INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO

INSTRUÇÃO NORMATIVA Nº 1, DE 16 DE FEVEREIRO DE 2005.

Implementa o controle de versões das Políticas de

Segurança, das Políticas de Certificados e das

Declarações de Práticas de Certificação das

Autoridades Certificadoras no âmbito da ICP-

Brasil.

O DIRETOR-PRESIDENTE SUBSTITUTO DO INSTITUTO NACIONAL DE TECNOLOGIA DA

INFORMAÇÃO, no uso da atribuição que lhe foi conferida pelo Inciso I, do Art. 1º, do anexo I, do Decreto nº

4.689, de 7 de maio de 2003, e pelo artigo 1º da Resolução nº 33 do CG da ICP-Brasil, de 21 de outubro de

2004, e

Considerando:

- o aumento do número de pedidos de alterações de Políticas de Certificados (PC) e de Declarações de

Práticas de Certificação (DPC), seja por determinação legal, seja por iniciativa das próprias Autoridades

Certificadoras (AC);

- a necessidade de facilitar o controle e agilizar a análise dessas alterações, por parte do ITI;

- a necessidade de dar publicidade, aos usuários de certificados no âmbito da ICP-Brasil, das alterações

aprovadas de forma clara, concisa e ágil;

- a necessidade de suplementar o disposto na Resolução nº 6 do CG da ICP-Brasil, de 22/11/2001, itens

2.1, alínea d, e 2.2.1, alínea b, combinados com o item 4 de seu Anexo IV, e nas Resoluções nº 7 e nº 8 do

CG da ICP-Brasil, ambas de 12/12/2001, em seus itens 8.3, no sentido de especificar de que forma as

entidades candidatas ao credenciamento como AC da ICP-Brasil deverão encaminhar e submeter à

aprovação do ITI suas propostas de Política de Segurança (PS), de DPC e de PC; e

- a necessidade de suplementar o disposto na Resolução nº 6 do CG da ICP-Brasil, de 22/11/2001, item

3.1.2, e nas Resoluções nº 7 e nº 8 do CG da ICP-Brasil, ambas de 12/12/2001, em seus itens 8.1, no

sentido de especificar de que forma as AC da ICP-Brasil deverão encaminhar pedidos de alterações de

suas PS, DPC e PC para fins de manutenção de credenciamento e de administração de suas

especificações,

R E S O L V E :

Art. 1º Adotar o controle de versão das PS, das PC e das DPC das AC no âmbito da ICP-Brasil, na forma

estabelecida por esta Instrução Normativa.

Parágrafo único. O disposto nesta instrução normativa aplica-se também, no que couber, às entidades

candidatas a credenciamento como AC no âmbito da ICP-Brasil, quando da submissão de suas propostas

de PS, de DPC e de PC à aprovação do ITI.

Art. 2º Para fins desta Instrução Normativa aplicam-se os seguintes conceitos:

I - Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo que o

primeiro deles representa a versão do documento e o segundo a sua atualização;

II – Versão (v): número que indica a seqüência de alterações nas PS, nas DPC ou nas PC das AC

provocadas pelas edições de novas Resoluções do CG da ICP-Brasil; e

III – Atualização (a): número que indica a seqüência de atualizações nas PS, nas DPC ou nas PC das AC

provocadas por iniciativas das próprias AC ou por solicitações específicas do ITI.

§1º Novas versões (v) deverão ser adotadas sempre que as alterações sejam decorrentes de imposição de

Resoluções do CG da ICP-Brasil. Nestes casos, o dígito correspondente às atualizações (a) deverá ser

zerado.

§2º Novas atualizações (a) deverão ser adotadas sempre que as alterações sejam decorrentes de

iniciativas das próprias AC ou de solicitações específicas do ITI. Nestes casos, o dígito correspondente às

versões (v) deverá permanecer inalterado.

6.1

REVOGADA

Art. 3º Quando da solicitação de nova alteração, motivada por qualquer das hipóteses previstas

anteriormente, o novo controle de versão (v.a) deverá refletir todas as alterações anteriores.

Art 4º Os pedidos de alterações de PS, de PC e de DPC devem ser formalizados por meio de

correspondência escrita, endereçada ao ITI, contendo:

I – Tabela, conforme exemplo constante do Anexo I, com os seguintes campos:

a) nomes dos documentos para os quais são solicitadas alterações;

b) novos controles de versão dos documentos;

c) data de criação dos documentos;

d) número dos processos em que devem ser incluídos os documentos (Processo Base de Manutenção, nos

casos de PS e DPC ou Apenso, no caso de PC); e

e) hash dos arquivos correspondentes aos documentos enviados, calculados usando algoritmo SHA1.

II – Anexos:

a) relação escrita dos itens para os quais estão sendo solicitadas alterações, apontando os textos vigentes e

os textos propostos;

b) mídia eletrônica (CD, disquete, etc.) contendo os arquivos, em formato RTF, com os conteúdos

completos dos novos documentos propostos, já na conformação final a ser divulgada no repositório da AC.

Tais arquivos devem ser identificados pelos mesmos nomes e controles de versão citados nas alíneas “a” e

“b” do inciso I.

Art. 5º Durante o período de análise dos documentos, a remessa de eventuais correções nas alterações

requeridas deve ser feita por meio de correspondência, acompanhada dos mesmos documentos definidos

no artigo anterior.

§1º O período de análise será de 10 (dez) dias, prorrogável por iguais e sucessivos períodos, a contar do

recebimento do material de que tratam os incisos I e II do artigo 4º.

§2º Quando houver necessidade de os documentos retornarem às AC, seja pela ocorrência de diferenças

nos resultados de hash, seja para adequação às recomendações do ITI, o prazo para análise será

interrompido, recomeçando sua contagem após o recebimento do novo conjunto de documentos.

§3º O prazo estabelecido pelo parágrafo 1º não se aplica às análises de alterações que, por sua natureza,

necessitem de auditoria na AC ou em qualquer de suas entidades vinculadas.

Art. 6º A partir da publicação pelo ITI, no Diário Oficial da União, da aprovação do novo controle de versão,

a AC terá 30 dias para publicar os documentos aprovados em seu repositório e, efetivamente, implementar

o que neles estiver disposto, mantendo em evidência o controle de versão e sua data de referência, que

devem ser os mesmos exigidos pelas alíneas “b” e “c” do inciso I do art. 4º.

Parágrafo único. Não cumprido o prazo estabelecido no caput pela AC responsável, sem que seja

apresentada justificativa apropriada, poderá o ITI cancelar a aprovação do respectivo controle de versão.

Art. 7º Para a implantação desta sistemática será considerado como referência inicial o controle de versão

1.0, que adotará como referência as alterações impostas pela Resolução nº 37 do CG da ICP-Brasil, de 21

de outubro de 2004.

Art. 8º As implementações de que trata esta Instrução Normativa aplicam-se exclusivamente às alterações

em PS, PC e DPC.

Art. 9º As AC deverão enviar a este Instituto, na forma disposta pelo art. 4º, no prazo máximo de 30 dias, a

contar da publicação desta Instrução Normativa, o texto integral de suas PS, DPC e PC, atualizadas até a

Resolução nº 37 do CG da ICP-Brasil, de 21 de outubro de 2004, as quais receberão o controle de versão

1.0.

6.2

Art. 10º Esta Instrução Normativa entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI

6.3

ANEXO I

Exemplo de Tabela exigida pelo inciso I, do art. 4º

Nome do

Documento

Controle de

Versão

Data de Criação Número do Processo Hash

PS da AC XXX v.a dd.mm.aaaa 00100.xxxxxx/aaaa-nn 8ba401dc870d7976

ec98ef443b1cc5969

19891f

DPC da AC XXX v.a dd.mm.aaaa 00100.xxxxxx/aaaa-nn 78ehf4t500ohr659m

4rt5635ytgsvs3535jj

566

PC da AC XXX v.a dd.mm.aaaa 00100.yyyyyy/aaaa-ll b83e8948824dd9f9

802d6cfcdec33e862

eca6bfe

6.4