Estructura
La estructura del Catálogo de Productos y Servicios STIC (CPSTIC) está definida en la guía CCN-STIC 140 “Taxonomía de referencia para productos de seguridad TIC”. Básicamente está organizado en tres (3) listados:
Cada uno de ellos se compone de varias categorías que, a su vez, se componen de varias familias.
Productos y Servicios Cualificados
En este listado se incluyen productos y servicios que forman parte de la arquitectura de seguridad de los sistemas TIC que estan bajo el alcance del ENS en alguna de sus categorías BÁSICA, MEDIA o ALTA, es decir, aquellos que desarrollan su actividad en el contexto operacional de este e implementan funcionalidades que permiten incrementar el nivel de seguridad del sistema en alguna de sus dimensiones (disponibilidad [D], integridad [I], confidencialidad [C], autenticidad [A] y trazabilidad [T]).
Para que un producto o servicio sea cualificado, debe cumplir con los Requisitos Fundamentales de Seguridad (RFS) definidos para cada familia, incluidos en los correspondientes anexos de la guía CCN-STIC 140:
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Anti-virus/EPP (Endpoint Protection Platform) | B.1 | B.1M |
EDR (Endpoint Detection and Response) | B.2 | B.2M |
Herramientas de gestión de red | B.3 | B.3M |
Herramientas de actualización de sistemas | B.4 | |
Herramientas de filtrado de navegación | B.5 | B.5M |
Sistemas de gestión de eventos de seguridad (SIEM) | B.6 | B.6M |
Herramientas de gestión de dispositivos (UEM) | B.8 | No Aplica |
Sistemas de orquestación, automatización y respuesta de seguridad (SOAR) | B.9 | No Aplica |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Enrutadores | D.1 | D.1M |
Switches | D.2 | D.2M |
Cortafuegos | D.3 | D.3M |
Proxies | D.4 | D.4M |
Dispositivos de Red Inalámbricos | D.5 | D.5M |
Pasarelas seguras de intercambio de datos | D.6 | No Aplica |
Diodos de datos | D.7 | No Aplica |
Redes privadas virtuales (IPSec) | D.8A | No Aplica |
Redes privadas virtuales (SSL) | D.8B | No Aplica |
Herramientas de voz por IP (VoIP) | D.9A | D.9AM |
Herramientas de mensajería instantánea (IM) | D.9B | D.9BM |
Herramientas de videoconferencia | D.9C | D.9C-M |
Web Application Firewall (WAF) | D.10 | D.10M |
Redes definidas por software (SDN) | D.11 |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Almacenamiento cifrado de datos | E.1 | |
Cifrado y compartición segura de información | E.2 | |
Herramientas de Borrado Seguro | E.3 | E.3M |
Sistemas de prevención de fugas de datos | E.4 | |
Herramientas para firma electrónica | E.5 | No Aplica |
Módulo de Seguridad Hardware (HSM) | E.6 | |
Gestión de metadatos | E.7M |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Dispositivos móviles | F.1 | No Aplica |
Sistemas operativos | F.2 | No Aplica |
Protección de correo electrónico | F.3 | F.3M |
Tarjetas inteligentes | F.4 | No Aplica |
Copias de seguridad | F.5 | |
Plataformas confiables | F.6 | |
Virtualización | F.7 | F.7M |
Balanceadores de carga | F.8 | F.8M |
Herramientas CASB | F.9 | F.9M |
Hiperconvergencia | F.10 | F.10M |
Herramientas de Videoidentificación | F.11 | F.11M |
Infraestructura de escritorio virtual (VDI) | F.12 | F.12M |
Conmutadores KVM | F.13 | |
Sistemas de Gestión de Bases de Datos (DBMS) | F.14 |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Estaciones de carga de vehículos eléctricos | O.1M |
Herramientas para el desarrollo de productos de seguridad
Otras herramientas
Productos y Servicios Aprobados
La taxonomía de productos aprobados para el manejo de información clasificada será la misma que para productos cualificados junto con las siguientes categorías:
Protección en entornos tácticos
Tempest
Los Requisitos Fundamentales de Seguridad (RFS) serán los mismos que los establecidos en la presente guía para los productos cualificados, actualizados con los específicos para productos de cifra establecidos en la CCN-STIC-130 Requisitos de Aprobación de Productos de Cifra para Manejar Información Nacional Clasificada.
Productos y Servicios de Conformidad y Gobernanza
El listado de Productos y Servicios de Conformidad y Gobernanza incluye productos y servicios que no forman parte de la arquitectura de seguridad de un sistema TIC, pero que implementan funcionalidades que facilitan el cumplimiento con la normativa de seguridad. En este grupo estarían, por ejemplo, herramientas de auditoría, análisis de riesgos o bastionado de sistemas/equipos.
Desde el punto de vista de inclusión en el CPSTIC, no se han definido requisitos específicos para estos productos ni se exigen certificaciones, aunque sí se evalúan en un laboratorio acreditado.
Este listado posee una única categoría, la de Conformidad y Gobernanza, que se compone de las siguientes familias:
CG.1
Gobernanza y Planificación de la Seguridad
CG.2
Normativa de Seguridad y Conformidad
CG.3
Análisis y Gestión de Riesgos
CG.4
Notificación y Gestión de Ciberincidentes
CG.5
Intercambio de Ciberinteligencia
CG.6
Formación y Concienciación en Ciberseguridad