Definition und Zweck

Der Hauptzweck des C2M2 besteht darin, Organisationen bei der Bewertung und Verbesserung ihrer Cybersecurity-Fähigkeiten zu unterstützen. Es bietet ein strukturiertes Framework, das Organisationen hilft, ihren aktuellen Stand der Cybersecurity-Reife zu verstehen, Ziele für Verbesserungen zu setzen und Maßnahmen zur Stärkung ihrer Cybersecurity-Verteidigung zu priorisieren.

Das C2M2 kann als Leitfaden für die Entwicklung eines neuen Cybersecurity-Programms oder in Kombination mit dem C2M2-Selbstevaluierungstool verwendet werden, um ein bestehendes Programm zu messen und zu verbessern.

Verwaltungsorgan

Das C2M2 wird vom US-Energieministerium (DOE) verwaltet. Es wurde ursprünglich durch eine Zusammenarbeit zwischen Organisationen des öffentlichen und privaten Sektors entwickelt, gesponsert vom DOE sowie dem Elektrizitätsuntersektor-Koordinierungsrat (ESCC) und dem Erdöl- und Erdgasuntersektor-Koordinierungsrat (ONG SCC).

Zuletzt aktualisiert

Die neueste Version des C2M2 — Version 2.1 — wurde im Juni 2022 veröffentlicht.

Diese Version enthält Leitlinien von Cybersecurity-Praktikern aus dem Energiesektor, um neue Angriffsvektoren und Risiken zu adressieren und die Ausrichtung an international anerkannten Cyberstandards und Best Practices, einschließlich NIST 800-53 und dem NIST CSF, zu verbessern.

Gilt für

Während die US-Energieindustrie seine Entwicklung und Einführung vorangetrieben hat, ist das C2M2 auf Organisationen aller Sektoren, Typen und Größen anwendbar. Es ist besonders relevant für Organisationen, die in Sektoren tätig sind, in denen der Schutz kritischer Ressourcen und Infrastrukturen für die nationale Sicherheit und öffentliche Sicherheit essentiell ist, wie Energie, Transport und Gesundheitswesen.

Kontrollen und Anforderungen

Das C2M2-Modell wurde entwickelt, um beschreibende und nicht vorschreibende Leitlinien bereitzustellen. Statt einer Liste von Kontrollen oder Anforderungen enthält es 356 Cybersecurity-Praktiken, die in 10 Bereiche basierend auf wichtigen Zielen gruppiert sind.

Die 10 Bereiche sind unten aufgeführt, mit einigen eingeführten Kontexten und Praktiken:

• Asset-, Änderungs- und Konfigurationsmanagement (ASSET): Dieser Bereich bewertet die Praktiken einer Organisation in Bezug auf die Identifizierung, Verfolgung und Verwaltung ihrer Informationsressourcen, Änderungen und Konfigurationen. Ein effektives Management von Ressourcen hilft, kritische Daten und Systeme zu schützen.
• Bedrohungs- und Schwachstellenmanagement (THREAT): Dieser Bereich bewertet die Pläne, Verfahren und Technologien einer Organisation zur Erkennung, Identifizierung, Analyse, Verwaltung und Reaktion auf Cybersecurity-Bedrohungen und Schwachstellen, entsprechend dem Risiko für die Infrastruktur der Organisation (wie z. B. kritische, IT- und Betriebssysteme) und den organisatorischen Zielen.
• Risikomanagement (RISK): Dieser Bereich bewertet die Fähigkeit einer Organisation, Cybersecurity-Risiken effektiv zu identifizieren und zu managen. Es umfasst Aktivitäten wie Risikobewertung, Risikominderung und Risikoüberwachung.
• Identitäts- und Zugriffsverwaltung (ACCESS): Diese Domäne bewertet, wie gut eine Organisation den Benutzerzugriff auf ihre Systeme und Daten kontrolliert. Sie umfasst Authentifizierungs-, Autorisierungs- und Zugriffskontrollmaßnahmen, um sicherzustellen, dass nur autorisierte Personen auf vertrauliche Informationen zugreifen können.
• Situationsbewusstsein (SITUATION): Diese Domäne konzentriert sich auf die Fähigkeit einer Organisation, Cybersecurity-Bedrohungen und -Vorfälle in Echtzeit zu überwachen und zu erkennen. Sie umfasst Sicherheitsüberwachung, Bedrohungsinformationen und Fähigkeiten zur Vorfallreaktion.
• Veranstaltungs- und Vorfallreaktion, Kontinuität des Betriebs (RESPONSE): Diese Domäne konzentriert sich auf die Fähigkeit einer Organisation, auf Cybersecurity-Vorfälle zu reagieren, die Geschäftskontinuität aufrechtzuerhalten und sich von Störungen zu erholen.
• Risikomanagement Dritter (THIRD-PARTIES): Diese Domäne bewertet die Kontrollen einer Organisation für die Verwaltung der Cyberrisiken, die sich aus Lieferanten und anderen Dritten ergeben.
• Personalmanagement (WORKFORCE): Diese Domäne bewertet die Pläne, Verfahren, Technologien und Kontrollen einer Organisation, um eine Kultur der Cybersicherheit zu schaffen und die fortlaufende Eignung und Kompetenz des Personals sicherzustellen.
• Cybersecurity-Architektur (ARCHITECTURE): Diese Domäne konzentriert sich auf die Struktur und das Verhalten der Cybersecurity-Architektur einer Organisation, einschließlich Kontrollen, Prozessen, Technologien und anderen Elementen.
• Cybersecurity-Programmanagement (PROGRAM): Diese Domäne bewertet das Cybersecurity-Programm einer Organisation, das Governance, strategische Planung und Unterstützung für die Cybersecurity-Aktivitäten der Organisation bietet, um sicherzustellen, dass die Cybersecurity-Ziele sowohl mit den strategischen Zielen der Organisation als auch mit dem Risiko für die kritische Infrastruktur übereinstimmen.

Bitte beachten Sie die offizielle C2M2-Dokumentation für eine detaillierte Liste der in jeder Domäne gruppierten Cybersecurity-Praktiken.

Audittyp, Häufigkeit und Dauer

Das C2M2 soll von einer Organisation verwendet werden, um ihre Cybersecurity-Fähigkeiten zu bewerten. Dies erfolgt typischerweise durch eine Selbsteinschätzung mithilfe eines der kostenlosen C2M2-Selbsteinschätzungstools, die vom DOE verfügbar sind. Diese Art der Selbsteinschätzung kann an einem Tag abgeschlossen werden. Das Modell könnte jedoch auch für einen strengeren Selbsteinschätzungsaufwand unter Verwendung eines anderen Tools angepasst werden.

Neubewertungen sollten regelmäßig stattfinden, beispielsweise jährlich oder früher, wenn als Reaktion auf wesentliche Änderungen in den Geschäfts-, Technologie-, Markt- oder Bedrohungsumgebungen erforderlich.