INSTRUÇÃO NORMATIVA ITI N° 08, DE 20 DE MAIO DE 2021
Aprova a versão revisada e consolidada do
documento Estrutura Normativa Técnica e Níveis de
Segurança de Homologação na ICP-Brasil – DOC-ICP-
10.02.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das
atribuições que lhe foram conferidas pelo inciso VI do art. 9° do anexo I do Decreto n° 8.985, de 8 de
fevereiro de 2017, pelo art. 1° da Resolução n° 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de
2004, e pelo art. 2° da Resolução n° 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,
CONSIDERANDO a determinação estabelecida pelo Decreto n° 10.139, de 28 de novembro de 2019, para
revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da
administração pública federal direta, autárquica e fundacional,
RESOLVE:
Art. 1° Esta Instrução Normativa aprova a versão revisada e consolidada do documento Estrutura
Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil.
Art. 2° Fica aprovada a versão 4.0 do documento DOC-ICP-10.02 – Estrutura Normativa Técnica e Níveis
de Segurança de Homologação na ICP-Brasil, anexa a esta Instrução Normativa.
Art. 3° Fica revogada a Instrução Normativa n° 02, de 11 de dezembro de 2007.
Art. 4° Esta Instrução Normativa entra em vigor em 1° de junho de 2021.
CARLOS ROBERTO FORTNER
Infraestrutura de Chaves Públicas Brasileira
ANEXO
ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE
HOMOLOGAÇÃO NA ICP-BRASIL
DOC-ICP-10.02
Versão 4.0
20 de maio de 2021
Infraestrutura de Chaves Públicas Brasileira
Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil – DOC-ICP-10.02 v.4.0 2
SUMÁRIO
CONTROLE DE ALTERAÇÕES ....................................................................................................... 3
LISTA DE SIGLAS E ACRÔNIMOS................................................................................................. 4
1 DISPOSIÇÕES GERAIS ............................................................................................................. 5
2 ESTRUTURA NORMATIVA TÉCNICA .................................................................................. 5
3 NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO .................................................................. 6
Infraestrutura de Chaves Públicas Brasileira
Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil – DOC-ICP-10.02 v.4.0 3
CONTROLE DE ALTERAÇÕES
Ato que aprovou a
alteração
Item alterado Descrição da alteração
IN ITI nº 08, de
20.05.2021
Versão 4.0
Revisão e consolidação conforme o
Decreto n° 10.139, de 28 de
novembro de 2019.
IN nº 08, de 01.10.2010
Versão 3.0
Aprova a versão
3.0 do DOC-ICP
-
10.02.
IN nº 02, de 11.12.2007
Versão 2.0
Aprova a versão 2.0 do DOC
-ICP
-
10.02, na forma definida pelo
anexo.
IN nº 02, de 14.02.2006
Versão 1.0
Estabelece a Estrutura Normativa
Técnica e os Níveis de Segurança
de Homologação a serem utilizados
nos processos de homologação de
sistemas e equipamentos de
certificação digital no âmbito da
ICP
-
Brasil e dá outras
providências.
Infraestrutura de Chaves Públicas Brasileira
Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil – DOC-ICP-10.02 v.4.0 4
LISTA DE SIGLAS E ACRÔNIMOS
SIGLA
DESCRIÇÃO
ICP-Brasil
Infraestrutura de Chaves Públicas
Brasileira
IN
Instrução Normativa
ITI
Instituto Nacional de Tecnologia da Informação
LEA
Laboratório de Ensaios e Auditoria
MCT
Manual de Condutas Técnicas
NSH
Níveis de Segurança de Homologação
Infraestrutura de Chaves Públicas Brasileira
Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil – DOC-ICP-10.02 v.4.0 5
1 DISPOSIÇÕES GERAIS
1.1 Este documento se aplica a todos os processos de homologação de sistemas e equipamentos
de certificação digital passíveis de homologação no âmbito da ICP-Brasil.
1.2 Define o conjunto de normas suplementares a serem editadas pelo ITI, para cada tipo de
sistema e equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil,
bem como os Níveis de Segurança de Homologação aplicáveis aos processos de homologação.
1.3 Para os fins do disposto neste documento, entende-se como:
a) Objeto de homologação – sistema ou equipamento de certificação digital a ser submetido ao
processo de homologação ora regulamentado;
b) Requisitos técnicos – padrões e especificações técnicas mínimos aos quais o objeto a ser
homologado deverá demonstrar conformidade, incluindo os requisitos de natureza
documental que deverão constar de suas respectivas documentações técnicas. Os requisitos
técnicos têm caráter obrigatório e a não conformidade a qualquer um deles, detectada
durante os ensaios realizados pelo LEA, implicará no indeferimento da homologação;
c) Recomendações – são requisitos desejáveis, porém, têm caráter opcional. Serão analisados
durante as avaliações de conformidade, e os correspondentes resultados deverão constar dos
respectivos laudos de conformidade, sem, entretanto, impactar na decisão do ITI pela
homologação ou não do objeto de homologação;
d) Níveis de Segurança de Homologação – são os diferentes graus de confiabilidade presumida
nos resultados obtidos a partir dos ensaios realizados pelo LEA, em função dos diferentes
conjuntos de esforços, na avaliação de conformidade do objeto a ser homologado, conforme
o escopo, a profundidade e o rigor dos ensaios realizados. O Nível de Segurança de
Homologação constará obrigatoriamente no laudo de conformidade a ser emitido pelo LEA;
e) Laudo de Conformidade – documento, emitido por LEA, que atesta a conformidade do
sistema ou equipamento de certificação em relação aos requisitos técnicos definidos pela
ICP-Brasil.
2 ESTRUTURA NORMATIVA TÉCNICA
2.1 As normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e
equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, serão
compostas, no mínimo, dos seguintes documentos:
a) Instrução Normativa - estabelece, para aquele tipo de sistema ou equipamento, a descrição
macroestrutural dos requisitos técnicos, do material e documentação técnicos a serem
depositados no LEA e ensaios técnicos a serem realizados pelo LEA, os quais serão
detalhados nos respectivos volumes do Manual de Condutas Técnicas;
b) Volume I do Manual de Condutas Técnicas - especifica o conjunto de requisitos técnicos aos
quais o objeto a ser homologado deve estar em conformidade. Detalha também a
documentação técnica que deverá ser apresentada ao LEA; e
Infraestrutura de Chaves Públicas Brasileira
Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil – DOC-ICP-10.02 v.4.0 6
c) Volume II do Manual de Condutas Técnicas - especifica o conjunto de ensaios e os
procedimentos necessários para a realização dos mesmos, fundamentando o laudo de
conformidade que será emitido pelo LEA que realizou o conjunto de ensaios.
2.2 As Instruções Normativas serão publicadas no Diário Oficial da União. Os volumes dos
Manuais de Condutas Técnicas serão disponibilizados pelo ITI no sítio na Internet
http://www.iti.gov.br.
2.3 Os volumes dos Manuais de Condutas Técnicas poderão ser alterados pelo ITI, a qualquer
tempo, de forma a atualizar ou melhor explicitar os assuntos a que se referem.
2.4 A fim de preservar o histórico das alterações, será mantido controle das versões publicadas
dos volumes dos Manuais de Condutas Técnicas, na seguinte forma:
a) Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo
que o primeiro deles representa a versão do documento e o segundo a sua atualização;
b) Versão (v): número que indica a sequência de alterações nos volumes do Manual de
Condutas Técnicas provocadas pela necessidade de efetuar alterações substantivas no texto
desses documentos;
c) Atualização (a): número que indica a sequência de atualizações nos volumes do Manual de
Condutas Técnicas provocadas pela necessidade de efetuar pequenas alterações no texto
desses documentos.
2.5 A primeira publicação de cada documento será considerada como sendo a versão 1.0 (um
ponto zero).
2.6 Os LEAs deverão considerar, no momento da admissão da avaliação, sempre a última versão
dos MCTs para a realização dos ensaios que poderão fundamentar positivamente o laudo de
conformidade do sistema ou equipamento em relação aos requisitos da ICP-Brasil.
2.7 Nos casos de processos de homologação junto ao ITI já em andamento quando da
publicação de novas versões dos volumes dos Manuais de Condutas Técnicas, aplicar-se-á a versão
vigente no momento da abertura do processo.
2.8 O laudo de conformidade, emitido pelo LEA, é o requisito principal para o processo de
homologação junto ao Instituto Nacional de Tecnologia da Informação – ITI.
3 NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO
3.1 No âmbito da ICP-Brasil, são 3 (três) os Níveis de Segurança de Homologação: NSH 1,
NSH 2 e NSH 3.
3.2 O NSH 1 é aplicável quando se necessita de confiança na operação correta do sistema ou
equipamento, porém sua utilização está prevista para ocorrer em ambiente em que as ameaças à
segurança estejam bem controladas e a ocorrência de eventuais problemas de interoperabilidade não
é vista como fator importante.
Infraestrutura de Chaves Públicas Brasileira
Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil – DOC-ICP-10.02 v.4.0 7
3.3 No NSH 1 a avaliação é feita com profundidade básica, a partir do depósito de amostras do
objeto de homologação e baseada no fornecimento, pela parte interessada, de documentação básica
sobre o objeto de homologação. Consiste em testes de funcionalidades, de acordo com as
especificações da parte interessada e da avaliação da documentação fornecida. Para este nível de
avaliação, não é necessário o depósito de códigos-fonte.
3.4 O NSH 2 é aplicável quando se necessita de confiança na operação correta do sistema ou
equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança
e a ocorrência de eventuais problemas de interoperabilidade são vistos como relevantes.
3.5 No NSH 2 a avaliação é feita com profundidade moderada, a partir do depósito de amostras
do objeto de homologação e baseada no fornecimento, pela parte interessada, de informações de
projeto, resultados de testes já realizados e depósito de partes de códigos-fonte.
3.6 O NSH 3 é aplicável quando se necessita de confiança na operação correta do sistema ou
equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança
ou problemas de interoperabilidade são vistos como críticos.
3.7 No NSH 3 a avaliação é feita com profundidade alta, a partir do depósito de amostras do
objeto de homologação e baseada no fornecimento, pela parte interessada, de informações mais
detalhadas de projeto, resultados de testes já realizados, depósito de partes de códigos-fonte e
comprovação da utilização de práticas seguras no seu desenvolvimento e produção.
3.8 Em qualquer um dos Níveis de Segurança de Homologação definidos anteriormente, o
objeto de homologação deve atender a todos os requisitos técnicos definidos na Instrução
Normativa e respectivo volume do Manual de Condutas Técnicas que regulamentam o processo de
homologação daquele tipo de sistema ou equipamento.
3.9 Para cada um dos diferentes Níveis de Segurança de Homologação, a Instrução Normativa e
respectivos volumes do Manual de Condutas Técnicas que regulamentam o processo de ensaio de
conformidade daquele tipo de sistema ou equipamento estabelecerão os diferentes conjuntos de:
a) material e documentação técnicos a serem depositados pela parte interessada junto ao LEA;
e
b) procedimentos de ensaios a serem realizados pelo LEA nas avaliações de conformidade.
3.10 O Nível de Segurança de Homologação atribuído ao objeto homologado deverá constar do
laudo de conformidade, bem como do processo de homologação, a partir de Ato Declaratório do
Diretor de Infraestrutura de Chaves Públicas do ITI.
