1. Mật mã dân sự là gì?

Luật An toàn thông tin mạng số 86/2015/QH13 định nghĩa:

“Mật mã dân sự là kỹ thuật mật mã và sản phẩm mật mã được sử dụng để bảo mật hoặc xác thực đối với thông tin không thuộc phạm vi bí mật nhà nước.”

 

2. Sản phẩm mật mã dân sự là gì?

Theo Luật An toàn thông tin mạng:

“Sản phẩm mật mã dân sự là các tài liệu, trang thiết bị kỹ thuật và nghiệp vụ mật mã để bảo vệ thông tin không thuộc phạm vi bí mật nhà nước.”

Theo một cách khác, sản phẩm mật mã là các sản phẩm có sinh khóa mật mã, hoặc bảo mật dữ liệu lưu trữ và dữ liệu trao đổi trên môi trường Internet bằng khóa mật mã (Encryption key). Sản phẩm mật mã biến các dữ liệu hình ảnh, âm thanh, dữ liệu thoại, dữ liệu lưu trữ từ định dạng thông thường chuyển sang định dạng mật mã. Các thiết bị đầu cuối nhận được dữ liệu đã mã hóa mà không có phương tiện hoặc kỹ thuật hay phần mềm giải mã thì sẽ không đọc được các dữ liệu đã được mã hóa đó.

Sản phẩm mật mã dân sự có thể tồn tại ở dạng phần mềm (software), hoặc phần cứng (hardware), sử dụng thuật toán mã hóa đối xứng hoặc không đối xứng. Thông thường chúng được ứng dụng trong hệ thống công nghệ thông tin của các doanh nghiệp lớn và đòi hỏi tính năng bảo mật cao như ngân hàng, các tổ chức tài chính, các doanh nghiệp lớn, các nhà máy công nghệ cao…

Tên sản phẩm mật mã dân sự bằng tiếng Anh là civil cryptography products hoặc civil cryptographic items.

Không hẳn bất cứ sản phẩm sử dụng kỹ thuật mã hóa cũng là sản phẩm mật mã dân sự. Sản phẩm mật mã dân sự không bao gồm các thiết bị được sử dụng rộng rãi như máy tính xách tay, điện thoại thông minh, hệ điều hành window hoặc các sản phẩm dân dụng tương tự khác mặc dù chúng đã được tích hợp mật mã có sẵn.

 

 

3. Giấy phép mật mã dân sự là gì?

Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự là loại giấy phép kinh doanh có điều kiện do Ban Cơ yếu Chính phủ cấp để quản lý việc kinh doanh các sản phẩm mật mã dân sự và dịch vụ mật mã dân sự.

Giấy phép kinh doanh sản phẩm mật mã dân sự khác với Giấy Chứng nhận đăng ký kinh doanh do Sở Kế hoạch và Đầu tư cấp cho doanh nghiệp.

Để được cấp phép, các doanh nghiệp cần phải đáp ứng được các điều kiện cụ thể về cơ sở vật chất, hạ tầng kỹ thuật, yêu cầu về đội ngũ kỹ thuật và cán bộ quản lý, có phương án kinh doanh, phương án bảo hành và phương án kỹ thuật cho sản phẩm mật mã dân sự.

Giấy phép mật mã dân sự Tiếng Anh là “civil cryptographic product trading license” hoặc “civil cryptographic product dealer license”.

 

4. Điều kiện để được cấp phép

Điều kiện quan trọng nhất:

Yêu cầu về đội ngũ nhân sự: Có tối thiểu 03 kỹ sư tốt nghiệp một trong các ngành điện tử - viễn thông, công nghệ thông tin, toán học, an toàn thông tin.

Các điều kiện khác:

• Cán bộ quản lý điều hành đáp ứng yêu cầu về chuyên môn bảo mật, an toàn thông tin.
• Có cơ sở vật chất, trang thiết bị phù hợp với quy mô kinh doanh
• Có phương án kỹ thuật phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật áp dụng đối với sản phẩm, dịch vụ mật mã dân sự
• Có phương án kinh doanh sản phẩm, dịch vụ mật mã dân sự

 

5. Hồ sơ & thủ tục xin giấy phép kinh doanh mật mã dân sự

Bộ hồ sơ xin phép giấy kinh doanh mật mã dân sự

1. Đơn đề nghị cấp phép theo mẫu quy định tại Nghị định 58/2016/NĐ-CP
2. Bản sao giấy Chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận pháp nhân có giá trị tương đương
3. Bản sao văn bằng đại học và chứng chỉ liên quan đến bảo mật, an toàn thông tin của đội ngũ kỹ thuật và cán bộ quản lý
4. Phương án kỹ thuật (mô tả đặc tính kỹ thuật của sản phẩm, chất lượng dịch vụ, giải pháp kỹ thuật)
5. Phương án bảo mật an toàn thông tin mạng trong quá trình cung cấp sản phẩm, dịch vụ mật mã dân sự
6. Phương án kinh doanh sản phẩm, dịch vụ mật mã dân sự
7. Phương án bảo hành, bảo trì sản phẩm cung cấp ra thị trường.

 

 

Cơ quan tiếp nhận và thời hạn thụ lý hồ sơ

Cơ quan tiếp nhận và thụ lý hồ sơ xin cấp phép kinh doanh, nhập khẩu sản phẩm mật mã dân sự: Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã – Ban Cơ yếu Chính phủ (NACIS)

Quy trình thẩm định điều kiện và đánh giá hồ sơ xin cấp phép lần đầu thông thường sẽ từ 1.5 – 2 tháng tùy theo việc chuẩn bị các hồ sơ xin cấp phép đã đầy đủ và chi tiết hay chưa.

Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã sẽ cấp giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự có thời hạn hiệu lực 10 năm. Trong quá trình kinh doanh, nếu doanh nghiệp có nhu cầu mở rộng hạng mục sản phẩm, dịch vụ hoặc thay đổi liên quan đến giấy phép, doanh nghiệp làm bộ hồ sơ bổ sung, sửa đổi giấy phép kinh doanh theo quy định tại Luật An toàn Thông tin mạng số 86/2015/QH13

 

Phương thức nộp hồ sơ xin cấp phép

Trước đây, việc nộp hồ sơ xin giấy phép mật mã dân sự phải thực hiện bằng phương thức nộp hồ sơ giấy. Kể từ năm 2021, Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã đã triển khai tiếp nhận hồ sơ qua cổng thông tin một cửa. Hiện tại, các dịch vụ công liên quan đến xin giấy phép mật mã dân sự đang ở mức độ 4 (đã bao gồm phần thanh toán lệ phí cấp phép bằng hình thức thanh toán trực tuyến).

Thủ tục nộp hồ sơ xin giấy phép mật mã dân sự như sau:

• Đăng ký tài khoản tại cổng thông tin một cửa của Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã

+ https://dichvucong.nacis.gov.vn/

+ Tên tài khoản bắt buộc phải là mã số doanh nghiệp

• Đăng nhập tài khoản dịch vụ công của doanh nghiệp
• Ký tươi và đóng dấu các tài liệu của bộ hồ sơ xin giấy phép mật mã dân sự
• Ký số (bằng chữ ký số) lên bản scan của bộ hồ sơ xin giấy phép mật mã dân sự
• Upload các hồ sơ đã ký số lên cổng thông tin một của của Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã
• Sau khi hoàn thành các bước, doanh nghiệp sẽ nhận được email từ dichvucong@nacis.gov.vn thông báo đã đăng ký hồ sơ thành công kèm theo mã hồ sơ tạm thời
• Sau khi hồ sơ được thẩm định sơ bộ, nếu hồ sơ đã đúng và đầy đủ, Cục Quản lý mật mã dân sự và KĐSPMM sẽ có email thông báo chính thức thụ lý hồ sơ kèm theo mã tiếp nhận chính thức và hẹn ngày trả kết quả.
• Khi tiếp nhận bản gốc giấy phép mật mã dân sự, doanh nghiệp thanh toán các phí liên quan và nhận biên lai phí điện tử gửi về địa chỉ email đã đăng ký vài ngày sau đó.

 

Lưu ý quan trọng khi xin giấy phép

• Nếu một thiết bị có cả tính năng mật mã dân sự và tính năng an toàn thông tin mạng (theo quy định tại Thông tư 10/2020/TT-BTTTT) thì doanh nghiệp chỉ phải xin một loại giấy phép kinh doanh mật mã ân sự (và giấy phép nhập khẩu mật mã dân sự). Hai loại giấy phép này không áp dụng đồng thời đối với cùng một sản phẩm.
• Có nhiều sản phẩm mật mã dân sự thuộc diện phải xin Giấy phép kinh doanh MMDS tại Phụ lục 1 của Nghị Định số 58/2016/NĐ-CP (được sửa đổi và bổ sung bởi Nghị Định số 53/2018/NĐ-CP) nhưng không thuộc diện phải xin giấy phép nhập khẩu do vậy doanh nghiệp có thể vô tình không biết do không gặp vướng mắc khi nhập khẩu. Đối với các sản phẩm này, doanh nghiệp vẫn phải xin giấy phép kinh doanh đúng theo quy định.
• Có nhiều doanh nghiệp chỉ thực hiện phân phối thứ cấp, không trực tiếp nhập khẩu các sản phẩm MMDS thuộc Phụ lục 1 và Phụ lục 2 của Nghị Định số 53/2018/NĐ-CP (được sửa đổi và bổ sung bởi Nghị Định số 52/2018/ NĐ) nhưng không thuộc diện phải xin giấy phép nhập khẩu do vậy doanh nghiệp có thể vô tình không biết do không gặp vướng mắc khi nhập khẩu. Đối với các sản phẩm này, doanh nghiệp vẫn phải xin giấy phép kinh doanh đúng theo quy định.
• Có nhiều doanh nghiệp chỉ thực hiện phân phối thứ cấp, không trực tiếp nhập khẩu các sản phẩm MMDS thuộc Phụ lục 1 và Phụ lục 2 của Nghị Định số 53/2018/NĐ-CP (được sửa đổi và bổ sung bởi Nghị Định số 53/2018/NĐ-CP). Đối với trường hợp này, doanh nghiệp phân phối thứ cấp vẫn phải xin giấy phép kinh doanh MMDS đúng theo quy định.

 

 

6. Giấy phép xuất nhập khẩu mật mã dân sự

Sau khi đã có được Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự doanh nghiệp chuẩn bị bộ hồ sơ xin Giấy phép nhập khẩu sản phẩm mật mã dân sự bao gồm

1. Đơn đề nghị cấp giấy phép nhập khẩu
2. Bản sao Giấy phép kinh doanh sản phẩm mật mã dân sự
3. Bản sao giấy chứng nhận hợp quy thiết bị mật mã dân sự đối với các sản phẩm có tính năng bảo mật luồng IP sử dụng công nghệ IPSex hoặc TLS (hiện tại chưa bắt buộc áp dụng)

Giấy phép nhập khẩu thiết bị mật mã dân sự đã từng được cấp với thời hạn hiệu lực 02 năm. Kể từ đầu năm 2019, Ban Cơ Yếu Chính Phủ chỉ cấp giấy phép nhập khẩu với thời hạn hiệu lực 01 năm, điều này được cho là để chuẩn bị cho việc Chứng nhập hợp quy cho sản phẩm, thiết bị mật mã dân sự sắp tới. Sau khi giấy phép nhập khẩu hết hiệu lực, doanh nghiệp nhập khẩu phải xin cấp phép lại với điều kiện là giấy phép kinh doanh vẫn còn hiệu lực.

 

7. Mẹo phân loại sản phẩm mật mã dân sự

Việc phân loại sản phẩm mật mã dân sự rất quan trọng do đây là một yêu cầu bắt buộc phải nắm được khi chuẩn bị bộ hồ sơ xin giấy phép sản phẩm mật mã dân sự. Như đã hứa ban đầu, chúng tôi sẽ chia sẻ các mẹo nhỏ để giúp bạn dễ dàng phân nhóm các sản phẩm mật mã dân sự.

Theo Nghị Định số 58/2016/NĐ-CP, các sản phẩm mật mã dân sự được chia thành 08 nhóm chính. Trong đó, các nhóm sản phẩm phổ biến nhất bao gồm:

Bảo mật luồng IP & bảo mật kênh

Đặc tính kỹ thuật điển hình của nhóm sản phẩm này là khả năng tạo kênh bảo mật mạng riêng ảo VPN, sử dụng giao thức bảo mật luồng IP với thuật toán mã hóa đối xứng hoặc phi đối xứng. Đây cũng là nhóm sản phẩm phổ biến nhất trong thực tế nhập khẩu và xin giấy phép.

Sản phẩm điển hình của nhóm này bao gồm các thiết bị tường lửa firewall, định tuyết router, chuyển mạch switch, thiết bị biên mạng SD-WAN, thiết bị cổng security gateway và một số loại máy xử lý dữ liệu tự động security appliance

Bảo mật dữ liệu trao đổi trên mạng

Nhóm sản phẩm này tạo khóa bảo mật cho dữ liệu được truyền quay mạng internet mà không sử dụng kỹ thuật tạo mạng riêng ảo. Ví dụ phổ biến nhất của các sản phẩm này bao gồm các thiết bị quản lý mạng không dây wireless controller, máy xử lý dữ liệu tự động security appliance và một số nhóm thiết bị chuyển mạch switch.

Sản phẩm sinh khóa mật mã

Là các sản phẩm tạo sinh khóa mật mã, quản lý hoặc lưu trữ khóa mật mã. Nhóm sản phẩm này bao gồm các token thanh toán và thiết bị mạng ứng dụng trong lĩnh vực ngân hàng là chủ yếu

Sản phẩm bảo mật thoại

Đây là các loại điện thoại IP, thiết bị hội nghị phòng họp, máy bộ đàm hoặc các tổng đài điện thoại sử dụng công nghệ thoại tương tự (analog) hoặc thoại số (digital) có tích hợp kỹ thuật mật mã để bảo vệ bí mật thông tin trong cuộc gọi.

Sản phẩm bảo mật dữ liệu lưu trữ

Đây là nhóm các sản phẩm có chức năng chính để lưu trữ dữ liệu (data) và sử dụng thuật toán mã hóa để bảo mật các dữ liệu được nó lưu trữ. Các sản phẩm điển hình của nhóm này bao gồm bộ lưu trữ data storage, ổ cứng SSD có tính năng tự mã hóa và một số loại máy chủ server đặc thuf như NAS hoặc FAS.