Impugnación pregunta 84 ENS

Temas relacionados con el examen de test
Cerrado
jtorres
Usuario registrado
Mensajes: 18
Registrado: 04 Jul 2013, 11:04
Agradecido: 0
Agradecimiento recibido: 0

Impugnación pregunta 84 ENS

Mensaje por jtorres »

84. De acuerdo con lo establecido en el RD 3/2010 de 8 de enero por el que se regula el Esquema Nacional de Seguridad,
a) todos los sistemas de información serán objeto de una auditoría regular ordinaria con carácter anual.
b) los sistemas de información de categoría básica no precisan ser auditados.
c) la auditoría de los sistemas de categoría media puede ser sustituida por una autoevaluación realizada por el mismo personal que administra el sistema.
d) no es necesario que los informes de autoevaluación sean conocidos por el responsable de seguridad competente. Basta con que los conozca el

como se ha comentado en el tema de preguntas impugnables. No se puede decir que los básicos no necesiten ser auditados porque sea autoevaluación cuando se dice muy claramente en la ley:
Artículo 34 Auditoría de la seguridad

1. Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.
En la respuesta B se dice que no deben ser auditados de forma genérica con lo que no estoy de acuerdo tal y como lo expresa la ley. Creo que debería ser impugnable, ya que no hay ninguna correcta.
Última edición por jtorres el 26 Nov 2013, 03:06, editado 1 vez en total.

livia2
Usuario registrado
Mensajes: 2
Registrado: 09 May 2008, 19:10
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENI

Mensaje por livia2 »

El ENS dice (copio y pego):
Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría.

Así que creo que en esta pregunta no hay duda, es correcta.

amoria
Usuario registrado
Mensajes: 9
Registrado: 10 May 2013, 22:55
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENS

Mensaje por amoria »

Pero eso es discutible.
Al igual que dice eso, también dice lo siguiente (copio y pego): Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Dado que en el mismo RD se dice una cosa y la contraria, me parece interpretable y creo que tendría que anularse.

Phoenix
Usuario registrado
Mensajes: 560
Registrado: 23 Jul 2004, 17:06
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENS

Mensaje por Phoenix »

amoria escribió:Pero eso es discutible.
Al igual que dice eso, también dice lo siguiente (copio y pego): Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Dado que en el mismo RD se dice una cosa y la contraria, me parece interpretable y creo que tendría que anularse.
Bueno el RD no dice una cosa y la contraria, sino que dice una cosa y luego añade un caso particular sobre eso que ha dicho, es como decir "no se puede pasar si un semáforo está en rojo", algo indiscutible pero si luego añades "si un agente de policía indica que puede pasar en ese caso si puede", entonces hay un caso particular en el que no se sigue la regla general, pero no es una contradicción. Creo que este ejemplo lo explica bien.
Opositor profesional

Avatar de Usuario
elPitt
Usuario registrado
Mensajes: 141
Registrado: 13 Abr 2013, 17:15
Ubicación: Móstoles
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENS

Mensaje por elPitt »

Estoy de acuerdo tanto con livia2 como con Phoenix, es un caso especial que no sigue la regla general.

ermanzanita
PreparaTIC XXIII
Mensajes: 112
Registrado: 25 Jun 2007, 15:58
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENS

Mensaje por ermanzanita »

Creo que primero se dice el caso general y luego se particulariza...

phdezv
PreparaTIC26
Mensajes: 697
Registrado: 18 Abr 2011, 16:00
Ubicación: Madrid 28002
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENS

Mensaje por phdezv »

Yo creo que esta no sería impugnable. Según el ENS:

Artículo 34. Auditoría de la seguridad.

1. Los sistemas de información a los que se refiere el presente real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad. ESTO ES LO GENERAL

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

ESTO ES: si el sistema dejara de tener nivel básico, se le tendría que realizar inmediatamente una auditoría en toda regla.

2. Esta auditoría se realizará en función de la categoría del sistema, determinada según lo dispuesto en el anexo I y de acuerdo con lo previsto en el anexo III. AQUÍ ESTÁ LO ESPECÍFICO, porque el anexo III dice:

ANEXO III
Auditoría de la seguridad

2. Niveles de auditoría
...
1. Auditoría a sistemas de categoría BÁSICA.

a) Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría. Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información, o en quien éste delegue.

El resultado de la autoevaluación debe estar documentado, indicando si cada medida de seguridad está implantada y sujeta a revisión regular y las evidencias que sustentan la valoración anterior.


Por ello creo que no hay contradicción sino la interpretación de: En general, todos los sistemas deben pasar por la auditoría cada 2 años. EXCEPTO los básicos que no necesitan tal auditoría sino sólo autoevaluación cada los mismos 2 años.
Imposible es sólo una apreciación, como tantas otras. :wink:

jtorres
Usuario registrado
Mensajes: 18
Registrado: 04 Jul 2013, 11:04
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENS

Mensaje por jtorres »

Estoy de acuerdo con vosotros de que la regla general es que todos los sistemas deben ser auditados, y se expresa la particular (que más bien lo véis como excepción) de que los básicos no tienen auditoria, bastará con Autoevaluación. Lo cual se puede considerar como que sería suficiente con auditoría interna (por lo menos a mis ojos, tal vez es que tengo el concepto no lo tengo claro)

El concepto que yo tengo de auditoría interna es revisión sistemática y detallada de un sistema de información , y que puede ser llevada por profesionales dentro de la empresa. Por lo que no termino de verlo inconexo con autoevaluación.

Para el problema es el que se ve en otros cuestionarios, la frase "los sistemas de información de categoría básica no precisan ser auditados." no es autoexplicativa y está sacada de contexto , dando lugar a toda esta confusión. Añadiendo la palabra ordinaria o tal y como viene en la ley Bastará con autoevaluación no dejaría lugar a interpretaciones.

ermanzanita
PreparaTIC XXIII
Mensajes: 112
Registrado: 25 Jun 2007, 15:58
Agradecido: 0
Agradecimiento recibido: 0

Re: Impugnación pregunta 84 ENS

Mensaje por ermanzanita »

El CCN publicó la guía 808 Verificación del cumplimiento del ENS, que es una especie de guía para llevar una auditoría de los sistemas de nivel medio y alto (viene en la introducción), con lo cual es otro argumento...

Cerrado

Volver a “PRIMER EXAMEN 2013”