Estrutura
A estrutura do Catálogo de Produtos e Servizos STIC (CPSTIC) está definida na guía CCN-STIC 140 “Taxonomía de referencia para produtos de seguridade TIC”. Basicamente está organizado en tres (3) listados:
Cada un deles componse de varias categorías que, á súa vez, compóñense de varias familias.
Produtos e Servizos Cualificados
Nesta listaxe inclúense produtos e servizos que forman parte da arquitectura de seguridade dos sistemas TIC que están baixo o alcance do ENS nalgunha das súas categorías BÁSICA, MEDIA ou ALTA, é dicir, aqueles que desenvolven a súa actividade no contexto operacional de leste e implementan funcionalidades que permiten incrementar o nivel de seguridade do sistema nalgunha das súas dimensións (dispoñibilidade [D], integridade [I], confidencialidade [C], autenticidade [A] e rastrexabilidade [T]).
Para que un produto ou servizo sexa cualificado, debe cumprir cos Requisitos Fundamentais de Seguridade (RFS) definidos para cada familia, incluídos nos correspondentes anexos da guía CCN-STIC 140:
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Anti-virus/EPP (Endpoint Protection Platform) | B.1 | B.1M |
EDR (Endpoint Detection and Response) | B.2 | B.2M |
Herramientas de gestión de red | B.3 | B.3M |
Herramientas de actualización de sistemas | B.4 | |
Herramientas de filtrado de navegación | B.5 | B.5M |
Sistemas de gestión de eventos de seguridad (SIEM) | B.6 | B.6M |
Herramientas de gestión de dispositivos (UEM) | B.8 | No Aplica |
Sistemas de orquestación, automatización y respuesta de seguridad (SOAR) | B.9 | No Aplica |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Enrutadores | D.1 | D.1M |
Switches | D.2 | D.2M |
Cortafuegos | D.3 | D.3M |
Proxies | D.4 | D.4M |
Dispositivos de Red Inalámbricos | D.5 | D.5M |
Pasarelas seguras de intercambio de datos | D.6 | No Aplica |
Diodos de datos | D.7 | No Aplica |
Redes privadas virtuales (IPSec) | D.8A | No Aplica |
Redes privadas virtuales (SSL) | D.8B | No Aplica |
Herramientas de voz por IP (VoIP) | D.9A | D.9AM |
Herramientas de mensajería instantánea (IM) | D.9B | D.9BM |
Herramientas de videoconferencia | D.9C | D.9C-M |
Web Application Firewall (WAF) | D.10 | D.10M |
Redes definidas por software (SDN) | D.11 |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Almacenamiento cifrado de datos | E.1 | |
Cifrado y compartición segura de información | E.2 | |
Herramientas de Borrado Seguro | E.3 | E.3M |
Sistemas de prevención de fugas de datos | E.4 | |
Herramientas para firma electrónica | E.5 | No Aplica |
Módulo de Seguridad Hardware (HSM) | E.6 | |
Gestión de metadatos | E.7M |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Dispositivos móviles | F.1 | No Aplica |
Sistemas operativos | F.2 | No Aplica |
Protección de correo electrónico | F.3 | F.3M |
Tarjetas inteligentes | F.4 | No Aplica |
Copias de seguridad | F.5 | |
Plataformas confiables | F.6 | |
Virtualización | F.7 | F.7M |
Balanceadores de carga | F.8 | F.8M |
Herramientas CASB | F.9 | F.9M |
Hiperconvergencia | F.10 | F.10M |
Herramientas de Videoidentificación | F.11 | F.11M |
Infraestructura de escritorio virtual (VDI) | F.12 | F.12M |
Conmutadores KVM | F.13 | |
Sistemas de Gestión de Bases de Datos (DBMS) | F.14 |
Familia | ANEXOS (RFS) | |
ENS Alta | ENS Media | |
Estaciones de carga de vehículos eléctricos | O.1M |
Ferramentas para o desenvolvemento de produtos de seguridade
Outras ferramentas
Produtos e Servizos Aprobados
A taxonomía de produtos aprobados para o manexo de información clasificada será a mesma que para produtos cualificados xunto coas seguintes categorías:
Protección en contornas tácticas
Tempest
Os Requisitos Fundamentais de Seguridade (RFS) serán os mesmos que os establecidos na presente guía para os produtos cualificados, actualizados cos específicos para produtos de cifra establecidos na CCN-STIC-130 Requisitos de Aprobación de Produtos de Cifra para Manexar Información Nacional Clasificada.
Produtos e Servizos de Conformidade e Gobernanza
A listaxe de Produtos e Servizos de Conformidade e Gobernanza inclúe produtos e servizos que non forman parte da arquitectura de seguridade dun sistema TIC, pero que implementan funcionalidades que facilitan o cumprimento coa normativa de seguridade. Neste grupo estarían, por exemplo, ferramentas de auditoría, análise de riscos ou bastionado de sistemas/equipos.
Desde o punto de vista de inclusión no CPSTIC, non se definiron requisitos específicos para estes produtos nin se esixen certificacións, aínda que si se avalían nun laboratorio acreditado.
Esta listaxe posúe unha única categoría, a de Conformidade e Gobernanza, que se compón das seguintes familias:
CG.1
Gobernanza e Planificación da Seguridade
CG.2
Normativa de Seguridade e Conformidade
CG.3
Análise e Xestión de Riscos
CG.4
Notificación e Xestión de Ciberincidentes
CG.5
Intercambio de Ciberinteligencia
CG.6
Formación e Concienciación en Ciberseguridade