תקן רב מגן להגנת סייבר ברמה 2 - סטנדרט אבטחת מידע לתעשיות הביטחוניות בישראל

תקן רב מגן 2 - הוא מסגרת עבודה מתקדמת להגנת סייבר ברמה 2, שפותחה על ידי משרד הביטחון הישראלי לצורך הגנה על מידע ביטחוני רגיש. התקן מיועד בעיקר לארגונים, ספקים ותעשיות ביטחוניות המשתפים פעולה עם גופי הביטחון בישראל. הוא נבנה על בסיס הסטנדרט האמריקאי NIST SP 800-171 תוך התאמה לצרכים הייחודיים של מערכת הביטחון הישראלית.
מבנה והיקף התקן התקן מציע חמש רמות הגנה מדורגות, כאשר שלוש הרמות הראשונות (בסיסית, בינונית וגבוהה) הן פומביות, בעוד שתי הרמות הגבוהות יותר מסווגות ונגישות רק לארגונים מורשים. התקן כולל 110 דרישות המחולקות ל-14 קטגוריות מרכזיות:

1. בקרת גישה (Access Control - AC):

הגבלת גישה למשאבי המערכת למשתמשים מורשים בלבד.
יישום עקרון "מינימום הרשאות" (Least Privilege) כדי להבטיח שלמשתמשים יש גישה רק למשאבים הנדרשים לתפקידם. ניהול ובקרה על גישות מרחוק, כולל הצפנת ערוצי התקשורת והגבלת השימוש בחשבונות בעלי הרשאות גבוהות.

2. מודעות והכשרת עובדים (Awareness and Training - AT):

הגברת המודעות לאבטחת מידע בקרב העובדים באמצעות הדרכות והכשרות תקופתיות.
זיהוי וטיפול באיומים פנימיים באמצעות יצירת מודעות לסיכונים פוטנציאליים.

3. בקרת אירועים (Audit and Accountability - AU):

רישום וניטור פעילויות משתמשים במערכות המידע.
שמירת לוגים לאורך זמן, הגנה עליהם מפני שינויים בלתי מורשים וניתוחם לזיהוי חריגות.

4. ניהול תצורה (Configuration Management - CM):

מיפוי וניהול נכסי המערכת, כולל תיעוד תצורות והגדרות.
בקרה על שינויים בתצורת המערכת והערכת השפעתם על רמת ההגנה.

5. זיהוי ואימות (Identification and Authentication - IA):

זיהוי ואימות משתמשים, תהליכים והתקנים לפני מתן גישה למערכות.
יישום אימות רב-גורמי (MFA) עבור גישות קריטיות.

6. תגובה לאירועים (Incident Response - IR):

פיתוח ויישום תהליכים לטיפול בתקריות אבטחת מידע.
דיווח ותיעוד תקריות, כולל בדיקה ותרגול תקופתי של נהלי התגובה.

7. תחזוקת מערכות (Maintenance - MA):

ביצוע תחזוקה מונעת ושוטפת למערכות המידע.
בקרה על גישות לצורך תחזוקה, במיוחד כאשר היא מתבצעת מרחוק.

8. הגנה על מדיה (Media Protection - MP):

הגנה על מדיה המכילה מידע ביטחוני, כולל הצפנה והגבלת גישה.
ניהול תהליכי השמדה או מחיקה מאובטחת של מדיה שאינה בשימוש.

9. הגנה פיזית (Physical Protection - PE):

הבטחת הגנה פיזית על מתקנים ומערכות המכילים מידע ביטחוני.
בקרת גישה פיזית למתקנים, כולל זיהוי ואימות מבקרים.

10. ניהול סיכונים (Risk Assessment - RA):

ביצוע הערכות סיכונים תקופתיות לזיהוי איומים ופגיעויות.
פיתוח תכניות לטיפול בסיכונים מזוהים.

11. הערכת רמת ההגנה (Security Assessment - CA):

ביצוע מבדקי אבטחה פנימיים וחיצוניים להערכת עמידה בדרישות התקן.
תיעוד ממצאים ויישום תיקונים נדרשים.

12. הגנה על תקשורת בין מערכות (System and Communications Protection - SC):

הגנה על תעבורת מידע בין מערכות, כולל הצפנה ובקרת תעבורה.
הפרדת ממשקים ציבוריים ופנימיים למניעת דלף מידע.

13. שלמות מערכות ומידע (System and Information Integrity - SI):

זיהוי והגנה מפני תוכנות זדוניות באמצעות כלים מתאימים.
יישום עדכוני אבטחה ותיקונים למערכות באופן שוטף.

14. ניהול ספקים (Supply Chain Risk Management - SR):

הערכת סיכוני אבטחת מידע הקשורים לספקים ושותפים עסקיים.
הבטחת עמידת ספקים בדרישות אבטחת מידע מתאימות.

הרקע להקמת התקן

התקן פותח על רקע התגברות איומי הסייבר על התעשיות הביטחוניות בישראל, במיוחד לאור האירועים הבאים:

1. התקפות ממוקדות על שרשרת האספקה:

• ניסיונות חדירה דרך ספקי משנה
• מתקפות על מערכות ניהול ייצור
• פריצות למערכות תקשורת ארגוניות
• ניסיונות גניבת קניין רוחני ביטחוני

2. איומים מדינתיים:

• פעילות סייבר עוינת מצד מדינות יריבות
• ניסיונות ריגול תעשייתי מתקדמים
• מתקפות APT (Advanced Persistent Threat)
• פגיעה בתשתיות קריטיות

מקורות והשפעות בינלאומיות

התקן מבוסס על מספר מקורות מרכזיים:

1. סטנדרטים אמריקאיים:

•  NIST SP 800-171
•  CMMC (Cybersecurity Maturity Model Certification)
•  DFARS (Defence Federal Acquisition Regulation Supplement)

2. תקנים בינלאומיים:

• ISO 27001/27002
• תקני NATO לאבטחת מידע
•  דרישות האיחוד האירופי בתחום הסייבר

ניהול סיכוני שרשרת האספקה

התקן מתמקד במיוחד בניהול סיכוני שרשרת האספקה מהסיבות הבאות:

1. מורכבות שרשרת האספקה המודרנית:

• ריבוי ספקים וקבלני משנה
• תלות בספקים בינלאומיים
• שילוב טכנולוגיות מרובות
• אינטגרציה של מערכות שונות

2. נקודות תורפה מרכזיות:

• חולשות במערכות ניהול מלאי
• פרצות אבטחה בתקשורת בין ספקים
• סיכוני אבטחה בתהליכי רכש
• חשיפת מידע רגיש בשרשרת האספקה

3. דרישות אבטחה מספקים:

• הערכת רמת האבטחה של ספקים
• דרישות מינימום לאבטחת מידע
• בקרה שוטפת על ספקים
• תהליכי אישור ספקים חדשים

מנגנוני הגנה מתקדמים

התקן מגדיר מספר מנגנוני הגנה חדשניים:

1. הגנת סייבר מתקדמת:

• שימוש במערכות AI לזיהוי איומים
• הגנה מפני מתקפות מתקדמות
• ניטור רציף של פעילות חשודה
• יכולות תגובה אוטומטיות

2. אבטחת תקשורת:

• הצפנה מתקדמת
• בקרת גישה מבוססת זהות
• סגמנטציה של רשתות
• הגנה על ערוצי תקשורת

יתרונות עסקיים

היישום של התקן מביא מספר יתרונות משמעותיים:

1. יתרונות תחרותיים:

• עמידה בדרישות רגולטוריות בינלאומיות
• שיפור המוניטין העסקי
• הגדלת אמון לקוחות
• יתרון בהתמודדות במכרזים

2. יתרונות תפעוליים:

• שיפור תהליכי עבודה
• הפחתת סיכונים תפעוליים
• ייעול ניהול האבטחה
• שיפור יכולת התאוששות

אתגרי יישום

היישום של התקן מציב מספר אתגרים משמעותיים:

1. אתגרים ארגוניים:

• שינוי תרבות ארגונית
• התנגדות לשינוי
• צורך בהכשרת עובדים
• עלויות יישום גבוהות

2. אתגרים טכנולוגיים:

• התאמת מערכות קיימות
• אינטגרציה של פתרונות חדשים
• עדכון תשתיות מיושנות
• מחסור במומחי אבטחה
• המלצות ליישום

1. גישה מדורגת:

• תכנון מפורט של שלבי היישום
• התחלה מהנכסים הקריטיים ביותר
• יישום הדרגתי של דרישות
• מדידה והערכה שוטפת

2. שיתוף פעולה:

• עבודה עם גורמי מקצוע מובילים
• שיתוף ידע עם ארגונים דומים
• התייעצות עם מומחי תחום
• למידה מניסיון מצטבר

עדכון ותחזוקה

1. תהליכי עדכון:

• מעקב אחר איומים חדשים
• עדכון דרישות בהתאם
• הטמעת טכנולוגיות חדשות
• שיפור מתמיד של מנגנוני ההגנה

2. בקרה ופיקוח:

• ביקורות תקופתיות
• מבדקי חדירה
• הערכת אפקטיביות
• עדכון נהלים ותהליכים

איך אנחנו יכולים לעזור לכם?

1. סקירת הארגון ומילוי שאלון רב מגן
2. ביצוע סקר פערים בין הבקרות הקיימות לנדרשות
3. הכנת תוכנית עבודה לתיקון הפערים מול התקן
4. ליווי ע"י Ciso מוסמך עם התמחות ב - GRC
5. ליווי המבדק

השאירו פרטים ומומחה פתרונות יחזור אליכם