Estrutura

A estrutura do Catálogo de Produtos e Servizos STIC (CPSTIC) está definida na guía CCN-STIC 140 “Taxonomía de referencia para produtos de seguridade TIC”. Basicamente está organizado en tres (3) listados:

Cada un deles componse de varias categorías que, á súa vez, compóñense de varias familias.

Produtos e Servizos Cualificados

Nesta listaxe inclúense produtos e servizos que forman parte da arquitectura de seguridade dos sistemas TIC que están baixo o alcance do ENS nalgunha das súas categorías BÁSICA, MEDIA ou ALTA, é dicir, aqueles que desenvolven a súa actividade no contexto operacional de leste e implementan funcionalidades que permiten incrementar o nivel de seguridade do sistema nalgunha das súas dimensións (dispoñibilidade [D], integridade [I], confidencialidade [C], autenticidade [A] e rastrexabilidade [T]).

Para que un produto ou servizo sexa cualificado, debe cumprir cos Requisitos Fundamentais de Seguridade (RFS) definidos para cada familia, incluídos nos correspondentes anexos da guía CCN-STIC 140:

Control de acceso

Familia	ANEXOS (RFS)
	ENS Alta	ENS Media
Control de Acceso a Red (NAC)	A.1	A.1M
Dispositivos Biométricos	A.2
Dispositivos Single Sign-On	A.3
Servidores de Autenticación	A.4	A.4M
Gestión de Acceso Privilegiado (PAM)	A.6	A.6M
Gestión de Identidades (IM)	A.7	A.7M

Seguridade na explotación

Familia	ANEXOS (RFS)
Anti-virus/EPP (Endpoint Protection Platform)	B.1	B.1M
EDR (Endpoint Detection and Response)	B.2	B.2M
Herramientas de gestión de red	B.3	B.3M
Herramientas de actualización de sistemas	B.4
Herramientas de filtrado de navegación	B.5	B.5M
Sistemas de gestión de eventos de seguridad (SIEM)	B.6	B.6M
Herramientas de gestión de dispositivos (UEM)	B.8	No Aplica
Sistemas de orquestación, automatización y respuesta de seguridad (SOAR)	B.9	No Aplica

Monitorización da seguridade

Familia	ANEXOS (RFS)
Dispositivos de prevención y detección de intrusiones	C.1	C.1M
Sistemas Honeypot / Honeynet	C.2
Captura, Monitorización y Análisis de Tráfico	C.3	C.3M
Herramientas de sandbox	C.4	C.4M

Protección das comunicacións

Familia	ANEXOS (RFS)
Enrutadores	D.1	D.1M
Switches	D.2	D.2M
Cortafuegos	D.3	D.3M
Proxies	D.4	D.4M
Dispositivos de Red Inalámbricos	D.5	D.5M
Pasarelas seguras de intercambio de datos	D.6	No Aplica
Diodos de datos	D.7	No Aplica
Redes privadas virtuales (IPSec)	D.8A	No Aplica
Redes privadas virtuales (SSL)	D.8B	No Aplica
Herramientas de voz por IP (VoIP)	D.9A	D.9AM
Herramientas de mensajería instantánea (IM)	D.9B	D.9BM
Herramientas de videoconferencia	D.9C	D.9C-M
Web Application Firewall (WAF)	D.10	D.10M
Redes definidas por software (SDN)	D.11

Protección da Información e os Soportes de Información

Familia	ANEXOS (RFS)
Almacenamiento cifrado de datos	E.1
Cifrado y compartición segura de información	E.2
Herramientas de Borrado Seguro	E.3	E.3M
Sistemas de prevención de fugas de datos	E.4
Herramientas para firma electrónica	E.5	No Aplica
Módulo de Seguridad Hardware (HSM)	E.6
Gestión de metadatos		E.7M

Protección de Equipos e Servizos

Familia	ANEXOS (RFS)
Dispositivos móviles	F.1	No Aplica
Sistemas operativos	F.2	No Aplica
Protección de correo electrónico	F.3	F.3M
Tarjetas inteligentes	F.4	No Aplica
Copias de seguridad	F.5
Plataformas confiables	F.6
Virtualización	F.7	F.7M
Balanceadores de carga	F.8	F.8M
Herramientas CASB	F.9	F.9M
Hiperconvergencia	F.10	F.10M
Herramientas de Videoidentificación	F.11	F.11M
Infraestructura de escritorio virtual (VDI)	F.12	F.12M
Conmutadores KVM	F.13
Sistemas de Gestión de Bases de Datos (DBMS)	F.14

Servizos na nube

Familia	ANEXOS (RFS)
Servicios en la nube	G	G

Mecanismos criptográficos

Familia	ANEXOS (RFS)
Requisitos para mecanismos criptográficos	H	H

Protección de instalaciones e infraestructuras

Familia	ANEXOS (RFS)
Cámaras IP		I.1M
Herramientas de gestión de vídeo		I.2M

Seguridade OT

Familia	ANEXOS (RFS)
Estaciones de carga de vehículos eléctricos		O.1M

Ferramentas para o desenvolvemento de produtos de seguridade

Outras ferramentas

Produtos e Servizos Aprobados

A taxonomía de produtos aprobados para o manexo de información clasificada será a mesma que para produtos cualificados xunto coas seguintes categorías:

Protección en contornas tácticas

Tempest

Os Requisitos Fundamentais de Seguridade (RFS) serán os mesmos que os establecidos na presente guía para os produtos cualificados, actualizados cos específicos para produtos de cifra establecidos na CCN-STIC-130 Requisitos de Aprobación de Produtos de Cifra para Manexar Información Nacional Clasificada.

Produtos e Servizos de Conformidade e Gobernanza

A listaxe de Produtos e Servizos de Conformidade e Gobernanza inclúe produtos e servizos que non forman parte da arquitectura de seguridade dun sistema TIC, pero que implementan funcionalidades que facilitan o cumprimento coa normativa de seguridade. Neste grupo estarían, por exemplo, ferramentas de auditoría, análise de riscos ou bastionado de sistemas/equipos.

Desde o punto de vista de inclusión no CPSTIC, non se definiron requisitos específicos para estes produtos nin se esixen certificacións, aínda que si se avalían nun laboratorio acreditado.

Esta listaxe posúe unha única categoría, a de Conformidade e Gobernanza, que se compón das seguintes familias: