CENTRO CRIPTOLÓGICO NACIONAL CCN
Inteligencia En España En el Mundo Recursos... El Autor...

 

 

 

 
National Cryptoanalytic Center entro Criptológico Nacional CCN

Hasta hace poco este organismo era secreto y desconocido, ahora ha salido a la luz y a través de su pagina www.ccn.cni.es, se puede acceder a herramientas de seguridad y la lista de productos certificados, se cree que existe con ese nombre desde 1985 en el antiguo CESID, al que ya se le asignaban funciones en la materia través de un Real Decreto de 1985: "Criptoanalizar y descriptar por procedimientos manuales, medios electrónicos y criptofonía, así como realizar investigaciones tecnológico-criptográficas y formar al personal especializado en criptología."

A partir de la creación del CNI ha salido a la luz publica, en parte por que es necesario para el cumplimiento de algunas de sus funciones, ha sido regulado legalmente a través del Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional.

Aunque el decreto se centra en la protección y seguridad de las tecnologías de la información, es evidente que el CCN tiene también dentro de sus funciones la ruptura de códigos (por ejemplo el cifrado de un ordenador incautado a un comando terrorista), o el acceso a sistemas o comunicaciones de terceros, algo lógico siendo una de las funciones principales de un servicio de inteligencia la obtención de información.

España no ha creado una agencia independiente, sino que sigue el modelo de países como Brasil o Grecia,  estando integrada y siendo responsabilidad del principal servicio de inteligencia la seguridad de las comunicaciones nacionales, sus funciones son similares al SCSSI Frances (Service central de la sécurité des systèmes d'informations), o al BSI Aleman (Bundesamt für Sicherheit in der Informationstechnik).

Dos unidades importantes se encuentran integradas en el Centro Criptológico Nacional:

Dirección:

El Director del CNI, es el Director y máximo responsable del CCN, si bien quien lo dirige realmente es un funcionario con rango de subdirector apoyado por un subdirector adjunto, al director del CNI le corresponde:

  • Asegurar el cumplimiento de las funciones encomendadas al Centro Criptológico Nacional

  • Es la autoridad de certificación de la seguridad de las tecnologías de la información y autoridad de certificación criptológica.

  • Es responsable de velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en los aspectos de los sistemas de información y telecomunicaciones.

Entrevista concedida por el anterior Director del CNI, sobre el funcionamiento y actividades del Centro Criptológico Nacional:

Acceder a la Entrevista

Funciones:

a) Elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración. Las acciones derivadas del desarrollo de esta función serán proporcionales a los riesgos a los que esté sometida la información procesada, almacenada o transmitida por los sistemas.

b) Formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la información y las comunicaciones.

El CCN efectúa actividades formativas sobre seguridad de las tecnologías de la información y las comunicaciones, para personal de la administración, por ejemplo a través del Instituto Nacional de Administración Pública, se dan entre otros: un curso sobre "Análisis y Gestión de Riesgos. Herramienta PILAR", también imparte cursos a través de Centro de Estudios Superiores de la Función Pública, y en las FF.AA en la Dirección General de Reclutamiento y Enseñanza Militar.

c) Constituir el Organismo de Certificación del Esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información, de aplicación a productos y sistemas en su ámbito.

Evaluar:

  • Análisis de la capacidad de un producto de las TI para proteger la información de acuerdo a unos criterios establecidos.

  • Se realiza con un proceso metodológico

  • Tiene por objeto determinar si el producto puede ser certificado

Certificar: Es la determinación de la capacidad de un producto de las TI para proteger la información de acuerdo a unos criterios establecidos.

Se pueden distinguir cuatro tipos de certificaciones:

  • Certificación de la Seguridad de las TI

  • Certificación de la Seguridad Criptológica

  • Certificación de la Seguridad de Emanaciones (TEMPEST)

  • Certificación de la Seguridad Física de los propios productos de seguridad de las TI.

Pagina sobre el Organismo de Certificación y ejemplo de resolución.

d) Valorar y acreditar la capacidad de los productos de cifra y de los sistemas de las tecnologías de la información, que incluyan medios de cifra, para procesar, almacenar o transmitir información de forma segura.

Valorar: Análisis de la Capacidad de un sistema de las TI para proteger información.

Acreditar: Es la determinación de la capacidad de los sistemas de las TI para resistir, hasta un determinado nivel de confianza, accidentes o acciones maliciosas que puedan comprometer la confidencialidad, integridad, autenticidad y disponibilidad de la información que manejan.

e) Coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los sistemas antes mencionados.

En este sentido, hay que destacar el Programa Nacional de Seguridad enmarcado en el periodo 2004-2007, que establece las prioridades de seguridad en el campo de las TI:

PROGRAMA NACIONAL DE SEGURIDAD

Acción Estratégica sobre Seguridad y confianza en los sistemas de información, las comunicaciones y los servicios de la sociedad de la Información.

Las nuevas tecnologías, particularmente las referidas a la información y las comunicaciones, tienen planteado un desafío técnico, social y económico en el fortalecimiento de su seguridad y la mejora de la fiabilidad de la información y las infraestructuras. No solo es necesario mejorar la seguridad real de los sistemas de información, sino también la seguridad percibida, de modo que aumente el grado de confianza de ciudadanos, empresas y administraciones en estas tecnologías, pieza fundamental de las infraestructuras básicas de un país.

Las tecnologías objeto de esta actuación incluyen aquellas cuya finalidad es garantizar la confidencialidad, privacidad, disponibilidad de la información, así como aquellas necesarias para la autenticación.

Algunas tecnologías de especial interés dentro de esta actuación son: tecnologías de criptografía más rápidas y con menor consumo para su empleo en comunicaciones móviles, tecnologías biométricas, seguridad en comunicaciones inalámbricas, herramientas para el modelado y pruebas de seguridad.

Las medidas y desarrollos de seguridad de los sistemas para la Administración deberán realizarse conforme a los estándares de certificación del Centro Nacional de Inteligencia (CNI), responsable de garantizar la seguridad de los sistemas de información de la Administración. Debe favorecerse la existencia de estándares semejantes para su uso en el tejido empresarial.

Las tecnologías aquí implicadas son objeto de estudio preferente en otros Programas Nacionales del Plan Nacional de I+D+I, especialmente en aquellos pertenecientes al área de Tecnologías de la Información y Comunicaciones. La asignación de una actuación concreta a esta Acción Estratégica exige una clara orientación aplicada de la investigación a realizar, valorándose positivamente la existencia de empresa, entidad o usuario final que pueda incorporar los resultados del proyecto.

Líneas temáticas correspondientes a los objetivos científico-técnicos prioritarios:

1. Tecnologías para la identificación personal fácil y fiable.

1.1 Sistemas de reconocimiento biométrico, huellas dactilares, reconocimiento de rasgos y formas, patrones de habla, análisis de iris, etc.

1.2 Certificados y firmas electrónicas.

1.3 Protocolos para garantizar identidad y autenticidad en redes de comunicaciones.

1.4 Infraestructuras, procedimientos y protocolos de gestión de claves.

1.5 Tecnologías para almacenamiento seguro de claves: tarjetas inteligentes, tokens, seguros, módulos de software, etc.

2. Tecnologías para control de accesos.

2.1 Protección de sistemas de información: control de accesos a recursos, cortafuegos, trampas lógicas, detección de intrusiones, etc.

2.2 Protección de perímetros físicos: salas, edificios, fronteras, espacios aéreos, etc.

2.3 Protección de recintos virtuales: redes privadas virtuales, extranets, teletrabajo, etc.

3. Tecnologías para incrementar la confianza en sistemas de información y comunicaciones.

3.1 Mecanismos para incrementar la confianza en productos lógicos: firma digital, etc

3.2 Tecnologías para incrementar la seguridad en el almacenamiento de información: centros de respaldo, tecnologías seguras, etc.

3.3 Tecnologías para mejorar la disponibilidad de sistemas de información y comunicaciones en caso de emergencia.

3.4 Mecanismos de protección frente ataques de denegación de servicios.

3.5 Mecanismos de alerta temprana, corrección y respuesta frente ataques generalizados.

3.6 Herramientas para formular objetivos de protección de sistemas y/o negociar mecanismos de seguridad multilaterales.

3.7 "Trusted computing".

3.8 Mecanismos de protección de comunicaciones: redes de usuario personalizadas, redes privadas virtuales, Ipv6, etc.

3.9 Mecanismos de alerta, corrección y respuesta segura en circuitos y sistemas electrónicos en ambientes de alto riesgo: bio-implantes, espacio, etc.

3.10 Mecanismos de protección contra perturbaciones ambientales (defectos, calentamiento, ruido, ..) en circuitos y sistemas electrónicos.

4. Tecnologías para la certificación homologación de la seguridad.

4.1 Desarrollo de estándares y metodologías de seguridad.

4.2 Bancos y sistemas de verificación de estándares de seguridad física y lógica.

4.3 Sistemas de agresión controlada para la evaluación de seguridad.

4.4 Herramientas de auditoria de seguridad y análisis de vulnerabilidad.

5. Tecnologías para la protección de la privacidad y de datos de carácter personal.

5.1 Mecanismos de anonimato, inobservabilidad e imposibilidad de vinculación sin comprometer la integridad, disponibilidad y responsabilidad.

5.2 Sistemas de aislamiento, interferencia e inhibición electromagnética.

5.3 Cifrado y secrafonía.

5.4 Protocolos de comunicaciones para garantizar la confidencialidad.

5.5 Mecanismos de filtrado de contenidos para niños y detección de contenidos ilegales.

5.6 Sistemas y herramientas para facilitar la puesta en práctica y evaluar el cumplimiento .de los requisitos de la Ley Orgánica de Protección de Datos de Carácter Personal.

6. Tecnologías para la protección de la propiedad intelectual y de protección contra fraudes.

6.1 Criptografía y esteganografía.

6.2 Huellas digitales, marcado y etiquetado electrónico.

6.3 Mecanismos de protección de software y otras creaciones digitales.

6.4 Gestión de derechos digitales (DRM).

6.5 Mecanismos de protección contra fraudes en productos físicos: traspondedores para la identificación, códigos electro-ópticos, seguridad documental, etc.

6.6 Mecanismos de protección contra copia de circuitos integrados y microsistemas.

7. Tecnologías para la protección y seguimiento de las transacciones.

7.1 Tecnologías de pago electrónico sobre redes de comunicaciones fijas o móviles.

7.2 Tecnologías para la trazabilidad de las transacciones físicas (alimentos, monedas, medicinas, ... ) y de servicios.

7.3 Protocolos de comunicaciones para asegurar y trazar transacciones electrónicas impidiendo el repudio de las partes.

7.4 Herramientas de auditoría y trazado de accesos.

7.5 Tecnologías de terceras partes de confianza

7.6 Tecnologías de sellado de tiempo.

f) Velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia.

g) Establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países, para el desarrollo de las funciones mencionadas.

Medios y Personal:

En 2003 el CCN no había aumentado ni su presupuesto ni su personal según su propio director, a pesar de las funciones que tenia encomendadas por ley, se estima que en el periodo 1990 - 2000 se dedico un 5% del presupuesto del entonces CESID al Centro Criptológico al que habría que sumar otras partidas.

Si bien el CCN dispone de personal propio este se encuentra sometido al estatuto de personal del CNI a todos los efectos, se integra en el Centro Nacional de Inteligencia con el que comparte medios, procedimientos, normativa y recursos.

Acuerdos

El Centro Criptológico Nacional, ha firmado dos importantes acuerdos con Microsoft para adherirse al Programa de Seguridad para Gobiernos (Government Security Program, GSP).

  • En 2004, se firmo el acuerdo para tener acceso al código fuente de Windows, con los servidores centrales de Microsoft en Estados Unidos para consultar las líneas de código, Microsoft se compromete a prestar asistencia y herramientas especificas para poder auditar al Seguridad de Windows.

  • En 2006, se ha firmado otro acuerdo similar esta vez para tener acceso al código fuente de Office, al igual que con Windows los expertos del CCN, podrán acceder no sólo al código fuente de Microsoft Office, sino también a toda la información técnica que precisen, a sus herramientas, aplicaciones y claves.

Recursos

 

 

www.intelpage.info

  

Agregar a Favoritos     Pagina de Inicio

Me puedes escribir a:

La Pagina Personal de ASR Sobre Inteligencia

© ASR 2001 - 2007, Derechos Reservados

Diseñada para 800 x 600

>> Información Legal y Advertencias