INSTRUÇÃO
NORMATIVA Nº 1, DE 16 DE FEVEREIRO DE 2005
Publicada
no DOU de 17.02.2005
Implementa o controle de versões
das Políticas de Segurança, das Políticas de Certificados
e das Declarações de Práticas de Certificação
das Autoridades Certificadoras no âmbito da ICP-Brasil.
O DIRETOR-PRESIDENTE
SUBSTITUTO DO INSTITUTO NACIONAL DE TECNOLOGIA DA INFORMAÇÃO,
no uso da atribuição que lhe foi conferida pelo Inciso I, do
Art. 1º, do anexo I, do Decreto nº 4.689, de 7 de maio de 2003,
e pelo artigo 1º da Resolução nº 33 do CG da ICP-Brasil,
de 21 de outubro de 2004, e
Considerando:
- o aumento
do número de pedidos de alterações de Políticas
de Certificados (PC) e de Declarações de Práticas de
Certificação (DPC), seja por determinação legal,
seja por iniciativa das próprias Autoridades Certificadoras (AC);
- a necessidade
de facilitar o controle e agilizar a análise dessas alterações,
por parte do ITI;
- a necessidade
de dar publicidade, aos usuários de certificados no âmbito da
ICP-Brasil, das alterações aprovadas de forma clara, concisa
e ágil;
- a necessidade
de suplementar o disposto na Resolução nº 6 do CG da ICP-Brasil,
de 22/11/2001, itens 2.1, alínea d, e 2.2.1, alínea b, combinados
com o item 4 de seu Anexo IV, e nas Resoluções nº 7 e
nº 8 do CG da ICP-Brasil, ambas de 12/12/2001, em seus itens 8.3, no
sentido de especificar de que forma as entidades candidatas ao credenciamento
como AC da ICP-Brasil deverão encaminhar e submeter à aprovação
do ITI suas propostas de Política de Segurança (PS), de DPC
e de PC; e
- a necessidade
de suplementar o disposto na Resolução nº 6 do CG da ICP-Brasil,
de 22/11/2001, item 3.1.2, e nas Resoluções nº 7 e nº
8 do CG da ICP-Brasil, ambas de 12/12/2001, em seus itens 8.1, no sentido
de especificar de que forma as AC da ICP-Brasil deverão encaminhar
pedidos de alterações de suas PS, DPC e PC para fins de manutenção
de credenciamento e de administração de suas especificações,
R E S O L V
E :
Art. 1º
Adotar o controle de versão das PS, das PC e das DPC das AC no âmbito
da ICP-Brasil, na forma estabelecida por esta Instrução Normativa.
Parágrafo
único. O disposto nesta instrução normativa aplica-se
também, no que couber, às entidades candidatas a credenciamento
como AC no âmbito da ICP-Brasil, quando da submissão de suas
propostas de PS, de DPC e de PC à aprovação do ITI.
Art. 2º Para fins desta Instrução Normativa aplicam-se
os seguintes conceitos:
I - Controle
de Versão (v.a): controle numérico de dois dígitos,
separados por um ponto, sendo que o primeiro deles representa a versão
do documento e o segundo a sua atualização;
II - Versão
(v): número que indica a seqüência de alterações
nas PS, nas DPC ou nas PC das AC provocadas pelas edições de
novas Resoluções do CG da ICP-Brasil; e
III - Atualização
(a): número que indica a seqüência de atualizações
nas PS, nas DPC ou nas PC das AC provocadas por iniciativas das próprias
AC ou por solicitações específicas do ITI.
§ 1º
Novas versões (v) deverão ser adotadas sempre que as alterações
sejam decorrentes de imposição de Resoluções
do CG da ICP-Brasil. Nestes casos, o dígito correspondente às
atualizações (a) deverá ser zerado.
§ 2º
Novas atualizações (a) deverão ser adotadas sempre que
as alterações sejam decorrentes de iniciativas das próprias
AC ou de solicitações específicas do ITI. Nestes casos,
o dígito correspondente às versões (v) deverá
permanecer inalterado.
Art. 3º
Quando da solicitação de nova alteração, motivada
por qualquer das hipóteses previstas anteriormente, o novo controle
de versão (v.a) deverá refletir todas as alterações
anteriores.
Art 4º
Os pedidos de alterações de PS, de PC e de DPC devem ser formalizados
por meio de correspondência escrita, endereçada ao ITI, contendo:
I - Tabela,
conforme exemplo constante do Anexo I, com os seguintes campos:
a) nomes dos
documentos para os quais são solicitadas alterações;
b) novos controles
de versão dos documentos;
c) data de criação
dos documentos;
d) número
dos processos em que devem ser incluídos os documentos (Processo Base
de Manutenção, nos casos de PS e DPC ou Apenso, no caso de
PC); e
e) hash dos
arquivos correspondentes aos documentos enviados, calculados usando algoritmo
SHA1.
II - Anexos:
a) relação
escrita dos itens para os quais estão sendo solicitadas alterações,
apontando os textos vigentes e os textos propostos;
b) mídia
eletrônica (CD, disquete, etc.) contendo os arquivos, em formato RTF,
com os conteúdos completos dos novos documentos propostos, já
na conformação final a ser divulgada no repositório
da AC. Tais arquivos devem ser identificados pelos mesmos nomes e controles
de versão citados nas alíneas “a” e “b” do inciso I.
Art. 5º
Durante o período de análise dos documentos, a remessa de eventuais
correções nas alterações requeridas deve ser
feita por meio de correspondência, acompanhada dos mesmos documentos
definidos no artigo anterior.
§ 1º
O período de análise será de 10 (dez) dias, prorrogável
por iguais e sucessivos períodos, a contar do recebimento do material
de que tratam os incisos I e II do artigo 4º.
§ 2º
Quando houver necessidade de os documentos retornarem às AC, seja
pela ocorrência de diferenças nos resultados de hash, seja para
adequação às recomendações do ITI, o prazo
para análise será interrompido, recomeçando sua contagem
após o recebimento do novo conjunto de documentos.
§ 3º
O prazo estabelecido pelo parágrafo 1º não se aplica às
análises de alterações que, por sua natureza, necessitem
de auditoria na AC ou em qualquer de suas entidades vinculadas.
Art. 6º
A partir da publicação pelo ITI, no Diário Oficial da
União, da aprovação do novo controle de versão,
a AC terá 30 dias para publicar os documentos aprovados em seu repositório
e, efetivamente, implementar o que neles estiver disposto, mantendo em evidência
o controle de versão e sua data de referência, que devem ser
os mesmos exigidos pelas alíneas “b” e “c” do inciso I do art. 4º.
Parágrafo
único. Não cumprido o prazo estabelecido no caput pela AC responsável,
sem que seja apresentada justificativa apropriada, poderá o ITI cancelar
a aprovação do respectivo controle de versão.
Art. 7º
Para a implantação desta sistemática será considerado
como referência inicial o controle de versão 1.0, que adotará
como referência as alterações impostas pela Resolução
nº 37 do CG da ICPBrasil, de 21 de outubro de 2004.
Art. 8º
As implementações de que trata esta Instrução
Normativa aplicam-se exclusivamente às alterações em
PS, PC e DPC.
Art. 9º
As AC deverão enviar a este Instituto, na forma disposta pelo art.
4º, no prazo máximo de 30 dias, a contar da publicação
desta Instrução Normativa, o texto integral de suas PS, DPC
e PC, atualizadas até a Resolução nº 37 do CG da
ICP-Brasil, de 21 de outubro de 2004, as quais receberão o controle
de versão 1.0.
Art. 10º Esta Instrução Normativa entra em vigor na data
de sua publicação.
RENATO DA SILVEIRA MARTINI
ANEXO I
Exemplo de
Tabela exigida pelo inciso I, do art. 4º
Nome do Documento
|
Controle de Versão
|
Data de Criação
|
Número do Processo
|
Hash
|
PS da AC xxx
|
va
|
dd.mm.aaaa
|
0100.xxxxx/aaaa/nn
|
8ba401dc870d7976ec98ef443-blcc596919891f
|
DPC da AC xxx
|
va
|
dd.mm.aaaa
|
0100.xxxxx/aaaa/nn |
78ehf4t500ohr659m4rt5635-ytgsvs3535jj566
|
PS da AC xxx |
va |
dd.mm.aaaa |
0100.yyyyy/aaaa/nn |
b83e8948824dd9f9802d6cfc-dec33e862eca6bfe
|
|