Nội dung toàn văn Công văn 1455/BTTTT-ƯDCNTT 2013 hình thức xác thực điện tử người sử dụng dịch vụ công
BỘ THÔNG TIN VÀ TRUYỀN THÔNG | CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
Số: 1455/BTTTT-ƯDCNTT | Hà Nội, ngày 21 tháng 05 năm 2013 |
Kính gửi: | - Đơn vị chuyên trách về công nghệ thông tin của các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ; |
Xác thực điện tử là một công nghệ đảm bảo an toàn thông tin cho giao dịch điện tử cần thiết để triển khai Nghị định 43/2011/NĐ-CP của Chính phủ ngày 13/6/2011 về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang/cổng thông tin điện tử của cơ quan nhà nước và Quyết định 1605/QĐ-TTg của Thủ tướng Chính phủ ngày 27/8/2010 phê duyệt Chương trình quốc gia về ứng dụng CNTT trong hoạt động của cơ quan nhà nước giai đoạn 2011 - 2015.
Thực hiện Chỉ thị số 897/CT-TTg của Thủ tướng Chính phủ ngày 10/6/2011 về việc tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số, với vai trò là cơ quan quản lý nhà nước chịu trách nhiệm phát triển hạ tầng công nghệ cho các hoạt động giao dịch điện tử, Bộ Thông tin và Truyền thông xây dựng Hướng dẫn lựa chọn hình thức xác thực điện tử người sử dụng dịch vụ công trực tuyến gửi kèm công văn này.
Trong quá trình thực hiện, nếu có ý kiến đóng góp hoặc kiến nghị, đề nghị gửi về Bộ Thông tin và Truyền thông (Cục Ứng dụng CNTT), 18 Nguyễn Du, Hà Nội.
Nơi nhận: | TL. BỘ TRƯỞNG |
HƯỚNG DẪN
LỰA CHỌN CÁC HÌNH THỨC XÁC THỰC ĐIỆN TỬ NGƯỜI SỬ DỤNG DỊCH VỤ CỔNG TRỰC TUYẾN
(Ban hành kèm theo công văn số 1455/BTTTT-ƯDCNTT ngày 21 tháng 5 năm 2013 của Bộ Thông tin và Truyền thông)
Hướng dẫn này áp dụng cho các cơ quan, tổ chức cung cấp dịch vụ công trực tuyến trong việc lựa chọn các hình thức xác thực điện tử người sử dụng dịch vụ một cách phù hợp với yêu cầu đảm bảo an toàn thông tin của từng loại dịch vụ, qua đó giúp tiết kiệm thời gian triển khai và nâng cao hiệu quả đầu tư của các dự án triển khai dịch vụ công trực tuyến, giảm thiểu các rủi ro đối với các hệ thống cung cấp dịch vụ và tạo dựng niềm tin cho người sử dụng.
1. Các khái niệm cơ bản
Trong công văn này, các khái niệm dưới đây được hiểu như sau:
a. Dịch vụ công trực tuyến được hiểu theo định nghĩa tại Điều 3 Nghị định số 43/2011/NĐ-CP ngày 13/6/2011 của Chính phủ quy định về việc cung cấp thông tin và dịch vụ công trực tuyến trên trang thông tin điện tử của cơ quan nhà nước.
b. Người sử dụng dịch vụ công trực tuyến là các tổ chức, cá nhân trực tiếp sử dụng hoặc các đại lý được ủy quyền để giúp sử dụng dịch vụ công trực tuyến.
c. Xác thực điện tử
Xác thực điện tử (người sử dụng) là quy trình thiết lập sự tin tưởng đối với danh tính người dùng hiện diện điện tử trước một hệ thống thông tin.
Xác thực điện tử đa yếu tố là phương thức xác thực điện tử sử dụng kết hợp của hai hay nhiều yếu tố xác thực độc lập, đem lại phương án đảm bảo an toàn thông tin cao hơn.
d. Các mức đảm bảo độ tin cậy
Mức đảm bảo độ tin cậy (tiếng Anh là Assurance Level, sau đây gọi tắt là AS) của người sử dụng dịch vụ là mức độ hệ thống cung cấp dịch vụ yêu cầu đối với tính xác thực của người sử dụng dịch vụ. Mỗi dịch vụ công trực tuyến có thể yêu cầu mức AS khác nhau.
Xác minh thông tin đăng ký là một trong các yếu tố ảnh hưởng đến mức AS. Có 04 mức AS dành cho người sử dụng dịch vụ với hình thức xác minh thông tin dưới đây:
- Mức AS-1: Mức đảm bảo độ tin cậy thấp. Không yêu cầu xác minh thông tin đăng ký của người sử dụng dịch vụ.
- Mức AS-2: Mức đảm bảo độ tin cậy trung bình. Người sử dụng dịch vụ được phép đăng ký tài khoản qua mạng và tự cung cấp một số thông tin cơ bản như số chứng minh thư nhân dân, họ và tên, năm sinh,... Thông tin này không cần đối chiếu và xác thực.
- Mức AS-3: Mức đảm bảo độ tin cậy khá. Người sử dụng dịch vụ được phép đăng ký qua mạng và phải cung cấp một số thông tin cá nhân. Thông tin cung cấp sẽ được đối chiếu và xác minh (có thể được thực hiện qua bên thứ ba có thẩm quyền, hoặc qua đường bưu điện, SMS, hoặc bằng tài khoản ngân hàng được cung cấp,...). Sau đó, tài khoản hoặc thiết bị xác thực sẽ được cung cấp cho người sử dụng.
- Mức AS-4: Mức đảm bảo độ tin cậy cao. Người sử dụng dịch vụ đến nộp trực tiếp các thông tin được yêu cầu với các giấy tờ có công chứng để được cấp tài khoản, thiết bị xác thực hoặc làm các thủ tục nhận dạng sinh học (ví dụ như xác nhận vân tay, giọng nói,...). Sau khi thông tin được đối chiếu, thông tin nhận dạng cá nhân được xác nhận qua cơ quan có thẩm quyền, tài khoản hoặc thiết bị xác thực sẽ được cung cấp cho người sử dụng.
e. Các thuật ngữ được sử dụng
- Xác thực bằng danh tính/mật khẩu (ID/Password): Trong hình thức xác thực điện tử này, danh tính được sử dụng nhằm xác định tính duy nhất của người sử dụng dịch vụ trong giao dịch điện tử. Danh tính của người sử dụng dịch vụ được kết hợp với mật khẩu (được thể hiện dưới dạng chuỗi các ký tự bí mật được người sử dụng dịch vụ giữ) để sử dụng cho mỗi lần đăng nhập.
- Cơ chế xác thực qua nhiều kênh (out-of-band authentication): Mỗi lần xác thực, mật khẩu hay thông tin xác thực ngẫu nhiên được gửi qua một kênh an toàn khác như điện thoại, SMS, thư điện tử,... đến người sử dụng dịch vụ để yêu cầu xác thực.
- FIPS (Federal Information Processing Standards) là tập hợp các chuẩn được ban hành bởi Viện Tiêu chuẩn và Công nghệ quốc gia Mỹ (NIST) về xử lý tài liệu, thuật toán mã hóa và các chuẩn CNTT khác. Chuẩn này đã được đề cập trong Quyết định số 59/2008/QĐ-BTTTT ngày 31/12/2008 của Bộ Thông tin và Truyền thông ban hành Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số.
FIPS 140-2 là chuẩn về các yêu cầu bảo mật cho các thành phần mã hóa, bao gồm nhiều khía cạnh như tài liệu đặc tả, cổng giao tiếp, vai trò, dịch vụ và xác thực, mô hình trạng thái, bảo mật vật lý, môi trường vận hành, quản lý khóa mã hóa, tương thích điện từ trường, khả năng tự kiểm tra, đảm bảo thiết kế và phát hiện tấn công. FIPS 140-2 định nghĩa bốn mức độ bảo mật 1, 2, 3 và 4. (Tham khảo tại Bảng 1 và Bảng 2 của tài liệu FIPS 140-2 Security Requirements for Crytographic Module).
- Mật khẩu đăng nhập một lần (One-time password hay OTP): Công nghệ tạo mật khẩu, thường chỉ có hiệu lực trong một thời điểm ngắn, được sử dụng một lần như thông tin xác thực.
- Thiết bị tạo mật khẩu sử dụng một lần đơn yếu tố (single-factor OTP device): Thiết bị này cho phép tạo ra mật khẩu là mã ngẫu nhiên và được sử dụng một lần để xác thực.
- Thiết bị tạo mật khẩu sử dụng một lần đa yếu tố (multi-factor OTP device): Thiết bị này cho phép tạo ra mật khẩu xác thực là mã ngẫu nhiên và được sử dụng như thiết bị tạo mật khẩu sử dụng một lần đơn yếu tố. Tuy nhiên, yêu cầu mỗi lần xác thực cần sử dụng yếu tố xác thực thứ hai như mật khẩu, vân tay,... để kích hoạt sử dụng. Thành phần mã hóa (bao gồm nhiều yêu cầu như: tài liệu đặc tả, cổng giao tiếp, vai trò, dịch vụ và xác thực,..) phải đạt chuẩn FIPS 140-2 mức 2 trở lên nhưng mức bảo mật vật lý phải đạt chuẩn FIPS 140-2 mức 3 trở lên.
- Thiết bị mã hóa bảo mật đa yếu tố (multi-factor cryptographic device) như PKI token: Thiết bị chứa khóa mật mã khi được kích hoạt phải yêu cầu yếu tố xác thực thứ hai như mật khẩu hoặc vân tay và không cho phép truy xuất khóa xác thực từ thành phần mã hóa. Thành phần mã hóa này phải đạt chuẩn FIPS 140-2 mức 2 trở lên nhưng mức bảo mật vật lý phải đạt chuẩn FIPS 140-2 mức 3 trở lên.
- CAPTCHA (Completely Automated Public Turing Test to Tell Computers and Humans Apart): là một kỹ thuật kiểm thử dạng hỏi/đáp được máy tính đưa ra để xác định xem câu trả lời có phải là con người tạo ra hay không (trước khi cấp quyền thực thi tác vụ).
2. Lựa chọn hình thức xác thực điện tử người sử dụng dịch vụ
Hình thức xác thực điện tử người sử dụng dịch vụ được xác định từ các mức độ dịch vụ công trực tuyến thông qua một khái niệm trung gian gọi là mức đảm bảo độ tin cậy.
Đối với dịch vụ công trực tuyến đơn giản (mức độ 1 đến 3), mức AS được quy định tường minh. Đối với các dạng dịch vụ công trực tuyến phức tạp (mức độ 4, cho phép thanh toán và trả kết quả trực tuyến), cơ quan, tổ chức cung cấp dịch vụ cần căn cứ vào đặc điểm của dịch vụ để xác định mức AS phù hợp theo phương pháp được trình bày tương ứng tại Phần 3.
Sau đó, sử dụng Bảng 3 tại Phần 4 để xác định các hình thức xác thực điện tử người sử dụng dịch vụ tương ứng với mức AS.
Yêu cầu tối thiểu về việc sử dụng các hình thức xác thực điện tử theo mức dịch vụ công trực tuyến từ 1 đến 4 được trình bày tại Phần 5 của Phụ lục này.
3. Hướng dẫn xác định mức AS
Đối với các dạng dịch vụ công trực tuyến phức tạp, việc tính toán mức AS của người sử dụng dịch vụ được tiến hành theo các bước sau:
a. Bước 1: Đánh giá rủi ro của hệ thống cung cấp dịch vụ
Các nguy cơ, rủi ro khi có lỗi xác thực xảy ra được phân loại như sau:
- Nguy cơ, rủi ro cho uy tín của cá nhân, tổ chức
- Nguy cơ, rủi ro về tài chính
- Nguy cơ, rủi ro cho hoạt động, nghiệp vụ của cơ quan, tổ chức hoặc lợi ích xã hội
- Nguy cơ, rủi ro về việc rò rỉ thông tin
- Nguy cơ, rủi ro có tính chất tội phạm
Các nguy cơ, rủi ro trên được đánh giá dựa trên 4 mức là “Không có”, “Trung bình”, “Khá” đến “Cao” (xem Bảng 1). Các mức này được cơ quan, tổ chức cung cấp dịch vụ xác định tùy từng trường hợp cụ thể.
Các nguy cơ, rủi ro xảy ra khi có lỗi xác thực | Không có | Trung bình | Khá | Cao |
Nguy cơ, rủi ro cho uy tín của cá nhân, tổ chức | Không xảy ra nguy cơ, rủi ro nào. | Gây ra sự bất tiện, bất lợi hoặc rắc rối không đáng kể trong khoảng thời gian ngắn. | Gây ra sự bất tiện, bất lợi hoặc rắc rối lớn trong khoảng thời gian ngắn hoặc rắc rối không đáng kể trong khoảng thời gian dài. | Gây ra sự bất tiện, bất lợi hoặc phá hoại vị thế hoặc uy tín có ảnh hưởng lớn hoặc nghiêm trọng trong khoảng thời gian dài. |
Nguy cơ, rủi ro về tài chính | Không xảy ra nguy cơ, rủi ro nào. | Gây ra thất thoát về tài chính không đáng kể. | Gây ra thất thoát tài chính lớn. | Gây ra thất thoát tài chính nghiêm trọng. |
Nguy cơ, rủi ro cho hoạt động, nghiệp vụ của cơ quan, tổ chức hoặc lợi ích xã hội | Không xảy ra nguy cơ, rủi ro nào. | Gây ra ảnh hưởng không đáng kể cho hoạt động, tài sản hoặc lợi ích xã hội. | Gây ra ảnh hưởng lớn đến tài sản hoặc lợi ích xã hội. | Gây ra ảnh hưởng nặng nề, nghiêm trọng đến tài sản hoặc lợi ích xã hội. |
Nguy cơ, rủi ro về việc rò rỉ thông tin | Không xảy ra nguy cơ, rủi ro nào. | Tiết lộ thông tin nhạy cảm của cá nhân, nhà nước hoặc thương mại cho các bên không có thẩm quyền, làm mất bí mật, gây ảnh hưởng không đáng kể. | Tiết lộ thông tin nhạy cảm của cá nhân, nhà nước hoặc thương mại cho các bên không có thẩm quyền, làm mất bí mật, gây ảnh hưởng lớn. | Tiết lộ thông tin nhạy cảm của cá nhân, nhà nước hoặc thương mại cho các bên không có thẩm quyền, làm mất bí mật, gây ảnh hưởng nghiêm trọng. |
Nguy cơ, rủi ro dẫn đến mất an toàn cá nhân | Không xảy ra nguy cơ, rủi ro nào | Gây ra chấn thương nhẹ, không cần điều trị. | Gây ra chấn thương cần điều trị. | Gây chấn thương nghiêm trọng, có thể dẫn đến tử vong. |
Nguy cơ, rủi ro có tính chất tội phạm | Không xảy ra nguy cơ, rủi ro nào. | Nguy cơ dẫn đến các vi phạm về dân sự hoặc hình sự, tuy nhiên các hành vi đó chưa cấu thành tội phạm. | Nguy cơ dẫn đến các vi phạm về dân sự hoặc hình sự có thể phải dùng các biện pháp pháp luật. | Nguy cơ dẫn đến các vi phạm về dân sự hoặc hình sự có tính chất nghiêm trọng. |
Bảng 1: Mức độ của nguy cơ, rủi ro xảy ra khi có lỗi xác thực
b. Bước 2: Tham chiếu các rủi ro với các mức AS
Sau khi đánh giá để có các mức độ tương ứng của các nguy cơ, rủi ro theo Bảng 1, việc tính toán mức AS được dựa trên Bảng 2. Căn cứ vào mức độ của các nguy cơ, rủi ro khi xảy ra lỗi xác thực sẽ quyết định mức AS trong cột tương ứng.
Các nguy cơ, rủi ro xảy ra khi lỗi xác thực | Các mức đảm bảo độ tin cậy | |||
AS-1 | AS-2 | AS-3 | AS-4 | |
Nguy cơ, rủi ro cho uy tín của cá nhân, tổ chức | Trung bình | Khá | Khá | Cao |
Nguy cơ, rủi ro về tài chính | Trung bình | Khá | Khá | Cao |
Nguy cơ, rủi ro cho hoạt động, nghiệp vụ của cơ quan, tổ chức hoặc lợi ích xã hội | Không có | Trung bình | Khá | Cao |
Nguy cơ, rủi ro về việc rò rỉ thông tin | Không có | Trung bình | Khá | Cao |
Nguy cơ, rủi ro có tính chất tội phạm | Không có | Trung bình | Khá | Cao |
Bảng 2: Đối chiếu nguy cơ, rủi ro xảy ra với mức AS cần thiết
Khi một mức độ nguy cơ, rủi ro tương ứng với nhiều hơn một mức AS, cơ quan, đơn vị cung cấp dịch vụ căn cứ vào trường hợp cụ thể để quyết định.
c. Bước 3: Tính mức AS phù hợp
Tổng hợp kết quả tham chiếu từ các nguy cơ, rủi ro khi xảy ra lỗi xác thực tương ứng với 6 loại tiêu chí có thể suy ra mức AS phù hợp dựa trên quy tắc sau:
Mức AS phù hợp bằng mức AS cao nhất trong số các mức AS tương ứng với các loại nguy cơ, rủi ro.
4. Lựa chọn hình thức xác thực điện tử dựa trên mức AS
Các hình thức xác thực điện tử đáp ứng các mức AS khác nhau. Mỗi mức AS tương ứng với một hay một số hình thức xác thực điện tử như sau:
Mức AS | Hình thức xác thực điện tử cho người sử dụng tương ứng |
AS-1 | Xác thực bằng danh tính/mật khẩu trong đó mật khẩu gồm ít nhất 06 ký tự. |
AS-2 | Sử dụng một trong số các hình thức xác thực điện tử sau: - Xác thực bằng danh tính/mật khẩu trong đó mật khẩu gồm ít nhất 08 ký tự và đạt yêu cầu về độ phức tạp (mật khẩu mạnh). - Cơ chế xác thực qua nhiều kênh. - Thiết bị tạo mật khẩu sử dụng một lần đơn yếu tố. |
AS-3 | Xác thực 2 yếu tố sử dụng kết hợp các cơ chế xác thực sau: danh tính/mật khẩu, cơ chế xác thực qua nhiều kênh, hoặc thiết bị tạo mật khẩu sử dụng một lần đơn yếu tố. |
AS-4 | Xác thực điện tử đa yếu tố có sử dụng một trong số các hình thức xác thực điện tử sau: - Thiết bị tạo mật khẩu sử dụng một lần đa yếu tố. - Thiết bị mã hóa bảo mật đa yếu tố, ví dụ thiết bị lưu trữ khóa bí mật để ký số. |
Bảng 3: Đối chiếu mức AS và hình thức xác thực điện tử
5. Các bước lựa chọn các hình thức xác thực điện tử người sử dụng dịch vụ công trực tuyến
Các mức độ dịch vụ công trực tuyến có yêu cầu về mức AS đối với người sử dụng dịch vụ tối thiểu như sau:
a. Dịch vụ công trực tuyến mức độ 1 và 2
Do thông tin ở các dịch vụ công trực tuyến mức độ 1 và mức độ 2 thường được công bố rộng rãi cho mọi đối tượng nên không yêu cầu xác định danh tính của người truy cập.
- Mức AS được yêu cầu tối thiểu: Không.
- Hình thức xác thực điện tử: Không.
- Khuyến cáo: Tuy nhiên, nhằm phòng tránh tấn công dạng từ chối dịch vụ bằng cách kích hoạt yêu cầu tự động tải mẫu đơn hàng loạt, nhà cung cấp dịch vụ công trực tuyến mức độ 2 được khuyến cáo áp dụng kỹ thuật CAPTCHA với người sử dụng dịch vụ khi tải tệp tin từ máy chủ.
b. Dịch vụ công trực tuyến mức độ 3
Do người sử dụng dịch vụ có thể gửi hồ sơ qua mạng nên cần xác định chính xác danh tính của người gửi nhằm hạn chế giả mạo để nộp hồ sơ.
- Mức AS được yêu cầu tối thiểu: tối thiểu ở mức AS-2, tuy nhiên quy trình xác thực thông tin đăng ký phải đảm bảo ở mức AS-3 (thông tin danh tính cần xác thực bởi một tổ chức có thẩm quyền).
Nếu yêu cầu cao về tính chính xác và độ tin cậy về của danh tính của người sử dụng dịch vụ trong giao dịch, khuyến cáo sử dụng ít nhất ở mức AS-3. Nếu yêu cầu về tính toàn vẹn, chống chối bỏ của hồ sơ trong giao dịch, khuyến cáo áp dụng mức AS-4.
- Hình thức xác thực điện tử: Đơn vị triển khai dịch vụ công trực tuyến lựa chọn hình thức xác thực điện tử tương ứng với mức AS theo Bảng 3 tại Phần 4.
c. Dịch vụ công trực tuyến mức độ 4
- Mức AS được yêu cầu tối thiểu: Phụ thuộc vào đặc trưng riêng của từng dịch vụ công trực tuyến mức độ 4, đơn vị triển khai xác định mức AS phù hợp với dịch vụ công đang triển khai theo hướng dẫn tại Phần 3. Do dịch vụ công mức độ 4 yêu cầu trả kết quả trực tuyến, có nguy cơ rò rỉ thông tin, vì vậy mức AS không nhỏ hơn mức AS-2.
- Hình thức xác thực điện tử: Đơn vị triển khai dịch vụ công trực tuyến lựa chọn hình thức xác thực điện tử tương ứng với mức AS theo Bảng 3 tại Phần 4.
6. Một số quy định khác
a. Kiểm tra thông số kỹ thuật của thiết bị xác thực cung cấp bởi bên thứ ba
Đối với thiết bị xác thực do bên thứ ba cung cấp, trước khi được cấp tài khoản sử dụng dịch vụ, người sử dụng cần cung cấp giấy tờ chứng minh thiết bị đáp ứng yêu cầu kỹ thuật.
b. Sử dụng một hình thức xác thực điện tử cho nhiều dịch vụ công trực tuyến
Người sử dụng dịch vụ có thể dùng một hình thức xác thực điện tử (ví dụ thiết bị xác thực) cho nhiều dịch vụ công trực tuyến nếu đáp ứng được mức AS yêu cầu cho dịch vụ đó.
c. Khai thác dịch vụ thông qua đại lý được ủy quyền
Khi không có điều kiện, người sử dụng dịch vụ có thể ủy quyền cho các đại lý khai thác dịch vụ được thành lập theo quy định của pháp luật.
Đại lý khi thay mặt người sử dụng dịch vụ phải gửi cho cơ quan, tổ chức cung cấp dịch vụ Giấy ủy quyền của người sử dụng cho phép đại diện khai thác dịch vụ công trực tuyến.
7. Ví dụ minh họa hướng dẫn
Phần này trình bày cách xác định hình thức xác thực điện tử của một số dịch vụ công trực tuyến cụ thể để minh họa cho hướng dẫn này:
Ví dụ 1: Dịch vụ hành chính công trực tuyến cho phép người dân và doanh nghiệp tải các mẫu biểu để phục vụ cho việc cấp giấy đăng ký kinh doanh. Đây là một dịch vụ công trực tuyến mức độ 2, căn cứ vào hướng dẫn tại Phần 5 có thể xác định:
- Mức AS: Không.
- Hình thức xác thực điện tử: Không, nhưng khuyến cáo sử dụng công nghệ CAPTCHA để giảm nguy cơ bị tấn công từ chối dịch vụ.
Ví dụ 2: Dịch vụ hành chính công trực tuyến cho phép ứng viên điền vào biểu mẫu trực tuyến để nộp hồ sơ đăng ký thi tuyển cán bộ, công chức, viên chức nhà nước. Đây là một dịch vụ công trực tuyến mức độ 3, căn cứ vào hướng dẫn tại Phần 5 có thể xác định:
- Mức AS: Do ứng viên có thể điền thông tin vào biểu mẫu điện tử có sẵn và gửi hồ sơ đăng ký trực tuyến, mức AS tối thiểu là AS-2. Để đảm bảo xác định chính xác danh tính, người nộp hồ sơ phải sử dụng tài khoản được cấp phát sau khi được xác minh thông tin.
- Hình thức xác thực điện tử: Căn cứ vào mức AS-2 được xác định ở trên, cơ quan, tổ chức cung cấp dịch vụ công trực tuyến theo hướng dẫn tại Bảng 3 sử dụng một trong số các hình thức xác thực điện tử cho người sử dụng dịch vụ sau: xác thực bằng danh tính/mật khẩu mạnh; cơ chế xác thực qua nhiều kênh; thiết bị tạo mật khẩu sử dụng một lần đơn yếu tố.
Ví dụ 3: Dịch vụ hành chính công trực tuyến tại địa phương cho phép người dân và doanh nghiệp đăng ký nhập khẩu vật liệu đặc biệt (ví dụ như như thuốc nổ), có trả lệ phí qua mạng và kết quả được trả lại trực tuyến. Đây là một dịch vụ công trực tuyến mức độ 4. Cơ quan, đơn vị triển khai dịch vụ xác định mức AS phù hợp theo hướng dẫn tại Phần 3.
- Bước 1: Đánh giá rủi ro của hệ thống cung cấp dịch vụ
Tham chiếu Bảng 1: Mức độ của nguy cơ, rủi ro xảy ra khi có lỗi xác thực để đánh giá, phân tích rủi ro của hệ thống cung cấp dịch vụ. Sai sót trong việc xác thực người sử dụng dịch vụ trong quá trình xin đăng ký nhập khẩu vật liệu đặc biệt dẫn đến các nguy cơ sau:
- Nguy cơ, rủi ro cho uy tín của cá nhân, tổ chức ở mức Trung bình do thường không gây hệ quả đặc biệt.
- Nguy cơ, rủi ro về tài chính ở mức Khá do đây là các vật liệu thường có giá trị và yêu cầu bảo quản đặc biệt.
- Nguy cơ, rủi ro cho hoạt động, nghiệp vụ của cơ quan, tổ chức hoặc lợi ích xã hội ở mức Khá do các vật liệu đặc biệt dùng cho các nghiệp vụ quan trọng.
- Nguy cơ, rủi ro về rò rỉ thông tin là Trung bình, không gây hệ quả lớn.
- Nguy cơ, rủi ro dẫn đến mất an toàn cá nhân ở mức Cao do các vật liệu đặc biệt có thể gây ảnh hưởng lớn đến an toàn cá nhân và xã hội.
- Nguy cơ, rủi ro có tính chất tội phạm ở mức Khá do việc nhầm lẫn đối tượng được nhập khẩu vật liệu đặc biệt có thể dẫn đến việc lợi dụng vì mục đích xấu, gây ra các vi phạm về dân sự hoặc hình sự, có thể phải áp dụng các biện pháp pháp luật.
- Bước 2: Tham chiếu các rủi ro với các mức AS
Sau khi đánh giá các mức độ rủi ro, sử dụng Bảng 2 để tham chiếu các rủi ro với mức đảm bảo độ tin cậy, cụ thể như sau:
Bảng 4: Đánh giá rủi ro của dịch vụ đăng ký nhập khẩu vật liệu đặc biệt
- Bước 3: Tính mức AS phù hợp
Mức AS được tính bằng mức AS-4 cao nhất trong số AS-1, AS-3, AS-3, AS-1, AS-4, AS-3. Mức này đáp ứng yêu cầu không nhỏ hơn AS-2.
- Bước 4: Lựa chọn hình thức xác thực điện tử tương ứng phù hợp
Căn cứ vào mức AS-4 được xác định ở trên, đơn vị triển khai dịch vụ công trực tuyến lựa chọn hình thức xác thực điện tử người sử dụng dịch vụ dạng đa yếu tố có sử dụng thiết bị tạo mật khẩu sử dụng một lần đa yếu tố hoặc thiết bị mã hóa bảo mật đa yếu tố. Hiện nay, dịch vụ chứng thực chữ ký số công cộng đã được triển khai rộng rãi. Người dùng có thể sử dụng chữ ký số với khóa bí mật được lưu trong thiết bị bảo mật (token) có mã PIN bảo vệ để thực hiện mã hóa bảo mật.
