1. Trang chủ
  2. » Thể loại khác

Yêu cầu đối với cơ quan kiểm định tuân thủ trong quy trình đánh giá nhà cung cấp dịch vụ tin cậy

7 3 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Yêu cầu đối với cơ quan kiểm định tuân thủ trong quy trình đánh giá nhà cung cấp dịch vụ tin cậy
Trường học Đại học Công nghệ Thông tin - Đại học Quốc gia TP.HCM
Chuyên ngành Công nghệ Thông tin, An ninh mạng
Thể loại Báo cáo sát hạch
Năm xuất bản 2023
Thành phố TP. Hồ Chí Minh
Định dạng
Số trang 7
Dung lượng 227,12 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

YÊU CẦU ĐỐI VỚI CƠ QUAN KI ỂM ĐỊNH TUÂN TH Ủ TRONG QUY TRÌNH ĐÁNH GIÁ NHÀ CUNG CẤP DỊCH VỤ TIN CẬY Theo quy định về định danh điện tử và dịch vụ tin cậy eIDAS của châu Âu, chỉ có các cơ

Trang 1

YÊU CẦU ĐỐI VỚI CƠ QUAN KI ỂM ĐỊNH TUÂN TH Ủ TRONG QUY

TRÌNH ĐÁNH GIÁ NHÀ CUNG CẤP DỊCH VỤ TIN CẬY

Theo quy định về định danh điện tử và dịch vụ tin cậy (eIDAS) của châu Âu, chỉ có các cơ quan ki ểm định tuân th ủ được chỉ định bởi Cơ quan Cấp phép châu Âu (EA) có th ẩm quyền đánh giá các nhà cung c ấp dịch vụ muốn trở thành nhà cung c ấp dịch vụ tin cậy đảm bảo (QTSP)

1 Quy định eIDAS và khái niệm QTSP

Quy định số 910/2014 của Liên minh châu Âu (EU) v ề định danh điện tử và dịch vụ tin cậy (hay còn g ọi là quy đ ịnh eIDAS1) mang tới một khung pháp

lý hoàn chỉnh cho quy trình xác th ực điện tử của mọi cá nhân, t ổ chức tham gia vào giao d ịch điện tử thông qua các dịch vụ tin cậy như ký s ố, ký đi ện

tử, ký số cấp dấu thời gian hay xác th ực trang đi ện tử Theo quy đ ịnh

eIDAS, các tòa án hay cơ quan hành p háp của EU không thể chối bỏ các bằng chứng điện tử đã xác thực thông qua dịch vụ tin cậy chỉ vì chúng ở dạng điện tử Nói cách khác, quy đ ịnh eIDAS là bư ớc tiến quan trọng mở đường cho sự công nhận hợp pháp của các chứng từ điện tử thay thế hoàn toàn chứng từ giấy; cho phép các qu ốc gia, vùng lãnh th ổ khác nhau đ ạt được sự đồng thuận chung về lòng tin trên môi trường điện tử

Để làm rõ các cấp độ tin cậy, quy định eIDAS định nghĩa cấp độ an toàn đảm bảo đối với các dịch vụ tin cậy cũng như nhà cung cấp dịch vụ tin cậy thông qua hàng lo ạt những yêu c ầu, tiêu chu ẩn kỹ thuật - chính sách nâng cao nhằm khẳng định cấp độ an toàn b ậc nhất cho ngư ời sử dụng Lấy ví dụ như với dịch vụ ký số, ký điện tử đảm bảo (QES), người dùng có thể tự tin

ký kết các hợp đồng thương mại, chứng từ điện tử, giao d ịch điện tử với các cá nhân, t ổ chức trên khắp lãnh th ổ châu Âu mà không lo ng ại nguy cơ

bị chối bỏ, giải trình, hay cung c ấp các hồ sơ pháp lý không c ần thiết

Tuy nhiên, mức độ an toàn, tin c ậy của các dịch vụ đảm bảo phải được tuân thủ nghiêm ng ặt với cơ chế kiểm định chặt chẽ Đối với dịch vụ tin cậy đảm bảo (QTS) cung cấp bởi QTSP, các cơ chế này yêu cầu theo dõi trước

và sau khi c ấp chứng nhận tính tuân th ủ của nhà cung c ấp dịch vụ Đối với QTSP, cơ chế kiểm định phải được thực thi trong toàn bộ vòng đời cung cấp dịch vụ, từ khi chính thức đi vào hoạt động cho đến khi ngừng kinh doanh

Trang 2

Trên thực tế, để đạt đư ợc danh hiệu QTSP, nhà cung c ấp dịch vụ phải trải qua bài kiểm định đối với các yêu c ầu về an toàn, tin cậy theo quy đ ịnh eIDAS Các bài kiểm định chỉ có thể được thực hiện bởi các cơ quan ki ểm định tuân thủ được cấp phép trên danh sách tin c ậy của EU Các cơ quan kiểm định tuân thủ tiếp tục đánh giá nhà cung c ấp dịch vụ sau khi c ấp phép tối thiểu 2 năm/lần với báo cáo kiểm định (Conformity Assessment Report

- CAR) gửi lên cơ quan giám sát c ủa nước sở tại (Supervisory Body - SB)

và Cơ quan Cấp phép châu Âu (EA) Hiện nay, quy định eIDAS đề ra 9 danh mục dịch vụ tin c ậy đảm bảo, bao gồm: Dịch vụ ký số; ký điện tử đảm bảo; dịch vụ đóng d ấu điện tử đảm bảo; dịch vụ xác thực trang điện tử đảm bảo; dịch vụ lưu trữ điện tử đảm bảo với chữ ký số; dịch vụ lưu trữ điện tử đảm bảo với con dấu điện tử; dịch vụ xác thực chữ ký điện tử đảm bảo; dịch vụ xác thực con d ấu điện tử đảm bảo; dịch vụ dấu thời gian đi ện tử đảm bảo và dịch vụ vận chuyển dữ liệu điện tử đảm bảo

2 Vai trò c ủa kiểm định theo quy định eIDAS đ ối với kiểm định tuân thủ QTSP

Theo quy định eIDAS, chỉ có các cơ quan kiểm định tuân thủ được chỉ định bởi EA có thẩm quyền đánh giá các nhà cung c ấp dịch vụ muốn trở thành QTSP2 Các yêu cầu đối với cơ quan kiểm định được quy định tại Điều 20, Điều 21 và điểm 4 Điều 17 của quy định eIDAS, nhấn mạnh trách nhiệm và nhiệm vụ của cơ quan này, bao g ồm:

- Thực hiện đánh giá tuân th ủ đối với nhà cung c ấp dịch vụ tin c ậy đảm bảo

- Lập báo cáo đánh giá CAR theo đ ịnh dạng của EA

- Cấp chứng nhận tuân thủ hoặc thu hồi chứng nhận đối với nhà cung c ấp dịch vụ

- Cung cấp báo cáo kiểm định tối thiểu 2 năm/l ần cho cơ quan có th ẩm quyền của EU

Trang 3

- Báo cáo v ới các cơ quan có th ẩm quyền ở nước sở tại

Danh sách tin c ậy của EU Trust List

EA là cơ quan duy nhất theo quy định số 765/2018 của EU có quyền cấp phép hoạt động cho cơ quan ki ểm định tuân th ủ thông qua tổ chức đại diện quốc gia (NAB), đ ồng thời chịu trách nhiệm tổ chức giám sát chéo gi ữa các CAB thuộc các quốc gia khác nhau3 Nói cách khác, các cơ quan ki ểm định tuân thủ thực hiện đánh giá năng l ực lẫn nhau thông qua m ột tiêu chuẩn chung được ban hành bởi Viện Tiêu chuẩn Viễn thông châu Âu (ETSI) có tên là ETSI EN 319 4034 Tiêu chu ẩn này đóng vai trò như m ột khung đánh giá năng lực đối với CAB, bao gồm các hạng mục:

- Khả năng xây d ựng phương pháp đánh giá theo ISO/IEC 17065 v ề năng lực quản lý, vận hành, tính minh b ạch và các yếu tố đặc thù của dịch vụ tin cậy

- Tạo cơ chế đánh giá phù h ợp với một hoặc nhiều dịch vụ tin c ậy đảm bảo quy định tại eIDAS dựa trên các tiêu chuẩn của ETSI hoặc CA/B Forum, hoặc các tiêu chuẩn mở rộng phù hợp với luật pháp c ủa nư ớc sở tại

- Đào tạo, chuẩn bị đầy đủ đội ngũ chu yên gia v ề pháp lý, tiêu chu ẩn kỹ thuật, quản lý lưu trữ báo cáo và h ậu kiểm

Trang 4

3 Tiêu chu ẩn đối với nhân sự của cơ quan ki ểm định tuân th ủ tham gia đánh giá, thẩm định hệ thống tin cậy theo quy định eIDAS

Trong khi cơ quan kiểm định tuân thủ phải xây dựng, chứng minh năng lực đánh giá theo khung tiêu chuẩn ETSI EN 319 403, các nhân sự trực tiếp thực hiện đánh giá và ki ểm định viên (Auditor) cũng ph ải đạt chứng nhận năng lực, kinh nghiệm, minh bạch trong lĩnh vực chứng thực điện tử Về tính minh b ạch, các cơ quan ki ểm định tuân th ủ đều trải qua các quy trình kiểm tra chéo thư ờng niên hoặc bất chợt theo yêu cầu EA dựa trên khung ETSI EN 319 403, đảm bảo các kiểm định viên không gặp xung đột về lợi ích khi tiến hành đánh giá ho ặc chịu sức ép ngoài phạm vi công vi ệc Đối với các tiêu chu ẩn kỹ thuật của ETSI và Vi ện Chuẩn hóa châu Âu (CEN), các kiểm định viên phải đạt các yêu cầu tối thiểu5:

Cơ chế quản lý cơ quan kiểm định đánh giá theo eIDAS

- Chứng chỉ kiểm định hoặc bằng chính quy v ề năng lực đánh giá tiêu

chuẩn của ETSI/CEN đư ợc đào tạo và cấp chứng chỉ bởi cơ quan đư ợc công nhận bởi EA

Trang 5

- Tối thiểu 4 năm kinh nghi ệm trong ngành công ngh ệ thông tin; ít nh ất 2 năm đã thực hiện đánh giá liên quan đến dịch vụ tin cậy, an ninh an toàn hệ thống vật lý/hệ thống mạng cho h ạ tầng khóa công khai PKI

Hạng mục đào tạo, chứng chỉ kiểm định chia làm ba c ấp độ từ cơ bản,

chuyên viên phụ trách đến kiểm định viên chính th ức Thông lệ quốc tế dựa trên ISO/IEC 17065 yêu c ầu nhân sự kiểm định phải hoàn thành t ất cả ba cấp chứng chỉ:

- Cấp cơ bản: Đây là c ấp độ cho phép tham gia các khóa đào t ạo cấp cao, bao gồm khái ni ệm về định dạng điện tử, mã hóa bảo mật, ứng dụng chứng thư số - chữ ký số trong xác thực điện tử, các khung pháp lý quốc tế

- Cấp chuyên viên: C ấp độ chuyên viên cho phép nhân s ự hỗ trợ các kiểm định viên trong quy trình kiểm định Cấp độ này yêu cầu toàn bộ các hạng mục của cấp cơ bản, cùng năng l ực thông th ạo tiêu chu ẩn an ninh nâng cao:

+ ETSI EN 319 401 v ề đánh giá r ủi ro, chính sách, quy ch ế chứng thực, vận hành, nhân s ự, phòng trừ rủi ro với nhà cung cấp dịch vụ tin cậy

+ ETSI EN 319 412 v ề quy chuẩn Profile chứng thư số tương thích

PSD2/Open Banking, áp d ụng hệ mã OID trong khai báo và c ấu trúc chứng thư số

+ ETSI EN 319 411 -1/2 về quy chế chứng thực QCP-n, QCP-l,

QCP-n-qscd, QCP-l-QCP-n-qscd, QCP-w theo cấp độ an toàn c ủa dịch vụ áp dụng thiết bị

mã hóa bảo mật HSM

+ CEN EN 419 221 -5, FIPS PUB 140-2, CWA 14167-1, CWA 14167 -2, CWA 14169, CWA 14170 về chứng chỉ phần cứng của thiết bị mã hóa b ảo mật thực hiện lưu khóa và tạo chữ ký số từ xa Chuyên viên có năng l ực hỗ trợ quy trình đánh giá thông qua phòng ki ểm thử Trusted Lab trên th ế giới

+ ETSI TS 119 612 đối với quy trình kiểm tra chứng chỉ, chứng nhận và cập nhật hệ thống EU Trusted List

Trang 6

Và các tiêu chuẩn khác theo đặc thù dịch vụ như CAB Forum Baseline &

EV Guidelines (QWAC), ETSI EN 319 422 (Timestamp)

- Cấp kiểm định viên: Cần hoàn thành toàn b ộ các yêu c ầu của cấp chuyên viên cùng năng lực xây dựng, phân tích, lập kế hoạch đánh giá theo Quy định eIDAS về dịch vụ tin cậy Đây là cấp độ duy nhất cho phép lập báo cáo đánh giá cho các cơ quan quản lý và cấp chứng nhận tuân thủ từ CAB, bao gồm kỹ năng như:

- Quy trình quản lý, l ập báo cáo, và thông báo v ới cơ quan c ấp phép

(Accreditation Bodies)

- Quy trình theo dõi, h ậu kiểm theo ETSI EN 319 403 và hư ớng dẫn nhà cung cấp dịch vụ tin c ậy sửa đổi các điểm chưa tuân th ủ

Đối với các kiểm định viên mới hoàn thành 03 cấp chứng chỉ của cơ quan được công nhận bởi EA, tiêu chuẩn ETSI EN 319 403 quy định các kiểm định viên phải hoàn thành thêm 04 bài kiểm định dưới sự giám sát của một kiểm định viên cao cấp, với thời gian t ối thiểu 20 ngày làm vi ệc từ khâu đánh giá tư liệu, kiểm định Onsite và hoạch định báo cáo

Trên thực tế, các ki ểm định viên có khả năng yêu c ầu sự trợ giúp c ủa các chuyên viên công ngh ệ trong quá trình phân tích và ki ểm thử hệ thống phần cứng - phần mềm Các chuyên viên công ngh ệ được chỉ định bởi kiểm định viên trưởng, đảm bảo khả năng tư vấn chuyên môn về danh mục tiêu chuẩn

kỹ thuật của nư ớc sở tại, kiến thức sâu sắc về hạ tầng khóa công khai, các

kỹ thuật tấn công - chống tấn công (Pentest), cũng như thông th ạo về kiểm định sản phẩm (theo chuẩn Quốc tế ISO/IEC hoặc chuẩn châu Âu như CEN

419 221) thông qua phòng ki ểm thử Trusted Lab trên thế giới

4 Tính tuân th ủ của quy trình kiểm định và các tiêu chuẩn tham chiếu quốc tế

Đối với các tiêu chuẩn an ninh, an toàn hệ thống cần đáp ứng không chỉ yêu cầu của eIDAS về dịch vụ tin cậy đảm bảo mà cả các tiêu chuẩn, khung pháp lý nước sở tại, cơ quan ki ểm định tuân th ủ thường sử dụng các khung đánh giá thuộc tập hợp ISO/IEC 27000 (VD: ISO/IEC 27001; ISO/IEC

Trang 7

27002) Đặc biệt, tiêu chuẩn ISO/IEC không chỉ nhắm đến yêu cầu kỹ thuật

mà còn quy định quy trình triển khai thực tế, do đó, ISO/IEC cung cấp cho các cơ quan kiểm định tuân thủ phương thức diễn giải các yêu cầu của eIDAS khi áp dụng ở một quốc gia ho ặc khu vực pháp lý c ụ thể

Tuy nhiên, vi ệc đáp ứng ISO/IEC 27001 hay t ập hợp ISO/IEC 27000 không thể thay thế hoàn toàn các quy đ ịnh về dịch vụ tin cậy, đặc biệt là dịch vụ tin cậy đảm bảo của eIDAS Thực tế cho thấy, các yêu c ầu của hệ thống dịch vụ tin cậy trên nền tảng khóa công khai PKI (như đ ịnh dạng chứng thư

số, quy trình xác th ực hồ sơ, thu hồi chứng thư s ố) không được đề cập

trong ISO/IEC

Vì vậy, việc ứng dụng ISO/IEC cần đư ợc định nghĩa rõ ràng trong k ế hoạch giải trình kiểm định về các thành phần của quy chế chứng thực (CP/CPS) thực hiện tham chiếu với yêu c ầu của TSP/QTSP như khung tiêu chu ẩn được Viện Tiêu chuẩn Viễn thông châu Âu quy định tại ETSI EN 319 411-1

về chính sách vận hành (LCP, NCP, NCP+, EVCP, OVCP ho ặc DVCP) và ETSI EN 319 411 -2 về quy chế chứng thực (QCP-1, QCP-n, QCP-1-qscd, QCD-n-qscd hoặc QCD-w) Ngoài các đặc tính kỹ thuật, đây là hai b ộ tiêu chuẩn quan trọng đảm bảo khả năng liên thông, công nh ận lẫn nhau trên môi trường điện tử giữa các nhà cung cấp dịch vụ tin cậy - xác thực điện

tử

Ngày đăng: 01/01/2023, 05:37

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w