תקנות איסור הלבנת הון (כללים לניהול המאגר ולאבטחת המידע שבו), התשס''ב-2002 בתוקף סמכותי לפי סעיפים 28 ו-32 (א) ו-(ג) לחוק איסור הלבנת הון, התש''ס-2000 (להלן - החוק), לאחר התייעצות עם השר לביטחון הפנים, ובאישור ועדת החוקה חוק ומשפט של הכנסת, אני מתקין תקנות אלה: פרק א': הוראות כלליות 1. הגדרות בתקנות אלה - ''גוף מדווח'' - אחד הגופים החייבים בדיווח לפי סעיף 7 לחוק וכן גוף שהעביר למאגר דיווח שהתקבל לפי פרק ד' לחוק; ''הרשות המוסמכת'' - הרשות לאיסור הלבנת הון שהוקמה לפי סעיף 29(א) לחוק; ''מאגר המידע'' - מאגר המידע שהוקם לפי סעיף 28 לחוק; ''מחשב'', ''חומר מחשב'' ו''תוכנה'' - כהגדרתם בחוק המחשבים, התשנ''ה-1995; ''מידע'' - כל נתון או מסמך שנתקבל במאגר המידע וברשות המוסמכת וכן כל עיבוד או תוצאה שלהם, לרבות נתונים ומסמכים הנוגעים לדרכי עבודתה של הרשות המוסמכת, ולרבות עצם קיום המידע; ''מידע מסווג'' - מידע שחשיפתו עלולה לפגוע בביטחון המדינה; ''מידע מקורי'' - מידע שהתקבל מגוף מדווח, בין אם הוא כלול בדיווח ראשוני ובין אם הוא מידע משלים; ''מידע משלים'' - מידע כמשמעותו בסעיף 31(ג) לחוק; ''ממונה'' - כהגדרתו בסעיף 12 לחוק; ''משטרת ישראל'' - מי שהמפקח הכללי של משטרת ישראל הסמיך לענין זה; ''רשות חוץ'' - רשות במדינה אחרת מסוגה של הרשות; ''רשומות מחשב'' - מידע שבמאגר הממוחשב של הרשות; ''שירות הביטחון הכללי'' - מי שראש שירות הביטחון הכללי הסמיך לענין זה. 2. אבטחת המידע - עקרונות כלליים (א) כללים ונהלים על פי תקנות אלה, הנוגעים לפעולות אבטחה - אין בהם כדי לגרוע מהאמור בחוק הסדרת הביטחון בגופים ציבוריים, התשנ''ח-1998; בתקנות אלה, ''פעולות אבטחה'' - כהגדרתן בסעיף 1 לחוק האמור. (ב) כללים ונהלים הנוגעים למידע מסווג, סיווג משרות וסינון ביטחון יהיו בהתאם להנחיות שירות הביטחון הכללי. (ג) כללים ונהלים הנוגעים למידע שהועבר לרשות המוסמכת על ידי משטרת ישראל יהיו בהתאם להנחיות משטרת ישראל. (ד) כל מידע שהועבר לרשות על ידי משטרת ישראל או על ידי שירות הביטחון הכללי ייחשב כמסווג ''סודי ביותר'', אלא אם כן נקבע אחרת על ידי גופים אלה. פרק ב': ניהול המאגר 3. כללים ונהלים לניהול המאגר והמידע שבו בלי לגרוע מן האמור בתקנה 2, יוציא ראש הרשות המוסמכת כללים ונהלים, בין השאר בנושאים אלה: (1) אופן ההגנה ההיקפית והאבטחה הפנימית של חצרי הרשות ושל המחשבים שבחצרים אלה; (2) אבטחת תשתית התקשורת; (3) אבטחת חומר מחשב המשמש את המאגר ומחשבי הרשות, או הנמצא בהם; (4) סיווג מידע ומסמכים המוחזקים ברשות, הרשאות גישה של עובדי הרשות והפועלים מטעמה ובשירותה, וכללים למידור המידע; (5) אופן ניהול רשומות, בין כמסמכים ובין כרשומות מחשב; (6) טיפול בהתרעות על אירועים חריגים במאגר, לרבות במהלך קליטת מידע, העברת מידע או טיפול שבו שנעשו, לכאורה, בלא הרשאה, וכן בכל ניסיון לעשות במחשב או בחומר מחשב פעולה בלא הרשאה; (7) דרך לבקשת מידע משלים; (8) העברת מידע לפי סעיף 30 לחוק, באופן שימנע את חשיפת המידע, שיבושו או פגיעה בו בתהליך ההעברה ובכלל זה אופן האבטחה של העברה בתקשורת אלקטרונית. 4. סיווג מידע והרשאת עובדים (א) בלי לגרוע מן האמור בתקנה 2, יקבע ראש הרשות את סיווגו של המידע שבמאגר המידע ואת ההרשאות של עובדי הרשות לעיון ולטיפול במידע, לרבות המידור בין העובדים לפי תפקידיהם; בפרק זה, ''עובדים'' - לרבות קבלן, עובדי קבלן ועובדים ארעיים של הרשות המוסמכת. (ב) הגישה, העיון והטיפול במידע שהתקבל מן המשטרה או מרשות חוץ, שביקשה לשמור על סודיות המידע, יהיו רק לראש הרשות המוסמכת ולעובדים נוספים, שקיבלו אישור מיוחד לכך מהמפקח הכללי של משטרת ישראל. (ג) הגישה, העיון והטיפול במידע מסווג יהיו רק לראש הרשות המוסמכת ולבעלי משרות מסווגות. 5. מידע שנכלל בבקשה לקבלת מידע (א) מידע שהגיע לרשות המוסמכת ממשטרת ישראל או משירות הביטחון הכללי ייאגר במאגר המידע באופן שימנע גישה אליו מכל תקשורת חיצונית וכן ימנע גישה מגורמים שאינם מורשים לעיין ולטפל בו כאמור בתקנה 4(ב) לעיל; בענין זה תפעל הרשות המוסמכת על פי הנחיות משטרת ישראל ושירות הביטחון הכללי, כאמור בתקנה 4(ב) ו-(ג). (ב) מידע שנכלל בבקשה לקבלת מידע לפי סעיף 30 לחוק לא יועבר לגורמים במדינה או מחוץ לה, אלא בהסכמתו של הגוף שכלל את המידע בבקשתו; הוראה זו לא תחול לגבי בקשה של רשות חוץ, שבה לא נדרשה סודיות. (ג) הוגשה בקשה לקבלת מידע מאחד הגופים המנויים בסעיף 30 לחוק, לא תפנה הרשות המוסמכת לגורמים במדינה או מחוצה לה, בנושא הקשור לבקשה, אלא לאחר קבלת הסכמת הגורם שממנו הגיעה הבקשה; הוראה זו לא תחול לגבי בקשה של רשות חוץ, שבה לא נתבקשה סודיות; הסכמה לענין תקנה זו, יכול שתתייחס לבקשה מסוימת או לסוג מסוים של פניה או גורם; לענין תקנת משנה זו, ''פניה'' - לרבות כניסה למאגר ממוחשב, שיש בו רישום על פעולות המבוצעות בו. (ד) בכפוף להוראות חוק עזרה משפטית בין מדינות, התשנ''ח-1998, תפעל הרשות המוסמכת לשמירה על סודיות מידע שנתקבל מרשות חוץ במסגרת החוק, אם רשות החוץ ביקשה זאת. פרק ג': כללים ונהלים לאבטחת המאגר והמידע שבו 6. עיקרון שלמות המידע המקורי כל מידע מקורי לרבות רשומות מחשב המכילות מידע מקורי שהועבר לרשות המוסמכת על ידי גוף מדווח, יישמרו ברשות או במחשבי הרשות בלא שינוי; רישום הערות, שינויים או הוספות, לרבות ביטול, גניזה או ביעור של רשומות מחשב ממאגר המידע ייעשו מבלי לפגוע בשלמותן, אמינותן ותקינותן של רשומות מחשב המכילות מידע מקורי. 7. בחירת התשתיות של מערכת המחשוב ותוכנות ההפעלה בתשתיות של מערכת המחשוב ובתוכנות ההפעלה שבמאגר יתקיימו דרישות התקנים לאבטחת מערכות מידע שנקבעו לפי תקן ישראלי ת''י 7799 והתקן הבין-לאומי ISO-15408; מערכת המחשוב ותוכנות ההפעלה יעמדו בדרישות הקבועות בתקנים אלה למערכות ברמת סיווג גבוהה המכילות חומר מחשב והמנוהלות בכמה רמות של סיווגי אבטחה והרשאות גישה. 8. אבטחת זמינות המחשבים תצורת המחשבים המשרתים את מאגר המידע תבטיח את היותם בעלי זמינות גבוהה, יציבות ואמינות כדי למנוע כשל מערכתי נקודתי. 9. בידול מערכות מחשוב (א) המאגר יהיה מורכב מכמה מערכות מחשב נפרדות הכוללות את אלה: (1) מחשב לאיסוף מידע ותקשורת לגורמים מדווחים, מאגרי מידע ממלכתיים, משטרת ישראל, שירות הביטחון הכללי ורשויות חוץ; (2) מחשב המחקר, שבו יוחזק וינוהל מאגר המידע; (3) מערכת מחשב לתקשורת באמצעות האינטרנט או מערכת אחרת מסוג זה. (ב) מחשב האיסוף ומחשב המחקר יקושרו, לצורך העברת מידע באמצעות מערכת בידול, שתיצור בידוד גלווני בין מחשבים אלה ותבצע ניטור תוכן המסרים המועברים בין המחשבים; מערכת הבידול תהווה חיץ של חומרה ותוכנה בין מחשב האיסוף לבין מחשב המחקר. (ג) לא יהיה קשר כלשהו בין מחשב המחקר לבין רשת תקשורת ציבורית אלא באמצעות מחשב האיסוף. (ד) ראש הרשות רשאי, לצורך קבלת מידע מגוף מדווח או מגוף אחר, לאשר את קישורו של מחשב האיסוף לגופים האמורים ברשת תקשורת ציבורית של ''בזק'', החברה הישראלית לתקשורת בע''מ, או של מפעיל אחר; קישורו של מחשב האיסוף למחשב במשטרת ישראל או בשירות הביטחון הכללי ייעשה בהסכמת הגופים האמורים. 10. אבטחת קווי התקשורת רשת התקשורת הפנימית של מחשבי הרשות תותקן על פי עקרונות האבטחה שנקבעו בתקנות 7 ו-9 ותבטיח, בין השאר, הגנה מפני זליגה אלקטרומגנטית או זליגה בתדר רדיו, הכל כדי למנוע האזנת סתר או חדירה בלתי מורשית למאגר; ראש הרשות, לאחר התייעצות עם הממונה, רשאי להורות כי קווי התקשורת החיצוניים יפעלו באמצעות ערוצי תקשורת ציבוריים, המאובטחים על ידי הצפנה ומערכות תוכנה מיוחדות. 11. אבטחת מחשב האיסוף מבואות מערכת מחשב האיסוף, שבאמצעותו יקוים קשר אלקטרוני עם הגורמים המדווחים על פי החוק, עם הגורמים הרשאים לקבל מידע מהמאגר על פי החוק ועם מאגרי מידע ממלכתיים אחרים, יהיו מוגנים על ידי תוכנה ומערכת הגנה מפני חדירה בלא הרשאה והחדרה של תוכנה עוינת. 12. גיבוי מערכות המחשוב והמידע מערכות המחשוב והמידע יגובו באופן, בצורה ובמועדים שיורה ראש הרשות כדי להבטיח את רציפות הפעילות התקינה ואת שלמותו ואמינותו של חומר המחשב, גם במקרה של פגיעה או תקלה פיסית או לוגית ברכיבי מערכות המחשוב והתקשורת, או של פגיעה פיסית בחצרים שבהם ממוקם המאגר. 13. החזקת מערכות המחשוב והתקשורת תחזוקה מונעת, תיקונים, הוספות ועדכונים טכנולוגיים של מערכות המחשוב והתקשורת יבוצעו באופן סדיר, מהיר ומיומן על ידי טכנאים ומהנדסים של ספקי השירות, שאושרו מראש בידי ראש הרשות או מטעמו; ביצוע פעילויות אלה ייעשה בלי שתהיה לטכנאים ולמהנדסים האמורים גישה לתכנים של רשומות מחשב שבמאגר המידע; לא ניתן לבצע פעילויות אלה בלי גישה לתכנים כאמור, תיעשה הפעילות בפיקוח צמוד של עובד מוסמך של הרשות. 1 ק''ת תשס''ב, 479. מיסיםעבירות מסהלבנת הוןאבטחהתקנות