|
Hasta hace poco este organismo era secreto
y desconocido, ahora ha salido a la luz y a través de su pagina
www.ccn.cni.es, se
puede acceder a herramientas de seguridad y la lista de productos
certificados, se cree que existe con ese nombre desde 1985 en el antiguo
CESID, al que ya se le asignaban funciones en la materia través de un
Real Decreto de 1985: "Criptoanalizar y descriptar por procedimientos
manuales, medios electrónicos y criptofonía, así como realizar
investigaciones tecnológico-criptográficas y formar al personal
especializado en criptología."
A partir de la creación del CNI ha salido
a la luz publica, en parte por que es necesario para el cumplimiento de
algunas de sus funciones, recientemente (Marzo de 2004), ha sido
regulado legalmente a través del Real Decreto 421/2004, de 12 de marzo,
por el que se regula el Centro Criptológico Nacional.
Aunque el decreto se centra en la
protección y seguridad de las tecnologías de la información, es evidente
que el CCN tiene también dentro de sus funciones la ruptura de códigos
(por ejemplo el cifrado de un ordenador incautado a un comando
terrorista), o el acceso a sistemas o comunicaciones de terceros, algo
lógico siendo una de las funciones principales de un servicio de
inteligencia la obtención de información.
España no ha creado una agencia
independiente, sino que sigue el modelo de países como Brasil o Grecia,
estando integrada y siendo responsabilidad del principal servicio de
inteligencia la seguridad de las comunicaciones nacionales, sus
funciones son similares al SCSSI Frances (Service central de la sécurité
des systèmes d'informations), o al BSI Aleman (Bundesamt für Sicherheit
in der Informationstechnik).
Dirección:
El Director del CNI, es el Director y
máximo responsable del CCN, si bien quien lo dirige realmente es un
funcionario con rango de subdirector apoyado por un subdirector adjunto,
al director del CNI le corresponde:
-
Asegurar el cumplimiento de las
funciones encomendadas al Centro Criptológico Nacional
-
Es la autoridad de certificación de la
seguridad de las tecnologías de la información y autoridad de
certificación criptológica.
-
Es responsable de velar por el
cumplimiento de la normativa relativa a la protección de la
información clasificada en los aspectos de los sistemas de
información y telecomunicaciones.
|
Entrevista concedida por el
anterior Director del CNI, sobre el funcionamiento y
actividades del Centro Criptológico Nacional:
Acceder a la Entrevista |
Funciones:
a) Elaborar y difundir normas,
instrucciones, guías y recomendaciones para garantizar la seguridad
de los sistemas de las tecnologías de la información y las
comunicaciones de la Administración. Las acciones derivadas del
desarrollo de esta función serán proporcionales a los riesgos a los que
esté sometida la información procesada, almacenada o transmitida por los
sistemas.
b) Formar al personal de la
Administración especialista en el campo de la seguridad de los sistemas
de las tecnologías de la información y las comunicaciones.
c) Constituir el organismo de
certificación del Esquema nacional de evaluación y
certificación de la seguridad de las tecnologías de información, de
aplicación a productos y sistemas en su ámbito.
|
Evaluar:
-
Análisis de la capacidad
de un producto de las TI para proteger la información de
acuerdo a unos criterios establecidos.
-
Se realiza con un proceso
metodológico
-
Tiene por objeto
determinar si el producto puede ser certificado
Certificar: Es la
determinación de la capacidad de un producto de las TI para
proteger la información de acuerdo a unos criterios
establecidos.
Se pueden distinguir cuatro
tipos de certificaciones:
-
Certificación de la
Seguridad de las TI
-
Certificación de la
Seguridad Criptológica
-
Certificación de la
Seguridad de Emanaciones (TEMPEST)
-
Certificación de la
Seguridad Física de los propios productos de seguridad
de las TI.
|
d) Valorar y acreditar la capacidad de
los productos de cifra y de los sistemas de las tecnologías de la
información, que incluyan medios de cifra, para procesar, almacenar o
transmitir información de forma segura.
|
Valorar:
Análisis de la Capacidad de un
sistema de las TI para proteger información.
Acreditar: Es la
determinación de la capacidad de los sistemas de las TI para
resistir, hasta un determinado nivel de confianza,
accidentes o acciones maliciosas que puedan comprometer la
confidencialidad, integridad, autenticidad y disponibilidad
de la información que manejan. |
e) Coordinar la promoción, el desarrollo,
la obtención, la adquisición y puesta en explotación y la utilización de
la tecnología de seguridad de los sistemas antes mencionados.
f) Velar por el cumplimiento de la
normativa relativa a la protección de la información clasificada
en su ámbito de competencia.
g) Establecer las necesarias relaciones y
firmar los acuerdos pertinentes con organizaciones similares de
otros países, para el desarrollo de las funciones mencionadas.
Medios y Personal:
En 2003 el CCN no había aumentado ni su
presupuesto ni su personal según su propio director, a pesar de las
funciones que tenia encomendadas por ley, se estima que en el periodo
1990 - 2000 se dedico un 5% del presupuesto del entonces CESID al Centro
Criptológico al que habría que sumar otras partidas.
Si bien el CCN dispone de personal propio
este se encuentra sometido al estatuto de personal del CNI a todos los
efectos, se integra en el Centro Nacional de Inteligencia con el que
comparte medios, procedimientos, normativa y recursos.
Hay que destacar el acuerdo con Microsoft
por el que los especialistas del CCN tendrán acceso al código fuente de
Windows: información técnica confidencial y acceso a herramientas de
revisión del código específicas para encontrar lo que buscan en las
líneas de código de Windows.
Recursos
|
