Estructura
L'estructura del Catàleg de Productes i Serveis STIC (CPSTIC) està definida en la guia CCN-STIC 140 “Taxonomia de referència per a productes de seguretat TIC”. Bàsicament està organitzat en tres (3) llistats:
Cadascun d'ells es compon de diverses categories que, al seu torn, es componen de diverses famílies.
Productes i Serveis Qualificats
En aquest llistat s'inclouen productes i serveis que formen part de l'arquitectura de seguretat dels sistemes TIC que estan sota l'abast del ENS en alguna de les seves categories BÀSICA, MITJANA o ALTA, és a dir, aquells que desenvolupen la seva activitat en el context operacional d'aquest i implementen funcionalitats que permeten incrementar el nivell de seguretat del sistema en alguna de les seves dimensions (disponibilitat [D], integritat [I], confidencialitat [C], autenticitat [A] i traçabilitat [T]).
Perquè un producte o servei sigui qualificat, ha de complir amb els Requisits Fonamentals de Seguretat (RFS) definits per a cada família, inclosos en els corresponents annexos de la guia CCN-STIC 140:
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Anti-virus/EPP (Endpoint Protection Platform) | B.1 | B.1M |
EDR (Endpoint Detection and Response) | B.2 | B.2M |
Herramientas de gestión de red | B.3 | B.3M |
Herramientas de actualización de sistemas | B.4 | |
Herramientas de filtrado de navegación | B.5 | B.5M |
Sistemas de gestión de eventos de seguridad (SIEM) | B.6 | B.6M |
Herramientas de gestión de dispositivos (UEM) | B.8 | No Aplica |
Sistemas de orquestación, automatización y respuesta de seguridad (SOAR) | B.9 | No Aplica |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Enrutadores | D.1 | D.1M |
Switches | D.2 | D.2M |
Cortafuegos | D.3 | D.3M |
Proxies | D.4 | D.4M |
Dispositivos de Red Inalámbricos | D.5 | D.5M |
Pasarelas seguras de intercambio de datos | D.6 | No Aplica |
Diodos de datos | D.7 | No Aplica |
Redes privadas virtuales (IPSec) | D.8A | No Aplica |
Redes privadas virtuales (SSL) | D.8B | No Aplica |
Herramientas de voz por IP (VoIP) | D.9A | D.9AM |
Herramientas de mensajería instantánea (IM) | D.9B | D.9BM |
Herramientas de videoconferencia | D.9C | D.9C-M |
Web Application Firewall (WAF) | D.10 | D.10M |
Redes definidas por software (SDN) | D.11 |
Família | ANNEXOS (RFS) | |
ENS Alta | ENS Media | |
Almacenamiento cifrado de datos | E.1 | |
Cifrado y compartición segura de información | E.2 | |
Herramientas de Borrado Seguro | E.3 | E.3M |
Sistemas de prevención de fugas de datos | E.4 | |
Herramientas para firma electrónica | E.5 | No Aplica |
Módulo de Seguridad Hardware (HSM) | E.6 | |
Gestión de metadatos | E.7M |
Família | ANNEXOS (RFS) | |
ENS Alta | ENS Media | |
Dispositivos móviles | F.1 | No Aplica |
Sistemas operativos | F.2 | No Aplica |
Protección de correo electrónico | F.3 | F.3M |
Tarjetas inteligentes | F.4 | No Aplica |
Copias de seguridad | F.5 | |
Plataformas confiables | F.6 | |
Virtualización | F.7 | F.7M |
Balanceadores de carga | F.8 | F.8M |
Herramientas CASB | F.9 | F.9M |
Hiperconvergencia | F.10 | F.10M |
Herramientas de Videoidentificación | F.11 | F.11M |
Infraestructura de escritorio virtual (VDI) | F.12 | F.12M |
Conmutadores KVM | F.13 | |
Sistemas de Gestión de Bases de Datos (DBMS) | F.14 |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Estaciones de carga de vehículos eléctricos | O.1M |
Eines per al desenvolupament de productes de seguretat
Altres eines
Productes i Serveis Aprovats
La taxonomia de productes aprovats per al maneig d'informació classificada serà la mateixa que per a productes qualificats juntament amb les següents categories:
Protecció en entorns tàctics
Tempest
Els Requisits Fonamentals de Seguretat (RFS) seran els mateixos que els establerts en la present guia per als productes qualificats, actualitzats amb els específics per a productes de xifra establerts en la CCN-STIC-130 Requisits d'Aprovació de Productes de Xifra per a Manejar Informació Nacional Classificada.
Productes i Serveis de Conformitat i Governança
El llistat de Productes i Serveis de Conformitat i Governança inclou productes i serveis que no formen part de l'arquitectura de seguretat d'un sistema TIC, però que implementen funcionalitats que faciliten el compliment amb la normativa de seguretat. En aquest grup estarien, per exemple, eines d'auditoria, anàlisi de riscos o bastionado de sistemes/equips.
Des del punt de vista d'inclusió en el CPSTIC, no s'han definit requisits específics per a aquests productes ni s'exigeixen certificacions, encara que sí que s'avaluen en un laboratori acreditat.
Aquest llistat posseeix una única categoria, la de Conformitat i Governança, que es compon de les següents famílies:
CG.1
Governança i Planificació de la Seguretat
CG.2
Normativa de Seguretat i Conformitat
CG.3
Anàlisi i Gestió de Riscos
CG.4
Notificació i Gestió de Ciber incidents
CG.5
Intercanvi de Ciber intel·ligència
CG.6
Formació i Conscienciació en Ciberseguretat