Norma
25/05/2021
#178501

INSTRUÇÃO NORMATIVA ITI Nº 8, DE 20 DE MAIO DE 2021

Aprova a versão revisada e consolidada do documento sobre estrutura normativa técnica e níveis de segurança de homologação na ICP-Brasil.

Aprova a versão revisada e consolidada do documento Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil - DOC-ICP-10.02.

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9° do anexo I do Decreto n° 8.985, de 8 de fevereiro de 2017, pelo art. 1° da Resolução n° 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2° da Resolução n° 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,

O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO

CONSIDERANDO a determinação estabelecida pelo Decreto n° 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolve:

Art. 1º Esta Instrução Normativa aprova a versão revisada e consolidada do documento Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil.

Art. 2ºFica aprovada a versão 4.0 do documento DOC-ICP-10.02 - Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil, anexa a esta Instrução Normativa.

Art. 3º Fica revogada a Instrução Normativa n° 02, de 11 de dezembro de 2007.

Art. 4ºEsta Instrução Normativa entra em vigor em 1° de junho de 2021.

ANEXO

ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO

NA ICP-BRASIL

DOC-ICP-10.02

Versão 4.0

20 de maio de 2021

CONTROLE DE ALTERAÇÕES

Ato que aprovou a alteração

Item alterado

Descrição da alteração

IN ITI nº 08, de 20.05.2021

Versão 4.0

Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.

IN nº 08, de 01.10.2010

Versão 3.0

Aprova a versão 3.0 do DOC-ICP-10.02.

IN nº 02, de 11.12.2007

Versão 2.0

Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.

IN nº 02, de 14.02.2006

Versão 1.0

Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.

Ato que aprovou a alteração

Item alterado

Descrição da alteração

IN ITI nº 08, de 20.05.2021

Versão 4.0

Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.

IN nº 08, de 01.10.2010

Versão 3.0

Aprova a versão 3.0 do DOC-ICP-10.02.

IN nº 02, de 11.12.2007

Versão 2.0

Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.

IN nº 02, de 14.02.2006

Versão 1.0

Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.

Ato que aprovou a alteração

Item alterado

Descrição da alteração

Ato que aprovou a alteração

Ato que aprovou a alteração

Item alterado

Item alterado

Descrição da alteração

Descrição da alteração

IN ITI nº 08, de 20.05.2021

Versão 4.0

Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.

IN ITI nº 08, de 20.05.2021

Versão 4.0

IN ITI nº 08, de 20.05.2021

Versão 4.0

Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.

Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.

IN nº 08, de 01.10.2010

Versão 3.0

Aprova a versão 3.0 do DOC-ICP-10.02.

IN nº 08, de 01.10.2010

Versão 3.0

IN nº 08, de 01.10.2010

Versão 3.0

Aprova a versão 3.0 do DOC-ICP-10.02.

Aprova a versão 3.0 do DOC-ICP-10.02.

IN nº 02, de 11.12.2007

Versão 2.0

Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.

IN nº 02, de 11.12.2007

Versão 2.0

IN nº 02, de 11.12.2007

Versão 2.0

Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.

Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.

IN nº 02, de 14.02.2006

Versão 1.0

Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.

IN nº 02, de 14.02.2006

Versão 1.0

IN nº 02, de 14.02.2006

Versão 1.0

Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.

Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.

LISTA DE SIGLAS E ACRÔNIMOS

SIGLA

DESCRIÇÃO

ICP-Brasil

Infraestrutura de Chaves Públicas Brasileira

IN

Instrução Normativa

ITI

Instituto Nacional de Tecnologia da Informação

LEA

Laboratório de Ensaios e Auditoria

MCT

Manual de Condutas Técnicas

NSH

Níveis de Segurança de Homologação

SIGLA

DESCRIÇÃO

ICP-Brasil

Infraestrutura de Chaves Públicas Brasileira

IN

Instrução Normativa

ITI

Instituto Nacional de Tecnologia da Informação

LEA

Laboratório de Ensaios e Auditoria

MCT

Manual de Condutas Técnicas

NSH

Níveis de Segurança de Homologação

SIGLA

DESCRIÇÃO

SIGLA

SIGLA

DESCRIÇÃO

DESCRIÇÃO

ICP-Brasil

Infraestrutura de Chaves Públicas Brasileira

ICP-Brasil

ICP-Brasil

Infraestrutura de Chaves Públicas Brasileira

Infraestrutura de Chaves Públicas Brasileira

IN

Instrução Normativa

IN

IN

Instrução Normativa

Instrução Normativa

ITI

Instituto Nacional de Tecnologia da Informação

ITI

ITI

Instituto Nacional de Tecnologia da Informação

Instituto Nacional de Tecnologia da Informação

LEA

Laboratório de Ensaios e Auditoria

LEA

LEA

Laboratório de Ensaios e Auditoria

Laboratório de Ensaios e Auditoria

MCT

Manual de Condutas Técnicas

MCT

MCT

Manual de Condutas Técnicas

Manual de Condutas Técnicas

NSH

Níveis de Segurança de Homologação

NSH

NSH

Níveis de Segurança de Homologação

Níveis de Segurança de Homologação

1 DISPOSIÇÕES GERAIS

1.1 Este documento se aplica a todos os processos de homologação de sistemas e equipamentos de certificação digital passíveis de homologação no âmbito da ICP-Brasil.

1.2 Define o conjunto de normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, bem como os Níveis de Segurança de Homologação aplicáveis aos processos de homologação.

1.3 Para os fins do disposto neste documento, entende-se como:

a) Objeto de homologação - sistema ou equipamento de certificação digital a ser submetido ao processo de homologação ora regulamentado;

b) Requisitos técnicos - padrões e especificações técnicas mínimos aos quais o objeto a ser homologado deverá demonstrar conformidade, incluindo os requisitos de natureza documental que deverão constar de suas respectivas documentações técnicas. Os requisitos técnicos têm caráter obrigatório e a não conformidade a qualquer um deles, detectada durante os ensaios realizados pelo LEA, implicará no indeferimento da homologação;

c) Recomendações - são requisitos desejáveis, porém, têm caráter opcional. Serão analisados durante as avaliações de conformidade, e os correspondentes resultados deverão constar dos respectivos laudos de conformidade, sem, entretanto, impactar na decisão do ITI pela homologação ou não do objeto de homologação;

d) Níveis de Segurança de Homologação - são os diferentes graus de confiabilidade presumida nos resultados obtidos a partir dos ensaios realizados pelo LEA, em função dos diferentes conjuntos de esforços, na avaliação de conformidade do objeto a ser homologado, conforme o escopo, a profundidade e o rigor dos ensaios realizados. O Nível de Segurança de Homologação constará obrigatoriamente no laudo de conformidade a ser emitido pelo LEA;

e) Laudo de Conformidade - documento, emitido por LEA, que atesta a conformidade do sistema ou equipamento de certificação em relação aos requisitos técnicos definidos pela ICP-Brasil.

2 ESTRUTURA NORMATIVA TÉCNICA

2.1 As normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, serão compostas, no mínimo, dos seguintes documentos:

a) Instrução Normativa - estabelece, para aquele tipo de sistema ou equipamento, a descrição macroestrutural dos requisitos técnicos, do material e documentação técnicos a serem depositados no LEA e ensaios técnicos a serem realizados pelo LEA, os quais serão detalhados nos respectivos volumes do Manual de Condutas Técnicas;

b) Volume I do Manual de Condutas Técnicas - especifica o conjunto de requisitos técnicos aos quais o objeto a ser homologado deve estar em conformidade. Detalha também a documentação técnica que deverá ser apresentada ao LEA; e

c) Volume II do Manual de Condutas Técnicas - especifica o conjunto de ensaios e os procedimentos necessários para a realização dos mesmos, fundamentando o laudo de conformidade que será emitido pelo LEA que realizou o conjunto de ensaios.

2.2 As Instruções Normativas serão publicadas no Diário Oficial da União. Os volumes dos Manuais de Condutas Técnicas serão disponibilizados pelo ITI no sítio na Internet http://www.iti.gov.br.

2.3 Os volumes dos Manuais de Condutas Técnicas poderão ser alterados pelo ITI, a qualquer tempo, de forma a atualizar ou melhor explicitar os assuntos a que se referem.

2.4 A fim de preservar o histórico das alterações, será mantido controle das versões publicadas dos volumes dos Manuais de Condutas Técnicas, na seguinte forma:

a) Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo que o primeiro deles representa a versão do documento e o segundo a sua atualização;

b) Versão (v): número que indica a sequência de alterações nos volumes do Manual de Condutas Técnicas provocadas pela necessidade de efetuar alterações substantivas no texto desses documentos;

c) Atualização (a): número que indica a sequência de atualizações nos volumes do Manual de Condutas Técnicas provocadas pela necessidade de efetuar pequenas alterações no texto desses documentos.

2.5 A primeira publicação de cada documento será considerada como sendo a versão 1.0 (um ponto zero).

2.6 Os LEAs deverão considerar, no momento da admissão da avaliação, sempre a última versão dos MCTs para a realização dos ensaios que poderão fundamentar positivamente o laudo de conformidade do sistema ou equipamento em relação aos requisitos da ICP-Brasil.

2.7 Nos casos de processos de homologação junto ao ITI já em andamento quando da publicação de novas versões dos volumes dos Manuais de Condutas Técnicas, aplicar-se-á a versão vigente no momento da abertura do processo.

2.8 O laudo de conformidade, emitido pelo LEA, é o requisito principal para o processo de homologação junto ao Instituto Nacional de Tecnologia da Informação - ITI.

3 NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO

3.1 No âmbito da ICP-Brasil, são 3 (três) os Níveis de Segurança de Homologação: NSH 1, NSH 2 e NSH 3.

3.2 O NSH 1 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento, porém sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança estejam bem controladas e a ocorrência de eventuais problemas de interoperabilidade não é vista como fator importante.

3.3 No NSH 1 a avaliação é feita com profundidade básica, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de documentação básica sobre o objeto de homologação. Consiste em testes de funcionalidades, de acordo com as especificações da parte interessada e da avaliação da documentação fornecida. Para este nível de avaliação, não é necessário o depósito de códigos-fonte.

3.4 O NSH 2 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança e a ocorrência de eventuais problemas de interoperabilidade são vistos como relevantes.

3.5 No NSH 2 a avaliação é feita com profundidade moderada, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de informações de projeto, resultados de testes já realizados e depósito de partes de códigos-fonte.

3.6 O NSH 3 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança ou problemas de interoperabilidade são vistos como críticos.

3.7 No NSH 3 a avaliação é feita com profundidade alta, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de informações mais detalhadas de projeto, resultados de testes já realizados, depósito de partes de códigos-fonte e comprovação da utilização de práticas seguras no seu desenvolvimento e produção.

3.8 Em qualquer um dos Níveis de Segurança de Homologação definidos anteriormente, o objeto de homologação deve atender a todos os requisitos técnicos definidos na Instrução Normativa e respectivo volume do Manual de Condutas Técnicas que regulamentam o processo de homologação daquele tipo de sistema ou equipamento.

3.9 Para cada um dos diferentes Níveis de Segurança de Homologação, a Instrução Normativa e respectivos volumes do Manual de Condutas Técnicas que regulamentam o processo de ensaio de conformidade daquele tipo de sistema ou equipamento estabelecerão os diferentes conjuntos de:

a) material e documentação técnicos a serem depositados pela parte interessada junto ao LEA; e

b) procedimentos de ensaios a serem realizados pelo LEA nas avaliações de conformidade.

3.10 O Nível de Segurança de Homologação atribuído ao objeto homologado deverá constar do laudo de conformidade, bem como do processo de homologação, a partir de Ato Declaratório do Diretor de Infraestrutura de Chaves Públicas do ITI.

Temas

Este artefato ainda não tem temas.

Itens vinculados

Nenhum item vinculado a este artefato.