Productos y servicios cualificados
Cubren productos y servicios para información sensible bajo ENS, en categorías Alta, Media o Básica. Es la ruta más habitual cuando el objetivo es aparecer como solución cualificada en CPSTIC.
Taxonomía CPSTIC
CCN-STIC 140: taxonomía CPSTIC y Requisitos Fundamentales de Seguridad
CCN-STIC 140 define las familias CPSTIC, los RFS aplicables y el encaje de productos y servicios de seguridad TIC dentro del Catálogo CPSTIC.
Qué es CCN-STIC 140
CCN-STIC 140 es la guía que establece la taxonomía de referencia para productos y servicios de seguridad TIC. Define las familias CPSTIC, delimita la funcionalidad mínima de cada tipo de producto y sirve como base para preparar la entrada en el Catálogo CPSTIC.
No sustituye al procedimiento de inclusión. Para saber cómo se abre el expediente, qué documentación se presenta y cómo emite el CCN el ITC y el RITC, hay que leerla junto con CCN-STIC 106.
Criterio práctico
Antes de preparar una evaluación hay que identificar la familia objetivo. Esa decisión condiciona los RFS, las evidencias y la categoría del CPSTIC en la que aparecerá el producto.
Lectura rápida
Qué regula
La taxonomía CPSTIC, las familias de producto y los RFS asociados.
A quién aplica
Fabricantes, proveedores y equipos que preparan inclusión, renovación o análisis de encaje en CPSTIC.
Qué no hace
No define por sí sola el expediente ni el procedimiento de cualificación; esa parte se aterriza con CCN-STIC 106.
Qué leer también
CCN-STIC 106 para inclusión, LINCE para producto on-prem y CICLON para productos y servicios cloud.
Las tres categorías del CPSTIC
La taxonomía no solo clasifica productos por familias. También sitúa cada solución dentro de la categoría del CPSTIC que corresponde a su finalidad y al tipo de información o sistema al que va dirigida.
Productos aprobados
Aplican a productos para información clasificada. En estos casos puede entrar una lógica adicional de aprobación, evaluación criptológica, TEMPEST u otras exigencias específicas.
Conformidad y gobernanza
Agrupa herramientas que no forman parte directa de la arquitectura de seguridad del sistema, pero ayudan a gestionar cumplimiento, riesgo, incidentes, inteligencia, formación o gobierno de seguridad.
Familias y RFS
Las familias agrupan productos por función principal de seguridad. Un producto puede encajar en una familia o en varias si incorpora capacidades complementarias que deben analizarse de forma separada.
Los RFS, o Requisitos Fundamentales de Seguridad, marcan las funcionalidades que debe implementar el producto dentro de las familias que le correspondan. Por eso es importante identificar las familias objetivo en la CCN-STIC 140.
Cómo afecta a tu producto
La familia marca qué capacidades de seguridad debe cubrir el producto según los RFS aplicables, qué evidencias se revisarán y en qué categoría del CPSTIC aparecerá una vez cualificado.
Otras herramientas
Cuando la función principal del producto no encaja correctamente en una familia publicada, puede valorarse su tratamiento como Otras herramientas. Es una vía de encaje que requiere un análisis previo para definir qué hace el producto, qué riesgos cubre y cómo los cubre.
Productos cloud
CCN-STIC 140 también contempla productos y servicios desplegados o prestados en cloud. En ese caso hay que tener en cuenta el Anexo G y la metodología CICLON / CCN-STIC 2010.
Acrónimos que conviene tener claros
CPSTIC
Catálogo de Productos y Servicios de Seguridad de las Tecnologías de la Información y la Comunicación.
RFS
Requisitos Fundamentales de Seguridad. Son las condiciones técnicas que debe satisfacer el producto en las familias CPSTIC aplicables.
ENS
Esquema Nacional de Seguridad. Determina, entre otros aspectos, la categoría del sistema donde se utilizará el producto.
PES
Procedimiento de Empleo Seguro. Describe la configuración y uso seguro de la versión concreta que se quiere incluir en CPSTIC.
Cómo ayuda CYBSER
Revisamos el producto, proponemos el encaje en CPSTIC, identificamos las familias y RFS aplicables y nos encargamos del proceso al completo, incluyendo la documentación y la evaluación de la forma más eficiente.
Preguntas frecuentes sobre CCN-STIC 140
¿CCN-STIC 140 define el procedimiento de inclusión en CPSTIC?
No. CCN-STIC 140 define la taxonomía, las familias y los RFS. El procedimiento de inclusión se explica en CCN-STIC 106.
¿Hay que elegir una sola familia CPSTIC?
No siempre. Un producto puede encajar en una o varias familias si implementa funcionalidades complementarias cubiertas por la taxonomía.
¿Qué pasa si el producto no encaja en ninguna familia?
Puede valorarse el bloque de Otras herramientas. Ese encaje requiere un análisis previo para definir qué hace el producto, qué riesgos cubre y cómo los cubre.
¿CCN-STIC 140 aplica a productos cloud?
Sí. Los productos y servicios desplegados o prestados en cloud deben tener en cuenta el Anexo G y la metodología CICLON definida en CCN-STIC 2010.
¿Queréis validar el encaje CPSTIC del producto?
Analizamos familia, RFS, ruta de inclusión, documentación y evaluación para preparar el expediente de forma óptima.