CPSTIC-Katalog des CCN: Qualifizierte ENS-Produkte

TL;DR · Zusammenfassung

Was ist der CPSTIC-Katalog?
Produktfamilien im Katalog
Wann ist die Verwendung von CPSTIC-Produkten verpflichtend?
Wie konsultiert man den Katalog?

Die Kontrolle op.pl.5 des Spanischen Nationalen Sicherheitsgrundgesetzes (ENS) legt fest, dass die Sicherheitskomponenten der Systeme nach Möglichkeit qualifizierte oder zertifizierte Produkte sein müssen. Der Katalog von Produkten und Dienstleistungen für IKT-Sicherheit (CPSTIC) des Centro Criptológico Nacional ist die offizielle Referenz für die Identifizierung dieser Produkte. Den Katalog zu kennen, ihn zu nutzen und die Produktauswahl korrekt zu dokumentieren ist ein Aspekt, den ENS-Auditoren prüfen — und an dem viele Organisationen aus Unkenntnis scheitern.

Was ist der CPSTIC-Katalog?

Der CPSTIC ist das Inventar der IKT-Sicherheitsprodukte, die vom CCN für den Einsatz in nach dem ENS klassifizierten Systemen evaluiert und qualifiziert oder zugelassen sind. Es ist eine lebendige Ressource, die regelmäßig aktualisiert wird.

Der Katalog gliedert sich in zwei große Kategorien. Die qualifizierten Produkte haben einen technischen Bewertungsprozess durch ein akkreditiertes Labor durchlaufen und erfüllen die funktionalen und sicherheitsbezogenen Anforderungen. Die zugelassenen Produkte sind zusätzlich für den Umgang mit nationalen Verschlusssachen autorisiert.

Für die meisten ENS-Systeme (Kategorien NIEDRIG, MITTEL und HOCH ohne Verschlusssachen) sind die qualifizierten Produkte die Referenz.

Produktfamilien im Katalog

Der CPSTIC organisiert Produkte nach Funktionsfamilien: Antimalware- und EDR-Lösungen, perimetrale Firewalls und Next-Generation-Firewalls, IDS/IPS-Systeme, VPN-Lösungen und sicherer Fernzugriff, Identitäts- und Zugriffsverwaltung (IAM), SIEM-Systeme, Verschlüsselungslösungen für Daten und Kommunikation, Backup- und Wiederherstellungstools, Mobile Device Management (MDM) und E-Mail-Sicherheit.

Für jedes qualifizierte Produkt liefert der Katalog Informationen zu Hersteller, evaluierter Version, ENS-Kategorie, geprüften Sicherheitsfunktionen, Qualifizierungsdatum und Gültigkeitsdauer.

Wann ist die Verwendung von CPSTIC-Produkten verpflichtend?

In Kategorie NIEDRIG ist die Verwendung qualifizierter Produkte empfehlenswert, aber nicht obligatorisch. In Kategorie MITTEL sollen qualifizierte oder zertifizierte Produkte verwendet werden, sofern vorhanden. In Kategorie HOCH ist der Einsatz qualifizierter Produkte für kritische Sicherheitsfunktionen verpflichtend; Ausnahmen sind nur mit begründeter Dokumentation und ergänzender Risikoanalyse zulässig.

Wie konsultiert man den Katalog?

Der CPSTIC ist auf der Website des Centro Criptológico Nacional (ccn-cert.cni.es) zugänglich. Für den Zugriff auf den vollständigen Katalog ist eine Registrierung als CCN-Nutzer erforderlich. Filtern lässt sich nach Produktfamilie, ENS-Kategorie und Hersteller. Wichtig: Verifizieren Sie, dass exakt die katalogisierte Version genutzt wird — eine andere Version kann nicht qualifiziert sein.

Auswahl in der Anwendbarkeitserklärung dokumentieren

Die Anwendbarkeitserklärung (SOA) muss die eingesetzten Sicherheitsprodukte und ihre Begründung widerspiegeln. Für jede Kontrolle, die eine technische Lösung erfordert, dokumentieren Sie das Produkt (Hersteller, Version), seine CPSTIC-Qualifizierung mit Katalogreferenz oder andernfalls die technische Begründung für seine Auswahl und die angewandten kompensierenden Maßnahmen.

Was tun, wenn es kein qualifiziertes Produkt gibt?

Wählen Sie ein Produkt mit anerkannten Sicherheitszertifizierungen (Common Criteria, FIPS 140-2/3), dokumentieren Sie eine Risikoanalyse zur Eignung, implementieren Sie zusätzliche Kompensationsmaßnahmen und beobachten Sie Neuzugänge im Katalog, die das aktuelle Produkt ablösen könnten.

In ENS-Projekten am häufigsten genutzte CPSTIC-Produkte

Ohne Marken zu nennen: Next-Generation-Firewalls für den Perimeterschutz, Kommunikationsverschlüsselungssysteme für Standortverbindungen und Verbindungen zur Verwaltung, VPN-Lösungen für sicheren Fernzugriff, SIEM-Werkzeuge für die in Kategorie MITTEL und HOCH geforderte Überwachung und Identitätsverwaltungslösungen für die Zwei-Faktor-Authentifizierung.

Häufig gestellte Fragen

Wer muss das ENS erfüllen?

Es muss von der gesamten spanischen öffentlichen Verwaltung und von privaten Anbietern erfüllt werden, die IKT-Dienstleistungen für den öffentlichen Sektor erbringen. Typische Produkte aus dem CPSTIC sind Next-Generation-Firewalls, Kommunikationsverschlüsselung, VPN-Lösungen, SIEM und IAM.

Welche ENS-Kategorien gibt es?

Das ENS kennt drei Kategorien: NIEDRIG, MITTEL und HOCH. Der Katalog unterscheidet qualifizierte und zugelassene Produkte; qualifizierte sind technisch bewertet und erfüllen die Anforderungen ihrer Kategorie.

Wie lange dauert die Frist zur Erfüllung des ENS?

Das Königliche Dekret 311/2022 legt differenzierte Fristen fest; in der Regel müssen Anpassungen innerhalb von 24 Monaten abgeschlossen sein. Der Katalog liefert Daten zu Hersteller, evaluierter Version, ENS-Kategorie, Funktionen und Gültigkeit.

Weiterlesen zu ENS-Compliance

Benötigen Sie Unterstützung?

Beratung zur ENS-Anpassung

Maßgeschneiderte Beratung zur ENS-Anpassung. Erste Sitzung ohne Kosten.

Termin vereinbaren →

El marketing del cerebro es más predictible que el marketing de la opinión. — Ángel Ortega Castro

CPSTIC-Katalog des CCN: Qualifizierte Produkte für das ENS