes acceder a la versin navegable travs del siguiente
enlace: https://www.ccn-cert.cni.es/publico/ens/ens/index.html
Adems debers descargar y leer las preguntas frecuentes que sobre el ENS tiene
publicadas el CCN: https://www.ccn-cert.cni.es/publico/dmpublidocuments/ENSPreguntas_frecuentes.pdf
Para estudiar este tema lee las ideas clave que encontrars a continuacin.

5.2. Introduccin
Origen y finalidad del ENS
La Ley 11/2007, de 22 de junio, de acceso electrnico de los ciudadanos a
los servicios pblicos (en adelante LAECSP) constituye el marco normativo
bsico para la administracin electrnica.
Pero qu sera de una administracin electrnica si no fuese segura?
Como indica la Exposicin de Motivos del Real Decreto 3/2010, de 8 de enero, por el
que se regula el Esquema Nacional de Seguridad (en adelante RDENS): la necesaria
generalizacin de la sociedad de la informacin es subsidiaria, en gran medida, de la
confianza que genere en los ciudadanos la relacin a travs de medios electrnicos.

TEMA 5 Ideas clave

Aspectos legales y regulatorios

Por y para ello el artculo 42.2 de la LAECSP crea el Esquema Nacional de Seguridad
(en adelante ENS), que posteriormente desarrolla el RDENS y que tiene por objeto el
establecimiento de los principios y requisitos de una poltica de seguridad en la
utilizacin de medios electrnicos que permita la adecuada proteccin de la
informacin.
La finalidad del ENS es precisamente crear las condiciones necesarias para
generar confianza: en el uso de los medios electrnicos, a travs de medidas para
garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios
electrnicos, que permita a los ciudadanos y a las Administraciones pblicas, el
ejercicio de derechos y el cumplimiento de deberes a travs de estos medios.
El ENS constituye un marco de referencia en materia de seguridad para los sistemas de
informacin utilizados por las Administraciones Pblicas.
Principios del ENS

Los principios del ENS se enumeran en el

art. 4 del RDENS:
Seguridad integral

Gestin de riesgos
Prevencin, reaccin y recuperacin
Lneas de defensa
Reevaluacin peridica

Funcin diferenciada

TEMA 5 Ideas clave

Aspectos legales y regulatorios

5.3. mbito de aplicacin y nociones bsicas

mbito subjetivo
El artculo 2 del RDENS ha definido el mbito de aplicacin de conformidad con el
previsto por el artculo 2 de la LAECSP, que dispone lo siguiente:
1. La presente Ley, en los trminos expresados en su disposicin final
primera, ser de aplicacin:
a. A las Administraciones Pblicas, entendiendo por tales la
Administracin General del Estado, las Administraciones de las
Comunidades Autnomas y las Entidades que integran la
Administracin Local, as como las entidades de derecho pblico
vinculadas o dependientes de las mismas.
b. A los ciudadanos en sus relaciones con las Administraciones Pblicas.
c. A las relaciones entre las distintas Administraciones Pblicas.
2. La presente Ley no ser de aplicacin a las Administraciones Pblicas en las
actividades que desarrollen en rgimen de derecho privado.
Cabra preguntarse sobre la aplicabilidad del RDENS a empresas privadas que sean
proveedores de servicios a la administracin.
En este sentido, el foro de consultas sobre praxis del ENS habilitado por el Centro
Criptolgico Nacional (CCN) responde claramente:
El ENS es una norma de obligado cumplimiento para todos los
Sistemas de Informacin de las AA.PP., independientemente de su
ubicacin.
Por tanto, debemos exigir el cumplimiento del ENS no solo a los
Sistemas de Informacin que estn operados por personal de las
AA.PP. y/o en dependencias de las AA.PP., sino tambin a aquellos
otros que, estando operados por terceros e, incluso, en dependencias
de terceros- desarrollan funciones, misiones, cometidos o servicios
para las AA.PP.
mbito objetivo
El Esquema Nacional de Seguridad se recoge en el RDENS y su promulgacin responde
al art. 42.2 de la LAECSP. El hecho de que dicha Ley se refiera al acceso electrnico de
los ciudadanos a los servicios pblicos hace conveniente recordar el concepto que de
ciudadano dispone el Anexo de LAECSP: h) Ciudadano: Cualesquiera personas
fsicas, personas jurdicas y entes sin personalidad que se relacionen, o sean
susceptibles de relacionarse, con las Administraciones Pblicas.

TEMA 5 Ideas clave

Aspectos legales y regulatorios

Esta definicin de ciudadano supone, en la prctica, la acepcin de este trmino para

todos los interlocutores sociales de un Ayuntamiento (salvo su propio personal en
ejercicio de sus funciones) y, con ello, la aplicabilidad del ENS al catlogo global de
servicios que ofrece por medios electrnicos.
El propio concepto de servicio es definido como: Funcin o prestacin
desempeada por alguna entidad oficial destinada a cuidar intereses o satisfacer
necesidades de los ciudadanos.
El concepto de sistema de informacin en este contexto es definido como:
Conjunto organizado de recursos para que la informacin se pueda recoger,
almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a
disposicin, presentar o transmitir.

Los sistemas de informacin incluidos dentro del alcance del ENS son:

Sistemas de informacin accesibles electrnicamente por los ciudadanos.

Sistemas de informacin para el ejercicio de derechos.
Sistemas de informacin para el cumplimiento de deberes.
Sistemas de informacin para recabar informacin y estado del procedimiento
administrativo.

En el foro mantenido por el CCN se menciona frecuentemente el art. 30 del RDENS

como criterio bsico para determinar la posible exclusin de sistemas de
informacin: Las Administraciones pblicas podrn determinar aquellos sistemas
de informacin a los que no les sea de aplicacin lo dispuesto en el presente real
decreto por tratarse de sistemas no relacionados con el ejercicio de derechos ni con el
cumplimiento de deberes por medios electrnicos ni con el acceso por medios
electrnicos de los ciudadanos a la informacin y al procedimiento administrativo, de
acuerdo con lo previsto en la Ley 11/2007, de 22 de junio.

TEMA 5 Ideas clave

Aspectos legales y regulatorios

Nociones bsicas
Requisitos bsicos de seguridad
Se especifican en el Art. 11.1 del ENS:
o Organizacin e implantacin del proceso de seguridad.
o Anlisis y gestin de los riesgos.
o Gestin de personal.
o Profesionalidad.
o Autorizacin y control de los accesos.
o Proteccin de las instalaciones.
o Adquisicin de productos.
o Seguridad por defecto.
o Integridad y actualizacin del sistema.
o Proteccin de la informacin almacenada y en trnsito.
o Prevencin ante otros sistemas de informacin interconectados.
o Registro de actividad.
o Incidentes de seguridad.
o Continuidad de la actividad.
o Mejora continua del proceso de seguridad.
Dimensiones de seguridad en el ENS
El ENS trata las siguientes dimensiones de la seguridad (definiciones extradas de la
Gua CCN-STIC 800):
o Disponibilidad. Propiedad o caracterstica de los activos consistente en que las
entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren.
o Integridad. Propiedad o caracterstica consistente en que el activo de
informacin no ha sido alterado de manera no autorizada.
o Confidencialidad. Propiedad o caracterstica consistente en que la informacin
ni se pone a disposicin, ni se revela a individuos, entidades o procesos no
autorizados.
o Trazabilidad. Propiedad o caracterstica consistente en que las actuaciones de
una entidad pueden ser imputadas exclusivamente a dicha entidad.
o Autenticidad. Propiedad o caracterstica consistente en que una entidad es
quien dice ser o bien que garantiza la fuente de la que proceden los datos.

TEMA 5 Ideas clave

Aspectos legales y regulatorios

Con base a estas dimensiones se calculan los impactos que tendran los incidentes de
seguridad sobre los sistemas afectados por el ENS, y, con ello, se determinara su
categorizacin (BSICO / MEDIO / ALTO).
Activos de alto nivel: informacin, servicios y sistemas
Estos tres conceptos bsicos constituyen los activos de alto nivel en un contexto de
cumplimiento del ENS.
Todos los conceptos son analizados desde la perspectiva de las cinco dimensiones
expuestas, aun cuando, en funcin de su naturaleza, se hace especial nfasis en las
dimensiones que les pueden afectar en mayor medida.
o Informacin
Existen muy diversas definiciones del trmino informacin. Una de ellas la
expone como: Informacin es cualquier conjunto de datos que tienen
significado.
Las dimensiones bsicas de la Informacin son:

- Confidencialidad
- Integridad.
o Servicio
Definicin ya expuesta anteriormente.
Su dimensin bsica es:

- Disponibilidad
o Sistema de informacin
Esta definicin ya ha sido expuesta anteriormente.

TEMA 5 Ideas clave

Aspectos legales y regulatorios

5.4. Medidas de seguridad del ENS y guas

Medidas de seguridad
Las 75 medidas de seguridad del ENS se encuentran especificadas en el Anexo II
de RDENS. En sus disposiciones generales:
1. Para lograr el cumplimiento de los principios bsicos y requisitos
mnimos establecidos, se aplicarn las medidas de seguridad indicadas en
este anexo, las cuales sern proporcionales a:
a) Las dimensiones de seguridad relevantes en el sistema a proteger.
b) La categora del sistema de informacin a proteger.
2. Las medidas de seguridad se dividen en tres grupos:
a) Marco organizativo [org]. Constituido por el conjunto de medidas
relacionadas con la organizacin global de la seguridad.
b) Marco operacional [op]. Formado por las medidas a tomar para
proteger la operacin del sistema como conjunto integral de componentes
para un fin.
c) Medidas de proteccin [mp]. Se centran en proteger activos concretos,
segn su naturaleza y la calidad exigida por el nivel de seguridad de las
dimensiones afectadas.
Estas medidas de seguridad se desglosan en acciones de implementacin (Gua
CCN-STIC 804) y se verifican mediante la Gua CCN-STIC 808. Las 75 medidas
iniciales se convierten en 423 acciones, con lo que el grado de detalle para las
iniciativas de cumplimiento y acreditacin es elevado y, con ello, se facilita de forma
significativa la elaboracin de los planes, presupuestos y, en general, las iniciativas
tendentes a conseguir el adecuado grado de cumplimiento con el ENS.
Guas de implementacin y control del ENS
En cumplimiento con el Art. 37.1.b del ENS, el CCN ha desarrollado un amplio
conjunto de guas sobre diferentes aspectos de la implementacin, gestin y
control del ENS. Estas se encuentran en la serie CCN-STIC 800, y comprenden
(transcripcin a la fecha de redaccin del presente documento de la pgina del CCN):
Gua 800 - Glosario de Trminos y Abreviaturas del ENS
Gua 801 - Responsables y Funciones en el Esquema Nacional de Seguridad
Gua 802 - Auditora del Esquema Nacional de Seguridad
Gua 803 - Valoracin de sistemas en el Esquema Nacional de Seguridad
Gua 804 - Medidas de implantacin del Esquema Nacional de Seguridad
Gua 805 - Poltica de Seguridad de la Informacin

TEMA 5 Ideas clave

Aspectos legales y regulatorios

Gua 806 - Plan de Adecuacin del Esquema Nacional de Seguridad

Gua 807 - Criptologa de empleo en el Esquema Nacional de Seguridad
Gua 808 - Verificacin del cumplimiento de las medidas en el Esquema Nacional de
Seguridad
Gua 809 - Declaracin de Conformidad del Esquema Nacional de Seguridad
Gua 810 - Creacin de un CERT / CSIRT
Gua 811 - Interconexin en el Esquema Nacional de Seguridad
Gua 812 - Seguridad en Entornos y Aplicaciones Web
Gua 813 - Componentes certificados en el ENS
Gua 814 - Seguridad en correo electrnico
Gua 815 - Mtricas e Indicadores en el Esquema Nacional de Seguridad
Gua 817 - Criterios comunes para la Gestin de Incidentes de Seguridad
Gua 818 - Herramientas de Seguridad en el ENS
Gua 820 Proteccin contra Denegacin de Servicio
Gua 821 - Normas de Seguridad en el ENS
Gua 822 - Procedimientos de Seguridad en el ENS
Gua 823 - Seguridad en entornos Cloud
Gua 824 - Informe del Estado de Seguridad

5.4. El plan de adecuacin al ENS

El cumplimiento del ENS requiere primero de la realizacin de un plan de
adecuacin y posteriormente la implantacin y revisin posterior que llevarn a
obtener la declaracin de conformidad.
El citado Plan de Adecuacin deber estar aprobado por los rganos superiores
competentes y contendr la siguiente informacin:
Nombramiento en el caso de que no est nombrado oficialmente el
Responsable de Seguridad. Debe anexarse un documento de designacin
formal de quien Direccin designe para realizar sus funciones, que incluir las
funciones temporalmente asignadas, as como el periodo mximo de ejercicio de
estas funciones con carcter temporal.
Una Poltica de Seguridad, que deber cumplir los requisitos establecidos
en el Anexo II del R.D. 3/2010, o bien detalle de las acciones y contenidos
previstos para que sea conforme con el mismo.

TEMA 5 Ideas clave

10

Aspectos legales y regulatorios

Un inventario de la Informacin que se maneja, con su valoracin

conforme a los requisitos del R.D. 3/2010, detallados en la Gua Tcnica CCN-STIC803.
Un inventario de los Servicios que se prestan, con su valoracin conforme
a los requisitos del R.D. 3/2010, detallados en la Gua Tcnica CCN-STIC-803.
Informacin detallada acerca de los datos de carcter personal que son
tratados.
La categora del Sistema, conforme a los requisitos del R.D. 3/2010, detallados
en la Gua Tcnica CCN-STIC-803.
Una Declaracin de Aplicabilidad de las medidas de seguridad incluidas
en el Anexo II del R.D. 3/2010, y detalladas en la Gua Tcnica CCN-STIC-804.
Un Anlisis de Riesgos conforme a los requisitos del R.D. 3/2010 y a la
categorizacin del Sistema, conforme a la Gua Tcnica CCN-STIC-803.
Un detalle de las insuficiencias del Sistema (gap analysis).
Un Plan de Mejora de la Seguridad, incluyendo plazos estimados de
ejecucin.
Interconexin de Sistemas.
El plan de adecuacin que incluir todo lo anterior deber ser aprobado por los
rganos superiores competentes.

5.5.

Cumplimiento

integral

del

ENS

(Declaracin

de

conformidad)
Introduccin
El ENS contempla y exige la gestin continuada de la seguridad, para lo cual
debemos implantar un sistema de gestin.
Se puede aplicar un modelo de tipo PCDA para lo cual la normalizacin voluntaria
ofrece herramientas como la norma UNE ISO/IEC 27001:2007 Tecnologa de la
informacin. Tcnicas de seguridad. Sistemas de Gestin de la Seguridad de la
Informacin (SGSI). Requisitos. (ISO/IEC 27001:2005).

TEMA 5 Ideas clave

11

Aspectos legales y regulatorios

Fases
A continuacin se detallan las fases de este ciclo P.D.C.A. basado en un proceso de
mejora continua.
Las siglas, PDCA (del ciclo de Deming) son el acrnimo de Plan, Do, Check, Act
(Planificar, Hacer, Verificar, Actuar), los cuatro pasos de la estrategia. Este modelo se
aplica para estructurar todos los procesos del sistema de gestin de seguridad.
Fase plan (Planificar)
Esta fase de Plan se correspondera con la elaboracin del Plan de Adecuacin
exigido en el Esquema Nacional de Seguridad, previo a la implantacin del mismo.
Fase do (Hacer)
En esta fase se implantaran todas las medidas de seguridad que se apliquen
a los sistemas de informacin definidos en el alcance del mbito de aplicacin del
ENS de la organizacin, acorde a la categorizacin de los mismos y acorde a la
Declaracin de Aplicabilidad elaborada en la fase anterior.
Se dispone de la gua CCN-STIC 804 (Gua de Implantacin) de ayuda para la
implantacin de las medidas de seguridad exigidas por el ENS.
A su vez, se debern definir el modo de medir la eficacia de las medidas de seguridad
implantadas, para garantizar que cumplen con los objetivos en materia de seguridad
que se persiguen alcanzar en la organizacin, de forma que los resultados debieran
ser comparables y reproducibles.
En esta fase se debern implementar planes de formacin y concienciacin a
todo el personal de la organizacin.
Tambin se debern gestionar los recursos del sistema, gestionar las operaciones,
implementar procedimientos y otros controles que permitan una deteccin
temprana de eventos de seguridad y una respuesta ante cualquier incidente de
seguridad.
Fase check (Verificar)

TEMA 5 Ideas clave

12

Aspectos legales y regulatorios

En esta tercera fase, se debern ejecutar procedimientos de supervisin y

revisin del sistema de gestin.
Se deber proceder a la evaluacin, medicin del rendimiento del proceso contra la
poltica, los objetivos y la experiencia prctica del sistema de gestin, e informar de
los resultados a la Direccin para su revisin.
Las revisiones peridicas de la eficacia de la implantacin de las medidas de
seguridad, se llevar cabo teniendo en cuenta los resultados obtenidos derivados de
la realizacin de las auditoras de seguridad, los incidentes, los resultados de las
mediciones de la eficacia, etc.
El ENS en su artculo 34 establece la obligatoriedad de realizar auditoras de
seguridad cuando se estn evaluando sistemas/servicios cuya categora sea de
nivel medio o alto, al menos cada dos aos para verificar el cumplimiento de los
requerimientos del mismo. Esta auditora se realizar en funcin de la categora del
sistema, determinada segn lo dispuesto en el anexo I y de acuerdo con lo previsto
en el anexo III del Real Decreto.
Fase act (Actuar)
Esta fase trata sobre el mantenimiento y la mejora del sistema de gestin,
en la misma se adoptan las medidas correctivas y preventivas, en funcin de los
resultados de la auditora del sistema y la revisin por parte de la Direccin de la
organizacin, o de otras informaciones relevantes para la mejora continua.
Se debern implementar las mejoras identificadas en el sistema de gestin de
seguridad. Las acciones y mejoras debern ser comunicadas a las partes interesadas
con un nivel de detalle acorde con las circunstancias y deberemos asegurarnos que
las mejoras alcancen los objetivos previstos.
Estas fases descritas conforman un ciclo peridico, por lo que llegados a esta
ltima fase de ACT, volveramos a enlazar con la fase de Plan, para volver a realizar
una revisin completa de todo el sistema y planificar los cambios y mejoras que se
deban llevar a cabo ao tras ao en la organizacin.

TEMA 5 Ideas clave

13

Aspectos legales y regulatorios

Declaracin de conformidad
Una vez implantado el ENS se proceder a la publicacin de la declaracin de
conformidad con el mismo.
Los rganos y entidades de derecho pblico darn publicidad a la conformidad de
sus sistemas respecto al cumplimiento del Esquema Nacional de Seguridad, de
acuerdo con lo dispuesto en el Captulo VIII del RDENS mediante declaraciones
escritas, publicadas en las correspondientes sedes electrnicas y situadas en lugar
de fcil acceso para los usuarios.

TEMA 5 Ideas clave

14

Aspectos legales y regulatorios

Lo + recomendado
No dejes de leer
Protocolo de aplicacin del ENS a Entidades Locales. Plan de Adecuacin
Un grupo de tcnicos informticos de los ayuntamientos de la provincia coordinados
por el jefe de informtica de la Diputacin, constituidos como comunidad de
aprendizaje, desarrollaron un protocolo de actuacin para adecuar los sistemas de
informacin a las exigencias del Esquema Nacional de Seguridad.
Con todo ese material se ha realizado una publicacin que se pone a disposicin de
todos los ayuntamientos para que les pueda servir de referencia para la aplicacin del
citado ENS.
Accede al documento desde el aula virtual o a travs de la siguiente direccin web:
http://formacion.diputacionalicante.es/default.aspx?lang=es&ref=almacen&idRecurso
=516

No dejes de ver
Implantacin del RD 3/2010 Esquema Nacional de Seguridad
Vdeo que contiene una breve explicacin
de qu es la implantacin del ENS.

Accede al vdeo desde el aula virtual o a travs de la siguiente direccin web:

http://www.youtube.com/watch?v=FS8oq0M2-Uk

TEMA 5 Lo + recomendado

15

Aspectos legales y regulatorios

+ Informacin
Webgrafa
Pgina web del Centro Criptolgico Nacional
El Centro Criptolgico Nacional (CCN) es el organismo
responsable de coordinar la accin de los diferentes
organismos de la Administracin que utilicen medios o
procedimientos de cifra, garantizar la seguridad de las
Tecnologas de la Informacin en ese mbito, informar sobre la adquisicin coordinada
del material criptolgico y formar al personal de la Administracin especialista en este
campo.
Accede a la web desde el aula virtual o a travs de la siguiente direccin:
https://www.ccn.cni.es/

TEMA 5 + Informacin

16

Aspectos legales y regulatorios

Test
1. Cul de los siguientes NO es uno de los principios del ENS?
A. Seguridad integral.
B. Gestin de riesgos.
C. Prevencin, reaccin y recuperacin.
D. Seguridad gestionada.
2. Cul de las siguientes afirmaciones NO es cierta?
A. El ENS es una norma de obligado cumplimiento para todos los Sistemas de
Informacin de las AA.PP., independientemente de su ubicacin.
B. El ENS es exigible a aquellos sistemas de informacin operados por terceros que
desarrollan funciones, misiones, cometidos o servicios para las AA.PP.
C. El ENS es exigible a aquellos sistemas de informacin en dependencias de
terceros que desarrollan funciones, misiones, cometidos o servicios para las
AA.PP.
D. El ENS es exigible solo a la Administracin Pblica.
3. Cul de los siguientes NO es un requisito bsico de seguridad?
A. Profesionalidad.
B. Autorizacin y control de los accesos.
C. Proteccin de las instalaciones.
D. Adquisicin de productos.
E. Control de proveedores crticos.
4. Cul de las siguientes afirmaciones SI es cierta?
A. Las dimensiones de seguridad en el ENS son: Disponibilidad, Integridad,
Confidencialidad, Trazabilidad y Autenticidad.
B. Las dimensiones de seguridad en el ENS son: Disponibilidad, Integridad,
Confidencialidad, Portabilidad y Autenticidad.
C. Las dimensiones de seguridad en el ENS son: Disponibilidad, Eficiencia,
Confidencialidad, Trazabilidad y Autenticidad.
D. Las dimensiones de seguridad en el ENS son: Disponibilidad, Integridad,
Confidencialidad, concentracin y Autenticidad.

TEMA 5 Test

17

Aspectos legales y regulatorios

5. Cul de las siguientes afirmaciones SI es cierta?

A. La Integridad es la propiedad o caracterstica consistente en que el activo de
informacin no ha sido alterado de manera no autorizada.
B. La Integridad es la propiedad o caracterstica consistente en que el activo de
informacin ha sido alterado de manera no autorizada.
C. La Integridad es la propiedad o caracterstica consistente en que la degradacin
que sufre el activo no supera el riesgo asumible.
D. La Integridad es la propiedad o caracterstica consistente en que el activo de
informacin no puede ser accesible por terceros sin autorizacin.
6. Indica la respuesta correcta:
A. La dimensin bsica del servicio es la autenticidad.
B. La dimensin bsica del servicio es la confidencialidad.
C. La dimensin bsica del servicio es la integridad.
D. La dimensin bsica del servicio es la disponibilidad.
7. Indica la respuesta correcta:
A. Las medidas de seguridad se dividen en tres grupos: Marco organizativo, Marco
operacional y Medidas de proteccin.
B. Las medidas de seguridad se dividen en tres grupos: Marco organizativo, Marco
operacional y Medidas de jurdico.
C. Las medidas de seguridad se dividen en tres grupos: Marco organizativo, Marco
jurdico y Medidas tecnolgicas.
D. Las medidas de seguridad se dividen en tres grupos: Marco organizativo, Marco
tcnico y Marco reputacional.

TEMA 5 Test

18

Aspectos legales y regulatorios

8. Indica la respuesta correcta:

A. El ENS y la norma UNE ISO/IEC 27001:2007 difieren en su naturaleza, en su
mbito de aplicacin, en su obligatoriedad pero no en sus objetivos.
B. El ENS y la norma UNE ISO/IEC 27001:2007 difieren en su mbito de
aplicacin, en su obligatoriedad y en los objetivos que persiguen pero no en su
naturaleza.
C. El ENS y la norma UNE ISO/IEC 27001:2007 difieren en su naturaleza, en su
mbito de aplicacin, en los objetivos que persiguen pero no en su
obligatoriedad.
D. El ENS y la norma UNE ISO/IEC 27001:2007 difieren en su naturaleza, en su
mbito de aplicacin, en su obligatoriedad y en los objetivos que persiguen.
9. Indica la respuesta correcta:
A. El ENS obliga a realizar auditoras de seguridad cuando se estn evaluando
sistemas/servicios cuya categora sea de nivel MEDIO o ALTO, al menos cada
dos aos.
B. El ENS obliga a realizar auditoras de seguridad cuando se estn evaluando
sistemas/servicios cuya categora sea de nivel ALTO, al menos cada dos aos.
C. El ENS obliga a realizar auditoras de seguridad cuando se estn evaluando
sistemas/servicios cuya categora sea de nivel MEDIO o ALTO, al menos cada
AO.
D. El ENS no obliga a realizar auditoras de seguridad.
10. Indica la respuesta correcta:
A. Disponer de una certificacin bajo ISO/IEC 27001 supone el cumplimiento del
ENS.
B. Disponer de una certificacin bajo ISO/IEC 27001 no supone el cumplimiento
del ENS.
C. Disponer de una certificacin bajo ISO/IEC 27001 puede suponer el
cumplimiento del ENS, segn el alcance de la certificacin.
D. Disponer de una certificacin bajo ISO/IEC 27001 puede suponer el
cumplimiento del ENS segn lo estime o no la AA.PP. correspondiente.

TEMA 5 Test

19