Tiêu chuẩn quốc gia TCVN 13239-4:2024 về các mối quan tâm về tính bảo mật và quyền riêng tư dữ liệu lớn?

Nội dung chính

• Tiêu chuẩn quốc gia TCVN 13239-4:2024 về các mối quan tâm về tính bảo mật và quyền riêng tư dữ liệu lớn?
• Các thành phần chức năng cho quyền riêng tư là gì?
• Các chức năng đa lớp cho bảo mật và quyền riêng tư được quy định ra sao?

Tiêu chuẩn quốc gia TCVN 13239-4:2024 về các mối quan tâm về tính bảo mật và quyền riêng tư dữ liệu lớn?

Tiêu chuẩn quốc gia TCVN 13239-4:2024 (ISO/IEC TR 20547-4:2020) đưa ra các yêu cầu bảo mật và quyền riêng tư cho kiến trúc dữ liệu lớn (BDRA) bao gồm các vai trò, các hoạt động, các thành phần chức năng dữ liệu lớn, đồng thời cung cấp các hướng dẫn về các hoạt động bảo mật và quyền riêng tư đối với dữ liệu lớn.

Theo đó, các mối quan tâm về tính bảo mật và quyền riêng tư dữ liệu lớn được quy định tại tiểu mục 5.1 Mục 5 Tiêu chuẩn quốc gia TCVN 13239-4:2024. Mục phụ này giải quyết ba loại mối quan tâm:

- Những rủi ro gây ra do các đặc tính của dữ liệu lớn;

- Những thách thức bảo mật và quyền riêng tư từ dữ liệu lớn;

- Khả năng điều phối hệ sinh thái cần thiết trong bối cảnh dữ liệu lớn.

Dữ liệu lớn có các đặc điểm chính về dung lượng, tốc độ chuyển đổi, tính đa dạng và tính biến đổi, và các đặc điểm chính của xử lý dữ liệu như tính thăng hoa, tinh chân thực và giá trị. Các đặc điểm này bao gồm thêm các rủi ro và cũng là các thách thức về khía cạnh bảo mật và quyền riêng tư của dữ liệu lớn.

- Dung lượng dữ liệu lớn có rủi ro liên quan đến lượng lớn dữ liệu ở các lớp khác nhau. Ví dụ, kho lưu trữ phân tán, nhiều tầng và truyền dẫn trên nhiều mạng với nhiều giao thức khác nhau.

- Tốc độ chuyển đổi dữ liệu có nguy cơ liên quan đến luồng chảy nhanh, tại đó dữ liệu được tạo ra, lưu trữ, phân tích và trực quan hóa. Kiểm soát bảo mật là một vấn đề đối với tốc độ chuyển đổi và dễ dàng bị bỏ qua.

- Tính đa dạng dữ liệu mang đến sự phức tạp hơn từ nhiều nguồn khác nhau dưới sự kiểm soát của tác nhân khác nhau. Sự phức tạp tất yếu dẫn đến các lỗ hổng. Một vấn đề do mang đến sự đa dạng dữ liệu lớn là khả năng suy luận danh tính từ một tập dữ liệu ẩn danh bằng cách tương quan với các cơ sở dữ liệu công khai và hoàn toàn vô hại.

- Tính biến đổi của dữ liệu có các rủi ro liên quan đến các thay đổi nhanh hơn về tốc độ dữ liệu, nhận dạng/cấu trúc, các ngữ nghĩa và/hoặc chất lượng. Việc áp dụng các biện pháp kiểm soát bảo mật đối với bảo mật và quyền riêng tư dữ liệu có thể trở nên khó khăn hơn.

- Tính thăng hoa của dữ liệu có thể làm cho việc lưu vết kiểm tra và quản lý bảo mật trở nên khó khăn.

- Tính chân thực của dữ liệu mang đến các yêu cầu cao hơn đối với tính toàn vẹn, nhất quán và chính xác. Các rủi ro liên quan có thể được tổng hợp lại và phóng đại lên.

- Giá trị của dữ liệu cũng mang đến nhiều hơn các cuộc tấn công nhằm nhiều mục đích và lợi ích khác nhau.

+ Sự bùng nổ ứng dụng dữ liệu lớn mang đến các vấn đề nghiêm trọng hơn về bảo mật và quyền riêng tư đối với dữ liệu, ví dụ như các sự cố thường xuyên về vấn đề mất dữ liệu hoặc rò rỉ dữ liệu cá nhân, các giao dịch dữ liệu ngầm bất hợp pháp, gây ra việc lạm dụng dữ liệu và lừa đảo trên mạng, và làm nguy hiểm cho sự ổn định của xã hội và an ninh của quốc gia.

+ Dưới góc độ nền tảng công nghệ, do sự xuất hiện liên tục của nhiều loại công nghệ dữ liệu lớn, kiến trúc kỹ thuật mới, các nền tảng hỗ trợ và phần mềm dữ liệu lớn, các khả năng bảo mật và quyền riêng tư sau đây là cần thiết trong bối cảnh dữ liệu lớn.

- Các biện pháp kiểm soát bảo mật truyền thống trong bối cảnh dữ liệu lớn là cần thiết.

+ Các đặc điểm như là đồ sộ, đa nguồn, không đồng nhất, động và các đặc điểm khác của dữ liệu lớn dẫn tới sự khác biệt về bảo mật ứng dụng dữ liệu so với một môi trường đóng. Các ứng dụng dữ liệu lớn thường sử dụng kiến trúc lưu trữ và tính toán phân tán mở với các hỗ trợ cơ sở phức tạp nhằm cung cấp kho lưu trữ phân tán dữ liệu lớn và các dịch vụ tính toán hiệu suất cao.

+ Các công nghệ và kiến trúc mới này khiến ranh giới mạng của các ứng dụng dữ liệu lớn trở nên mờ nhạt, do đó các biện pháp bảo mật dựa trên ranh giới truyền thống không còn hiệu lực.

+ Trong khi đó tấn công có chủ đích (APT), tấn công từ chối dịch vụ phân tán (DDoS), khai thác dữ liệu dựa trên máy học, khám phá quyền riêng tư và các loại tấn công khác khiến cho các biện pháp phòng thủ, phát hiện và các biện pháp kiểm soát bảo mật truyền thống khác lộ ra các khiếm khuyết nghiêm trọng.

+ Ví dụ, đối với việc cung cấp quản lý dữ liệu an toàn và thông tin tình báo mối đe dọa, cung cấp kho lưu trữ dữ liệu an toàn cho dữ liệu lớn cũng như việc tạo, truyền, lưu trữ, phân tích và loại bỏ dữ liệu nhật ký an toàn trở nên cực ký khó khăn. Ngoài ra, các phương pháp tiếp cận kỹ thuật đối với bảo vệ quyền riêng tư, học máy, cơ chế mã hóa đối với bảo mật lấy dữ liệu làm trung tâm và kiểm soát truy cập là cần thiết.

+ Để biết thêm thông tin các yêu cầu của bảo mật và quyền riêng tư dữ liệu lớn, hãy tham khảo các cân nhắc kỹ thuật bảo mật và quyền riêng tư trong các trường hợp sử dụng được cung cấp bởi TCVN 13239-2:2020 (ISO/IEC TR 20547-2:2018).

- Bảo mật và quyền riêng tư cần được cung cấp cho cơ sở hạ tầng tính toán phân tán và lưu trữ dữ liệu của dữ liệu lớn.

+ Vấn đề này đòi hỏi tính toán phân tán và sự phổ biến thông tin phải an toàn và bảo vệ quyền riêng tư. Dữ liệu lớn cần các giải pháp có thể mở rộng và phân tán cho các kho dữ liệu an toàn cũng như để kiểm tra và điều tra nguồn gốc dữ liệu.

+ Tính toàn vẹn dữ liệu đối với việc truyền luồng dữ liệu từ các cảm biến khác nhau và các điểm cuối khác cần phải được cung cấp. Phân tích thời gian thực đối với thông tin tình báo các mối đe dọa cần xử lý một lượng lớn thông tin liên quan đến vấn đề bảo mật như là luồng lưu lượng và thông tin nhật ký.

- Cơ chế bảo mật nền tảng cần phải được cải thiện trong bối cảnh bảo mật và quyền riêng tư dữ liệu lớn.

+ Nhìn chung, các ứng dụng dữ liệu hiện có sử dụng nền tảng và công nghệ quản lý dữ liệu lớn như là Hadoop HBase/Hive, Cassandra/Spark, MongoDB.

+ Khi bắt đầu thiết kế, các nền tảng và công nghệ này chủ yếu được coi như là sử dụng trong một mạng nội bộ đáng tin cậy, ít được xem xét về vấn đề xác thực, phân quyền, các dịch vụ khóa và đánh giá bảo mật. Mặc dù các phần mềm đã được cải thiện, như là bổ sung cơ chế xác thực Kerberos, nhưng khả năng bảo mật tổng thể vẫn còn khá yếu.

+ Trong khi đó, các thành phần mã nguồn mở bên thứ ba thường xuyên được sử dụng trong các ứng dụng dữ liệu lớn. Do thiếu chứng nhận bảo mật và quản lý thử nghiệm nghiêm ngặt đối với các thành phần này, khả năng phòng ngừa các lỗ hổng phần mềm cũng như các cửa hậu độc hại ở trong các ứng dụng dữ liệu lớn là không đủ.

- Khả năng kiểm soát truy cập ứng dụng trong bối cảnh dữ liệu lớn là cần thiết.

+ Bởi vì sự đa dạng các loại dữ liệu và phạm vi rộng rãi các ứng dụng của dữ liệu lớn, Việc này thường được sử dụng để cung cấp nhiều dịch vụ cho các người dùng có danh tính và mục đích khác nhau từ các tổ chức hoặc bộ phận khác nhau. Nói chung, kiểm soát truy cập là một cách hiệu quả để có thể đạt được truy cập có kiểm soát vào dữ liệu.

+ Tuy nhiên, do có một lượng lớn các người dùng dữ liệu không xác định và dữ liệu được truy cập, việc thiết lập trước các vai trò và các quyền truy cập dữ liệu là rất khó khăn. Mặc dù quyền người dùng truy cập dữ liệu có thể được phân loại trước nhưng do có một lượng lớn các vai trò, rất khó để định nghĩa kiểm soát các quyền của từng vai trò.

+ Vì vậy, việc xác định chính xác các phạm vi dữ liệu mà mỗi người dùng được truy cập mà không phải triển khai thêm một mô hình kiểm soát truy cập mới hơn như kiểm soát truy cập cơ sở (ABAC) là rất khó. Điều này cũng gây ra vấn đề đối với nguyên tắc tối thiểu hóa dữ liệu trong ISO/IEC 29100.

- Các cơ chế bảo mật và quyền riêng tư có thể mở rộng là cần thiết.

+ Khi thiết kế và áp dụng các cơ chế bảo mật và quyền riêng tư như là quản lý khóa, quản lý truy cập và định danh, khử nhận dạng, v.v., trong môi trường dữ liệu lớn thì không chỉ các chức năng bảo mật và quyền riêng tư cần được xem xét, khả năng mở rộng của các cơ chế này cũng cần được tính đến để hỗ trợ việc xử lý dữ liệu có dung lượng lớn và tốc độ chuyển đổi cao.

+ Từ góc độ ứng dụng dữ liệu, do các đặc điểm Vs lớn (dung lượng, tính đa dạng, tốc độ chuyển đổi và tính biến đổi) của dữ liệu lớn và giá trị khổng lồ trong dữ liệu lớn, các khả năng bảo mật và quyền riêng tư sau đây là cần thiết trong bối cảnh dữ liệu lớn:

- Khả năng bảo vệ dữ liệu trong bối cảnh dữ liệu lớn là cần thiết.

+ Trong xã hội mạng mở rộng, dung lượng dữ liệu lớn khổng lồ với giá trị tiềm năng không thể đo được làm cho vấn đề này trở nên được ưa chuộng và dễ dàng trở thành một mục tiêu tấn công mạng đáng kể.

+ Trong những năm gần đây, các sự cố bảo mật thông tin thường xuyên xảy ra, ví dụ như là rò rỉ tài khoản mail cá nhân, thông tin an sinh xã hội và số tài khoản ngân hàng. Việc triển khai các hệ thống phân tán, môi trường mạng mở, ứng dụng dữ liệu phức tạp và lượng lớn người dùng truy cập, tất cả đều khiến dữ liệu lớn đối mặt với các thách thức lớn hơn về tính bí mật, tính toàn vẹn, tính khả dụng, v.v.

- Khả năng bảo vệ dữ liệu cá nhân trong bối cảnh dữ liệu lớn là cần thiết.

+ Do có một lượng lớn dữ liệu cá nhân trong các hệ thống dữ liệu lớn, khi một sự cố bảo mật xảy ra như là lạm dụng dữ liệu, đánh cắp nội bộ hoặc tấn công mạng, thì hậu quả của việc rò rỉ dữ liệu cá nhân còn nghiêm trọng hơn so với các hệ thống thông tin thông thường.

+ Mặt khác, lợi thế của việc tạo ra giá trị thông qua phân tích và sử dụng lượng lớn dữ liệu có thể bị tổn hại do nguy cơ rò rỉ dữ liệu cá nhân trong quá trình phân tích toàn diện dữ liệu đa nguồn tại nơi mà các nhà phân tích có thể dễ dàng khám phá dữ liệu cá nhân thông qua phân tích tương quan.

- Khả năng xác thực dữ liệu trong bối cảnh dữ liệu lớn là cần thiết.

+ Dữ liệu trong các hệ thống dữ liệu lớn có thể từ nhiều nguồn khác nhau như các loại cảm biến, hành động tải lên và các trang web công khai. Ngoài các nguồn dữ liệu đáng tin cậy, có một lượng lớn các nguồn dữ liệu không đáng tin cậy. Nhiều kẻ tấn công thậm chí cố tình làm sai lệch dữ liệu nhằm mục đích thu gây ảnh hưởng đến kết quả phân tích dữ liệu.

+ Do đó, việc xác minh tính xác thực và nguồn gốc của dữ liệu là rất quan trọng. Tuy nhiên, có rất nhiều khó khăn trong việc xác minh tính xác thực toàn bộ dữ liệu bởi vì hiệu suất hạn chế của các thiết bị thu thập thông tin đầu cuối, sự thiếu sót công nghệ, lượng thông tin hạn chế và sự đa dạng cũng như phức tạp của các nguồn.

- Khả năng bảo vệ quyền của chủ sở hữu dữ liệu trong bối cảnh dữ liệu lớn là cần thiết.

+ Trong quá trình ứng dụng dữ liệu lớn, dữ liệu có thể được truy cập bởi nhiều người khác nhau, chuyển từ nhà kiểm soát này sang nhà kiểm soát khác và thậm chí bị khai thác để tạo ra dữ liệu mới.

+ Do đó, trong quá trình trao đổi và chia sẻ dữ liệu, có trường hợp quyền sở hữu dữ liệu của chủ sở hữu và quyền sử dụng dữ liệu của nhà quản lý dữ liệu bị tách biệt, điều đó ám chỉ rằng dữ liệu có thể nằm ngoài tầm kiểm soát của chủ sở hữu và mang tới các rủi ro như là lạm dụng dữ liệu, quyền sở hữu dữ liệu mập mờ, không rõ trách nhiệm giám sát bảo mật dữ liệu, xâm hại tới quyền và lợi ích của các chủ sở hữu dữ liệu.

+ Dữ liệu lớn liên quan đến hệ sinh thái, hoặc mạng lưới của các tổ chức cộng tác để thu thập, phân tích và chia sẻ dữ liệu. Những sự hợp tác sau đây là cần thiết trong bối cảnh dữ liệu lớn:

- Cộng tác giữa các bên liên quan để đảm bảo các yêu cầu về bảo mật và quyền riêng tư tổng thể của hệ sinh thái cũng như các yêu cầu về bảo mật và quyền riêng tư của các cá nhân tổ chức là nhất quán;

- Cộng tác giữa các bên liên quan để đảm bảo việc quản lý rủi ro tổng thể hệ sinh thái cũng như quản lý rủi ro cá nhân tổ chức là nhất quán; và

- Cộng tác giữa các bên liên quan để đảm bảo rằng các cá nhân tổ chức đảm bảo việc xử lý nhất quán các tài sản cần được bảo vệ.

Tiêu chuẩn quốc gia TCVN 13239-4:2024 về các mối quan tâm về tính bảo mật và quyền riêng tư dữ liệu lớn? (Hình từ Internet)

Các thành phần chức năng cho quyền riêng tư là gì?

Các thành phần chức năng cho quyền riêng tư được quy định tại tiểu mục 8.3 Mục 8 Tiêu chuẩn quốc gia TCVN 13239-4:2024, cụ thể như sau:

Các danh mục kiểm soát quyền riêng tư cho các nhà kiểm soát PII và nhà xử lý PII được nêu rõ trong ISO/IEC 27701 được sử dụng trong tài liệu này như là các thành phần chức năng cho quyền riêng tư như sau:

- Các điều kiện đối với việc thu thập và xử lý để xác định và làm tài liệu chứng minh rằng việc xử lý là hợp pháp, có cơ sở pháp lý theo các thẩm quyền hiện hành và với các mục đích được định nghĩa rõ ràng và hợp pháp.

- Quyền của các chủ PII để đảm bảo các chủ PII được cung cấp thông tin thích hợp về việc xử lý PII của họ và đáp ứng bất kỳ nghĩa vụ hiện hành nào đối với các chủ PII liên quan đến việc xử lý PII của họ.

- Quyền riêng tư mặc định và bám sát thiết kế đối với những người kiểm soát PII để đảm bảo các quá trình và hệ thống được thiết kế sao cho việc thu thập và xử lý PII (bao gồm cả sử dụng, tiết lộ, lưu giữ, truyền tải và loại bỏ) được giới hạn bằng yếu tố cần thiết cho mục đích được xác định.

- Chia sẻ, chuyển nhượng và tiết lộ PII để xác định việc có hay không và lưu tài liệu việc chia sẻ, chuyển nhượng tới các bên thẩm quyền hoặc bên thứ ba và/hoặc tiết lộ PII theo các nghĩa vụ hiện hành.

Các khía cạnh khác để quan sát các thành phần chức năng cho quyền riêng tư như sau:

- Thực thi chính sách quyền riêng tư

+ Một Tổ chức như nhà kiểm soát PII nên định nghĩa chính sách quyền riêng tư của họ, cách họ bảo vệ dữ liệu cá nhân trong tổ chức, trong quá trình phát triển sản phẩm, v.v.

+ Chính sách quyền riêng tư có thể bao gồm chính sách phân loại dữ liệu cá nhân, đánh giá rủi ro quyền riêng tư, chia sẻ dữ liệu và các cơ chế bảo vệ được yêu cầu cần thiết trong vòng đời dữ liệu. Các cơ chế bảo vệ bao gồm chính sách mã hóa, khử nhận dạng, kiểm soát truy cập, v.v.

+ Khuyến nghị sử dụng các công cụ CNTT và mở rộng hệ thống bảo mật CBTT hiện có để thực thi chính sách quyền riêng tư để việc dữ liệu cá nhân được bảo vệ đúng theo chính sách và việc vi pháp chính sách có thể được phát hiện.

- Phát hiện và kiểm kê dữ liệu cá nhân

+ Thành phần này có thể phát hiện dữ liệu cá nhân trong kho dữ liệu hoặc trước quá trình truyền và thu thập dữ liệu. Việc phát hiện dữ liệu cá nhân trong dữ liệu phi cấu trúc như là văn bản, tệp âm thanh và video phụ thuộc vào các phương pháp học máy và dựa trên luật lệ.

+ Nguồn dữ liệu cá nhân cần được ghi lại. Dữ liệu cần phải được phân loại và gắn thẻ dựa trên độ nhạy cảm của chúng. Thêm nữa, dữ liệu thuộc về cùng các chủ thể dữ liệu cần được kiểm kê, điều này có thể tạo thuận lợi cho việc quản lý dữ liệu cá nhân. Trong mọi trường hợp một chủ thể dữ liệu yêu cầu xóa dữ liệu cá nhân của họ, dữ liệu có liên quan vẫn có thể dễ dàng được tìm thấy.

- Khử nhận dạng

+ Thành phần này có thể thay đổi dữ liệu cá nhân để danh tính của các chủ thể dữ liệu được ẩn đi. Việc này giảm thiểu tính nhạy cảm của dữ liệu cá nhân theo nghĩa là nó sẽ khó khăn trong việc liên kết với chủ thể dữ liệu hoặc giảm lượng thông tin hiển thị về chủ thể dữ liệu.

+ Thành phần này cũng dự trữ các tiện ích ở một mức độ nhất định để đáp ứng các yêu cầu nghiệp vụ. Các công nghệ thường được sử dụng cho việc khử nhận dạng các tập dữ liệu có cấu trúc được mô tả trong ISO/IEC 20889 2018.

+ Việc lựa chọn các công nghệ dựa trên các rủi ro quyền riêng tư của các tình huống nhất định và chính sách quyền riêng tư được định nghĩa của tập đoàn, cần phải có sự đánh đổi giữa bảo vệ quyền riêng tư và tiện ích dữ liệu.

+ Các công nghệ khử nhận dạng cần được áp dụng càng sớm càng tốt trong vòng đời của dữ liệu để giảm thiểu các rủi ro quyền riêng tư ở các bước xử lý tiếp theo. Các công nghệ cần hỗ trợ các ứng dụng có quy mô lớn trong bối cảnh dữ liệu lớn.

- Đánh giá rủi ro quyền riêng tư

+ Thành phần này đưa ra một đánh giá định tính dựa trên độ nhạy cảm của dữ liệu. Ví dụ, một tổ chức có thể chia các rủi ro thành 5 mức độ và cần có các chiến lược bảo vệ khác nhau. Ngoài ra, việc đánh giá định lượng cũng có thể được đưa ra dựa trên các đánh giá thực nghiệm.

+ Các chỉ số đánh giá có thể được định nghĩa dựa trên các cuộc tấn công quyền riêng tư có thể xảy ra với dữ liệu. Vì dữ liệu của chủ thể dữ liệu có thể được thu thập từ các ứng dụng khác nhau và lưu trữ trên các hệ thống con dữ liệu lớn khác nhau, các rủi ro quyền riêng tư từ việc liên kết các nguồn dữ liệu khác nhau cần được tính đến và đánh giá.

+ Một số kỹ thuật khử nhận dạng như là quyền riêng tư khác biệt, k-nặc danh, 1-đa dạng,... cung cấp các chỉ số để định lượng rủi ro quyền riêng tư. Các rủi ro quyền riêng tư nên được giám sát liên tục trong suốt vòng đời dữ liệu, đặc biệt là khi dữ liệu được thay đổi hoặc sử dụng trong các bối cảnh khác.

- Tính toán bảo toàn quyền riêng tư

+ Thành phần này có thể bảo vệ quyền riêng tư của dữ liệu đang được sử dụng. Trên thị trường dữ liệu lớn, các nhà cung cấp dữ liệu có thể muốn kiếm tiền từ dữ liệu mà không phải tiết lộ dữ liệu cho người sử dụng dữ liệu.

+ Ngoài ra, các nhà kiểm soát PII muốn kết hợp dữ liệu của họ cho việc huấn luyện một mô hình máy học. Các công nghệ như là phép giao an toàn, tính toán đa bên an toàn, mã hóa đồng hình, đồng xử lý bảo mật có thể được sử dụng để hỗ trợ việc tính toán bảo toàn quyền riêng tư.

- Giám sát và kiểm soát truy cập

Thành phần này cung cấp quản lý kiểm soát truy cập và giám sát truy cập cho dữ liệu cá nhân. Việc này có thể phát hiện các truy cập trái phép và phòng ngừa rò rỉ dữ liệu.

- Bảo vệ quyền của chủ thể dữ liệu

+ Thành phần này kích hoạt các chức năng cần thiết để đảm bảo các quyền của chủ thể dữ liệu. Ví dụ, mô hình quản lý đồng thuận có thể ghi chép lại khi một chủ thể đưa ra/rút lại sự đồng thuận của họ đối với việc thu thập và sử dụng dữ liệu của các ứng dụng.

+ Việc này có thể xóa hoặc ẩn danh dữ liệu một cách an toàn theo các yêu cầu của chủ thẻ dữ liệu hoặc sau thời gian lưu giữ dữ liệu. Trong một hệ thống dữ liệu lớn, dữ liệu của của cùng một chủ thể dữ liệu có thể được đặt tại các vị trí khác nhau của các ứng dụng khác nhau. Việc kiểm kê dữ liệu có thể giúp trong việc xác định vị trí dữ liệu cá nhân.

Các chức năng đa lớp cho bảo mật và quyền riêng tư được quy định ra sao?

Các chức năng đa lớp cho bảo mật và quyền riêng tư được quy định tại tiểu mục 8.4 Mục 8 Tiêu chuẩn quốc gia TCVN 13239-4:2024, cụ thể như sau:

Các chức năng đa lớp sau đây cho cả bảo mật và quyền riêng tư được nêu rõ trong TCVN 13239-3:2023 (ISO/IEC 20547-3:2020), (xem TCVN 13239-3:2023 (ISO/IEC 20547-3:2020), Hình 12 và 10.2.6.4)

- khung kiểm toán;

- khung xác thực;

- khung ủy quyền;

- khung ẩn danh.

Như được thể hiện trong Bảng , các khung này có thể được hỗ trợ bởi các thành phần chức năng tại tiểu mục 8.2 Mục 8 Tiêu chuẩn quốc gia TCVN 13239-4:2024 và tiểu mục 8.3 Mục 8 Tiêu chuẩn quốc gia TCVN 13239-4:2024.

Bảng 4 - Các chức năng đa lớp và các thành phần chức năng hỗ trợ cho bảo mật và quyền riêng tư