תקנים, אלגוריתמים ו- RFCs (Requests For Comments שמפרסם ה- Interent Engineering Task Force) הם חלק בלתי נפרד מהתקנות שהוצאו מכוח חוק חתימה אלקטרונית. הם מורים מהן רמות האבטחה הנדרשות, כיצד תערך תעודה אלקטרונית ועוד. במדור זה ריכזנו חלק ממסמכים אלה: חלקם מוגן בזכויות יוצרים ולא יכולנו להביאו כאן. במקרים אלה ציינו את שמו של התקן ביחד עם קישורית לאתר האינטרנט של האירגון המתאים, המאפשר לרוב לרוכשו במקוון.
| התקן | הארגון | היכן נזכר | הדרישה | נושא התקן |
|
|
||||
| תקן ישראלי (ת"י) 7799 | מכון התקנים הישראלי | תקנה 2(2) לתקנות חתימה אלקטרונית(רישום גורם מאשר וניהולו) | גורם מאשר נדרש להמציא תעודה בדבר עמידתו בתקן | תקן לניהול אבטחת מידע מטפל, בראיה כלל ארגונית בכל ההיבטים הנדרשים למתן פתרונות שלמים לנושאי אבטחת המידע. התקן מתווה שיטה להקמה, לניהול ולתחזוקת כל הבקרות הנדרשות, לנטר אותן בשיטתיות, למנוע תקלות מראש ולהכין דרכי תגובה לאירועים אפשריים. מצגת Power Point ודברי הסבר לתקן של שוקי פרייס ממכון התקנים הישראלי. |
|
|
||||
| ISO-9000 | אירגון התקינה הבינלאומי (ISO) | תקנה 2(3) לתקנות חתימה אלקטרונית(רישום גורם מאשר וניהולו) | על גורם מאשר להמציא תעודה המעידה על התאמתו לדרישות התקן כתנאי לרישומו במירשם הגורמים המאשרים | סדרת תקנים בינלאומית לניהול ולהבטחת איכות. למעלה מ- 90 מדינות ברחבי תבל אימצו את התקן כתקן לאומי, ובכללן ישראל (ת"י 9000). |
|
|
||||
| RFC 2527 | Internet Engineering Task Force (IETF) | תקנה 1 לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) | גורם מאשר נדרש לערוך את הוראות הנוהל, שלפיהן הוא פועל ("מסמך הנהלים") לפי תקן זה | "This document presents a framework to assist the writers of certificate policies or certification practice statements for certification authorities and public key infrastructures." |
|
|
||||
| התקן | הארגון | היכן נזכר | הדרישה | נושא התקן |
|
|
||||
| ת"י 1495 חלק 3 | מכון התקנים הישראלי | תקנה 8(1)(ג) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) | אם הפעלת אמצעי החתימה כרוכה בשימוש בסיסמה, עליה לעמוד בדרישות אבטחה ברמה הגבוהה לפי תקן זה: הווה אומר, שישה תווים לפחות, הכוללים ספרות, סימנים, אותיות רישיות ואותיות רגילות, אסורים תווים חוזרים על עצמם ותווים סמוכים זה לזה במקלדת. | הוראות בדבר דרישות אבטחה מסיסמאות שונות. |
|
|
||||
| FIPS 140-2 | National Institute of Standards and Technology (NIST) | תקנות 4(2) ו- 8(1)(ב) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) | אמצעי החתימה של הגורם המאשר - והן האמצעי, שחזקה כי הוא מחולל חתימה אלקטרונית מאובטחת - צריכים לעמוד בדרישות האבטחה של התקן | Security Requirements For Cryptographic Modules: "This publication provides a standard that will be used by Federal organizations when these organizations specify that cryptographic-based security systems are to be used to provide protection for sensitive or valuable data....This standard specifies the security requirements that will be satisfied by a cryptographic module. The standard provides four increasing, qualitative levels of security intended to cover a wide range of potential applications and environments..." |
|
|
||||
| Common Criteria EAL - Parts 1, 2 & 3 | International Common Criteria Project ראה עוד ב- אירגון התקינה הבינלאומי (ISO) | תקנות 5 ו- 8(1)(ב) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) | מערכות המחשב של גורם מאשר המשמשות לזיהוי מבקש, להנפקת תעודה אלקטרונית ולביטולה יעמדו ברמות הבטחון של common criteria EAL4. האמצעים המשמשים להגנה על אמצעי חתימה יעמדו ברמות בטחון של common criteria EAL2 | מדרג של רמות אבטחת מידע, אשר אומץ על בידי ארגון התקינה הבין לאומי, בתקן IS0 15408. |
|
|
||||
| התקן | הארגון | היכן נזכר | הדרישה | נושא התקן |
|
|
||||
| ISO/IEC 9594-8 | אירגון התקינה הבינלאומי (ISO) | תקנה 13(ג) לתקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) | תעודה אלקטרונית תהיה בהתאם לתקן ISO/IEC 9594-8. | תקן לתעודות אלקטרוניות. פורסם גם כתקן X509v.3 של הארגון הבינלאומי IETF, צוות המשימה להנדסת אינטרנט. |
|
|
||||
| FIPS 186-2 | National Institute of Standards and Technology (NIST) | התקן לא נזכר כלשעצמו בתקנות, אבל...... | ....תקנות חתימה אלקטרונית (חתימה אלקטרונית מאובטחת, מערכות חומרה ותוכנה ובדיקת בקשות) קובעות כי חזקה שאלגוריתמים מסוימים מפיקים חתימה אלקטרונית מאובטחת (בהתקים תנאים נוספים). הגדרת אלגוריתמים אלה הינה "RSA", "DSA" ו- "Elliptic Curve DSA" - אלגוריתמים להפקת חתימה אלקטרונית מאובטחת, שהכיר בהם אחד הגופים המפורטים בתוספת. NIST הוא אחד הגופים הללו והתקן מכיר באלגוריתמים הללו. | "This standard specifies a suite of algorithms which can be used to generate a digital signature. Digital signatures are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. In addition, the recipient of signed data can use a digital signature in proving to a third party that the signature was in fact generated by the signatory. This is known as nonrepudiation since the signatory cannot, at a later time, repudiate the signature." |
|
|
||||
הינו סימן מסחרי רשום של עו"ד חיים רביה
שווה קריאה
