"רב מגן" הוא שם המתודולוגיה של הרגולטור הישראלי לביצוע סקר אבטחת מידע מקיף בארגונים, ספקים וקבלני משנה הפועלים בתעשייה הביטחונית. המתודולוגיה כוללת 44 בקרות אבטחה המחולקות ל-14 תחומים, וכל בקרה נבדקת לפי 4 רמות יישום.

המטרה: ליצור שפה אחידה ומדידה להערכת רמת אבטחת המידע של ספקים, לאפשר השוואה בין ספקים שונים, ולוודא עמידה ברף מינימלי של הגנה.

למה זה נוצר?

התעשייה הביטחונית הישראלית חווה בשנים האחרונות גידול חד בתקיפות שרשרת אספקה - תוקפים מזהים שקל יותר לפרוץ לספק קטן מאשר לתעשייה ביטחונית גדולה, ומשתמשים בספק כ"גשר" למידע רגיש. המתודולוגיה נוצרה כדי להתמודד עם האיום הזה באופן שיטתי.

14 תחומי הביקורת

כל סקר "רב מגן" בודק 44 בקרות המחולקות ל-14 תחומים:

1
בקרת גישה
2
זיהוי ואימות
3
ניהול תצורה
4
בקרת תקשורת
5
שלמות המידע
6
ניהול סיכונים
7
הגנה פיזית
8
תחזוקה ותפעול
9
הערכת רמת ההגנה
10
הגנה על תקשורת
11
אבטחת כ"א
12
ניהול אירועים
13
מערכות ונכסים
14
מודעות והדרכה

4 רמות יישום

כל בקרה מדורגת באחת מ-4 רמות. הדירוג מאפשר לזהות בדיוק איפה הארגון חזק ואיפה יש פערים:

1לא מיושם
2חלקי
3בינוני
4מלא

בסיום הסקר מופק ציון חוסן ארגוני - מספר מצרפי שמייצג את רמת ההגנה הכוללת של הארגון, יחד עם גרפים השוואתיים לפי תחום. הציון מאפשר להנהלה להבין בזריקת עין את מצב האבטחה ולקבל החלטות מבוססות נתונים.

מי צריך לעבור סקר "רב מגן"?

בפועל, כל ספק שמקבל מידע רגיש או ביטחוני מארגון ביטחוני עשוי להידרש לעבור סקר "רב מגן". זה כולל:

איך מתנהל הסקר בפועל?

שלב 1 - הכנה ותיאום: איסוף מידע מקדים, תיאום מול ממונה ביטחון/CISO, קבלת מסמכי מדיניות קיימים.

שלב 2 - ביצוע הסקר: בדיקה מעמיקה של כל 44 בקרות ב-14 תחומים. כולל ריאיונות עם בעלי תפקידים, בדיקת מערכות, הגנה פיזית, ניהול תצורה ועוד. כל בקרה מדורגת ב-4 רמות עם ציון לכל בקרה.

שלב 3 - ניתוח ודירוג: עיבוד הממצאים, חישוב ציון חוסן ארגוני, הפקת גרפים השוואתיים וזיהוי פערים קריטיים.

שלב 4 - דו"ח מסכם: הפקת דו"ח מסכם הכולל תקציר מנהלים, ממצאים מפורטים, המלצות מתועדפות ותוכנית עבודה.

מה קורה אחרי הסקר?

הדו"ח מוגש להנהלת הארגון ולגורם הביטחוני אצל הלקוח. על בסיס הממצאים נבנית תוכנית עבודה לסגירת פערים, עם לוחות זמנים ואחריות מוגדרים. מומלץ לבצע סקר מעקב (Follow-Up) לאחר 6-12 חודשים לוודא שהפערים נסגרו.

הערך האמיתי של "רב מגן" הוא לא העמידה בדרישה הרגולטורית - אלא היכולת לראות בצורה ברורה איפה הארגון חשוף, ולפעול בהתאם לפני שתוקף עושה את זה בשבילכם.

מקורות

  1. משרד הביטחון - רב מגן, דף הבית, mod.gov.il
  2. NIST SP 800-171 Rev. 2 - Protecting Controlled Unclassified Information, csrc.nist.gov
  3. ISO/IEC 27001:2022 - Information Security Management Systems, iso.org
  4. מערך הסייבר הלאומי - תורת ההגנה בסייבר לארגון 2.0, gov.il

צריכים לעבור סקר "רב מגן"?

אנו מבצעים סקרי "רב מגן" מלאים - 44 בקרות, 14 תחומים, ציון חוסן ארגוני ודו"ח מסכם עם תוכנית עבודה. מבוצע על ידי CISO/DPO מוסמך.

דברו איתנו