El CCN-CERT acaba de publicar el Catálogo de Productos de Seguridad de las Tecnologías de la Información y Comunicación, CPSTIC (o Guía CCN-STIC 105)
En él se incluyen en ella los Productos Aprobados para manejar información nacional clasificada y los Productos Cualificados de Seguridad TIC.
Para la inclusión de un producto en esta guía, el CCN tendrá en cuenta una serie de criterios como, la clasificación de la información que puede manejar (Difusión Limitada, Confidencial, Reservado, Secreto), las características de seguridad del producto, la categoría del sistema de información en el que puede emplearse según lo definido en el Esquema Nacional de Seguridad (alta, media, básica), las certificaciones aportadas, el entorno donde se vaya a emplear, etc. En función de esta información, se determinarán las pruebas o evaluaciones que deberá superar el producto de seguridad TIC correspondiente.
La Guía recoge seis categorías:
- Control de Acceso
- Seguridad en la Explotación
- Monitorización de la Seguridad
- Protección de las Comunicaciones
- Protección de las Información y Soportes de Información
- Protección de equipos y servicios
Aparte de ellas, se incluyen otras 33 'familias', como sistemas operativos, herramientas anti-spam, tarjetas inteligentes, dispositivos biométricos o sistemas Honeypot.
La Guía CCN-STIC 140
Complementando el Catálogo, se ha publicado la Guía CCN-STIC 140 Taxonomía de referencia para productos de Seguridad TIC como método de clasificación del Catálogo de Productos de Seguridad TIC, CPSTIC, recomendados por el CCN.
El CCN ha publicado esta Guía con el fin de establecer una clasificación de productos en torno a diversas categorías y familias como base para la ordenación de los Productos Cualificados incluidos en el Catálogo de Productos de Seguridad TIC (CPSTIC). De este modo, la categoría indicará el tipo de producto de acuerdo a las medidas de seguridad que aporte (por ejemplo, control de acceso, protección de las comunicaciones, etc.); mientras que la familia señalará el tipo de producto de acuerdo a su funcionalidad principal (por ejemplo, enrutador, cortafuegos, proxy, herramientas de borrado seguro, etc.).
El CPSTIC ofrece un listado de productos STIC de referencia, supervisado por el Centro Criptológico Nacional, CCN, con el que se pretende ofrecer un nivel mínimo de confianza al usuario final que compra dichos productos. Este catálogo incluye los Productos Aprobados para manejar información nacional clasificada y los Productos Cualificados de Seguridad TIC.
Fuente original de la noticia (Guía CCN-STIC 105)
Fuente original de la noticia (Guía CCN-STIC 140)