REVOGADA EM 11.12.2007 PELA I.N. Nº 02/2007

INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO

INSTRUÇÃO NORMATIVA Nº 2, DE 14 DE FEVEREIRO DE 2006.

Estabelece a Estrutura Normativa Técnica e os Níveis

de Segurança de Homologação a serem utilizados nos

processos de homologação de sistemas e

equipamentos de certificação digital no âmbito da ICP-

Brasil e dá outras providências.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das

atribuições que lhe foram conferidas pelo inciso I, do art. 1º, do anexo I, do Decreto nº 4.689, de 7 de maio

de 2003, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004;

CONSIDERANDO que, conforme o item 2.4 do

REGULAMENTO PARA HOMOLOGAÇÃO DE SISTEMAS E

EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL (DOC-ICP-10)

, compete ao ITI editar

normas suplementares relacionadas ao processo de homologação de sistemas e equipamentos de

certificação digital no âmbito da ICP-Brasil;

CONSIDERANDO que tais normas suplementares devem estabelecer de forma específica e pormenorizada

os respectivos padrões e especificações técnicas mínimos para os sistemas e equipamentos de que tratam,

podendo, inclusive, estabelecer quais procedimentos técnicos deverão ser observados na realização dos

ensaios durante a avaliação de conformidade;

CONSIDERANDO ainda que, em função do uso que se pretenda fazer de um determinado sistema ou

equipamento homologado, pode-se admitir diferentes níveis de profundidade nos processos de

homologação, correspondendo, portanto, a diferentes níveis de confiança para seus resultados; e

CONSIDERANDO, por fim, que tais diferentes níveis de profundidade dos processos de homologação

implicam diferentes níveis de exigências quanto ao material e documentação técnicos a serem depositados,

bem como diferentes níveis de profundidade e complexidade dos ensaios a serem empreendidos durante as

avaliações de conformidade;

R E S O L V E :

Art. 1º Aprovar a versão 1.0 do documento ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE

SEGURANÇA DE HOMOLOGAÇÃO A SEREM UTILIZADOS NOS PROCESSOS DE HOMOLOGAÇÃO DE

SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL (DOC-ICP-

10.02), na forma definida pelo anexo.

Art. 2º Todo e qualquer questionamento acerca do disposto nesta Instrução Normativa deverá ser

encaminhado ao endereço homologa@planalto.gov.br.

Art. 3º Esta Instrução Normativa entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI

REVOGADA EM 11.12.2007 PELA I.N. Nº 02/2007

ANEXO

ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE

HOMOLOGAÇÃO A SEREM UTILIZADOS NOS PROCESSOS DE HOMOLOGAÇÃO

DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA

ICP-BRASIL

DOC ICP-10.02 - Versão 1.0

DISPOSIÇÕES GERAIS

1.1. Este documento se aplica a todos os processos de homologação de sistemas e equipamentos de

certificação digital passíveis de homologação no âmbito da ICP-Brasil.

1.2. Define o conjunto de normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e

equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, bem como os

Níveis de Segurança de Homologação aplicáveis aos processos de homologação.

1.3. Para os fins do disposto neste documento, entenda-se por:

a) Objeto de homologação - sistema ou equipamento de certificação digital a ser submetido ao

processo de homologação ora regulamentado;

b) Requisitos técnicos - padrões e especificações técnicas mínimos aos quais o objeto de

homologação deverá demonstrar conformidade, incluindo os requisitos de natureza documental

que deverão constar de suas respectivas documentações técnicas. Os requisitos técnicos têm

caráter obrigatório e a não conformidade a qualquer um deles, detectada durante a fase de

avaliação de conformidade, implicará o indeferimento da homologação;

c) Recomendações - são requisitos desejáveis, porém, têm caráter opcional. Serão analisados

durante as avaliações de conformidade, e os correspondentes resultados deverão constar dos

respectivos laudos de conformidade, sem, entretanto, impactar na decisão do ITI pela

homologação ou não do objeto de homologação;

d) Níveis de Segurança de Homologação – são os diferentes graus de confiabilidade

presumida nos resultados obtidos no processo de homologação, em função dos diferentes

conjuntos de esforços realizados pelos LEA na avaliação de conformidade do objeto de

homologação, conforme o escopo, a profundidade e o rigor dos ensaios realizados.

ESTRUTURA NORMATIVA TÉCNICA

1.4. As normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de

certificação digital passível de homologação no âmbito da ICP-Brasil, serão compostas, no mínimo,

dos seguintes documentos:

a) Instrução Normativa, estabelecendo, para aquele tipo de sistema ou equipamento, o prazo

previsto para a homologação e a descrição macroestrutural dos requisitos técnicos, do material e

documentação técnicos a depositar e dos ensaios técnicos a serem realizados pelo LEA, os

quais serão detalhados nos respectivos volumes do Manual de Condutas Técnicas;

b) Volume do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do

conjunto de requisitos técnicos aos quais o objeto de homologação deve estar aderente;

REVOGADA EM 11.12.2007 PELA I.N. Nº 02/2007

c) Volume do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do

conjunto de material e documentação técnicos a serem depositados pela parte interessada junto

ao Laboratório de Ensaios e Auditoria – LEA designado para realizar a avaliação de

conformidade;

d) Volume do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do

conjunto de ensaios a serem utilizados pelo LEA na avaliação de conformidade daquele tipo de

objeto de homologação.

1.5. As Instruções Normativas serão publicadas no Diário Oficial da União. Os volumes do Manual de

Condutas Técnicas serão disponibilizados pelo ITI no sítio na Internet http://www.lea.gov.br e são

considerados como adendos das respectivas Instruções Normativas, tendo, portanto, poder

normativo.

1.6. Os volumes do Manual de Condutas Técnicas poderão ser alterados pelo ITI, a qualquer tempo, de

forma a atualizar ou melhor explicitar os assuntos a que se referem.

1.7. A fim de preservar o histórico das alterações, será mantido controle das versões publicadas dos

volumes do Manual de Condutas Técnicas, na seguinte forma:

a) Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo

que o primeiro deles representa a versão do documento e o segundo a sua atualização;

b) Versão (v): número que indica a seqüência de alterações nos volumes do Manual de Condutas

Técnicas provocadas pela necessidade de efetuar alterações substantivas no texto desses

documentos;

c) Atualização (a): número que indica a seqüência de atualizações nos volumes do Manual de

Condutas Técnicas provocadas pela necessidade de efetuar pequenas alterações no texto

desses documentos.

1.8. A primeira publicação de cada documento será considerada como sendo a versão 1.0 (um ponto

zero).

1.9. Nos processos de homologação deverá ser utilizada apenas a versão mais atualizada de cada

documento.

1.10. Nos casos de processos de homologação já em andamento, quando da publicação de novas

versões dos volumes do Manual de Condutas Técnicas, aplicar-se-á, no que couber, o disposto

nesta Instrução Normativa, desde que não haja prejuízo para a parte interessada.

NÍVEIS DE SEGURANÇA NA HOMOLOGAÇÃO

1.11. No âmbito da ICP-Brasil, são 3 (três) os Níveis de Segurança de Homologação: NSH 1, NSH 2 e

NSH 3.

1.12. O NSH 1 é aplicável quando se necessita de confiança na operação correta do sistema ou

equipamento, porém sua utilização está prevista para ocorrer em ambiente em que as ameaças à

segurança estejam bem controladas e a ocorrência de eventuais problemas de interoperabilidade

não é visto como fator importante.

1.13. No NSH 1 a avaliação é feita com profundidade básica, a partir do depósito de amostras do objeto

de homologação e baseada no fornecimento, pela parte interessada, de documentação básica sobre

o objeto de homologação. Consiste de testes de funcionalidades, de acordo com as especificações

da parte interessada e do exame da documentação fornecida. Para essa avaliação, não é

necessário o depósito de códigos-fonte.

1.14. O NSH 2 é aplicável quando se necessita de confiança na operação correta do sistema ou

equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à

segurança e a ocorrência de eventuais problemas de interoperabilidade são vistos como relevantes.

1.15. No NSH 2 a avaliação é feita com profundidade moderada, a partir do depósito de amostras do

REVOGADA EM 11.12.2007 PELA I.N. Nº 02/2007

objeto de homologação e baseada no fornecimento, pela parte interessada, de informações de

projeto, resultados de testes já realizados e depósito de partes de códigos-fonte.

1.16. O NSH 3 é aplicável quando se necessita de confiança na operação correta do sistema ou

equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à

segurança ou problemas de interoperabilidade são vistos como críticos.

1.17. No NSH 3 a avaliação é feita com profundidade alta, a partir do depósito de amostras do objeto de

homologação e baseada no fornecimento, pela parte interessada, de informações mais detalhadas

de projeto, resultados de testes já realizados, depósito de partes de códigos-fonte e comprovação da

utilização de práticas seguras no seu desenvolvimento e produção.

1.18. Em qualquer um dos Níveis de Segurança de Homologação definidos anteriormente, o objeto de

homologação deve atender a todos os requisitos técnicos definidos na Instrução Normativa e

respectivo volume do Manual de Condutas Técnicas que regulamentam o processo de homologação

daquele tipo de sistema ou equipamento.

1.19. Para cada um dos diferentes Níveis de Segurança de Homologação, a Instrução Normativa e

respectivos volumes do Manual de Condutas Técnicas que regulamentam o processo de

homologação daquele tipo de sistema ou equipamento estabelecerão os diferentes conjuntos de:

a) Material e documentação técnicos a serem depositados pela parte interessada junto ao LEA; e

b) Ensaios técnicos a serem realizados pelo LEA nas avaliações de conformidade.

1.20. O Nível de Segurança de Homologação atribuído ao objeto homologado deverá constar do laudo de

conformidade definido no parágrafo 1.3.3 do REGULAMENTO PARA HOMOLOGAÇÃO DE

SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL [1],

bem como do Ato Declaratório do Diretor de Infra-Estrutura de Chaves Públicas do ITI, definido no

parágrafo 3.3.1 daquele normativo.

DOCUMENTOS REFERENCIADOS

1.21. O documento abaixo é aprovado por Resolução do Comitê-Gestor da ICP-Brasil, podendo ser

alterado, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br

publica a versão mais atualizada desse documento e a Resolução que a aprovou.

Ref. Nome do documento Código

[1]

REGULAMENTO PARA HOMOLOGAÇÃO DE SISTEMAS E

EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL

DOC-ICP-10 (*)

(*) A versão 1.0 desse documento foi aprovada pela Resolução nº. 36 do Comitê-Gestor da ICP-Brasil, em 21.10.2004, ainda sem este código, que lhe

foi atribuído depois.

REVOGADA EM 11.12.2007 PELA I.N. Nº 02/2007