|
Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.
La sociedad española
demanda unos servicios de inteligencia eficaces, especializados y modernos,
capaces de afrontar los nuevos retos del actual escenario nacional e
internacional.
Entre los elementos más
característicos de esta nueva situación figuran el desarrollo alcanzado por
las tecnologías de la información, la facilidad y flexibilidad de su
transmisión en diversos soportes, la generalización casi universal de su uso
y la accesibilidad global a las diversas herramientas y redes. Todos estos
rasgos facilitan el intercambio ágil y flexible de información en las
sociedades modernas.
Al mismo tiempo, la
elaboración, conservación y utilización de determinada información por parte
de la Administración es necesaria para garantizar su funcionamiento eficaz
al servicio de los intereses nacionales.
En consecuencia, la
Administración debe dotarse de los medios adecuados para la protección y
control del acceso a dicha información, y ha de regular unos procedimientos
eficaces para su almacenamiento, procesamiento y transmisión seguros por
medio de sistemas propios.
Razones de eficacia,
economía y coherencia administrativa recomiendan el establecimiento de
medidas para regular y coordinar la adquisición del sofisticado material que
se precisa, la homologación de su capacidad y compatibilidad, sus
procedimientos de empleo y la formación técnica del personal de la
Administración especialista en este campo. Asimismo, ha de elaborarse y
mantenerse actualizada la normativa relativa a la protección de la
información clasificada y velar por su cumplimiento, para evitar el acceso a
esta de individuos, grupos y Estados no autorizados.
El concepto de seguridad de
los sistemas de información no sólo abarca la protección de la
confidencialidad de ésta; en la mayoría de los casos es necesario también
que los sistemas permitan el acceso de los usuarios autorizados, funcionen
de manera íntegra y garanticen que la información que manejan mantiene su
integridad. En consecuencia, la seguridad de los sistemas de información
debe garantizar la confidencialidad, la disponibilidad y la integridad de la
información que manejan y la disponibilidad y la integridad de los propios
sistemas.
Se hace necesaria la
participación de un organismo que, partiendo de un conocimiento de las
tecnologías de la información y de las amenazas y vulnerabilidades que
existen, proporcione una garantía razonable sobre la seguridad de productos
y sistemas. A partir de esa garantía, los responsables de los sistemas de
información podrán implementar los productos y sistemas que satisfagan los
requisitos de seguridad de la información.
La Ley 11/2002, de 6 de
mayo, Reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la
seguridad de las tecnologías de la información en su artículo 4.e), y de
protección de la información clasificada en su artículo 4.f), a la vez que
confiere a su Secretario de Estado Director la responsabilidad de dirigir el
Centro Criptológico Nacional en su artículo 9.2.f).
Este Real Decreto se dicta
en virtud de lo dispuesto en la disposición final primera de la Ley 11/2002,
de 6 de mayo, Reguladora del Centro Nacional de Inteligencia.
En su virtud, a propuesta
del Ministro de Defensa, con la aprobación previa de la Ministra de
Administraciones Públicas, de acuerdo con el Consejo de Estado y previa
deliberación del Consejo de Ministros en su reunión del día de 12 de marzo
de 2004, dispongo:
Artículo 1. Del Director
del Centro Criptológico Nacional.
El Secretario de Estado
Director del Centro Nacional de Inteligencia, como Director del Centro
Criptológico Nacional (CCN), es la autoridad responsable de coordinar la
acción de los diferentes organismos de la Administración que utilicen medios
o procedimientos de cifra, garantizar la seguridad de las tecnologías de la
información en ese ámbito, informar sobre la adquisición coordinada del
material criptológico y formar al personal de la Administración especialista
en este campo. En este sentido, el Director del CCN es la autoridad de
certificación de la seguridad de las tecnologías de la información y
autoridad de certificación criptológica. Asimismo es responsable de velar
por el cumplimiento de la normativa relativa a la protección de la
información clasificada en los aspectos de los sistemas de información y
telecomunicaciones, de acuerdo a lo señalado en el artículo 4.e) y f) de la
Ley 11/2002, de 6 de mayo.
Artículo 2. Del ámbito de
actuación y funciones del Centro Criptológico Nacional.
1. El ámbito de actuación
del Centro Criptológico Nacional comprende:
a) La seguridad de los
sistemas de las tecnologías de la información de la Administración que
procesan, almacenan o transmiten información en formato electrónico, que
normativamente requieren protección, y que incluyen medios de cifra.
b) La seguridad de los
sistemas de las tecnologías de la información que procesan, almacenan o
transmiten información clasificada.
2. Dentro de dicho ámbito
de actuación, el Centro Criptológico Nacional realizará las siguientes
funciones:
a) Elaborar y difundir
normas, instrucciones, guías y recomendaciones para garantizar la seguridad
de los sistemas de las tecnologías de la información y las comunicaciones de
la Administración. Las acciones derivadas del desarrollo de esta función
serán proporcionales a los riesgos a los que esté sometida la información
procesada, almacenada o transmitida por los sistemas.
b) Formar al personal de la
Administración especialista en el campo de la seguridad de los sistemas de
las tecnologías de la información y las comunicaciones.
c) Constituir el organismo
de certificación del Esquema nacional de evaluación y certificación de la
seguridad de las tecnologías de información, de aplicación a productos y
sistemas en su ámbito.
d) Valorar y acreditar la
capacidad de los productos de cifra y de los sistemas de las tecnologías de
la información, que incluyan medios de cifra, para procesar, almacenar o
transmitir información de forma segura.
e) Coordinar la promoción,
el desarrollo, la obtención, la adquisición y puesta en explotación y la
utilización de la tecnología de seguridad de los sistemas antes mencionados.
f) Velar por el
cumplimiento de la normativa relativa a la protección de la información
clasificada en su ámbito de competencia.
g) Establecer las
necesarias relaciones y firmar los acuerdos pertinentes con organizaciones
similares de otros países, para el desarrollo de las funciones mencionadas.
Para el desarrollo de estas
funciones, el CCN podrá establecer la coordinación oportuna con las
comisiones nacionales a las que las Leyes atribuyan responsabilidades en el
ámbito de los sistemas de las tecnologías de la información y de las
comunicaciones.
3. El Centro Criptológico
Nacional queda adscrito al Centro Nacional de Inteligencia y comparte con
este medios, procedimientos, normativa y recursos, y se regirá por la Ley
11/2002, de 6 de mayo, Reguladora del Centro Nacional de Inteligencia. El
personal del CCN estará integrado orgánica y funcionalmente en el Centro
Nacional de Inteligencia, por lo que le serán de aplicación todas las
disposiciones relativas al personal de este, contempladas en la Ley 11/2002,
de 6 de mayo, y en la normativa de desarrollo, particularmente su régimen
estatutario.
Disposición derogatoria
única. Derogación normativa
Quedan derogadas cuantas
disposiciones de igual o inferior rango se opongan a lo dispuesto en este
Real Decreto.
DISPOSICIONES FINALES
Disposición final primera.
Facultades de desarrollo
Se faculta al Ministro de
Defensa para dictar cuantas disposiciones sean necesarias para la aplicación
y el desarrollo de lo establecido en este Real Decreto.
Disposición final segunda.
Entrada en vigor
El presente Real Decreto
entrará en vigor el día siguiente al de su publicación en el «Boletín
Oficial del Estado».
|
