תקנות מרשם האוכלוסין (תעודה אלקטרונית לאימות)
תקנות מרשם האוכלוסין (תעודה אלקטרונית לאימות) מתוך
תקנות מרשם האוכלוסין (תעודה אלקטרונית לאימות), התשע״ב–2012
ק״ת תשע״ב, 1512; תשע״ז, 882.
בתוקף סמכויות שר הפנים לפי סעיפים 25(ב)(4) ו־47(א)(7) לחוק מרשם האוכלוסין, התשכ״ה–1965 (להלן – החוק), ובתוקף סמכות שר הפנים ושר המשפטים לפי סעיף 25(ג) לחוק, בהתייעצות עם שר המשפטים לפי סעיף 25(ב)(4) לחוק, בהסכמת שר המשפטים ושר האוצר לפי סעיף 47(א)(7) לחוק, ובאישור ועדת החוקה חוק ומשפט של הכנסת, מותקנות תקנות אלה:
הגדרות
בתקנות אלה –
”אמצעי זיהוי אלקטרוני“ – כהגדרתו בסעיף 23א לחוק;
”אמצעי חתימה“ – כהגדרתו בחוק חתימה אלקטרונית;
”מנפיק ממשלתי של תעודות לאימות“ – גורם ממשלתי המנפיק תעודות אלקטרוניות לאימות בעבור רשות האוכלוסין על פי תקנות אלה;
”חוק חתימה אלקטרונית“ – חוק חתימה אלקטרונית, התשס״א–2001;
”חתימה אלקטרונית מאובטחת“ – כהגדרתה בחוק חתימה אלקטרונית;
”מבקש“ – תושב הפונה לקבלת תעודת זהות שבה אמצעים או נתונים ביומטריים;
”מסמך נהלים“ – הוראות נוהל המסדירות את פעילותו של מנפיק ממשלתי של תעודות לאימות, הערוכות על פי מסמך RFC 3647 של הארגון הבין־לאומי IETF (להלן – מסמך RFC), צוות המשימה להנדסת אינטרנט, בשינויים הנדרשים לעניין תעודה אלקטרונית לאימות לפי החוק ותקנות אלה, שניתנו לאחר התייעצות עם הרשם ובאישור שר הפנים;
”עובד מוסמך“ – עובד רשות האוכלוסין או מנפיק ממשלתי של תעודות לאימות, ששר הפנים או ראש רשות האוכלוסין הסמיך לעניין תקנות אלה או חלקן;
”הרשם“ – כהגדרתו בחוק חתימה אלקטרונית;
”רשות האוכלוסין“ – רשות האוכלוסין וההגירה;
”תעודה אלקטרונית לאימות“ – כהגדרתה בסעיף 23א לחוק;
”תעודת התאמה לתקן“ – אישור מאת מעבדה מאושרת בדבר עמידה בהוראות התקן;
”תקן ישראלי 9594“ – ת״י 9594 חלק 8 – ”טכנולוגיית המידע – חברור מערכות פתוחות – המדריך: מסגרות עבודה ותכנים בעבור תעודות מפתח ציבורי ומאפיינים“, כתוקפו מזמן לזמן לפי חוק התקנים, התשי״ג–1953, שעותק שלו פתוח לעיון הציבור במכון התקנים הישראלי, והמבוסס על התקן הבין־לאומי – ISO/IEC 9594-8;
”תקנות פקיעת תוקף“ – תקנות מרשם האוכלוסין (תקופת תוקפן ופקיעת תוקפן של תעודות זהות), התשע״ב–2012.
הודעה ואזהרה בנוגע לתעודה אלקטרונית לאימות
עובד רשות האוכלוסין, או בעל תפקיד שהוסמך לכך לפי סעיף 6(ג) לחוק הכללת אמצעי זיהוי ביומטריים ונתוני זיהוי ביומטריים במסמכי זיהוי ובמאגר מידע, התש״ע–2009, יעשה את כל אלה לפני הנפקת תעודת זהות הכוללת תעודה אלקטרונית לאימות ואמצעי זיהוי אלקטרוני:
(1)
יעביר למבקש מסמך בכתב ובו תנאי השימוש בתעודה, ההגבלות על השימוש בתעודה, אם ישנן, ההליכים הנדרשים לביטול התעודה והודעה על פגיעה בשליטה בתעודה כאמור בתקנות פקיעת תוקף וכן פרטי התקשרות לצורך בירורים, טיפול בתקלות ובקשת ביטול התעודה;
(2)
יזהיר את המבקש, לפי הנוסח המופיע בתוספת, וימסור לו דף הסבר, הכתוב בשפה פשוטה המובנת לו, בדבר החובות המוטלות עליו לפי החוק ולפי תקנות אלה, לעניין מניעת שימוש לרעה בתעודה האלקטרונית לאימות ובאמצעי הזיהוי האלקטרוני שיונפקו לו, וכן הסכנות וההגנות מפני אחריות לנזק, הכרוכות בשימוש בתעודה האלקטרונית לאימות ובאמצעי זיהוי אלקטרוני, והמבקש יאשר בכתב כי הוזהר כאמור;
(3)
ישאל את המבקש שאלה מזהה אחת לפחות לפי בחירת המבקש, שהתשובה עליה ייחודית למבקש, מתוך רשימת שאלות שיערוך ראש רשות האוכלוסין לאחר התייעצות עם הרשם, כדי לאפשר זיהוי של המבקש בגישה מרחוק לצורך ביצוע פעולות שונות ובכלל זה, הודעה מרחוק של בעל התעודה על פגיעה בשליטתו בתעודה.
אבטחת חומר מחשב שבשבב [תיקון: תשע״ז]
(א)
אמצעי הזיהוי האלקטרוני, התעודה האלקטרונית לאימות וכן פרטי המידע האלקטרוני המפורטים בתקנה 3א לתקנות מרשם האוכלוסין (רישומים בתעודת זהות), התש״ן–1990, יונפקו על גבי שבב שמתקיימות לגבי הוראות תקן מקובל שאישר ראש רשות האוכלוסין בהתייעצות עם הרשם לעניין זה, ופרסם בהודעה ברשומות ובאתר האינטרנט של משרד הפנים שכתובתו www.moin.gov.il או באתר האינטרנט של רשות האוכלוסין שכתובתו www.piba.gov.il (להלן – אתר האינטרנט של משרד הפנים או של רשות האוכלוסין).
(ב)
כתיבת אמצעי הזיהוי האלקטרוני, התעודה האלקטרונית לאימות ופרטי המידע האלקטרוני כמפורט בתקנת משנה (א), על גבי השבב, תתבצע באופן ממוכן ורק בהינתן הרשאות מתאימות מרשות האוכלוסין, ובהסתמך על אימות מבוסס הצפנה, בהתאם להליכים שאישר ראש רשות האוכלוסין.
(ג)
גישה לתעודה לאימות ולאמצעי הזיהוי האלקטרוני שעל גבי השבב תתאפשר רק באמצעות ססמה אישית הניתנת להחלפה מזמן לזמן בידי בעל התעודה; ראש רשות האוכלוסין, לאחר התייעצות עם הרשם, ייתן הוראות לעניין אורך הססמה, מספר הניסיונות השגויים שיגרמו לנעילת השבב, אופן הטיפול בתקלות ובאימות זהות מרחוק ככל שיהיה, והאופן והתדירות של החלפת ססמאות, ואופן איפוס ססמאות.
המאפיינים של אמצעי זיהוי אלקטרוני ואופן השימוש בו
(א)
אמצעי הזיהוי האלקטרוני יהיה ייחודי לבעל התעודה ויופק באמצעות שיטת הצפנה אמינה ומקובלת שאישר ראש רשות האוכלוסין לעניין זה, לאחר התייעצות עם הרשם, ופרסם בהודעה ברשומות ובאתר האינטרנט של משרד הפנים או של רשות האוכלוסין.
(ב)
הגישה אל התעודה האלקטרונית לאימות ואל אמצעי הזיהוי האלקטרוני המצוי בשבב והשימוש בהם יתאפשרו רק באמצעות ססמה אישית כאמור בתקנה 3(ג), הנתונה לשליטתו של בעל התעודה והמצויה באחריותו בכל עת.
בדיקת תקנים ושיטות הצפנה
(א)
בדיקת תקנים לצורך אישורם כאמור בתקנה 3(א) ובדיקת שיטות הצפנה לצורך אישורן כאמור בתקנה 4, ייעשו על סמך מסמכים המתוארים את התקנים או את שיטות ההצפנה, לרבות תעודות התאמה לתקן מקובל או לשיטת הצפנה מקובלת, אם ישנן, וחוות דעת של מומחה בתחום ההצפנה או אבטחת המידע בדבר אמינות התקן או שיטת ההצפנה.
(ב)
הרשם יבחן, אחת לשנה לפחות, את הצורך לעדכן את הרשימות של התקנים המאושרים כאמור בתקנה 3(א) ושיטות ההצפנה המאושרות כאמור בתקנה 4, וימסור את תוצאות הבחינה לראש רשות האוכלוסין.
מבנה תעודה אלקטרונית לאימות והנפקת תעודה חדשה
(א)
תעודה אלקטרונית לאימות תהיה לפי עקרונות התקן הישראלי 9594, וראש רשות האוכלוסין רשאי לקבוע, לאחר התייעצות עם הרשם, הנחיות לגבי התוכן והמבנה של התעודה.
(ב)
הנפקה חדשה של תעודה אלקטרונית לאימות לאחר ביטולה או לאחר מועד סיום תוקפה, תבוצע באופן שבו מונפקת תעודה לראשונה.
רישום בדבר ביטול תעודה אלקטרונית לאימות
מידע עם פקיעת תוקף של תעודת זהות לפי תקנה 3 לתקנות פקיעת תוקף, ירשום העובד המוסמך את דבר ביטול התעודה האלקטרונית לאימות במאגר התעודות הבטלות כאמור בתקנה 8(א).
ניהול מאגרים
(א)
ראש רשות האוכלוסין ינהל מאגר של מספרי תעודות אלקטרוניות לאימות שבוטלו (להלן – מאגר התעודות הבטלות), ותאריך ביטולן, וכן מאגר נוסף של מספרי תעודות אלקטרוניות לאימות שהן בתוקף.
(ב)
כל אחד ממאגרי התעודות האמורים בתקנת משנה (א) ינוהל ברמת אבטחת גבוהה, כפי שיורה ראש רשות האוכלוסין, בהתייצעות עם הרשם.
(ג)
במאגר התעודות הבטלות תתקיים בכל עת רמת זמינות גבוהה למי שמבקש להסתמך על תעודה אלקטרונית לאימות.
אופן הנפקת תעודות אלקטרוניות לאימות
(א)
רשות האוכלוסין תנפיק תעודות אלקטרוניות לאימות רק על פי מסמך נהלים.
(ב)
מסמך הנהלים יובא לידיעת הציבור באופן נח וזמין, בין השאר באמצעות אתר האינטרנט של משרד הפנים או של רשות האוכלוסין בדרך המוגנת באופן סביר מפני חדירה ושיבוש.
נוהל טיפול באירועי אבטחה והודעה לציבור על פגם במערכת
(א)
ראש רשות האוכלוסין יכין נוהל לטיפול באירועי אבטחה במערכות החומרה והתוכנה של הנפקת התעודות האלקטרוניות לאימות.
(ב)
נודע לראש רשות האוכלוסין על פגם בחתימתו האלקטרונית המאובטחת או במערכות החומרה והתוכנה של הנפקת התעודות האלקטרוניות לאימות או על פגם אחר, שיש בו כדי לפגוע במהימנות חתימתו או במהימנות התעודות האלקטרוניות לאימות המונפקות –
(1)
יימנע מלהנפיק תעודות אלקטרוניות לאימות חדשות, עד לתיקון הפגם;
(2)
יבטל בהקדם האפשרי את כל התעודות האלקטרוניות לאימות שהנפיק אשר יש חשש שנפגעה מהימנותן, ויודיע על כך לעובד רשות האוכלוסין כאמור בתקנה 3(א)(4) לתקנות פקיעת תוקף;
(3)
יודיע על כך לציבור, בהקדם האפשרי, לרבות בדרך של פרסום בשני עיתונים יומיים נפוצים, ובאמצעות פרסום הודעה בעמוד הראשי של אתר האינטרנט של משרד הפנים או של רשות האוכלוסין.
חובות תיעוד
(א)
רשות האוכלוסין תנהל מערכת תיעוד שבה יירשמו, סמוך לזמן התרחשותם, כל הפעולות והאירועים הנוגעים למערך ההנפקה של התעודות האלקטרוניות לאימות, ובכלל זה כל אלה: זמני הפעלת מערכות המחשב על כל אחד מיישומיהן וזמני הפסקתן, הנפקת תעודות, ביטול תעודות, שינוי ססמאות, ניסיונות בלתי מורשים לחדור למערכת, ייצור או שינוי מפתחות, אירועי אבטחה, הרשאות גישה למערכת המחשב, שינוין או ביטולן, גישה של כל אדם למערכת ההנפקה של התעודות האלקטרוניות לאימות.
(ב)
תיעוד כאמור בתקנה זו יבוצע תוך חשיפה מזערית ככל האפשר של פרטי בעלי התעודות.
(ג)
רשות האוכלוסין תדווח לראש רשות האוכלוסין ולרשם על כל ניסיון בלתי מורשה לחדור למערכת ועל כל אירוע אבטחה.
גיבוי ושמירה
במערך הנפקת התעודות האלקטרוניות לאימות, תבטיח רשות האוכלוסין גיבוי נאות של המדיע במערכות המחשוב, ברמה גבוהה של זמינות, אמינות והגנה מפני אבדן מידע או זליגתו.
אמצעי החתימה של ראש רשות האוכלוסין
התעודות האלקטרוניות לאימות לפי תקנות אלה, יאומתו בחתימתו האלקטרונית המאובטחת של ראש רשות האוכלוסין.
שינוי תקן
(א)
הוחלף תקן מן התקנים הנזכרים בתקנות אלה, לרבות מסמך RFC, בתקן או במסמך חדש, לפי העניין, יחולו התקן או המסמך החדש במקביל לתקן או למסמך הישן, זולת אם ראה ראש רשות האוכלוסין כי אין עוד בתקן או במסמך הישן כדי להבטיח תנאי אבטחה נאותים או משיקולים אחרים שיירשמו כפי שיורה ראש רשות האוכלוסין לאחר התייעצות עם הרשם, שאז יחייב התקן או המסמך החדש בלבד, תוך זמן שיורה ראש רשות האוכלוסין לאחר התייעצות עם הרשם, ובלבד שקודם לכך פורסמה הודעה ברשומות ובאתר האינטרנט של משרד הפנים או של רשות האוכלוסין, על הדבר.
(ב)
שונה תקן או מסמך RFC מחייב כאמור בתקנת משנה (א), יפרסם ראש רשות האוכלוסין ברשומות ובאתר האינטרנט של משרד הפנים או של רשות האוכלוסין, רשימה מעודכנת של התקנים והמסמכים המחייבים לפי תקנות אלה.
תחילה
תחילתן של תקנות אלה 30 ימים מיום פרסומן.
תוספת
(תקנה 2(2))
טופס אזהרה למבקש תעודת זהות הכוללת תעודה אלקטרונית לאימות ואמצעי זיהוי אלקטרוני
(הטופס הושמט).
כ״ט בתמוז התשע״ב (19 ביולי 2012)
- אליהו ישי
שר הפנים - יעקב נאמן
שר המשפטים
אזהרה: המידע בוויקיטקסט נועד להעשרה בלבד ואין לראות בו ייעוץ משפטי. במידת הצורך היוועצו בעורך־דין.