VCCI_Góp ý Thông tư ban hành Quy chuẩn kỹ thuật quốc gia về yêu cầu an toàn thông tin cơ bản cho camera giám sát sử dụng giao thức Internet

Kính gửi: Bộ Thông tin và Truyền thông

Trả lời Công văn 3472/BTTTT-KHCN của Bộ Thông tin và Truyền thông về việc đề nghị góp ý Dự thảo Thông tư ban hành Quy chuẩn kỹ thuật quốc gia (QCVN) về yêu cầu an toàn thông tin cơ bản cho camera giám sát sử dụng giao thức Internet (sau đây gọi tắt là Dự thảo), Liên đoàn Thương mại và Công nghiệp Việt Nam (VCCI), sau khi tham vấn doanh nghiệp và chuyên gia, có một số ý kiến ban đầu như sau:

• Hướng dẫn chi tiết cách thức xác định phương pháp kiểm thử chức năng 

Mỗi nhóm kiểm thử, về cơ bản, gồm hai phần đánh giá: (i) đánh giá tài liệu kiểm thử; (ii) đánh giá kiểm thử chức năng. Đánh giá tài liệu kiểm thử có sẵn các mẫu hướng dẫn tuân thủ, trong đó liệt kê các thông tin sản phẩm cần công bố, từ đó giúp cho doanh nghiệp sản xuất nhập khẩu dễ dàng hiểu và tuân thủ. Tuy nhiên, đánh giá kiểm thử chức năng lại không có các nội dung này. Chẳng hạn, phương pháp đánh giá kiểm thử chức năng của nhóm kiểm thử 2.1-2 (với yêu cầu kỹ thuật 2.1. Khởi tạo mật khẩu mặc định duy nhất) chỉ đơn thuần hướng dẫn “kiểm thử mỗi mật khẩu tạo tự động theo mô tả có đáp ứng yêu cầu về độ phức tạp hay không”, nhưng không rõ quá trình, tiêu chí đánh giá chỉ tiêu này. Quy định như vậy có thể gây khó khăn cho doanh nghiệp để hiểu và tuân thủ quy định khi sản xuất thiết bị, cũng có thể dẫn đến đánh giá cảm tính giữa các cơ sở chứng nhận sự phù hợp.

Tiêu Chuẩn của EU ETSI TS 103 701 v1.1.1 (2021-08) – tài liệu viện dẫn xây dựng Dự thảo, đã xây dựng hệ thống ghi chú minh hoạ cho phương pháp đánh giá. Ví dụ, trong trường hợp trên, ghi chú trong Tiêu chuẩn của EU hướng dẫn quá trình xác minh độ phức tạp mật khẩu bao gồm đánh giá các ký tự, độ dài mật khẩu trùng với mô tả và không chứa ký tự đặc biệt để lộ chỉ dấu.

Do vậy, để đảm bảo tính rõ ràng của quy định, đề nghị cơ quan soạn thảo bổ sung các ví dụ minh hoạ hướng dẫn đánh giá (khi phù hợp) vào các quy định về phương pháp kiểm thử chức năng.

• Phụ lục hướng dẫn về mô hình dành cho người dùng có kiến thức kỹ thuật hạn chế

Theo Mục 3 – Phương pháp đo, một số phương pháp đánh giá của các nhóm kiểm thử 2.11-1 (với yêu cầu kỹ thuật 2.1 Bảo vệ dữ liệu trên thiết bị camera), nhóm kiểm thử 2.7-1 (với yêu cầu kỹ thuật 2.7 Bảo vệ dữ liệu người sử dụng) và nhóm kiểm thử 2.9-1 (với yêu cầu kỹ thuật 2.9 Xoá dữ liệu trên thiết bị camera) có yêu cầu đánh giá độ dễ hiểu của tài liệu, thông tin mô tả trên camera đối với người dùng có kiến thức kỹ thuật hạn chế, trong đó có dẫn chiếu Phụ lục D. Tuy nhiên, Dự thảo chưa có Phụ lục D. Do vậy, đề nghị cơ quan soạn thảo bổ sung nội dung này. 

Trên đây là một số ý kiến ban đầu của Liên đoàn Thương mại và Công nghiệp Việt Nam về Dự thảo Thông tư ban hành Quy chuẩn kỹ thuật quốc gia (QCVN) về yêu cầu an toàn thông tin cơ bản cho camera giám sát sử dụng giao thức Internet. Rất mong cơ quan soạn thảo cân nhắc để chỉnh sửa, hoàn thiện Dự thảo này.

Trân trọng cảm ơn sự hợp tác của Quý Cơ quan./.