INSTRUÇÃO NORMATIVA Nº 2, DE 13 DE FEVEREIRO DE 2006
DOU 14.02.2006
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso I, do art. 1º, do anexo I, do Decreto nº 4.689, de 7 de maio de 2003, pelo art. 1º da Resolução nº 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004;
CONSIDERANDO que, conforme o item 2.4 do Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil DOC-ICP-10), compete ao ITI editar normas suplementares relacionadas ao processo de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil;
CONSIDERANDO que tais normas suplementares devem estabelecer de forma específica e pormenorizada os respectivos padrões e especificações técnicas mínimos para os sistemas e equipamentos de que tratam, podendo, inclusive, estabelecer quais procedimentos técnicos deverão ser observados na realização dos ensaios durante a avaliação de conformidade;
CONSIDERANDO ainda que, em função do uso que se pretenda fazer de um determinado sistema ou equipamento homologado, pode-se admitir diferentes níveis de profundidade nos processos de homologação, correspondendo, portanto, a diferentes níveis de confiança para seus resultados; e
CONSIDERANDO, por fim, que tais diferentes níveis de profundidade dos processos de homologação implicam diferentes níveis de exigências quanto ao material e documentação técnicos a serem depositados, bem como diferentes níveis de profundidade e complexidade dos ensaios a serem empreendidos durante as avaliações de conformidade;
RESOLVE:
Art. 1º Aprovar a versão 1.0 do documento ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO A SEREM UTILIZADOS NOS PROCESSOS DE HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL (DOC-ICP-10.02), na forma definida pelo anexo.
Art. 2º Todo e qualquer questionamento acerca do disposto nesta Instrução Normativa deverá ser encaminhado ao endereço
[email protected].
Art. 3º Esta Instrução Normativa entra em vigor na data de sua publicação.
RENATO DA SILVEIRA MARTINI
ANEXO
ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO A SEREM UTILIZADOS NOS PROCESSOS DE HOMOLOGAÇÃO DE SISTEMAS E EQUIPAMENTOS DE CERTIFICAÇÃO DIGITAL NO ÂMBITO DA ICP-BRASIL (DOC ICP-10.02) - Versão 1.0
1. DISPOSIÇÕES GERAIS
1.1. Este documento se aplica a todos os processos de homologação de sistemas e equipamentos de certificação digital passíveis de homologação no âmbito da ICP-Brasil.
1.2. Define o conjunto de normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, bem como os Níveis de Segurança de Homologação aplicáveis aos processos de homologação.
1.3. Para os fins do disposto neste documento, entenda-se por:
a) Objeto de homologação - sistema ou equipamento de certificação digital a ser submetido ao processo de homologação ora regulamentado;
b) Requisitos técnicos - padrões e especificações técnicas mínimos aos quais o objeto de homologação deverá demonstrar conformidade, incluindo os requisitos de natureza documental que deverão constar de suas respectivas documentações técnicas. Os requisitos técnicos têm caráter obrigatório e a não conformidade a qualquer um deles, detectada durante a fase de avaliação de conformidade, implicará o indeferimento da homologação;
c) Recomendações - são requisitos desejáveis, porém, têm caráter opcional. Serão analisados durante as avaliações de conformidade, e os correspondentes resultados deverão constar dos respectivos laudos de conformidade, sem, entretanto, impactar na decisão do ITI pela homologação ou não do objeto de homologação;
d) Níveis de Segurança de Homologação - são os diferentes graus de confiabilidade presumida nos resultados obtidos no processo de homologação, em função dos diferentes conjuntos de esforços realizados pelos LEA na avaliação de conformidade do objeto de homologação, conforme o escopo, a profundidade e o rigor dos ensaios realizados.
2. ESTRUTURA NORMATIVA TÉCNICA
2.1 As normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, serão compostas, no mínimo, dos seguintes documentos:
a) Instrução Normativa, estabelecendo, para aquele tipo de sistema ou equipamento, o prazo previsto para a homologação e a descrição macroestrutural dos requisitos técnicos, do material e documentação técnicos a depositar e dos ensaios técnicos a serem realizados pelo LEA, os quais serão detalhados nos respectivos volumes do Manual de Condutas Técnicas;
b) Volume do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do conjunto de requisitos técnicos aos quais o objeto de homologação deve estar aderente;
c) Volume do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do conjunto de material e documentação técnicos a serem depositados pela parte interessada junto ao Laboratório de Ensaios e Auditoria - LEA designado para realizar a avaliação de conformidade;
d) Volume do Manual de Condutas Técnicas, tratando detalhada e pormenorizadamente do conjunto de ensaios a serem utilizados pelo LEA na avaliação de conformidade daquele tipo de objeto de homologação.
2.2. As Instruções Normativas serão publicadas no Diário Oficial da União. Os volumes do Manual de Condutas Técnicas serão disponibilizados pelo ITI no sítio na Internet http://www.lea.gov.br e são considerados como adendos das respectivas Instruções Normativas, tendo, portanto, poder normativo.
2.3. Os volumes do Manual de Condutas Técnicas poderão ser alterados pelo ITI, a qualquer tempo, de forma a atualizar ou melhor explicitar os assuntos a que se referem.
2.4. A fim de preservar o histórico das alterações, será mantido controle das versões publicadas dos volumes do Manual de Condutas Técnicas, na seguinte forma:
a) Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo que o primeiro deles representa a versão do documento e o segundo a sua atualização;
b) Versão (v): número que indica a seqüência de alterações nos volumes do Manual de Condutas Técnicas provocadas pela necessidade de efetuar alterações substantivas no texto desses documentos;
c) Atualização (a): número que indica a seqüência de atualizações nos volumes do Manual de Condutas Técnicas provocadas pela necessidade de efetuar pequenas alterações no texto desses documentos.
2.5. A primeira publicação de cada documento será considerada como sendo a versão 1.0 (um ponto zero).
2.6. Nos processos de homologação deverá ser utilizada apenas a versão mais atualizada de cada documento.
2.7. Nos casos de processos de homologação já em andamento, quando da publicação de novas versões dos volumes do Manual de Condutas Técnicas, aplicar-se-á, no que couber, o disposto nesta Instrução Normativa, desde que não haja prejuízo para a parte interessada.
3. NÍVEIS DE SEGURANÇA NA HOMOLOGAÇÃO
3.1. No âmbito da ICP-Brasil, são 3 (três) os Níveis de Segurança de Homologação: NSH 1, NSH 2 e NSH 3.
3.2. O NSH 1 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento, porém sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança estejam bem controladas e a ocorrência de eventuais problemas de interoperabilidade não é visto como fator importante.
3.3. No NSH 1 a avaliação é feita com profundidade básica, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de documentação básica sobre o objeto de homologação. Consiste de testes de funcionalidades, de acordo com as especificações da parte interessada e do exame da documentação fornecida. Para essa avaliação, não é necessário o depósito de códigos-fonte.
3.4. O NSH 2 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança e a ocorrência de eventuais problemas de interoperabilidade são vistos como relevantes.
3.5. No NSH 2 a avaliação é feita com profundidade moderada, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de informações de projeto, resultados de testes já realizados e depósito de partes de códigos-fonte.
3.6. O NSH 3 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança ou problemas de interoperabilidade são vistos como críticos.
3.7. No NSH 3 a avaliação é feita com profundidade alta, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de informações mais detalhadas de projeto, resultados de testes já realizados, depósito de partes de códigos-fonte e comprovação da utilização de práticas seguras no seu desenvolvimento e produção.
3.8. Em qualquer um dos Níveis de Segurança de Homologação definidos anteriormente, o objeto de homologação deve atender a todos os requisitos técnicos definidos na Instrução Normativa e respectivo volume do Manual de Condutas Técnicas que regulamentam o processo de homologação daquele tipo de sistema ou equipamento.
3.9. Para cada um dos diferentes Níveis de Segurança de Homologação, a Instrução Normativa e respectivos volumes do Manual de Condutas Técnicas que regulamentam o processo de homologação daquele tipo de sistema ou equipamento estabelecerão os diferentes conjuntos de:
a) Material e documentação técnicos a serem depositados pela parte interessada junto ao LEA; e b) Ensaios técnicos a serem realizados pelo LEA nas avaliações de conformidade.
3.10. O Nível de Segurança de Homologação atribuído ao objeto homologado deverá constar do laudo de conformidade definido no parágrafo 1.3.3 do Regulamento para Homologação de Sistemas e Equipamentos de Certificação Digital no Âmbito da ICP-Brasil [1], bem como do Ato Declaratório do Diretor de Infra-Estrutura de Chaves Públicas do ITI, definido no parágrafo 3.3.1 daquele normativo.
4. DOCUMENTOS REFERENCIADOS
4.1. O documento abaixo é aprovado por Resolução do Comitê-Gestor da ICP-Brasil, podendo ser alterado, quando necessário, pelo mesmo tipo de dispositivo legal. O sítio http://www.iti.gov.br publica a versão mais atualizada desse documento e a Resolução que a aprovou.
(*) A versão 1.0 desse documento foi aprovada pela Resolução nº. 36 do Comitê-Gestor da ICP-Brasil, em 21.10.2004, ainda sem este código, que lhe foi atribuído depois.
