Estructura

La estructura del Catálogo de Productos y Servicios STIC (CPSTIC) está definida en la guía CCN-STIC 140 “Taxonomía de referencia para productos de seguridad TIC”. Básicamente está organizado en tres (3) listados:

Cada uno de ellos se compone de varias categorías que, a su vez, se componen de varias familias.

Productos y Servicios Cualificados

En este listado se incluyen productos y servicios que forman parte de la arquitectura de seguridad de los sistemas TIC que estan bajo el alcance del ENS en alguna de sus categorías BÁSICA, MEDIA o ALTA, es decir, aquellos que desarrollan su actividad en el contexto operacional de este e implementan funcionalidades que permiten incrementar el nivel de seguridad del sistema en alguna de sus dimensiones (disponibilidad [D], integridad [I], confidencialidad [C], autenticidad [A] y trazabilidad [T]).

Para que un producto o servicio sea cualificado, debe cumplir con los Requisitos Fundamentales de Seguridad (RFS) definidos para cada familia, incluidos en los correspondientes anexos de la guía CCN-STIC 140:

Control de acceso

Familia	ANEXOS (RFS)
	ENS Alta	ENS Media
Control de Acceso a Red (NAC)	A.1	A.1M
Dispositivos Biométricos	A.2
Dispositivos Single Sign-On	A.3
Servidores de Autenticación	A.4	A.4M
Gestión de Acceso Privilegiado (PAM)	A.6	A.6M
Gestión de Identidades (IM)	A.7	A.7M

Seguridad en la explotación

Familia	ANEXOS (RFS)
Anti-virus/EPP (Endpoint Protection Platform)	B.1	B.1M
EDR (Endpoint Detection and Response)	B.2	B.2M
Herramientas de gestión de red	B.3	B.3M
Herramientas de actualización de sistemas	B.4
Herramientas de filtrado de navegación	B.5	B.5M
Sistemas de gestión de eventos de seguridad (SIEM)	B.6	B.6M
Herramientas de gestión de dispositivos (UEM)	B.8	No Aplica
Sistemas de orquestación, automatización y respuesta de seguridad (SOAR)	B.9	No Aplica

Monitorización de la seguridad

Familia	ANEXOS (RFS)
Dispositivos de prevención y detección de intrusiones	C.1	C.1M
Sistemas Honeypot / Honeynet	C.2
Captura, Monitorización y Análisis de Tráfico	C.3	C.3M
Herramientas de sandbox	C.4	C.4M

Protección de las comunicaciones

Familia	ANEXOS (RFS)
Enrutadores	D.1	D.1M
Switches	D.2	D.2M
Cortafuegos	D.3	D.3M
Proxies	D.4	D.4M
Dispositivos de Red Inalámbricos	D.5	D.5M
Pasarelas seguras de intercambio de datos	D.6	No Aplica
Diodos de datos	D.7	No Aplica
Redes privadas virtuales (IPSec)	D.8A	No Aplica
Redes privadas virtuales (SSL)	D.8B	No Aplica
Herramientas de voz por IP (VoIP)	D.9A	D.9AM
Herramientas de mensajería instantánea (IM)	D.9B	D.9BM
Herramientas de videoconferencia	D.9C	D.9C-M
Web Application Firewall (WAF)	D.10	D.10M
Redes definidas por software (SDN)	D.11

Protección de la Información y los Soportes de Información

Familia	ANEXOS (RFS)
Almacenamiento cifrado de datos	E.1
Cifrado y compartición segura de información	E.2
Herramientas de Borrado Seguro	E.3	E.3M
Sistemas de prevención de fugas de datos	E.4
Herramientas para firma electrónica	E.5	No Aplica
Módulo de Seguridad Hardware (HSM)	E.6
Gestión de metadatos		E.7M

Protección de Equipos y Servicios

Familia	ANEXOS (RFS)
Dispositivos móviles	F.1	No Aplica
Sistemas operativos	F.2	No Aplica
Protección de correo electrónico	F.3	F.3M
Tarjetas inteligentes	F.4	No Aplica
Copias de seguridad	F.5
Plataformas confiables	F.6
Virtualización	F.7	F.7M
Balanceadores de carga	F.8	F.8M
Herramientas CASB	F.9	F.9M
Hiperconvergencia	F.10	F.10M
Herramientas de Videoidentificación	F.11	F.11M
Infraestructura de escritorio virtual (VDI)	F.12	F.12M
Conmutadores KVM	F.13
Sistemas de Gestión de Bases de Datos (DBMS)	F.14

Servicios en la nube

Familia	ANEXOS (RFS)
Servicios en la nube	G	G

Mecanismos criptográficos

Familia	ANEXOS (RFS)
Requisitos para mecanismos criptográficos	H	H

Protección de instalaciones e infraestructuras

Familia	ANEXOS (RFS)
Cámaras IP		I.1M
Herramientas de gestión de vídeo		I.2M

Seguridad OT

Familia	ANEXOS (RFS)
Estaciones de carga de vehículos eléctricos		O.1M

Herramientas para el desarrollo de productos de seguridad

Otras herramientas

Productos y Servicios Aprobados

La taxonomía de productos aprobados para el manejo de información clasificada será la misma que para productos cualificados junto con las siguientes categorías:

Protección en entornos tácticos

Tempest

Los Requisitos Fundamentales de Seguridad (RFS) serán los mismos que los establecidos en la presente guía para los productos cualificados, actualizados con los específicos para productos de cifra establecidos en la CCN-STIC-130 Requisitos de Aprobación de Productos de Cifra para Manejar Información Nacional Clasificada.

Productos y Servicios de Conformidad y Gobernanza

El listado de Productos y Servicios de Conformidad y Gobernanza incluye productos y servicios que no forman parte de la arquitectura de seguridad de un sistema TIC, pero que implementan funcionalidades que facilitan el cumplimiento con la normativa de seguridad. En este grupo estarían, por ejemplo, herramientas de auditoría, análisis de riesgos o bastionado de sistemas/equipos.

Desde el punto de vista de inclusión en el CPSTIC, no se han definido requisitos específicos para estos productos ni se exigen certificaciones, aunque sí se evalúan en un laboratorio acreditado.

Este listado posee una única categoría, la de Conformidad y Gobernanza, que se compone de las siguientes familias: