Yêu cầu đối với Cơ quan kiểm định tuân thủ trong quy trình đánh giá nhà cung cấp dịch vụ tin cậy

Theo quy định về định danh điện tử và dịch vụ tin cậy (eIDAS) của châu Âu, chỉ có các cơ quan kiểm định tuân thủ được chỉ định bởi Cơ quan Cấp phép châu Âu (EA) có thẩm quyền đánh giá các nhà cung cấp dịch vụ muốn trở thành nhà cung cấp dịch vụ tin cậy đảm bảo (QTSP).

1. Quy định eIDAS và khái niệm QTSP

Quy định số 910/2014 của Liên minh châu Âu (EU) về định danh điện tử và dịch vụ tin cậy (hay còn gọi là quy định eIDAS¹) mang tới một khung pháp lý hoàn chỉnh cho quy trình xác thực điện tử của mọi cá nhân, tổ chức tham gia vào giao dịch điện tử thông qua các dịch vụ tin cậy như ký số, ký điện tử, ký số cấp dấu thời gian hay xác thực trang điện tử. Theo quy định eIDAS, các tòa án hay cơ quan hành pháp của EU không thể chối bỏ các bằng chứng điện tử đã xác thực thông qua dịch vụ tin cậy chỉ vì chúng ở dạng điện tử. Nói cách khác, quy định eIDAS là bước tiến quan trọng mở đường cho sự công nhận hợp pháp của các chứng từ điện tử thay thế hoàn toàn chứng từ giấy; cho phép các quốc gia, vùng lãnh thổ khác nhau đạt được sự đồng thuận chung về lòng tin trên môi trường điện tử.

Để làm rõ các cấp độ tin cậy, quy định eIDAS định nghĩa cấp độ an toàn đảm bảo đối với các dịch vụ tin cậy cũng như nhà cung cấp dịch vụ tin cậy thông qua hàng loạt những yêu cầu, tiêu chuẩn kỹ thuật - chính sách nâng cao nhằm khẳng định cấp độ an toàn bậc nhất cho người sử dụng. Lấy ví dụ như với dịch vụ ký số, ký điện tử đảm bảo (QES), người dùng có thể tự tin ký kết các hợp đồng thương mại, chứng từ điện tử, giao dịch điện tử với các cá nhân, tổ chức trên khắp lãnh thổ châu Âu mà không lo ngại nguy cơ bị chối bỏ, giải trình, hay cung cấp các hồ sơ pháp lý không cần thiết.

Tuy nhiên, mức độ an toàn, tin cậy của các dịch vụ đảm bảo phải được tuân thủ nghiêm ngặt với cơ chế kiểm định chặt chẽ. Đối với dịch vụ tin cậy đảm bảo (QTS) cung cấp bởi QTSP, các cơ chế này yêu cầu theo dõi trước và sau khi cấp chứng nhận tính tuân thủ của nhà cung cấp dịch vụ. Đối với QTSP, cơ chế kiểm định phải được thực thi trong toàn bộ vòng đời cung cấp dịch vụ, từ khi chính thức đi vào hoạt động cho đến khi ngừng kinh doanh.

Trên thực tế, để đạt được danh hiệu QTSP, nhà cung cấp dịch vụ phải trải qua bài kiểm định đối với các yêu cầu về an toàn, tin cậy theo quy định eIDAS. Các bài kiểm định chỉ có thể được thực hiện bởi các cơ quan kiểm định tuân thủ được cấp phép trên danh sách tin cậy của EU. Các cơ quan kiểm định tuân thủ tiếp tục đánh giá nhà cung cấp dịch vụ sau khi cấp phép tối thiểu 2 năm/lần với báo cáo kiểm định (Conformity Assessment Report - CAR) gửi lên cơ quan giám sát của nước sở tại (Supervisory Body - SB) và Cơ quan Cấp phép châu Âu (EA). Hiện nay, quy định eIDAS đề ra 9 danh mục dịch vụ tin cậy đảm bảo, bao gồm: Dịch vụ ký số; ký điện tử đảm bảo; dịch vụ đóng dấu điện tử đảm bảo; dịch vụ xác thực trang điện tử đảm bảo; dịch vụ lưu trữ điện tử đảm bảo với chữ ký số; dịch vụ lưu trữ điện tử đảm bảo với con dấu điện tử; dịch vụ xác thực chữ ký điện tử đảm bảo; dịch vụ xác thực con dấu điện tử đảm bảo; dịch vụ dấu thời gian điện tử đảm bảo và dịch vụ vận chuyển dữ liệu điện tử đảm bảo.

2. Vai trò của kiểm định theo quy định eIDAS đối với kiểm định tuân thủ QTSP

Theo quy định eIDAS, chỉ có các cơ quan kiểm định tuân thủ được chỉ định bởi EA có thẩm quyền đánh giá các nhà cung cấp dịch vụ muốn trở thành QTSP². Các yêu cầu đối với cơ quan kiểm định được quy định tại Điều 20, Điều 21 và điểm 4 Điều 17 của quy định eIDAS, nhấn mạnh trách nhiệm và nhiệm vụ của cơ quan này, bao gồm:

- Thực hiện đánh giá tuân thủ đối với nhà cung cấp dịch vụ tin cậy đảm bảo.

- Lập báo cáo đánh giá CAR theo định dạng của EA.

- Cấp chứng nhận tuân thủ hoặc thu hồi chứng nhận đối với nhà cung cấp dịch vụ.

- Cung cấp báo cáo kiểm định tối thiểu 2 năm/lần cho cơ quan có thẩm quyền của EU.

- Báo cáo với các cơ quan có thẩm quyền ở nước sở tại.

Danh sách tin cậy của EU Trust List

EA là cơ quan duy nhất theo quy định số 765/2018 của EU có quyền cấp phép hoạt động cho cơ quan kiểm định tuân thủ thông qua tổ chức đại diện quốc gia (NAB), đồng thời chịu trách nhiệm tổ chức giám sát chéo giữa các CAB thuộc các quốc gia khác nhau³. Nói cách khác, các cơ quan kiểm định tuân thủ thực hiện đánh giá năng lực lẫn nhau thông qua một tiêu chuẩn chung được ban hành bởi Viện Tiêu chuẩn Viễn thông châu Âu (ETSI) có tên là ETSI EN 319 403⁴. Tiêu chuẩn này đóng vai trò như một khung đánh giá năng lực đối với CAB, bao gồm các hạng mục:

- Khả năng xây dựng phương pháp đánh giá theo ISO/IEC 17065 về năng lực quản lý, vận hành, tính minh bạch và các yếu tố đặc thù của dịch vụ tin cậy.

- Tạo cơ chế đánh giá phù hợp với một hoặc nhiều dịch vụ tin cậy đảm bảo quy định tại eIDAS dựa trên các tiêu chuẩn của ETSI hoặc CA/B Forum, hoặc các tiêu chuẩn mở rộng phù hợp với luật pháp của nước sở tại.

- Đào tạo, chuẩn bị đầy đủ đội ngũ chuyên gia về pháp lý, tiêu chuẩn kỹ thuật, quản lý lưu trữ báo cáo và hậu kiểm.

3. Tiêu chuẩn đối với nhân sự của cơ quan kiểm định tuân thủ tham gia đánh giá, thẩm định hệ thống tin cậy theo quy định eIDAS

Trong khi cơ quan kiểm định tuân thủ phải xây dựng, chứng minh năng lực đánh giá theo khung tiêu chuẩn ETSI EN 319 403, các nhân sự trực tiếp thực hiện đánh giá và kiểm định viên (Auditor) cũng phải đạt chứng nhận năng lực, kinh nghiệm, minh bạch trong lĩnh vực chứng thực điện tử. Về tính minh bạch, các cơ quan kiểm định tuân thủ đều trải qua các quy trình kiểm tra chéo thường niên hoặc bất chợt theo yêu cầu EA dựa trên khung ETSI EN 319 403, đảm bảo các kiểm định viên không gặp xung đột về lợi ích khi tiến hành đánh giá hoặc chịu sức ép ngoài phạm vi công việc. Đối với các tiêu chuẩn kỹ thuật của ETSI và Viện Chuẩn hóa châu Âu (CEN), các kiểm định viên phải đạt các yêu cầu tối thiểu⁵:

Cơ chế quản lý cơ quan kiểm định đánh giá theo eIDAS

- Chứng chỉ kiểm định hoặc bằng chính quy về năng lực đánh giá tiêu chuẩn của ETSI/CEN được đào tạo và cấp chứng chỉ bởi cơ quan được công nhận bởi EA.

- Tối thiểu 4 năm kinh nghiệm trong ngành công nghệ thông tin; ít nhất 2 năm đã thực hiện đánh giá liên quan đến dịch vụ tin cậy, an ninh an toàn hệ thống vật lý/hệ thống mạng cho hạ tầng khóa công khai PKI.

Hạng mục đào tạo, chứng chỉ kiểm định chia làm ba cấp độ từ cơ bản, chuyên viên phụ trách đến kiểm định viên chính thức. Thông lệ quốc tế dựa trên ISO/IEC 17065 yêu cầu nhân sự kiểm định phải hoàn thành tất cả ba cấp chứng chỉ:

- Cấp cơ bản: Đây là cấp độ cho phép tham gia các khóa đào tạo cấp cao, bao gồm khái niệm về định dạng điện tử, mã hóa bảo mật, ứng dụng chứng thư số - chữ ký số trong xác thực điện tử, các khung pháp lý quốc tế.

- Cấp chuyên viên: Cấp độ chuyên viên cho phép nhân sự hỗ trợ các kiểm định viên trong quy trình kiểm định. Cấp độ này yêu cầu toàn bộ các hạng mục của cấp cơ bản, cùng năng lực thông thạo tiêu chuẩn an ninh nâng cao:

+ ETSI EN 319 401 về đánh giá rủi ro, chính sách, quy chế chứng thực, vận hành, nhân sự, phòng trừ rủi ro với nhà cung cấp dịch vụ tin cậy.

+ ETSI EN 319 412 về quy chuẩn Profile chứng thư số tương thích PSD2/Open Banking, áp dụng hệ mã OID trong khai báo và cấu trúc chứng thư số.

+ ETSI EN 319 411-1/2 về quy chế chứng thực QCP-n, QCP-l, QCP-n-qscd, QCP-l-qscd, QCP-w theo cấp độ an toàn của dịch vụ áp dụng thiết bị mã hóa bảo mật HSM.

+ CEN EN 419 221-5, FIPS PUB 140-2, CWA 14167-1, CWA 14167-2, CWA 14169, CWA 14170 về chứng chỉ phần cứng của thiết bị mã hóa bảo mật thực hiện lưu khóa và tạo chữ ký số từ xa. Chuyên viên có năng lực hỗ trợ quy trình đánh giá thông qua phòng kiểm thử Trusted Lab trên thế giới.

+ ETSI TS 119 612 đối với quy trình kiểm tra chứng chỉ, chứng nhận và cập nhật hệ thống EU Trusted List.

Và các tiêu chuẩn khác theo đặc thù dịch vụ như CAB Forum Baseline & EV Guidelines (QWAC), ETSI EN 319 422 (Timestamp).

- Cấp kiểm định viên: Cần hoàn thành toàn bộ các yêu cầu của cấp chuyên viên cùng năng lực xây dựng, phân tích, lập kế hoạch đánh giá theo Quy định eIDAS về dịch vụ tin cậy. Đây là cấp độ duy nhất cho phép lập báo cáo đánh giá cho các cơ quan quản lý và cấp chứng nhận tuân thủ từ CAB, bao gồm kỹ năng như:

- Quy trình quản lý, lập báo cáo, và thông báo với cơ quan cấp phép (Accreditation Bodies).

- Quy trình theo dõi, hậu kiểm theo ETSI EN 319 403 và hướng dẫn nhà cung cấp dịch vụ tin cậy sửa đổi các điểm chưa tuân thủ.

Đối với các kiểm định viên mới hoàn thành 03 cấp chứng chỉ của cơ quan được công nhận bởi EA, tiêu chuẩn ETSI EN 319 403 quy định các kiểm định viên phải hoàn thành thêm 04 bài kiểm định dưới sự giám sát của một kiểm định viên cao cấp, với thời gian tối thiểu 20 ngày làm việc từ khâu đánh giá tư liệu, kiểm định Onsite và hoạch định báo cáo.

Trên thực tế, các kiểm định viên có khả năng yêu cầu sự trợ giúp của các chuyên viên công nghệ trong quá trình phân tích và kiểm thử hệ thống phần cứng - phần mềm. Các chuyên viên công nghệ được chỉ định bởi kiểm định viên trưởng, đảm bảo khả năng tư vấn chuyên môn về danh mục tiêu chuẩn kỹ thuật của nước sở tại, kiến thức sâu sắc về hạ tầng khóa công khai, các kỹ thuật tấn công - chống tấn công (Pentest), cũng như thông thạo về kiểm định sản phẩm (theo chuẩn Quốc tế ISO/IEC hoặc chuẩn châu Âu như CEN 419 221) thông qua phòng kiểm thử Trusted Lab trên thế giới.

4. Tính tuân thủ của quy trình kiểm định và các tiêu chuẩn tham chiếu quốc tế

Đối với các tiêu chuẩn an ninh, an toàn hệ thống cần đáp ứng không chỉ yêu cầu của eIDAS về dịch vụ tin cậy đảm bảo mà cả các tiêu chuẩn, khung pháp lý nước sở tại, cơ quan kiểm định tuân thủ thường sử dụng các khung đánh giá thuộc tập hợp ISO/IEC 27000 (VD: ISO/IEC 27001; ISO/IEC 27002). Đặc biệt, tiêu chuẩn ISO/IEC không chỉ nhắm đến yêu cầu kỹ thuật mà còn quy định quy trình triển khai thực tế, do đó, ISO/IEC cung cấp cho các cơ quan kiểm định tuân thủ phương thức diễn giải các yêu cầu của eIDAS khi áp dụng ở một quốc gia hoặc khu vực pháp lý cụ thể.

Tuy nhiên, việc đáp ứng ISO/IEC 27001 hay tập hợp ISO/IEC 27000 không thể thay thế hoàn toàn các quy định về dịch vụ tin cậy, đặc biệt là dịch vụ tin cậy đảm bảo của eIDAS. Thực tế cho thấy, các yêu cầu của hệ thống dịch vụ tin cậy trên nền tảng khóa công khai PKI (như định dạng chứng thư số, quy trình xác thực hồ sơ, thu hồi chứng thư số) không được đề cập trong ISO/IEC.

Vì vậy, việc ứng dụng ISO/IEC cần được định nghĩa rõ ràng trong kế hoạch giải trình kiểm định về các thành phần của quy chế chứng thực (CP/CPS) thực hiện tham chiếu với yêu cầu của TSP/QTSP như khung tiêu chuẩn được Viện Tiêu chuẩn Viễn thông châu Âu quy định tại ETSI EN 319 411-1 về chính sách vận hành (LCP, NCP, NCP+, EVCP, OVCP hoặc DVCP) và ETSI EN 319 411-2 về quy chế chứng thực (QCP-1, QCP-n, QCP-1-qscd, QCD-n-qscd hoặc QCD-w). Ngoài các đặc tính kỹ thuật, đây là hai bộ tiêu chuẩn quan trọng đảm bảo khả năng liên thông, công nhận lẫn nhau trên môi trường điện tử giữa các nhà cung cấp dịch vụ tin cậy - xác thực điện tử.

¹ European Parliament and of the Council, Regulation 910/2014, September 2014.

² European Commission, Accreditation of Conformity Assessment Bodies, Summer 2014.

³ EUR-Lex, Document 32008R0765, July 2008.

⁴ European Accreditation, ETSI Standard EN 319 403 published to provide Requirements for Conformity Assessment Bodies assessing Trust Service Providers (TSPs), Oct 2015.

⁵ ETSI, EN 319 403-1 V.2.3.1, Requirements for conformity assessment bodies assessing Trust Service Providers, June 2020.

Đỗ Quang Huy (Hà Nội)