O Instituto Nacional de Tecnologia da Informação (ITI) e o Laboratório de Ensaios e Auditoria (LEA) definiram novas normas de segurança para a homologação de sistemas e equipamentos. As regras visam estabelecer padrões compatíveis com os modelos internacionais, viabilizando um reconhecimento mútuo.
As adaptações a serem feitas no modelo de homologação foram consolidadas com a participação de empresas produtoras de hardware, software e segurança. A razão da criação das normas, segundo os dois órgãos, se deve ao fato das empresas, em sua maioria multinacionais, estarem encontrando dificuldade de aprovar junto à matriz a entrega dos códigos-fonte. As novas normas, apontam o ITI e o LEA, criarão níveis de segurança, refletindo padrões e especificações técnicas que serão analisados durante a avaliação do dispositivo a ser homologado.
Os sistemas ou equipamentos serão enquadrados em três níveis de confiabilidade, que serão chamados de Níveis de Segurança de Homologação (NSH). O nível 1 avaliará a funcionalidade do dispositivo a ser homologado. Para isso, serão feitos testes operacionais e exame das documentações apresentadas. Nessa etapa, as ameaças à segurança ou problemas de interoperabilidade não são vistas de forma específica e não há necessidade da entrega de códigos-fonte.
No segundo nível, além de o produto ter que estar operacional, a segurança e a interoperabilidade são levados em consideração. A avaliação será baseada na amostra do item, em informações do projeto e de resultados de testes já realizados. Para atingir esse nível será necessário o depósito de partes dos códigos-fonte. O terceiro nível requer a comprovação de práticas seguras no desenvolvimento e na produção do sistema ou equipamento a ser homologado. Nesse estágio, as ameaças à segurança e problemas com a interoperabilidade são vistos como críticos. Nessa análise, há a demanda de depósito maior dos códigos-fonte.
Os níveis de segurança de homologação constarão no laudo de conformidade do regulamento da ICP-Brasil ? infra-estrutura de chaves públicas brasileira ? e servirão para orientar os interessados quanto ao grau de confiabilidade que poderão obter em determinado sistema ou equipamento.
As instruções normativas definindo essas novas regras foram publicadas no Diário Oficial desta quarta-feira (15/2). Segundo o diretor de Infra-estrutura e Chaves Públicas, Maurício Coelho, o Lea-Usp já está se preparado para atuar dentro do novo marco.
