Danh mục tiêu chuẩn bắt buộc về kỹ thuật mật mã áp dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử
Trên thế giới, trong xu hướng số hóa của toàn xã hội, danh tính số (Digital Identity/ID Số) đang ngày càng được nhiều quốc gia công nhận và đưa vào sử dụng. Danh tính số, định danh và xác thực điện tử có vai trò hết sức quan trọng cuộc sống và là nền tảng của chuyển đổi số. Trước mắt, các nước bắt đầu xây dựng, triển khai hệ thống định danh và xác thực điện tử sẽ tác động đối với từng nhóm đối tượng. Đối với cơ quan Chính phủ, danh tính số là một yếu tố quyết định cho việc chuyển đổi số các dịch vụ công của Chính phủ và là một khối nền tảng cho kinh tế số. Danh tính số được triển khai chính xác sẽ cung cấp sự tin tưởng (niềm tin, sự tin cậy) cho các dịch vụ khi giao dịch với người dùng, giảm trùng lặp giữa các cơ quan chính phủ, đơn giản hóa việc triển khai cho các nhà cung cấp dịch vụ.
Việc sử dụng định danh và xác thực điện tử mang lại rất nhiều lợi ích cho Chính phủ, doanh nghiệp và cả người dân. Chính phủ cũng đã có những chính sách rất cụ thể và đẩy nhanh việc triển khai, áp dụng hệ thống định danh và xác thực điện tử. Ngày 05/9/2022, Chính phủ ban hành Nghị định số 59/2022/NĐ-CP quy định về định danh và xác thực điện tử. Nghị định này quy định về danh tính điện tử, định danh điện tử, xác thực điện tử; dịch vụ xác thực điện tử; quyền, nghĩa vụ của bên sử dụng dịch vụ xác thực điện tử; trách nhiệm của cơ quan, tổ chức, cá nhân có liên quan. Nghị định số 59/2022/NĐ-CP áp dụng đối với cơ quan, tổ chức, công dân Việt Nam; tổ chức, cá nhân nước ngoài cư trú, hoạt động trên lãnh thổ Việt Nam liên quan đến định danh và xác thực điện tử. Sau khi Nghị định được ban hành và có hiệu lực, các cơ quan, tổ chức, cá nhân có liên quan khẩn trương thực hiện để sớm đưa việc sử dụng định danh và xác thực điện tử vào trong cuộc sống. Ngày 25/6/2024, Chính phủ ban hành Nghị định số 69/2024/NĐ-CP quy định về định danh và xác thực điện tử, có hiệu lực từ ngày 01/7/2024 thay thế Nghị định số 59/2022/NĐ-CP.
Về căn cứ pháp lý, Luật An toàn thông tin mạng (có hiệu lực thi hành từ ngày 01/7/2016) đã quy định cụ thể về việc quản lý chất lượng sản phẩm MMDS, trong đó tại Khoản 4 Điều 52 giao: “Ban Cơ yếu Chính phủ giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về MMDS, có nhiệm vụ sau đây: (a) Xây dựng, trình cấp có thẩm quyền ban hành văn bản quy phạm pháp luật về quản lý MMDS; (b) Chủ trì, phối hợp với Bộ, ngành có liên quan xây dựng, trình cơ quan nhà nước có thẩm quyền ban hành tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ MMDS”; tại Khoản 7 Điều 38 giao: “Ban Cơ yếu Chính phủ có trách nhiệm giúp Bộ trưởng Bộ Quốc phòng xây dựng dự thảo tiêu chuẩn quốc gia đối với sản phẩm, dịch vụ MMDS trình cơ quan nhà nước có thẩm quyền công bố và hướng dẫn thực hiện; xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ MMDS, chỉ định và quản lý hoạt động của tổ chức chứng nhận sự phù hợp đối với sản phẩm, dịch vụ MMDS; quản lý chất lượng sản phẩm, dịch vụ MMDS”; quy định tại Khoản 1 Điều 38 Nghị định số 69/2024/ NĐ-CP của Chính phủ về trách nhiệm của Ban Cơ yếu Chính phủ: “Hướng dẫn áp dụng tiêu chuẩn, quy chuẩn kỹ thuật MMDS và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng công vụ trong hoạt động định danh và xác thực điện tử”.
Căn cứ các yêu cầu thực tiễn và các quy định pháp lý nêu trên, việc ban hành Danh mục tiêu chuẩn bắt buộc về KTMM áp dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử là hết sức cần thiết.
Thông tư quy định Danh mục quy định tiêu chuẩn bắt buộc về KTMM áp dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử ban hành nhằm thống nhất các yêu cầu kỹ thuật và quản lý các KTMM trong lĩnh vực MMDS được sử dụng; Quy định việc áp dụng các KTMM đảm bảo an toàn và hiệu quả đối với việc sử dụng mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử; Góp phần nâng cao tính an toàn của toàn bộ hệ thống định danh và xác thực điện tử, trong đó mô-đun an toàn phần cứng được xem là thành phần quan trọng nhất của hệ thống định danh và xác thực điện tử.
Việc ban hành Thông tư quy định Danh mục quy định tiêu chuẩn bắt buộc về KTMM áp dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử góp phần nâng cao an toàn chung của hệ thống định danh và xác thực điện tử, qua đó giúp đảm bảo an toàn cho công cuộc chuyển đổi số đang được Chính phủ thúc đẩy hiện nay; giúp cho cơ quan quản lý nhà nước về định danh và xác thực điện tử cũng như về MMDS thuận lợi trong quá trình quản lý, triển khai, hướng dẫn áp dụng. Từ đó, giúp cho các doanh nghiệp, nhà cung cấp dịch vụ, người dùng có căn cứ để áp dụng đúng các KTMM đảm bảo an toàn khi sử dụng, khai thác hệ thống định danh và xác thực điện tử. Cục Quản lý MMDS và Kiểm định sản phẩm mật mã, Ban Cơ yếu Chính phủ là tổ chức chứng nhận sự phù hợp sản phẩm, dịch vụ MMDS (tại Quyết định số 2521/QĐ-BQP ngày 28/6/2018 của Bộ trưởng Bộ Quốc phòng).
Thông tư được xây dựng bám sát quy định tại Luật An toàn thông tin mạng năm 2015, trong đó giao Ban Cơ yếu Chính phủ có trách nhiệm xây dựng, trình Bộ trưởng Bộ Quốc phòng ban hành quy chuẩn kỹ thuật quốc gia đối với sản phẩm, dịch vụ MMDS (khoản 7 Điều 38). Thực hiện quy định tại khoản 1 Điều 38 Nghị định số 69/2024/NĐ-CP ngày 25/6/2024 của Chính phủ về trách nhiệm của Ban Cơ yếu Chính phủ “Hướng dẫn áp dụng tiêu chuẩn, quy chuẩn kỹ thuật MMDS và sử dụng dịch vụ chứng thực chữ ký số chuyên dùng công vụ trong hoạt động định danh và xác thực điện tử”. Đồng thời, đáp ứng yêu cầu cấp thiết của thực tiễn quản lý nhà nước về MMDS; tạo điều kiện thuận lợi cho các tổ chức, cá nhân trong việc áp dụng KTMM cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử.
Thông tư quy định Danh mục quy định tiêu chuẩn bắt buộc về KTMM áp dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử không làm phát sinh thủ tục hành chính, nguồn nhân lực để thi hành bởi vì: Lực lượng chuyên gia, cán bộ kỹ thuật tham gia vào hoạt động đánh giá sự phù hợp sản phẩm MMDS đã được Ban Cơ yếu Chính phủ chú trọng đào tạo, nâng cao kiến thức và kỹ năng thông qua các khóa học như ISO/IEC 17025 (Yêu cầu chung đối với năng lực của các phòng thử nghiệm và hiệu chuẩn), ISO/IEC 17020 (Yêu cầu đối với hoạt động của tổ chức tiến hành giám định), ISO 9001 (Tiêu chuẩn về Hệ thống quản lý chất lượng), ISO/IEC 17065 (Yêu cầu đối với tổ chức chứng nhận sản phẩm, quá trình và dịch vụ), ISO/IEC 17021 (Yêu cầu đối với tổ chức đánh giá và chứng nhận hệ thống quản lý)… nhằm đảm bảo lực lượng chuyên gia, cán bộ có trình độ và chuyên môn trong lĩnh vực này. Bên cạnh đó, việc triển khai hướng dẫn áp dụng tiêu chuẩn, quy chuẩn, hàng năm Ban Cơ yếu Chính phủ đều tổ chức các hội nghị tập huấn về quản lý chất lượng sản phẩm MMDS để tuyên truyền, hướng dẫn tới các tổ chức, doanh nghiệp đang kinh doanh và sử dụng các sản phẩm MMDS.
Nội dung Danh mục tiêu chuẩn bao gồm quy định về mức giới hạn của đặc tính KTMM được sử dụng cho mô-đun an toàn phần cứng trong hoạt động định danh và xác thực điện tử phải tuân thủ để đảm bảo an toàn; bảo vệ lợi ích, an ninh quốc gia và các yêu cầu thiết yếu khác. Một số các quy định về: Thuật toán mật mã đối xứng; Thuật toán mật mã phi đối xứng; Thuật toán băm và mã xác thực thông báo; Hàm dẫn suất khóa; Bộ tạo bít ngẫu nhiên; Lưu trữ các tham số an toàn; Giao diện lập trình ứng dụng.
Thông tư quy định Danh mục tiêu chuẩn bắt buộc về KTMM áp dụng cho HSM trong hoạt động định danh và xác thực điện tử để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước. Áp dụng đối với tổ chức cung cấp dịch vụ định danh và xác thực điện tử; tổ chức, cá nhân phát triển Hệ thống định danh và xác thực điện tử; nền tảng định danh và xác thực điện tử được quy định tại Nghị định số 69/2024/NĐ-CP; tổ chức khai thác cơ sở dữ liệu về định danh và xác thực điện tử.
Thời gian tới, thực hiện nhiệm vụ quản lý nhà nước về MMDS, Cục Quản lý MMDS và Kiểm định sản phẩm mật mã tiếp tục tham mưu với Trưởng ban Ban Cơ yếu Chính phủ xây dựng, ban hành tiêu chuẩn quốc gia, quy chuẩn kỹ thuật quốc gia về lĩnh vực MMDS, phục vụ Chiến lược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021 - 2025, định hướng 2030 theo Quyết định số 942/QĐ-TTg của Thủ tướng Chính phủ, đóng góp vào mục tiêu đảm bảo an toàn, an ninh thông tin quốc gia, thúc đẩy phát triển kinh tế - xã hội của đất nước trong kỷ nguyên số.
Đại tá Hồ Văn Hương, Cục trưởng Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã