Método de clasificación del Catálogo de Productos de Seguridad TIC, CPSTIC, recomendados por el CCN

  • Publicado la Guía CCN-STIC 140 Taxonomía de referencia para productos de Seguridad TIC.
  • La Guía tiene como objetivo establecer una taxonomía para la clasificación de productos de Seguridad TIC en torno a diversas categorías y familias, identificando su ámbito y alcance con el objeto de servir como base para la clasificación de productos incluidos en el apartado de Productos Cualificados del CPSTIC, de referencia en el sector público.
  • El CPSTIC es un listado de productos STIC de referencia, supervisado por el Centro Criptológico Nacional, CCN, que pretender proporcionar un nivel mínimo de confianza al usuario final, incluyendo los “Productos Aprobados” para manejar información nacional clasificada y los “Productos Cualificados de Seguridad TIC”.

El CCN ha publicado la Guía CCN-STIC 140. Taxonomía de referencia para productos de Seguridad TIC, con el fin de establecer una clasificación de productos en torno a diversas categorías y familias como base para la ordenación de los Productos Cualificados incluidos en el Catálogo de Productos de Seguridad TIC (CPSTIC). De este modo, la categoría indicará el tipo de producto de acuerdo a las medidas de seguridad que aporte (por ejemplo, control de acceso, protección de las comunicaciones, etc.); mientras que la familia señalará el tipo de producto de acuerdo a su funcionalidad principal (por ejemplo, enrutador, cortafuegos, proxy, herramientas de borrado seguro, etc.).

El CPSTIC ofrece un listado de productos STIC de referencia, supervisado por el Centro Criptológico Nacional, CCN, con el que se pretende ofrecer un nivel mínimo de confianza al usuario final que compra dichos productos. Este catálogo incluye los Productos Aprobados para manejar información nacional clasificada y los Productos Cualificados de Seguridad TIC.

Para la inclusión de un producto en el catálogo, el CCN tendrá en cuenta una serie de criterios como, la clasificación de la información que puede manejar (Difusión Limitada, Confidencial, Reservado, Secreto), las características de seguridad del producto, la categoría del sistema de información en el que puede emplearse según lo definido en el Esquema Nacional de Seguridad (alta, media, básica), las certificaciones aportadas, el entorno donde se vaya a emplear, etc. En función de esta información, se determinarán las pruebas o evaluaciones que deberá superar el producto de seguridad TIC correspondiente.

La guía recoge seis categorías (Control de Acceso, Seguridad en la Explotación, Monitorización de la Seguridad, Protección de las Comunicaciones, Protección de las Información y Soportes de Información, Protección de equipos y servicios) y 33 familias, como sistemas operativos, herramientas anti-spam, tarjetas inteligentes, dispositivos biométricos o sistemas Honeypot.

CCN-CERT (10/01/2018)

Acceso a la Guía CCN-STIC 140. Taxonomía de referencia para productos de Seguridad TIC

 

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT