INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO

INSTRUÇÃO NORMATIVA Nº 2, DE 11 DE DEZEMBRO DE 2007.

Aprova a versão 2.0 da ESTRUTURA NORMATIVA

TÉCNICA E NÍVEIS DE SEGURANÇA DE

HOMOLOGAÇÃO A SEREM UTILIZADOS NOS

PROCESSOS DE HOMOLOGAÇÃO DE SISTEMAS E

EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO

ÂMBITO DA ICP-BRASIL (DOC ICP-10.02)

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das

atribuições que lhe foram conferidas pelo inciso I, do art. 1º, do anexo I, do Decreto nº 4.689, de 7 de maio

de 2003, e pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004; e

considerando o disposto no item 2.4 do anexo à Resolução Nº 36 do Comitê Gestor da ICP-Brasil, de 21 de

outubro de 2004;

R E S O L V E :

Art. 1º Aprovar a versão 2.0 do documento ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE

SEGURANÇA DE HOMOLOGAÇÃO A SEREM UTILIZADOS NOS PROCESSOS DE HOMOLOGAÇÃO DE

SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL - DOC ICP-

10.02, na forma definida pelo anexo.

Art. 2º Fica revogada a Instrução Normativa Nº 2/2006, publicada em 14.02.2006, sendo convalidados os

atos praticados durante sua vigência.

Art. 3º Todo e qualquer questionamento acerca desta Instrução Normativa deverá ser encaminhado ao

endereço homologa@planalto.gov.br

Art. 4º Esta Instrução Normativa entra em vigor na data de sua publicação.

RENATO DA SILVEIRA MARTINI

ANEXO

ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE

HOMOLOGAÇÃO A SEREM UTILIZADOS NOS PROCESSOS DE HOMOLOGAÇÃO

DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-

BRASIL - DOC ICP-10.02 - Versão 2.0

1. DISPOSIÇÕES GERAIS

1.1. Este documento se aplica a todos os processos de homologação de sistemas e equipamentos de

certificação digital passíveis de homologação no âmbito da ICP-Brasil.

1.2. Define o conjunto de normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e

equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, bem como os

Níveis de Segurança de Homologação aplicáveis aos processos de homologação.

1.3. Para os fins do disposto neste documento, entenda-se por:

a) Objeto de homologação - sistema ou equipamento de certificação digital a ser submetido ao

processo de homologação ora regulamentado;

b) Requisitos técnicos - padrões e especificações técnicas mínimos aos quais o objeto de

homologação deverá demonstrar conformidade, incluindo os requisitos de natureza documental

REVOGADA

que deverão constar de suas respectivas documentações técnicas. Os requisitos técnicos têm

caráter obrigatório e a não conformidade a qualquer um deles, detectada durante a fase de

avaliação de conformidade, implicará o indeferimento da homologação;

c) Recomendações - são requisitos desejáveis, porém, têm caráter opcional. Serão analisados

durante as avaliações de conformidade, e os correspondentes resultados deverão constar dos

respectivos laudos de conformidade, sem, entretanto, impactar na decisão do ITI pela

homologação ou não do objeto de homologação;

d) Níveis de Segurança de Homologação – são os diferentes graus de confiabilidade presumida

nos resultados obtidos no processo de homologação, em função dos diferentes conjuntos de

esforços realizados pelos LEA na avaliação de conformidade do objeto de homologação,

conforme o escopo, a profundidade e o rigor dos ensaios realizados.

2. ESTRUTURA NORMATIVA TÉCNICA

2.1. As normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de

certificação digital passível de homologação no âmbito da ICP-Brasil, serão compostas, no mínimo,

dos seguintes documentos:

a) Instrução Normativa, estabelecendo, para aquele tipo de sistema ou equipamento, o prazo

previsto para a homologação e a descrição macroestrutural dos requisitos técnicos, do material e

documentação técnicos a depositar e dos ensaios técnicos a serem realizados pelo LEA, os

quais serão detalhados nos respectivos volumes do Manual de Condutas Técnicas;

b) Volume I do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do

conjunto de requisitos técnicos aos quais o objeto de homologação deve estar aderente e do

conjunto de material e documentação técnicos a serem depositados pela parte interessada junto

ao Laboratório de Ensaios e Auditoria – LEA designado para realizar a avaliação de

conformidade;

c) Volume II do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do

conjunto de ensaios a serem utilizados pelo LEA na avaliação de conformidade daquele tipo de

objeto de homologação.

2.2. As Instruções Normativas serão publicadas no Diário Oficial da União. Os volumes do Manual de

Condutas Técnicas serão disponibilizados pelo ITI no sítio na Internet http://www.iti.gov.br e são

considerados como adendos das respectivas Instruções Normativas, tendo, portanto, poder

normativo.

2.3. Os volumes do Manual de Condutas Técnicas poderão ser alterados pelo ITI, a qualquer tempo, de

forma a atualizar ou melhor explicitar os assuntos a que se referem.

2.4. A fim de preservar o histórico das alterações, será mantido controle das versões publicadas dos

volumes do Manual de Condutas Técnicas, na seguinte forma:

a) Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo que

o primeiro deles representa a versão do documento e o segundo a sua atualização;

b) Versão (v): número que indica a seqüência de alterações nos volumes do Manual de Condutas

Técnicas provocadas pela necessidade de efetuar alterações substantivas no texto desses

documentos;

c) Atualização (a): número que indica a seqüência de atualizações nos volumes do Manual de

Condutas Técnicas provocadas pela necessidade de efetuar pequenas alterações no texto

desses documentos.

2.5. A primeira publicação de cada documento será considerada como sendo a versão 1.0 (um ponto

zero).

2.6. Nos processos de homologação deverá ser utilizada apenas a versão mais atualizada de cada

documento.

2.7. Nos casos de processos de homologação já em andamento, quando da publicação de novas

versões dos volumes do Manual de Condutas Técnicas, aplicar-se-á, no que couber, o disposto

nesta Instrução Normativa, desde que não haja prejuízo para a parte interessada.

3. NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO

3.1. No âmbito da ICP-Brasil, são 3 (três) os Níveis de Segurança de Homologação: NSH 1, NSH 2 e

NSH 3.

3.2. O NSH 1 é aplicável quando se necessita de confiança na operação correta do sistema ou

equipamento, porém sua utilização está prevista para ocorrer em ambiente em que as ameaças à

segurança estejam bem controladas e a ocorrência de eventuais problemas de interoperabilidade

não é visto como fator importante.

3.3. No NSH 1 a avaliação é feita com profundidade básica, a partir do depósito de amostras do objeto

de homologação e baseada no fornecimento, pela parte interessada, de documentação básica sobre

o objeto de homologação. Consiste de testes de funcionalidades, de acordo com as especificações

da parte interessada e do exame da documentação fornecida. Para essa avaliação, não é

necessário o depósito de códigos-fonte.

3.4. O NSH 2 é aplicável quando se necessita de confiança na operação correta do sistema ou

equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à

segurança e a ocorrência de eventuais problemas de interoperabilidade são vistos como relevantes.

3.5. No NSH 2 a avaliação é feita com profundidade moderada, a partir do depósito de amostras do

objeto de homologação e baseada no fornecimento, pela parte interessada, de informações de

projeto, resultados de testes já realizados e depósito de partes de códigos-fonte.

3.6. O NSH 3 é aplicável quando se necessita de confiança na operação correta do sistema ou

equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à

segurança ou problemas de interoperabilidade são vistos como críticos.

3.7. No NSH 3 a avaliação é feita com profundidade alta, a partir do depósito de amostras do objeto de

homologação e baseada no fornecimento, pela parte interessada, de informações mais detalhadas

de projeto, resultados de testes já realizados, depósito de partes de códigos-fonte e comprovação

da utilização de práticas seguras no seu desenvolvimento e produção.

3.8. Em qualquer um dos Níveis de Segurança de Homologação definidos anteriormente, o objeto de

homologação deve atender a todos os requisitos técnicos definidos na Instrução Normativa e

respectivo volume do Manual de Condutas Técnicas que regulamentam o processo de homologação

daquele tipo de sistema ou equipamento.

3.9. Para cada um dos diferentes Níveis de Segurança de Homologação, a Instrução Normativa e

respectivos volumes do Manual de Condutas Técnicas que regulamentam o processo de

homologação daquele tipo de sistema ou equipamento estabelecerão os diferentes conjuntos de:

a) Material e documentação técnicos a serem depositados pela parte interessada junto ao LEA; e

b) Procedimentos de ensaios a serem realizados pelo LEA nas avaliações de conformidade.

3.10. O Nível de Segurança de Homologação atribuído ao objeto homologado deverá constar do laudo de

conformidade definido no parágrafo 1.3.3 do REGULAMENTO PARA HOMOLOGAÇÃO DE

SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL [1],

bem como do Ato Declaratório do Diretor de Infra-Estrutura de Chaves Públicas do ITI, definido no

parágrafo 3.3.1 daquele normativo.

4. DOCUMENTOS REFERENCIADOS

4.1. O documento abaixo é aprovado por Resolução do Comitê-Gestor da ICP-Brasil, podendo ser

alterado, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br

publica a versão mais atualizada desse documento e a Resolução que a aprovou.

Ref. Nome do documento Código

[1]

REGULAMENTO PARA HOMOLOGAÇÃO DE SISTEMAS E