Catálogo CPSTIC del CCN: Productos Cualificados ENS

El control op.pl.5 del ENS establece que los componentes de seguridad de los sistemas deben ser productos cualificados o certificados cuando sea posible. El Catálogo de Productos y Servicios de Seguridad TIC (CPSTIC) del Centro Criptológico Nacional es la referencia oficial para identificar estos productos. Conocer este catálogo, saber cómo usarlo y documentar correctamente la selección de productos es un aspecto que los auditores ENS verifican y donde muchas organizaciones fallan por desconocimiento.

🔗 ENLACE INTERNO: Consulte nuestra guía definitiva del ENS para el contexto general del marco normativo.

¿Qué es el catálogo CPSTIC?

El CPSTIC es el inventario de productos de seguridad TIC evaluados y cualificados o aprobados por el Centro Criptológico Nacional para su uso en sistemas clasificados por el ENS. Es un recurso vivo que se actualiza periódicamente a medida que se evalúan nuevos productos y se retiran los que pierden su cualificación.

El catálogo se divide en dos grandes categorías. Los productos cualificados han sido sometidos a un proceso de evaluación técnica por un laboratorio acreditado y cumplen los requisitos funcionales y de seguridad exigidos para su categoría. Los productos aprobados, además de estar cualificados, han sido autorizados para manejar información clasificada nacional.

Para la mayoría de sistemas del ENS (categorías BÁSICA, MEDIA y ALTA no clasificada), la referencia son los productos cualificados.

Familias de productos en el catálogo

El CPSTIC organiza los productos por familias funcionales que cubren las principales necesidades de seguridad. Las familias incluyen soluciones antimalware y EDR, firewalls perimetrales y de nueva generación, sistemas de detección y prevención de intrusiones (IDS/IPS), soluciones VPN y acceso remoto seguro, gestión de identidades y acceso (IAM), sistemas SIEM para monitorización de seguridad, soluciones de cifrado de datos y comunicaciones, herramientas de backup y recuperación, gestión de dispositivos móviles (MDM), y seguridad del correo electrónico.

Para cada producto cualificado, el catálogo proporciona información sobre el fabricante, la versión evaluada, la categoría ENS para la que es apto, las funcionalidades de seguridad verificadas, la fecha de cualificación y su periodo de validez.

¿Cuándo es obligatorio usar productos del CPSTIC?

La obligatoriedad de uso de productos CPSTIC depende de la categoría del sistema. En categoría BÁSICA, el uso de productos cualificados es recomendable pero no obligatorio. Se debe documentar la selección de productos con criterios técnicos de seguridad, pero no se exige que estén en el catálogo.

En categoría MEDIA, se debe utilizar productos cualificados o certificados cuando existan en el catálogo para la función de seguridad requerida. Si no hay producto cualificado disponible, se puede utilizar uno comercial con justificación documentada.

En categoría ALTA, el uso de productos cualificados es obligatorio para las funciones críticas de seguridad. Solo se admiten excepciones justificadas cuando no existe producto cualificado que cubra una necesidad específica, y en este caso se debe documentar un análisis de riesgos complementario.

¿Cómo consultar el catálogo?

El CPSTIC está accesible en la página web del Centro Criptológico Nacional (ccn-cert.cni.es). Para acceder al catálogo completo es necesario estar registrado como usuario del CCN. La consulta permite filtrar por familia de producto, categoría ENS y fabricante.

Es importante verificar que la versión del producto que va a utilizar es exactamente la que figura en el catálogo. Una versión diferente, incluso una actualización menor, puede no estar cualificada.

¿Cómo documentar la selección de productos en la Declaración de Aplicabilidad?

La Declaración de Aplicabilidad (SOA) debe reflejar los productos de seguridad utilizados y su justificación. Para cada control que requiere una solución técnica, documente el producto utilizado (fabricante, versión), si está cualificado en el CPSTIC (con referencia al catálogo), o si no está cualificado, la justificación técnica de su selección y las medidas compensatorias aplicadas.

Los auditores verifican específicamente este aspecto. La ausencia de documentación sobre la selección de productos es una no conformidad frecuente, especialmente en categoría MEDIA y ALTA.

¿Qué hacer cuando no hay producto cualificado?

No siempre existe un producto CPSTIC para cada necesidad. En esos casos, la organización debe seleccionar un producto con certificaciones de seguridad reconocidas (Common Criteria, FIPS 140-2/3), documentar un análisis de riesgos que evalúe la idoneidad del producto seleccionado, implementar medidas compensatorias adicionales si es necesario, y mantener una vigilancia sobre nuevas incorporaciones al catálogo que puedan sustituir al producto actual.

Productos CPSTIC más habituales en proyectos ENS

Sin entrar en marcas comerciales específicas, los tipos de productos que con mayor frecuencia se seleccionan del catálogo en proyectos de adecuación ENS son los firewalls de nueva generación para la protección perimetral, los sistemas de cifrado de comunicaciones para conexiones entre sedes y con la administración, las soluciones VPN para acceso remoto seguro, las herramientas SIEM para la monitorización exigida en categoría MEDIA y ALTA, y las soluciones de gestión de identidades para el doble factor de autenticación.

🔗 ENLACE INTERNO: Para entender los 73 controles que pueden requerir productos de seguridad, consulte nuestro desglose de los controles del ENS.

📩 CTA: ¿Necesita orientación sobre qué productos de seguridad seleccionar para su proyecto ENS? Contacte con nosotros. Le ayudamos a elegir las soluciones más adecuadas para su categoría y presupuesto, documentando correctamente la selección para la auditoría.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Análisis de Riesgos MAGERIT para ENS: Guía Práctica.