Desbloqueie análises Okai
As análises Okai fazem parte do Okai Pro. Faça upgrade ou entre com uma conta que já tenha acesso.
Aprova a versão revisada e consolidada do documento sobre estrutura normativa técnica e níveis de segurança de homologação na ICP-Brasil.
Aprova a versão revisada e consolidada do documento Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil - DOC-ICP-10.02.
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO, no uso das atribuições que lhe foram conferidas pelo inciso VI do art. 9° do anexo I do Decreto n° 8.985, de 8 de fevereiro de 2017, pelo art. 1° da Resolução n° 33 do Comitê Gestor da ICP-Brasil, de 21 de outubro de 2004, e pelo art. 2° da Resolução n° 163 do Comitê Gestor da ICP-Brasil, de 17 de abril de 2020,
O DIRETOR-PRESIDENTE DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃOCONSIDERANDO a determinação estabelecida pelo Decreto n° 10.139, de 28 de novembro de 2019, para revisão e consolidação dos atos normativos inferiores a decreto, editados por órgãos e entidades da administração pública federal direta, autárquica e fundacional, resolve:
Art. 1º Esta Instrução Normativa aprova a versão revisada e consolidada do documento Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil.
Art. 2ºFica aprovada a versão 4.0 do documento DOC-ICP-10.02 - Estrutura Normativa Técnica e Níveis de Segurança de Homologação na ICP-Brasil, anexa a esta Instrução Normativa.
Art. 3º Fica revogada a Instrução Normativa n° 02, de 11 de dezembro de 2007.
Art. 4ºEsta Instrução Normativa entra em vigor em 1° de junho de 2021.
ANEXO
ESTRUTURA NORMATIVA TÉCNICA E NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO
NA ICP-BRASIL
DOC-ICP-10.02
Versão 4.0
20 de maio de 2021
CONTROLE DE ALTERAÇÕES
Ato que aprovou a alteração |
Item alterado |
Descrição da alteração |
IN ITI nº 08, de 20.05.2021 Versão 4.0 |
Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019. |
|
IN nº 08, de 01.10.2010 Versão 3.0 |
Aprova a versão 3.0 do DOC-ICP-10.02. |
|
IN nº 02, de 11.12.2007 Versão 2.0 |
Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo. |
|
IN nº 02, de 14.02.2006 Versão 1.0 |
Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências. |
Ato que aprovou a alteração
Item alterado
Descrição da alteração
IN ITI nº 08, de 20.05.2021
Versão 4.0
Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.
IN nº 08, de 01.10.2010
Versão 3.0
Aprova a versão 3.0 do DOC-ICP-10.02.
IN nº 02, de 11.12.2007
Versão 2.0
Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.
IN nº 02, de 14.02.2006
Versão 1.0
Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.
Ato que aprovou a alteração
Item alterado
Descrição da alteração
Ato que aprovou a alteração
Ato que aprovou a alteração
Item alterado
Item alterado
Descrição da alteração
Descrição da alteração
IN ITI nº 08, de 20.05.2021
Versão 4.0
Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.
IN ITI nº 08, de 20.05.2021
Versão 4.0
IN ITI nº 08, de 20.05.2021
Versão 4.0
Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.
Revisão e consolidação conforme o Decreto n° 10.139, de 28 de novembro de 2019.
IN nº 08, de 01.10.2010
Versão 3.0
Aprova a versão 3.0 do DOC-ICP-10.02.
IN nº 08, de 01.10.2010
Versão 3.0
IN nº 08, de 01.10.2010
Versão 3.0
Aprova a versão 3.0 do DOC-ICP-10.02.
Aprova a versão 3.0 do DOC-ICP-10.02.
IN nº 02, de 11.12.2007
Versão 2.0
Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.
IN nº 02, de 11.12.2007
Versão 2.0
IN nº 02, de 11.12.2007
Versão 2.0
Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.
Aprova a versão 2.0 do DOC-ICP-10.02, na forma definida pelo anexo.
IN nº 02, de 14.02.2006
Versão 1.0
Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.
IN nº 02, de 14.02.2006
Versão 1.0
IN nº 02, de 14.02.2006
Versão 1.0
Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.
Estabelece a Estrutura Normativa Técnica e os Níveis de Segurança de Homologação a serem utilizados nos processos de homologação de sistemas e equipamentos de certificação digital no âmbito da ICP-Brasil e dá outras providências.
LISTA DE SIGLAS E ACRÔNIMOS
SIGLA |
DESCRIÇÃO |
ICP-Brasil |
Infraestrutura de Chaves Públicas Brasileira |
IN |
Instrução Normativa |
ITI |
Instituto Nacional de Tecnologia da Informação |
LEA |
Laboratório de Ensaios e Auditoria |
MCT |
Manual de Condutas Técnicas |
NSH |
Níveis de Segurança de Homologação |
SIGLA
DESCRIÇÃO
ICP-Brasil
Infraestrutura de Chaves Públicas Brasileira
IN
Instrução Normativa
ITI
Instituto Nacional de Tecnologia da Informação
LEA
Laboratório de Ensaios e Auditoria
MCT
Manual de Condutas Técnicas
NSH
Níveis de Segurança de Homologação
SIGLA
DESCRIÇÃO
SIGLA
SIGLA
DESCRIÇÃO
DESCRIÇÃO
ICP-Brasil
Infraestrutura de Chaves Públicas Brasileira
ICP-Brasil
ICP-Brasil
Infraestrutura de Chaves Públicas Brasileira
Infraestrutura de Chaves Públicas Brasileira
IN
Instrução Normativa
IN
IN
Instrução Normativa
Instrução Normativa
ITI
Instituto Nacional de Tecnologia da Informação
ITI
ITI
Instituto Nacional de Tecnologia da Informação
Instituto Nacional de Tecnologia da Informação
LEA
Laboratório de Ensaios e Auditoria
LEA
LEA
Laboratório de Ensaios e Auditoria
Laboratório de Ensaios e Auditoria
MCT
Manual de Condutas Técnicas
MCT
MCT
Manual de Condutas Técnicas
Manual de Condutas Técnicas
NSH
Níveis de Segurança de Homologação
NSH
NSH
Níveis de Segurança de Homologação
Níveis de Segurança de Homologação
1 DISPOSIÇÕES GERAIS
1.1 Este documento se aplica a todos os processos de homologação de sistemas e equipamentos de certificação digital passíveis de homologação no âmbito da ICP-Brasil.
1.2 Define o conjunto de normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, bem como os Níveis de Segurança de Homologação aplicáveis aos processos de homologação.
1.3 Para os fins do disposto neste documento, entende-se como:
a) Objeto de homologação - sistema ou equipamento de certificação digital a ser submetido ao processo de homologação ora regulamentado;
b) Requisitos técnicos - padrões e especificações técnicas mínimos aos quais o objeto a ser homologado deverá demonstrar conformidade, incluindo os requisitos de natureza documental que deverão constar de suas respectivas documentações técnicas. Os requisitos técnicos têm caráter obrigatório e a não conformidade a qualquer um deles, detectada durante os ensaios realizados pelo LEA, implicará no indeferimento da homologação;
c) Recomendações - são requisitos desejáveis, porém, têm caráter opcional. Serão analisados durante as avaliações de conformidade, e os correspondentes resultados deverão constar dos respectivos laudos de conformidade, sem, entretanto, impactar na decisão do ITI pela homologação ou não do objeto de homologação;
d) Níveis de Segurança de Homologação - são os diferentes graus de confiabilidade presumida nos resultados obtidos a partir dos ensaios realizados pelo LEA, em função dos diferentes conjuntos de esforços, na avaliação de conformidade do objeto a ser homologado, conforme o escopo, a profundidade e o rigor dos ensaios realizados. O Nível de Segurança de Homologação constará obrigatoriamente no laudo de conformidade a ser emitido pelo LEA;
e) Laudo de Conformidade - documento, emitido por LEA, que atesta a conformidade do sistema ou equipamento de certificação em relação aos requisitos técnicos definidos pela ICP-Brasil.
2 ESTRUTURA NORMATIVA TÉCNICA
2.1 As normas suplementares a serem editadas pelo ITI, para cada tipo de sistema e equipamento de certificação digital passível de homologação no âmbito da ICP-Brasil, serão compostas, no mínimo, dos seguintes documentos:
a) Instrução Normativa - estabelece, para aquele tipo de sistema ou equipamento, a descrição macroestrutural dos requisitos técnicos, do material e documentação técnicos a serem depositados no LEA e ensaios técnicos a serem realizados pelo LEA, os quais serão detalhados nos respectivos volumes do Manual de Condutas Técnicas;
b) Volume I do Manual de Condutas Técnicas - especifica o conjunto de requisitos técnicos aos quais o objeto a ser homologado deve estar em conformidade. Detalha também a documentação técnica que deverá ser apresentada ao LEA; e
c) Volume II do Manual de Condutas Técnicas - especifica o conjunto de ensaios e os procedimentos necessários para a realização dos mesmos, fundamentando o laudo de conformidade que será emitido pelo LEA que realizou o conjunto de ensaios.
2.2 As Instruções Normativas serão publicadas no Diário Oficial da União. Os volumes dos Manuais de Condutas Técnicas serão disponibilizados pelo ITI no sítio na Internet http://www.iti.gov.br.
2.3 Os volumes dos Manuais de Condutas Técnicas poderão ser alterados pelo ITI, a qualquer tempo, de forma a atualizar ou melhor explicitar os assuntos a que se referem.
2.4 A fim de preservar o histórico das alterações, será mantido controle das versões publicadas dos volumes dos Manuais de Condutas Técnicas, na seguinte forma:
a) Controle de Versão (v.a): controle numérico de dois dígitos, separados por um ponto, sendo que o primeiro deles representa a versão do documento e o segundo a sua atualização;
b) Versão (v): número que indica a sequência de alterações nos volumes do Manual de Condutas Técnicas provocadas pela necessidade de efetuar alterações substantivas no texto desses documentos;
c) Atualização (a): número que indica a sequência de atualizações nos volumes do Manual de Condutas Técnicas provocadas pela necessidade de efetuar pequenas alterações no texto desses documentos.
2.5 A primeira publicação de cada documento será considerada como sendo a versão 1.0 (um ponto zero).
2.6 Os LEAs deverão considerar, no momento da admissão da avaliação, sempre a última versão dos MCTs para a realização dos ensaios que poderão fundamentar positivamente o laudo de conformidade do sistema ou equipamento em relação aos requisitos da ICP-Brasil.
2.7 Nos casos de processos de homologação junto ao ITI já em andamento quando da publicação de novas versões dos volumes dos Manuais de Condutas Técnicas, aplicar-se-á a versão vigente no momento da abertura do processo.
2.8 O laudo de conformidade, emitido pelo LEA, é o requisito principal para o processo de homologação junto ao Instituto Nacional de Tecnologia da Informação - ITI.
3 NÍVEIS DE SEGURANÇA DE HOMOLOGAÇÃO
3.1 No âmbito da ICP-Brasil, são 3 (três) os Níveis de Segurança de Homologação: NSH 1, NSH 2 e NSH 3.
3.2 O NSH 1 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento, porém sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança estejam bem controladas e a ocorrência de eventuais problemas de interoperabilidade não é vista como fator importante.
3.3 No NSH 1 a avaliação é feita com profundidade básica, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de documentação básica sobre o objeto de homologação. Consiste em testes de funcionalidades, de acordo com as especificações da parte interessada e da avaliação da documentação fornecida. Para este nível de avaliação, não é necessário o depósito de códigos-fonte.
3.4 O NSH 2 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança e a ocorrência de eventuais problemas de interoperabilidade são vistos como relevantes.
3.5 No NSH 2 a avaliação é feita com profundidade moderada, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de informações de projeto, resultados de testes já realizados e depósito de partes de códigos-fonte.
3.6 O NSH 3 é aplicável quando se necessita de confiança na operação correta do sistema ou equipamento e sua utilização está prevista para ocorrer em ambiente em que as ameaças à segurança ou problemas de interoperabilidade são vistos como críticos.
3.7 No NSH 3 a avaliação é feita com profundidade alta, a partir do depósito de amostras do objeto de homologação e baseada no fornecimento, pela parte interessada, de informações mais detalhadas de projeto, resultados de testes já realizados, depósito de partes de códigos-fonte e comprovação da utilização de práticas seguras no seu desenvolvimento e produção.
3.8 Em qualquer um dos Níveis de Segurança de Homologação definidos anteriormente, o objeto de homologação deve atender a todos os requisitos técnicos definidos na Instrução Normativa e respectivo volume do Manual de Condutas Técnicas que regulamentam o processo de homologação daquele tipo de sistema ou equipamento.
3.9 Para cada um dos diferentes Níveis de Segurança de Homologação, a Instrução Normativa e respectivos volumes do Manual de Condutas Técnicas que regulamentam o processo de ensaio de conformidade daquele tipo de sistema ou equipamento estabelecerão os diferentes conjuntos de:
a) material e documentação técnicos a serem depositados pela parte interessada junto ao LEA; e
b) procedimentos de ensaios a serem realizados pelo LEA nas avaliações de conformidade.
3.10 O Nível de Segurança de Homologação atribuído ao objeto homologado deverá constar do laudo de conformidade, bem como do processo de homologação, a partir de Ato Declaratório do Diretor de Infraestrutura de Chaves Públicas do ITI.
Este artefato ainda não tem temas.
Nenhum item vinculado a este artefato.