52) Según el Esquema Nacional de Seguridad, ¿cuándo se deben registrar todas las actividades de los usuarios en el sistema? [N/C] Ocultar respuesta
Tema: 46. Id Pregunta: 7491.
a) Cuando la categoría del sistema sea alta
b) Cuando así lo decida el responsable de los servidores
c) Cuando la dimensión de trazabilidad sea de nivel alto
d) En todos los casos anteriores
Marca la C) pero creo que el Registro de actividad (op.exp. también se hace en nivel básico y nivel medio.
Id Pregunta: 7491 Test Tema T46, Id: 0001
- anarosa
- PreparaTIC 24
- Mensajes: 32
- Registrado: 29 May 2009, 12:41
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Id Pregunta: 7491 Test Tema T46, Id: 0001
En la página 32 de la guía 804 se dice "[OP.EXP.8] REGISTRO DE LA ACTIVIDAD DE LOS USUARIOS Categoría ALTA" y no habla de las otras categorías.
Por otra parte, la guía de implantación del ENS de Ametic deja claro que no aplica más que para la categoría alta, pero también que se refiere a la dimensión de trazabilidad, luego la C es la correcta.
Por otra parte, la guía de implantación del ENS de Ametic deja claro que no aplica más que para la categoría alta, pero también que se refiere a la dimensión de trazabilidad, luego la C es la correcta.
- mazas
- PreparaTIC 24
- Mensajes: 101
- Registrado: 30 Nov 2015, 10:11
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Id Pregunta: 7491 Test Tema T46, Id: 0001
En cualquier caso, la referencia aquí debe ser el Anexo II del Real Decreto 3/210 por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (fue modificado por el RD 951/2015)
El Anexo II especifica lo mismo que ha comentado anarosa sobre la guía de ametic
El Anexo II especifica lo mismo que ha comentado anarosa sobre la guía de ametic
"Ever tried. Ever failed. No matter. Try Again. Fail again. Fail better" (Samuel Beckett)
- saguti
- Usuario registrado
- Mensajes: 41
- Registrado: 26 Oct 2010, 20:12
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Id Pregunta: 7491 Test Tema T46, Id: 0001
Según Real Decreto 951/2015:
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
Se registrarán las actividades de los usuarios en el sistema, de forma que:
a) El registro indicará quién realiza la actividad, cuándo la realiza y sobre qué
información.
b) Se incluirá la actividad de los usuarios y, especialmente, la de los operadores
y administradores en cuanto puedan acceder a la configuración y actuar en el
mantenimiento del sistema.
c) Deberán registrarse las actividades realizadas con éxito y los intentos
fracasados.
d) La determinación de qué actividades deben registrarse y con qué niveles de
detalle se adoptará a la vista del análisis de riesgos realizado sobre el sistema
([op.pl.1]).
Nivel BAJO
Se activarán los registros de actividad en los servidores.
Nivel MEDIO
Se revisarán informalmente los registros de actividad buscando patrones
anormales.
Nivel ALTO
Se dispondrá de un sistema automático de recolección de registros y correlación
de eventos; es decir, una consola de seguridad centralizada.»
4.3.8 Registro de la actividad de los usuarios [op.exp.8].
Se registrarán las actividades de los usuarios en el sistema, de forma que:
a) El registro indicará quién realiza la actividad, cuándo la realiza y sobre qué
información.
b) Se incluirá la actividad de los usuarios y, especialmente, la de los operadores
y administradores en cuanto puedan acceder a la configuración y actuar en el
mantenimiento del sistema.
c) Deberán registrarse las actividades realizadas con éxito y los intentos
fracasados.
d) La determinación de qué actividades deben registrarse y con qué niveles de
detalle se adoptará a la vista del análisis de riesgos realizado sobre el sistema
([op.pl.1]).
Nivel BAJO
Se activarán los registros de actividad en los servidores.
Nivel MEDIO
Se revisarán informalmente los registros de actividad buscando patrones
anormales.
Nivel ALTO
Se dispondrá de un sistema automático de recolección de registros y correlación
de eventos; es decir, una consola de seguridad centralizada.»
- anarosa
- PreparaTIC 24
- Mensajes: 32
- Registrado: 29 May 2009, 12:41
- Agradecido: 0
- Agradecimiento recibido: 0
Re: Id Pregunta: 7491 Test Tema T46, Id: 0001
Según citas del RD 951/2015:
No sé de qué año es la pregunta, pero parece que se redactó antes de que se aprobara el real decreto que citas. Evidentemente ha habido un cambio en la aplicación de la media del registro de actividad mirando sólo las tablas anexas:
RD 3/2010: T, n.a., n.a., aplica, op.exp.8 Registro de la actividad de los usuarios
RD 951/2015: T, aplica, +, ++, op.exp.8 Registro de la actividad de los usuarios
Pero como he dicho antes, que la pregunta se refiera a "toda la actividad de los usuarios" no es compatible con lo que dice el RD 951/2015 y las opciones de respuesta.
La pregunta diced) La determinación de qué actividades deben registrarse y con qué niveles de
detalle se adoptará a la vista del análisis de riesgos realizado sobre el sistema
([op.pl.1]).
Luego tampoco se podría aplicar el texto del real decreto para decidir cuál es la respuesta correcta, me temo.52) Según el Esquema Nacional de Seguridad, ¿cuándo se deben registrar todas las actividades de los usuarios en el sistema?
No sé de qué año es la pregunta, pero parece que se redactó antes de que se aprobara el real decreto que citas. Evidentemente ha habido un cambio en la aplicación de la media del registro de actividad mirando sólo las tablas anexas:
RD 3/2010: T, n.a., n.a., aplica, op.exp.8 Registro de la actividad de los usuarios
RD 951/2015: T, aplica, +, ++, op.exp.8 Registro de la actividad de los usuarios
Pero como he dicho antes, que la pregunta se refiera a "toda la actividad de los usuarios" no es compatible con lo que dice el RD 951/2015 y las opciones de respuesta.