Estructura

L'estructura del Catàleg de Productes i Serveis STIC (CPSTIC) està definida en la guia CCN-STIC 140 “Taxonomia de referència per a productes de seguretat TIC”. Bàsicament està organitzat en tres (3) llistats:

Cadascun d'ells es compon de diverses categories que, al seu torn, es componen de diverses famílies.

Productes i Serveis Qualificats

En aquest llistat s'inclouen productes i serveis que formen part de l'arquitectura de seguretat dels sistemes TIC que estan sota l'abast del ENS en alguna de les seves categories BÀSICA, MITJANA o ALTA, és a dir, aquells que desenvolupen la seva activitat en el context operacional d'aquest i implementen funcionalitats que permeten incrementar el nivell de seguretat del sistema en alguna de les seves dimensions (disponibilitat [D], integritat [I], confidencialitat [C], autenticitat [A] i traçabilitat [T]).

Perquè un producte o servei sigui qualificat, ha de complir amb els Requisits Fonamentals de Seguretat (RFS) definits per a cada família, inclosos en els corresponents annexos de la guia CCN-STIC 140:

Control d'accés

Família	ANNEXOS (RFS)
	ENS Alta	ENS Media
Control de Acceso a Red (NAC)	A.1	A.1M
Dispositivos Biométricos	A.2
Dispositivos Single Sign-On	A.3
Servidores de Autenticación	A.4	A.4M
Gestión de Acceso Privilegiado (PAM)	A.6	A.6M
Gestión de Identidades (IM)	A.7	A.7M

Seguretat en l'explotació

Familia	ANEXOS (RFS)
Anti-virus/EPP (Endpoint Protection Platform)	B.1	B.1M
EDR (Endpoint Detection and Response)	B.2	B.2M
Herramientas de gestión de red	B.3	B.3M
Herramientas de actualización de sistemas	B.4
Herramientas de filtrado de navegación	B.5	B.5M
Sistemas de gestión de eventos de seguridad (SIEM)	B.6	B.6M
Herramientas de gestión de dispositivos (UEM)	B.8	No Aplica
Sistemas de orquestación, automatización y respuesta de seguridad (SOAR)	B.9	No Aplica

Monitoratge de la seguretat

Família	ANNEXOS (RFS)
Dispositivos de prevención y detección de intrusiones	C.1	C.1M
Sistemas Honeypot / Honeynet	C.2
Captura, Monitorización y Análisis de Tráfico	C.3	C.3M
Herramientas de sandbox	C.4	C.4M

Protecció de les comunicacions

Familia	ANEXOS (RFS)
Enrutadores	D.1	D.1M
Switches	D.2	D.2M
Cortafuegos	D.3	D.3M
Proxies	D.4	D.4M
Dispositivos de Red Inalámbricos	D.5	D.5M
Pasarelas seguras de intercambio de datos	D.6	No Aplica
Diodos de datos	D.7	No Aplica
Redes privadas virtuales (IPSec)	D.8A	No Aplica
Redes privadas virtuales (SSL)	D.8B	No Aplica
Herramientas de voz por IP (VoIP)	D.9A	D.9AM
Herramientas de mensajería instantánea (IM)	D.9B	D.9BM
Herramientas de videoconferencia	D.9C	D.9C-M
Web Application Firewall (WAF)	D.10	D.10M
Redes definidas por software (SDN)	D.11

Protecció de la Informació i els Suports d'Informació

Família	ANNEXOS (RFS)
Almacenamiento cifrado de datos	E.1
Cifrado y compartición segura de información	E.2
Herramientas de Borrado Seguro	E.3	E.3M
Sistemas de prevención de fugas de datos	E.4
Herramientas para firma electrónica	E.5	No Aplica
Módulo de Seguridad Hardware (HSM)	E.6
Gestión de metadatos		E.7M

Protecció d'Equips i Serveis

Família	ANNEXOS (RFS)
Dispositivos móviles	F.1	No Aplica
Sistemas operativos	F.2	No Aplica
Protección de correo electrónico	F.3	F.3M
Tarjetas inteligentes	F.4	No Aplica
Copias de seguridad	F.5
Plataformas confiables	F.6
Virtualización	F.7	F.7M
Balanceadores de carga	F.8	F.8M
Herramientas CASB	F.9	F.9M
Hiperconvergencia	F.10	F.10M
Herramientas de Videoidentificación	F.11	F.11M
Infraestructura de escritorio virtual (VDI)	F.12	F.12M
Conmutadores KVM	F.13
Sistemas de Gestión de Bases de Datos (DBMS)	F.14

Serveis en el núvol

Família	ANNEXOS (RFS)
Servicios en la nube	G	G

Mecanismes criptogràfics

Familia	ANEXOS (RFS)
Requisitos para mecanismos criptográficos	H	H

Protecció d'instal·lacions i infraestructures

Familia	ANEXOS (RFS)
Cámaras IP		I.1M
Herramientas de gestión de vídeo		I.2M

Seguretat OT

Familia	ANEXOS (RFS)
Estaciones de carga de vehículos eléctricos		O.1M

Eines per al desenvolupament de productes de seguretat

Altres eines

Productes i Serveis Aprovats

La taxonomia de productes aprovats per al maneig d'informació classificada serà la mateixa que per a productes qualificats juntament amb les següents categories:

Protecció en entorns tàctics

Tempest

Els Requisits Fonamentals de Seguretat (RFS) seran els mateixos que els establerts en la present guia per als productes qualificats, actualitzats amb els específics per a productes de xifra establerts en la CCN-STIC-130 Requisits d'Aprovació de Productes de Xifra per a Manejar Informació Nacional Classificada.

Productes i Serveis de Conformitat i Governança

El llistat de Productes i Serveis de Conformitat i Governança inclou productes i serveis que no formen part de l'arquitectura de seguretat d'un sistema TIC, però que implementen funcionalitats que faciliten el compliment amb la normativa de seguretat. En aquest grup estarien, per exemple, eines d'auditoria, anàlisi de riscos o bastionado de sistemes/equips.

Des del punt de vista d'inclusió en el CPSTIC, no s'han definit requisits específics per a aquests productes ni s'exigeixen certificacions, encara que sí que s'avaluen en un laboratori acreditat.

Aquest llistat posseeix una única categoria, la de Conformitat i Governança, que es compon de les següents famílies: