חוק חתימה אלקטרונית - תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"ב-2001

לתחילת העמוד תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות), התשס"ב-2001
לתחילת העמוד פרק א': פרשנות
  • 1. הגדרות

    בתקנות אלה -

    "מבקש" - כהגדרתו בסעיף 18(א) לחוק;

    "מידע מן המרשם" - פרטים שהתקבלו לפי דרישת הרשם, ממרשם האוכלוסין במשרד הפנים (להלן - מרשם האוכלוסין), כולם או חלקם, מבין אלה: מספר זהות, שם משפחה ושם משפחה קודם, אם שונה, שם פרטי, שם האב, שם האם, שנת לידה, תאריך הנפקת תעודה אחרון, סיבת הנפקת התעודה, מען נוכחי, אם ישנם - סטטוס פטירה ותאריך פטירה;

    "מסמך נהלים" - הוראות נוהל שלפיהן פועל הגורם המאשר, הערוכות על פי מסמך 2527 rfc של הארגון הבין-לאומי ietf (להלן - מסמך rfc) צוות המשימה להנדסת האינטרנט, ואשר הוגשו לאישור הרשם;

    "מערכת" - מערכת החומרה והתוכנה של הגורם המאשר המשמשת לפעילותו כגורם מאשר;

    "dsa" ,"rsa" ו-"elliptic curve dsa" - אלגוריתמים להפקת חתימה אלקטרונית מאובטחת, שהכיר בהם אחד הגופים המפורטים בתוספת;

    "fips" - סדרת תקנים של המכון הלאומי לתקנים וטכנולוגיה של ארצות הברית של אמריקה, לאבטחת מידע במערכות מחשב;

    "common criteria eal - מדרג של רמות אבטחתת מידע, אשר אומץ בידי ארגון התקינה הבין-לאומי, בתקן 15408 iso;

    "תושב" - כמשמעותו בחוק מרשם האוכלוסין, התשכ"ה-1965, לרבות אזרח ישראלי שאינו תושב כאמור, הרשום במרשם האוכלוסין;

    "תושב חוץ" - מי שאינו תושב;

    "ת"י" - תקן ישראלי כמשמעותו בחוק התקנים, התשי"ג-1953 (להלן - חוק התקנים);

    "תקן מקובל" - תקן אבטחת מידע של אחד הגופים המפורטים בתוספת;

    "תקן 9594-8 iso/iec" - תקן של מכון התקנים הבין-לאומי, אשר פורסם גם כתקן 3.x509v של הארגון הבין-לאומי ietf, צוות המשימה להנדסת אינטרנט.

לתחילת העמוד פרק ב': מערכות חומרה ותוכנה מהימנות
  •  2. תקן

    גורם מאשר יקבל מאת מכון התקנים או מאת מי שאושר לענין זה לפי סעיף 12 לחוק התקנים, קודם לתחילת פעילותו של החוק, תעודת בדיקה בדבר התאמה לת"י 7799, חלקים 1 ו-2, ויעמוד התקן במשך כל זמן פעילותו.

    3. זמינות

    גורם מאשר ידאג להבטיח כי במערכות הדרושות לבדיקת מאגרי תעודות בטלות ועדכונן, תתקיים בכל עת רמת זמינות גבוהה, להנחת דעתו של הרשם.

    4. אמצעי החתימה של הגורם המאשר

    גורם מאשר ישתמש באמצעי חתימה שמתקיימים בו לפחות כל אלה:

    (1) הוא מבוסס על מפתח rsa או dsa באורך 2,048 סיביות לפחות או elliptic curve dsa באורך 160 סיביות לפחות;

    (2) הוא מוגן באמצעי שמתקיימות בו לפחות דרישות האבטחה של fips140-2 רמה 2;

    (3) הוא מגובה באמצעים מוגנים ומאובטחים, להנחת דעתו של הרשם; הגיבוי יישמר בנפרד;

    (4) דרישות נוספות שהעמיד הרשם לשם קיום אבטחה ברמה סבירה מפני חדירה, שיבוש או שימוש לרעה.

    5. אבטחת מרכיבי המערכת ואמצעי התקשורת

    (א) מרכיבי המערכת המשמשים לזיהוי המבקש, להנפקת תעודה אלקטרונית ולביטולה (להלן - פעולות חיוניות) יעמדו ברמת ביטחון של תקן common crieria eal4 או לפי תקן מקובל אחר, המבטיח רמת אבטחה מקבילה, להנחת דעתו של הרשם.

    (ב) אמצעי התקשורת המשמשים לפעולות החיוניות של הגורם המאשר, יעמדו בדרישות אבטחה גבוהות, להנחת דעתו של הרשם.

    6. אבטחה פיזית

    גורם מאשר יבטיח כי חלקי המערכת החיוניים לפעילותו כגורם מאשר (להלן - החלקים החיוניים) יישמרו במקום מוגן, המונע חדירה וכניסה בלא הרשאה, והתואם את אופי פעילותו של גורם מאשר, להנחת דעתו של הרשם.

    7. בקרת גישה והפרדת תפקידים

    (א) גורם מאשר יבטיח כי ביצוע הפעולות החיוניות לא יהא בשליטתו של אדם אחד בלבד.

    (ב) גורם מאשר יבטיח את מידור הגישה לחלקים החיוניים, כך שלאותו אדם לא תהא גישה לכל החלקים החיוניים.

    (ג) גורם מאשר ינהיג אמצעי זיהוי שיבטיחו זיהוי ותיעוד גישתו של כל אדם למערכת.

    (ד) הרשם רשאי לפטור גורם מאשר מהחובות לפי תקנות משנה (א) ו-(ב), מטעמים שיירשמו, ורשאי הוא לקבוע להן חובות חלופיות.

לתחילת העמוד פרק ג': חתימה אלקטרונית מאובטחת
  •  8. חזקה לענין חתימה אלקטרונית מאובטחת

    חתימה אלקטרונית שמתקיים בה אחד מאלה, חזקה שהיא חתימה אלקטרונית מאובטחת:

    (1) לגבי אמצעי לאימות חתימה שמחזיק בידיו המבקש, ואמצעי החתימה שאותו הוא מזהה, מתקיימות לפחות הדרישות כמפורט להלן:

    (א) החתימה מופקת באמצעות מפתח המבוסס על תקן מקובל, העושה שימוש באחד מאלה:

    (1) מפתח rsa או dsa באורך 1,024 סיביות לפחות;

    (2) מפתח elliptic curve dsa באורך 160 סיביות לפחות;

    (ב) להפעלת אמצעי החתימה, או לגישה אליו, נדרש שימוש באמצעים פיזיים או הצפנתיים (קריפטולוגיים) ייחודיים, העומדים ברמת אבטחה של תקן 140-2 fips רמה 1, ברמת ביטחון של תקן common crieria eal2 לפחות;

    (ג) היתה הפעלת אמצעי החתימה כרוכה בשימוש בסיסמה, תעמוד הסיסמה בדרישות אבטחה ברמה הגבוהה לפי ת"י 1495 חלק 3, או בדרישות חלופיות שקבע הרשם, אם נוכח כי ניתן לפטור מהדרישה האמורה;

    (2) היא חתימה אלקטרונית שאישר הרשם, לפי הוראות תקנה 9.

    9. אישור לענין חתימה אלקטרונית מאובטחת

    (א) מי שמעוניין בכך, רשאי לפנות, בכתב, לרשם לשם קביעה -

    (1) אם טכנולוגיה מסוימת עומדת בדרישות שנקבעו בתקנה 8(1); פניה כאמור תכלול מסמכים המתארים את הטכנולוגיה, לרבות תעודת התאמה לתקן מקובל, אם ישנה, וחוות דעת של מומחה אבטחת מידע בדבר אמינותה של הטכנולוגיה; הרשם רשאי לדרוש כל מידע אחר הדרוש לו כדי לבחון אם מדובר בטכנולוגיה העומדת בדרישות תקנה 8(1) וכדי
    לאשרה;

    (2) כי טכנולוגיה מסוימת מפיקה חתימה אלקטרונית שחזקה שהיא חתימה אלקטרונית מאובטחת, אף שאין מתקיימות בה הוראות תקנה 8(1); פניה כאמור תכלול מסמכים כאמור בפסקה (1).

    (ב) אישר הרשם, לפי תקנת משנה (א), כי חזקה שחתימה אלקטרונית מסוימת היא חתימה אלקטרונית מאובטחת, יפרסם ברשומות את דבר אישורה של הטכנולוגיה שלגביה אישר כאמור; נוסף על כך, ינהל הרשם רשימה מעודכנת של טכנולוגיות שקיבלו את אישורו באתר אינטרנט המשמש לכך.

לתחילת העמוד פרק ד': בדיקת בקשות להנפקת תעודה אלקטרונית
  • 10. זיהוי המבקש

    לא ינפיק גורם מאשר תעודה אלקטרונית אלא לאחר שאימת את זהות המבקש כמפורט להלן:

    (1) הגורם המאשר, או נציגו או שליח מטעמו שאישר הרשם ובתנאים שקבע באישור, זיהה פנים אל פנים את המבקש, ואם היה המבקש תאגיד - את מורשה החתימה מטעם התאגיד.

    (2) הגורם המאשר יבדוק את פרטי הזיהוי של המבקש:

    (א) ביחיד שהוא תושב ישראל - על פי תעודת זהות וכן מידע מן המרשם, וכן אחד מן המסמכים המזהים האלה, ובלבד שהם בתוקף:

    (1) דרכון ישראלי;

    (2) רישיון נהיגה ישראלי הנושא תמונה של המבקש;

    (3) מסמך מזהה שמונפק על ידי המדינה לעובד המדינה, למי שממלא תפקיד או נושא משרה מטעמה או במוסד ממוסדות המדינה, או למי שממלא תפקיד על פי דין, לצורך ביצוע עבודתו או תפקידו כאמור, ובלבד שהמסמך נושא תמונה של המבקש ואת מספר הזהות
    שלו; לעניין זה, "עובד המדינה" - לרבות חייל, שוטר וסוהר;

    (4) לעניין מי שאין בידיו מסמך מזהה לפי פסקאות משנה (1) עד (3) והגיש תצהיר על כך, אחד מאלה:

    (א) תעודת מעבר, כהגדרתה בחוק הדרכונים, התשי"ב-1952, הנושאת תמונה של המבקש;

    (ב) מסמך מזהה מסוג אחר שהרשם אישר לעניין זה, מטעמים שיירשמו ובלבד שהמסמך נושא תמונה של המבקש ואת מספר הזהות שלו; הודעה על אישור שנתן הרשם לסוגי מסמכים מזהים כאמור תפורסם ברשומות ובאתר האינטרנט של הרשם;

    (ג) אישור של עורך דין על זהותו של המבקש ועל כך שהוא מכיר את המבקש אישית וכי הוא מודע לכך שאישורו נועד לתמוך בבקשה להנפקת תעודה אלקטרונית לפי החוק, בצירוף תמונתו של המבקש החתומה בידי עורך הדין, בהתאם לנוסח שיורה הרשם.

    (ב) ביחיד שהוא תושב חוץ - על פי דרכון חוץ או תעודת מסע או תעודת זהות, וכן על פי מסמך זיהוי נוסף הנושא תמונה של המבקש ופרטים מזהים שלו ושל מי שהנפיק את המסמך הנוסף;

    (ג) בתאגיד הרשום בישראל - על פי תעודת הרישום, אישור של עורך דין על קיומו של התאגיד, שמו ומספרו הרשום, או במקום אישור של עורך דין כאמור - על פי אימות במרשמים המתאימים, וכן על פי העתק מאושר של החלטת האורגן המוסמך בתאגיד בדבר מורשה החתימה מטעם התאגיד, או אישור של עורך דין על מורשה החתימה כאמור;

    (ד) בתאגיד שאינו רשום בישראל - על פי העתק מאושר ממסמך המעיד על רישומו, אישור של עורך דין על קיומו של התאגיד, שמו ומספרו הרשום, או במקום אישור של עורך דין כאמור - על פי אימות במרשמים המתאימים, וכן על פי העתק מאושר של החלטת האורגן
    המוסמך בתאגיד בדבר מורשה החתימה מטעם התאגיד או אישור של עורך דין על מורשה החתימה כאמור;

    (ה) במוסד ציבורי - על פי הצהרת המבקש, לאחר שהגורם המאשר נוכח, על פי מסמך, כי מורשה החתימה מוסמך לפעול בשם המוסד הציבורי; 
    לענין פסקה זו, "מוסד ציבורי" - משרדי ממשלה, רשויות מקומיות, וכן רשויות, תאגידים או מוסדות אחרים שהוקמו בישראל לפי חיקוק;

    (3) לענין פסקאות משנה (ג) עד (ה) שבפסקה (2) - יזהה הגורם המאשר את מורשה החתימה לפי הוראות פסקאות משנה (א) או (ב) שבאותה פסקה, לפי הענין;

    (4) לענין פסקאות משנה (ד) ו-(ה) שבפסקה (2), "העתק מאושר" - העתק מתאים למקור המאומת בידי אחד מאלה:

    (א) הרשות שהנפיקה את מסמך המקור;
    (ב) עורך דין בעל רישיון לעריכת דין בישראל;
    (ג) נציג דיפלומטי או קונסולרי ישראלי בחוץ לארץ.

    11. שמירת מסמכי הזיהוי

    גורם מאשר יקבל לידיו וישמור ברשותו או ברשות נציגו או שליחו כאמור בתקנה 10(1), העתק של כל אחד ממסמכי הזיהוי שהוגשו לפי תקנה 10, למשך 15 שנים לפחות מיום שפג תוקפה של התעודה האלקטרונית שהנפיק, ואולם אם חודשה התעודה לפי תקנה 12, ישמור את המסמכים למשך 15 שנים מיום שפג תוקפה של התעודה האחרונה שהנפיק לאותו מבקש.

    12. זיהוי לצורך הנפקת תעודה אלקטרונית חדשה

    בהנפקת תעודה אלקטרונית חדשה, על סמך תעודה אלקטרונית שטרם פג תוקפה, יכול גורם מאשר לנקוט הליכי זיהוי שונים מאלה האמורים בתקנה 10, ובלבד שהרשם אישר הליכים כאמור.

    13. הנפקת תעודה אלקטרונית

    (א) גורם מאשר ינפיק תעודה אלקטרונית למבקש רק לאחר שבדק כי המבקש מחזיק בידיו אמצעי חתימה להפקת חתימה אלקטרונית מאובטחת, וכי באמצעי החתימה ובאמצעי לאימות חתימה המזהה את אמצעי החתימה האמור מתקיימות הוראות תקנה 8.

    (ב) לענין קיום הוראות תקנה 8(1)(ב) ו-(ג), רשאי הגורם המאשר להסתפק בהצהרה מטעם המבקש, בדבר אמצעי החתימה שבו הוא משתמש, אופן הפעלתו והגישה אליו.

    (ג) תעודה אלקטרונית תהיה בהתאם לתקן 9594-8 iso/iec.

לתחילת העמוד פרק ה': פרטים בתעודה אלקטרונית ושונות
  • 14. פרטים בתעודה אלקטרונית

    (א) היה המבקש יחיד אשר זוהה שלא לפי תעודת זהות, תכלול התעודה האלקטרונית שתונפק לו את מספר הזיהוי שעל פיו זוהה, לפי תקנה 10, ואם היה המבקש תושב חוץ - גם את מקום הנפקת המסמך המזהה. 

    (ב) היה המבקש תאגיד, תכלול התעודה האלקטרונית שתונפק לו את שם התאגיד
    ומספרו הרשום, שמו ותוארו של מורשה החתימה מטעם המבקש, ואת מספר הזיהוי שעל פיו זוהה, ואם היה תאגיד שאינו רשום בישראל - גם את מקום הרישום.

    (ג) היה המבקש מוסד ציבורי, תכלול התעודה האלקטרונית שתונפק לו את שם המוסד, וכן את שמו ותוארו של מורשה החתימה מטעם המבקש, ומספר הזיהוי שעל פיו זוהה.

    15. שינוי תקן

    (א) הוחלף תקן מן התקנים הנזכרים בתקנות אלה, לרבות מסמך rfc, בתקן או מסמך חדש, לפי הענין, יהיו התקן או המסמך החדש מחייבים במקביל לתקן או המסמך הישן, זולת אם אין עוד בתקן או במסמך הישן כדי להבטיח תנאי אבטחה נאותים, להנחת דעתו של הרשם, שאז יחייב התקן או המסמך החדש בלבד, בתוך זמן שיורה הרשם.

    (ב) הרשם יודיע לגורמים מאשרים על שינוי תקן או מסמך frc מחייב כאמור בתקנת משנה (א), ויפרסם באתר האינטרנט שיועד לכך רשימה מעודכנת של התקנים והמסמכים המחייבים לפי תקנות אלה. 

    16. דו"ח שנתי

    (א) הרשם יגיש לשר ולועדה לעניני מחקר ופיתוח מדעי וטכנולוגי של הכנסת, אחת לשנה ולא יאוחר מיום 1 באוקטובר של השנה, דין וחשבון בדבר הפעלת סמכויותיו לפי תקנות אלה, לרבות בדבר הטכנולוגיות שאושרו והליכי אישורן.

    (ב) הדו"ח האמור בתקנת משנה (א) יפורסם באתר האינטרנט של הרשם.

    17. תחילה

    תחילתן של תקנות אלה ביום תחילתו של החוק.


    תוספת
    (תקנה 1)

    1. (internet engineering task force (ietf

     

    2. (national institute of standards and technology (nist

    3. (american national standards organization (ansi

    4. (european telecommunications standards institute (etsi

    5. (international standards organization (iso

    6. מכון התקנים הישראלי

    כ"ה באלול התשס"א (13 בספטמבר 2001)

    מאיר שטרית
    שר המשפטים