YÊU CẦU ĐỐI VỚI CƠ QUAN KIỂM ĐỊNH TUÂN THỦ TRONG QUY TRÌNH ĐÁNH GIÁ NHÀ CUNG C ẤP DỊCH VỤ TIN CẬY Theo quy định định danh điện tử dịch vụ tin cậy (eIDAS) châu Âu, có quan kiểm định tuân thủ định Cơ quan Cấp phép châu Âu (EA) có thẩm quyền đánh giá nhà cung c ấp dịch vụ muốn trở thành nhà cung cấp dịch vụ tin cậy đảm bảo (QTSP) Quy định eIDAS khái ni ệm QTSP Quy định số 910/2014 Liên minh châu Âu (EU) v ề định danh điện tử dịch vụ tin cậy (hay gọi quy định eIDAS ) mang tới khung pháp lý hồn chỉnh cho quy trình xác thực điện tử cá nhân, tổ chức tham gia vào giao dịch điện tử thông qua dịch vụ tin cậy ký số, ký điện tử, ký số cấp dấu thời gian hay xác thực trang điện tử Theo quy định eIDAS, tòa án hay quan hành p háp EU chối bỏ chứng điện tử xác thực thông qua dịch vụ tin cậy chúng dạng điện tử Nói cách khác, quy định eIDAS bước tiến quan trọng mở đường cho công nhận hợp pháp chứng từ điện tử thay hoàn toàn chứng từ giấy; cho phép qu ốc gia, vùng lãnh thổ khác đạt đồng thuận chung lòng tin môi trư ờng điện tử Để làm rõ cấp độ tin cậy, quy định eIDAS định nghĩa cấp độ an toàn đảm bảo dịch vụ tin cậy nhà cung cấp dịch vụ tin cậy thông qua hàng loạt yêu cầu, tiêu chuẩn kỹ thuật - sách nâng cao nhằm khẳng định cấp độ an toàn bậc cho người sử dụng Lấy ví dụ với dịch vụ ký số, ký điện tử đảm bảo (QES), người dùng tự tin ký kết hợp đồng thương mại, chứng từ điện tử, giao dịch điện tử với cá nhân, tổ chức khắp lãnh thổ châu Âu mà không lo ng ại nguy bị chối bỏ, giải trình, hay cung cấp hồ sơ pháp lý không c ần thiết Tuy nhiên, mức độ an toàn, tin cậy dịch vụ đảm bảo phải tuân thủ nghiêm ngặt với chế kiểm định chặt chẽ Đối với dịch vụ tin cậy đảm bảo (QTS) cung cấp QTSP, chế yêu cầu theo dõi trư ớc sau cấp chứng nhận tính tuân thủ nhà cung cấp dịch vụ Đối với QTSP, chế kiểm định phải thực thi toàn b ộ vịng đời cung cấp dịch vụ, từ thức vào hoạt động ngừng kinh doanh Trên thực tế, để đạt danh hiệu QTSP, nhà cung cấp dịch vụ phải trải qua kiểm định yêu cầu an toàn, tin cậy theo quy định eIDAS Các kiểm định thực quan kiểm định tuân thủ cấp phép danh sách tin c ậy EU Các quan kiểm định tuân thủ tiếp tục đánh giá nhà cung cấp dịch vụ sau cấp phép tối thiểu năm/lần với báo cáo kiểm định (Conformity Assessment Report - CAR) gửi lên quan giám sát c nước sở (Supervisory Body - SB) Cơ quan Cấp phép châu Âu (EA) Hi ện nay, quy định eIDAS đề danh mục dịch vụ tin cậy đảm bảo, bao gồm: Dịch vụ ký số; ký điện tử đảm bảo; dịch vụ đóng dấu điện tử đảm bảo; dịch vụ xác thực trang điện tử đảm bảo; dịch vụ lưu trữ điện tử đảm bảo với chữ ký số; dịch vụ lưu trữ điện tử đảm bảo với dấu điện tử; dịch vụ xác thực chữ ký điện tử đảm bảo; dịch vụ xác thực dấu điện tử đảm bảo; dịch vụ dấu thời gian điện tử đảm bảo dịch vụ vận chuyển liệu điện tử đảm bảo Vai trò kiểm định theo quy định eIDAS kiểm định tuân thủ QTSP Theo quy định eIDAS, có quan kiểm định tuân thủ định EA có thẩm quyền đánh giá nhà cung c ấp dịch vụ muốn trở thành QTSP Các yêu cầu quan kiểm định quy định Điều 20, Điều 21 điểm Điều 17 quy định eIDAS, nhấn mạnh trách nhiệm nhiệm vụ quan này, bao gồm: - Thực đánh giá tuân th ủ nhà cung cấp dịch vụ tin cậy đảm bảo - Lập báo cáo đánh giá CAR theo đ ịnh dạng EA - Cấp chứng nhận tuân thủ thu hồi chứng nhận nhà cung cấp dịch vụ - Cung cấp báo cáo kiểm định tối thiểu năm/lần cho quan có thẩm quyền EU - Báo cáo với quan có thẩm quyền nước sở Danh sách tin cậy EU Trust List EA quan theo quy định số 765/2018 EU có quyền cấp phép hoạt động cho quan ki ểm định tuân thủ thông qua tổ chức đại diện quốc gia (NAB), đồng thời chịu trách nhiệm tổ chức giám sát chéo CAB thuộc quốc gia khác Nói cách khác, quan ki ểm định tuân thủ thực đánh giá lực lẫn thông qua tiêu chuẩn chung ban hành Viện Tiêu chuẩn Viễn thơng châu Âu (ETSI) có tên ETSI EN 319 403 Tiêu chuẩn đóng vai trị m ột khung đánh giá lực CAB, bao gồm hạng mục: - Khả xây dựng phương pháp đánh giá theo ISO/IEC 17065 v ề lực quản lý, vận hành, tính minh b ạch yếu tố đặc thù dịch vụ tin cậy - Tạo chế đánh giá phù hợp với nhiều dịch vụ tin cậy đảm bảo quy định eIDAS dựa tiêu chuẩn ETSI CA/B Forum, tiêu chuẩn mở rộng phù hợp với luật pháp nước sở - Đào tạo, chuẩn bị đầy đủ đội ngũ chuyên gia pháp lý, tiêu chuẩn kỹ thuật, quản lý lưu trữ báo cáo hậu kiểm 3 Tiêu chuẩn nhân quan kiểm định tuân thủ tham gia đánh giá, thẩm định hệ thống tin cậy theo quy định eIDAS Trong quan kiểm định tuân thủ phải xây dựng, chứng minh lực đánh giá theo khung tiêu chu ẩn ETSI EN 319 403, nhân s ự trực tiếp thực đánh giá ki ểm định viên (Auditor) ph ải đạt chứng nhận lực, kinh nghiệm, minh bạch lĩnh vực chứng thực điện tử Về tính minh bạch, quan kiểm định tuân thủ trải qua quy trình kiểm tra chéo thường niên theo yêu cầu EA dựa khung ETSI EN 319 403, đảm bảo kiểm định viên không gặp xung đột lợi ích tiến hành đánh giá ho ặc chịu sức ép ngồi phạm vi cơng việc Đối với tiêu chuẩn kỹ thuật ETSI Viện Chuẩn hóa châu Âu (CEN), kiểm định viên phải đạt yêu cầu tối thiểu : Cơ chế quản lý quan kiểm định đánh giá theo eIDAS - Chứng kiểm định quy lực đánh giá tiêu chuẩn ETSI/CEN đào tạo cấp chứng quan đư ợc công nhận EA - Tối thiểu năm kinh nghiệm ngành công ngh ệ thông tin; năm thực đánh giá liên quan đ ến dịch vụ tin cậy, an ninh an toàn hệ thống vật lý/hệ thống mạng cho hạ tầng khóa cơng khai PKI Hạng mục đào tạo, chứng kiểm định chia làm ba cấp độ từ bản, chuyên viên phụ trách đến kiểm định viên thức Thông lệ quốc tế dựa ISO/IEC 17065 yêu c ầu nhân kiểm định phải hoàn thành tất ba cấp chứng chỉ: - Cấp bản: Đây cấp độ cho phép tham gia khóa đào t ạo cấp cao, bao gồm khái niệm định dạng điện tử, mã hóa bảo mật, ứng dụng chứng thư số - chữ ký số xác thực điện tử, khung pháp lý qu ốc tế - Cấp chuyên viên: Cấp độ chuyên viên cho phép nhân hỗ trợ kiểm định viên quy trình ki ểm định Cấp độ yêu cầu toàn hạng mục cấp bản, lực thông thạo tiêu chuẩn an ninh nâng cao: + ETSI EN 319 401 đánh giá rủi ro, sách, quy ch ế chứng thực, vận hành, nhân sự, phòng trừ rủi ro với nhà cung cấp dịch vụ tin cậy + ETSI EN 319 412 quy chuẩn Profile chứng thư số tương thích PSD2/Open Banking, áp d ụng hệ mã OID khai báo c ấu trúc chứng thư số + ETSI EN 319 411 -1/2 quy chế chứng thực QCP-n, QCP-l, QCP-nqscd, QCP-l-qscd, QCP-w theo cấp độ an toàn dịch vụ áp dụng thiết bị mã hóa bảo mật HSM + CEN EN 419 221 -5, FIPS PUB 140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170 chứng phần cứng thiết bị mã hóa bảo mật thực lưu khóa tạo chữ ký số từ xa Chuyên viên có l ực hỗ trợ quy trình đánh giá thơng qua phịng ki ểm thử Trusted Lab giới + ETSI TS 119 612 quy trình kiểm tra chứng chỉ, chứng nhận cập nhật hệ thống EU Trusted List Và tiêu chuẩn khác theo đặc thù dịch vụ CAB Forum Baseline & EV Guidelines (QWAC), ETSI EN 319 422 (Timestamp) - Cấp kiểm định viên: Cần hoàn thành toàn b ộ yêu cầu cấp chuyên viên lực xây dựng, phân tích, l ập kế hoạch đánh giá theo Quy định eIDAS dịch vụ tin cậy Đây cấp độ cho phép lập báo cáo đánh giá cho quan qu ản lý cấp chứng nhận tuân thủ từ CAB, bao gồm kỹ như: - Quy trình quản lý, lập báo cáo, thông báo v ới quan cấp phép (Accreditation Bodies) - Quy trình theo dõi, hậu kiểm theo ETSI EN 319 403 hư ớng dẫn nhà cung cấp dịch vụ tin cậy sửa đổi điểm chưa tuân thủ Đối với kiểm định viên hoàn thành 03 c ấp chứng quan công nhận EA, tiêu chuẩn ETSI EN 319 403 quy đ ịnh kiểm định viên phải hoàn thành thêm 04 ki ểm định giám sát kiểm định viên cao cấp, với thời gian tối thiểu 20 ngày làm việc từ khâu đánh giá tư liệu, kiểm định Onsite hoạch định báo cáo Trên thực tế, kiểm định viên có khả yêu cầu trợ giúp chun viên cơng nghệ q trình phân tích ki ểm thử hệ thống phần cứng - phần mềm Các chuyên viên công ngh ệ định kiểm định viên trưởng, đảm bảo khả tư vấn chuyên môn danh mục tiêu chuẩn kỹ thuật nước sở tại, kiến thức sâu sắc hạ tầng khóa cơng khai, kỹ thuật cơng - chống công (Pentest), thông th ạo kiểm định sản phẩm (theo chuẩn Quốc tế ISO/IEC chuẩn châu Âu CEN 419 221) thơng qua phịng ki ểm thử Trusted Lab giới Tính tuân thủ quy trình kiểm định tiêu chuẩn tham chiếu quốc tế Đối với tiêu chuẩn an ninh, an tồn h ệ thống cần đáp ứng khơng yêu cầu eIDAS dịch vụ tin cậy đảm bảo mà tiêu chuẩn, khung pháp lý nước sở tại, quan kiểm định tuân thủ thường sử dụng khung đánh giá thuộc tập hợp ISO/IEC 27000 (VD: ISO/IEC 27001; ISO/IEC 27002) Đặc biệt, tiêu chuẩn ISO/IEC không nhắm đến yêu cầu kỹ thuật mà cịn quy định quy trình triển khai thực tế, đó, ISO/IEC cung cấp cho quan kiểm định tuân thủ phương thức diễn giải yêu cầu eIDAS áp dụng quốc gia khu vực pháp lý cụ thể Tuy nhiên, việc đáp ứng ISO/IEC 27001 hay t ập hợp ISO/IEC 27000 thay hoàn toàn quy đ ịnh dịch vụ tin cậy, đặc biệt dịch vụ tin cậy đảm bảo eIDAS Thực tế cho thấy, yêu cầu hệ thống dịch vụ tin cậy tảng khóa cơng khai PKI (như đ ịnh dạng chứng thư số, quy trình xác th ực hồ sơ, thu hồi chứng thư số) không đề cập ISO/IEC Vì vậy, việc ứng dụng ISO/IEC cần định nghĩa rõ ràng k ế hoạch giải trình kiểm định thành phần quy chế chứng thực (CP/CPS) thực tham chiếu với yêu cầu TSP/QTSP khung tiêu chu ẩn Viện Tiêu chuẩn Viễn thông châu Âu quy đ ịnh ETSI EN 319 411 -1 sách vận hành (LCP, NCP, NCP+, EVCP, OVCP ho ặc DVCP) ETSI EN 319 411 -2 quy chế chứng thực (QCP-1, QCP-n, QCP-1-qscd, QCD-n-qscd QCD-w) Ngồi đặc tính kỹ thuật, hai tiêu chuẩn quan trọng đảm bảo khả liên thông, công nh ận lẫn môi trường điện tử nhà cung cấp dịch vụ tin cậy - xác thực điện tử  ... QTSP, nhà cung cấp dịch vụ phải trải qua kiểm định yêu cầu an toàn, tin cậy theo quy định eIDAS Các kiểm định thực quan kiểm định tuân thủ cấp phép danh sách tin c ậy EU Các quan kiểm định tuân thủ. .. trò kiểm định theo quy định eIDAS kiểm định tuân thủ QTSP Theo quy định eIDAS, có quan kiểm định tuân thủ định EA có thẩm quy? ??n đánh giá nhà cung c ấp dịch vụ muốn trở thành QTSP Các yêu cầu quan. .. cáo hậu kiểm 3 Tiêu chuẩn nhân quan kiểm định tuân thủ tham gia đánh giá, thẩm định hệ thống tin cậy theo quy định eIDAS Trong quan kiểm định tuân thủ phải xây dựng, chứng minh lực đánh giá theo