Todo lo que necesitas saber sobre el Catálogo de Productos de Seguridad TIC español (FAQ)

15/04/2021

    Los fabricantes locales y globales de productos de seguridad TIC que quieran vender en España, y particularmente a cualquier organismo público o a sus proveedores, deben conocer el Catálogo de productos de seguridad TIC (CPSTIC). 

    Applus+ ha publicado esta breve guía para ayudar a los desarrolladores a entender qué es el catálogo, sus diferentes categorías, y cómo certificarse para que sus productos estén listados en él. 

     

    ¿Qué es el Catálogo de productos de Seguridad TIC (CPSTIC)? 

    El Catálogo es el listado de productos de seguridad TIC, recomendados por el Departamento de Productos y Tecnologías del Centro Criptológico Nacional, CCN-PYTEC, para ser usados por la Administración en la protección de sus activos TI. 

    Los productos listados han sido evaluados bajo esquemas de certificación de ciberseguridad por laboratorios acreditados e independientes y bajo la supervisión del CCN, para asegurar que cumplen los más altos estándares de seguridad.

    El catálogo tiene por objetivo ser una referencia para el sector público español, y las empresas que les dan servicio, en las licitaciones y compras de productos TIC. Para ello, el catálogo diferencia dos tipos de productos: 

     
     

    PRODUCTOS CUALIFICADOS: Son productos que tienen certificadas sus funcionalidades de seguridad y son aptos para ser utilizados en sistemas conformes con el Esquema Nacional de Seguridad (ENS) español en las categorías Alta y Media. Los productos de categoría Básica no forman parte del Catálogo. 

     

    PRODUCTOS APROBADOS: Son productos cuyo uso está aprobado en sistemas que manejen información clasificada.



    ¿Es obligatorio que nuestro producto este incluido en el Catálogo para poder concurrir en una licitación pública? 

    La respuesta, a día de hoy, es no. Pero sí es altamente recomendable, ya que lo habitual será encontrarlos como un requisito ponderable dentro de los pliegos de las licitaciones públicas.

    Por lo tanto, formar parte del catálogo es importante si se quiere contar con las mismas opciones de éxito que el resto de competidores que ya han certificado e incluido sus soluciones en el Catálogo. Pero, además, en ciertas circunstancias, ser ágiles certificando una solución concreta para acceder al Catálogo CPSTIC puede ayudar a situar el producto en una posición muy interesante para los objetivos de negocio con la administración pública. 

    Si se accede al listado público del Catálogo y se analiza bien las diferentes familias y taxonomías de productos, se puede observar que actualmente existen ciertas categorías con una oferta muy limitada de soluciones cualificadas o aprobadas; incluso, en algunos casos, hay familias que por el momento solo disponen de una o ninguna solución certificada. Esta situación, sin duda, otorgaría una ventaja competitiva a aquellas empresas pioneras en certificar su producto para el Catálogo. 



    ¿Cuál es el procedimiento para incluir un producto en el Catálogo?

    El procedimiento variará en función de si el producto debe ser aprobado o cualificado, y en este último caso, dependerá de si el producto a cualificar necesita cumplir con los requisitos de la Categoría ENS Media o ENS Alta. Hemos resumido cada uno de los procesos en la siguiente infografía. 

     
     

    Además, se debe tener en cuenta que el Catálogo está organizado por familias de productos. El objetivo es categorizar aquellos productos que forman parte de la arquitectura de seguridad de los sistemas TIC, es decir, aquellos que desarrollan su actividad en el contexto operacional del sistema, e implementan funcionalidades que permiten incrementar su nivel de seguridad en alguna de sus dimensiones (disponibilidad, integridad, confidencialidad, autenticidad y trazabilidad). Cada una de estas familias tiene asignada una taxonomía de referencia donde se pueden encontrar las funcionalidades de seguridad requeridas, definidas por el CCN.



    Productos Cualificados (Categoría Media y Alta): ¿Cómo cualificar un producto para su inclusión en el Catálogo?

    En el ámbito de los Productos Cualificados, cada solución que quiera ser incluida en el CPSTIC debe disponer de una certificación funcional, que cumpla con Requisitos Fundamentales de Seguridad (RFS) correspondientes a su familia, definidos por el CCN. 

    El tipo de certificación funcional a superar dependerá de la Categoría ENS. La certificación Lince dará acceso a la Categoría ENS Media, mientras que la certificación Common Criteria dará acceso a la Categoría ENS Alta. Las certificaciones Common Criteria obtenidas previamente, que no cumplan con todos los RFS definidos por el CCN para la familia de productos a la que está asociada, deberán realizar una evaluación complementaria de dichos requisitos o, en el peor de los casos, una recertificación Common Criteria. Los productos que sí cumplan con todos los RFS deberán realizar igualmente un análisis de riesgos. En todos los casos, será necesaria la validación de los algoritmos criptográficos de la solución.

     



    Productos aprobados (Información Clasificada): ¿Cómo aprobar un producto para su inclusión en el Catálogo?

    Las soluciones IT que tengan por objetivo manejar información clasificada deberán obtener la aprobación del CCN, y el proceso de aprobación no está previamente definido, sino que dependerá en cada caso de las condiciones del producto y la información que gestione.

    El CCN será el encargado de decidir qué tipo de certificaciones requiere el producto, pero entre ellas son habituales la certificación Common Criteria y la certificación criptológica, así como otras certificaciones específicas como Tempest, orientada a la evaluación de las emanaciones no intencionadas. 



    ¿Qué es la certificación Common Criteria y cómo obtenerla?

    Common Criteria es un estándar internacional para evaluación de la seguridad de los productos IT (ISO 15408), reconocido a día de hoy por los 31 países adscritos al acuerdo CCRA, de mutuo reconocimiento para evaluaciones hasta el nivel EAL 2.
    Adicionalmente, 17 países europeos tienen un acuerdo propio de mutuo reconocimiento, hasta el nivel EAL 4 (SOGIS), y para niveles superiores en algunas áreas técnicas. Sin embargo, solamente 7 de estos países, entre ellos España, pueden emitir dichos certificados. 
    Applus+ Laboratories dispone de dos laboratorios acreditados por el organismo de certificación nacional español, el CCN, para realizar evaluaciones de seguridad tanto de Common Criteria (hasta EAL 6+) como de SOGIS. 

    Más información sobre la Certificación Common Criteria



    ¿Qué es la certificación Lince y cómo obtenerla?

    La Certificación Nacional Esencial de Seguridad (LINCE) ha sido desarrollada por el Centro Criptológico Nacional, CCN, como metodología de evaluación, en respuesta a la necesidad de certificación de productos cuyo despliegue está previsto en entornos que gestionan información sensible, pero cuyo nivel de amenaza no es Alto.

    El esquema LINCE certifica que un producto ha superado exitosamente una evaluación de seguridad a través de una certificación autorizada por el CCN, enfocada a poder incluir el producto en el Catálogo de productos STIC. La evaluación tiene las siguientes características principales:

    • Debe de ser llevada a cabo en un tiempo y con una carga de trabajo acotada y predefinida.
    • Debe analizar la conformidad del producto con sus requisitos fundamentales de seguridad conforme a lo definido en las guías [CCN-STIC-140].
    • Debe medir la resistencia de las funciones de seguridad del producto.
    • Debe de estar orientada al análisis de vulnerabilidades y test de penetración.

    Más información sobre la certificación LINCE



    ¿Cuáles son las principales diferencias entre la certificación Common Criteria y Lince?

     
     


    Listado de productos que están dentro del catálogo CPSTIC

    El listado es público y se puede consultar en la web del OC-CCN. Es recomendable acceder regularmente a la página del catálogo, para consultar si hay nuevos productos en proceso de inclusión, y poder evaluar posicionamiento de los productos propios frente al resto de soluciones del mercado. A continuación se adjunta una tabla con las diferentes familias de productos, que se puede utilizar como referencia a la hora de decidir dónde incluir una solución concreta.

    Dicha tabla permite acceder a los Requisitos Fundamentales de Seguridad (RFS) publicados en forma de anexos:

    CATEGORÍAS FAMILIAS ANEXOS (RFS)
    ENS ALTA ENS MEDIA
    Control de acceso Control de Acceso a Red (NAC)  A.1  
    Dispositivos Biométricos  A.2  
    Dispositivos Single Sign-On  A.3  
    Servidores de Autenticación  A.4  
    Gestión de Acceso Privilegiado (PAM)  A.6 A.6M
    Gestión de Identidades (IM) A.7 A.7M
    Seguridad de explotación Anti-virus/EPP (Endpoint Protection Platform)  B.1 B.1M
    EDR (Endpoint Detection and Response)  B.2 B.2M
    Herramientas de gestión de red  B.3 B.3M
    Herramientas de actualización de sistemas  B.4  
    Herramientas de filtrado de navegación  B.5 B.5M
    Sistemas de gestión de eventos de seguridad (SIEM)  B.6 B.6M
    Herramientas de gestión de dispositivos móviles (MDM)  B.8 N/A
    Otras herramientas N/A N/A
    Monitorización de la seguridad Dispositivos de prevención y detección de intrusiones  C.1 C.1M
    Sistemas Honeypot / Honeynet  C.2  
    Captura, Monitorización y Análisis de Tráfico  C.3  
    Herramientas de sandbox   C.4M
    Protección de las comunicaciones Enrutadores D.1 D.1M
    Switches D.2 D.2M
    Cortafuegos D.3  
    Proxies D.4 D.4M
    Dispositivos de Red Inalámbricos D.5 D.5M
    Pasarelas seguras de intercambio de datos D.6 N/A
    Diodos de datos D.7 N/A
    Redes privadas virtuales IPSec D.8A N/A
    SSL D.8B N/A
    Herramientas para comunicaciones móviles seguras D.9  
    Web Application Firewall (WAF) D.10  
    Protección de la Información y los Soportes de Información Almacenamiento cifrado de datos E.1  
    Cifrado offline E.2  
    Herramientas de Borrado Seguro E.3  
    Sistemas de prevención de fugas de datos E.4  
    Herramientas para firma electrónica E.5 N/A
    Protección de Equipos y Servicios Dispositivos móviles F.1 N/A
    Sistemas operativos F.2 N/A
    Anti-spam F.3  
    Tarjetas inteligentes F.4 N/A
    Copias de seguridad F.5  
    Plataformas confiables F.6  
    Virtualización F.7 N/A
    Balanceadores de carga F.8 F.8M
    Herramientas CASB F.9  
    Hiperconvergencia F.10 F.10M
    Herramientas de Videoidentificación F.11 F.11M
    Servicios en la nube Servicios en la nube G  

     



    Applus+ Laboratories, expertos en evaluaciones de ciberseguridad
    Los diferentes laboratorios de ciberseguridad de Applus+ poseen los recursos y acreditaciones, así como una amplia y demostrada experiencia en evaluaciones de seguridad y en procesos de certificación. Para más información sobre la ruta más óptima para conseguir la inclusión de su producto en el catálogo de productos de seguridad TIC, contacta con nuestros expertos y plantéanos tus dudas y necesidades.

    Applus+ utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad personalizada en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas). Puedes aceptar todas las cookies pulsando el botón “Aceptar” o configurarlas o rechazar su uso. Para más información, consulta nuestra Política de Cookies. ​

    Panel de configuración de cookies