"רב מגן" הוא שם המתודולוגיה של הרגולטור הישראלי לביצוע סקר אבטחת מידע מקיף בארגונים, ספקים וקבלני משנה הפועלים בתעשייה הביטחונית. המתודולוגיה כוללת 44 בקרות אבטחה המחולקות ל-14 תחומים, וכל בקרה נבדקת לפי 4 רמות יישום.

המטרה: ליצור שפה אחידה ומדידה להערכת רמת אבטחת המידע של ספקים, לאפשר השוואה בין ספקים שונים, ולוודא עמידה ברף מינימלי של הגנה.

למה זה נוצר?

התעשייה הביטחונית הישראלית חווה בשנים האחרונות גידול חד בתקיפות שרשרת אספקה - תוקפים מזהים שקל יותר לפרוץ לספק קטן מאשר לתעשייה ביטחונית גדולה, ומשתמשים בספק כ"גשר" למידע רגיש. המתודולוגיה נוצרה כדי להתמודד עם האיום הזה באופן שיטתי.

14 תחומי הביקורת

כל סקר "רב מגן" בודק 44 בקרות המחולקות ל-14 תחומים:

1
בקרת גישה
2
זיהוי ואימות
3
ניהול תצורה
4
בקרת תקשורת
5
שלמות המידע
6
ניהול סיכונים
7
הגנה פיזית
8
תחזוקה ותפעול
9
הערכת רמת ההגנה
10
הגנה על תקשורת
11
אבטחת כ"א
12
ניהול אירועים
13
מערכות ונכסים
14
מודעות והדרכה

4 רמות יישום

כל בקרה מדורגת באחת מ-4 רמות. הדירוג מאפשר לזהות בדיוק איפה הארגון חזק ואיפה יש פערים:

1לא מיושם
2חלקי
3בינוני
4מלא

בסיום הסקר מופק ציון חוסן ארגוני - מספר מצרפי שמייצג את רמת ההגנה הכוללת של הארגון, יחד עם גרפים השוואתיים לפי תחום. הציון מאפשר להנהלה להבין בזריקת עין את מצב האבטחה ולקבל החלטות מבוססות נתונים.

מי צריך לעבור סקר "רב מגן"?

בפועל, כל ספק שמקבל מידע רגיש או ביטחוני מארגון ביטחוני עשוי להידרש לעבור סקר "רב מגן". זה כולל:

איך מתנהל הסקר בפועל?

שלב 1 - הכנה ותיאום: איסוף מידע מקדים, תיאום מול ממונה ביטחון/CISO, קבלת מסמכי מדיניות קיימים.

שלב 2 - ביצוע הסקר: בדיקה מעמיקה של כל 44 בקרות ב-14 תחומים. כולל ריאיונות עם בעלי תפקידים, בדיקת מערכות, הגנה פיזית, ניהול תצורה ועוד. כל בקרה מדורגת ב-4 רמות עם ציון לכל בקרה.

שלב 3 - ניתוח ודירוג: עיבוד הממצאים, חישוב ציון חוסן ארגוני, הפקת גרפים השוואתיים וזיהוי פערים קריטיים.

שלב 4 - דו"ח מסכם: הפקת דו"ח מסכם הכולל תקציר מנהלים, ממצאים מפורטים, המלצות מתועדפות ותוכנית עבודה.

מה קורה אחרי הסקר?

הדו"ח מוגש להנהלת הארגון ולגורם הביטחוני אצל הלקוח. על בסיס הממצאים נבנית תוכנית עבודה לסגירת פערים, עם לוחות זמנים ואחריות מוגדרים. מומלץ לבצע סקר מעקב (Follow-Up) לאחר 6-12 חודשים לוודא שהפערים נסגרו.

הערך האמיתי של "רב מגן" הוא לא העמידה בדרישה הרגולטורית - אלא היכולת לראות בצורה ברורה איפה הארגון חשוף, ולפעול בהתאם לפני שתוקף עושה את זה בשבילכם.

שאלות נפוצות על סקר רב מגן

מה ההבדל בין סקר רב מגן ל-NIST 800-171?

רב מגן הוא המתודולוגיה הישראלית המבוססת על מסגרת NIST CSF ו-NIST 800-171, אך מותאמת לדרישות הרגולטור הישראלי. NIST 800-171 כוללת 110 בקרות בעוד שרב מגן מתמקדת ב-44 בקרות מרכזיות, עם דגש על שרשרת אספקה ביטחונית.

כמה זמן לוקח סקר רב מגן?

סקר רב מגן מתבצע ב-4 שלבים: הכנה ותיאום (1-2 שבועות), ביצוע הסקר בפועל (2-4 שבועות), ניתוח ודירוג (1-2 שבועות), והפקת דוח מסכם (1-2 שבועות). סך הכל בין 5 ל-10 שבועות, תלוי בגודל הארגון ובמורכבות המערכות.

איך מתכוננים לסקר רב מגן?

הכנה טובה כוללת: איסוף מסמכי מדיניות קיימים, מיפוי הנכסים והמערכות, סקירת בקרות הגישה, תיעוד תהליכים תפעוליים, מינוי בעלי תפקידים (CISO/ממונה ביטחון, מנהל IT), והכנה לראיונות עם הצוות.

מה קורה אם נכשלים בסקר רב מגן?

אין כישלון במובן הקלאסי. הסקר מציג ציון חוסן ארגוני ומפרט את הפערים. במידה ולא עומדים ברף הנדרש, ניתנת תקופת תיקון לסגירת הפערים, לאחריה מתקיים סקר חוזר.

כמה עולה סקר רב מגן?

העלות תלויה בגודל הארגון, מורכבות המערכות, ומספר המיקומים. סקר רב מגן בארגון בינוני נע בין עשרות אלפי שקלים לכמה מאות אלפי שקלים.

מקורות

  1. משרד הביטחון - רב מגן, דף הבית, mod.gov.il
  2. NIST SP 800-171 Rev. 2 - Protecting Controlled Unclassified Information, csrc.nist.gov
  3. ISO/IEC 27001:2022 - Information Security Management Systems, iso.org
  4. מערך הסייבר הלאומי - תורת ההגנה בסייבר לארגון 2.0, gov.il

מאמרים ושירותים קשורים

מאמרCMMC Level 2 שירותסקר רב מגן שירותסקר ביטחון 360° מאמר5 סימנים שספק חשוף

צריכים לעבור סקר "רב מגן"?

אנו מבצעים סקרי "רב מגן" מלאים - 44 בקרות, 14 תחומים, ציון חוסן ארגוני ודו"ח מסכם עם תוכנית עבודה. מבוצע על ידי CISO/DPO מוסמך.

דברו איתנו