Chat now with support
Chat mit Support

Identity Manager 8.1 - Administrationshandbuch für Risikobewertungen

Risikobewertung

Jede Person in einem Unternehmen, die über Berechtigungen in einem IT-System verfügt, birgt für das Unternehmen ein Sicherheitsrisiko. Beispielsweise trägt eine Person, die berechtigt ist, Finanzdaten im SAP System zu bearbeiten, ein höheres Risiko, als eine Person, die die eigenen Personenstammdaten bearbeiten darf. Um dieses Risiko zu bewerten, können Sie mit dem One Identity Manager für jede Unternehmensressource einen Risikowert erfassen. Für jede Person, der diese Unternehmensressourcen direkt oder indirekt zugewiesen sind, wird aus diesen Werten ein Risikoindex berechnet. Unternehmensressourcen umfassen Zielsystemberechtigungen (beispielsweise Active Directory Gruppen oder SAP Profile), abonnierbare Berichte, Applikationen und Ressourcen. Dadurch können alle Personen ermittelt werden, die im Unternehmen über besonders risikoreiche Unternehmensressourcen verfügen.

Im Rahmen des Identity Audits können auch Regeln mit einem Risikoindex versehen werden. Mit jeder Regelverletzung kann sich das Sicherheitsrisiko aller Personen erhöhen, die die Regel verletzen. Daher werden auch diese Risikoindizes in die Risikoberechnung der Personen einbezogen. Über risikomindernde Maßnahmen können Sie geeignete Gegenmaßnahmen definieren und an den Complianceregeln hinterlegen.

Weitere Faktoren beeinflussen den berechneten Risikoindex von Personen. Das sind unter anderem die Art der Zuweisung einer Ressource (genehmigte Bestellung im IT Shop oder Direktzuweisung), Attestierungen, Ausnahmegenehmigungen für Regelverletzungen, Verantwortlichkeiten der Person und definierte Wichtungen. Darüber hinaus kann der Risikoindex auch für alle Geschäftsrollen, Organisationen und Systemrollen berechnet werden, denen Unternehmensressourcen zugewiesen sind. Der Risikoindex von Benutzerkonten wird anhand der zugewiesenen Systemberechtigungen berechnet.

Für die im Folgenden beschriebenen Risikoindexberechnungen stellt der One Identity Manager Standard-Berechnungsvorschriften bereit. Diese stehen zur Verfügung, wenn die jeweiligen Module installiert sind. Darüber hinaus können Sie unternehmensspezifische Berechnungsvorschriften erstellen.

Um die Möglichkeiten der Risikobewertung zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter "QER\CalculateRiskIndex" und kompilieren Sie die Datenbank.

One Identity Manager Benutzer für die Konfiguration der Risikobewertung

In die Festlegung der Risikoindizes und die Bearbeitung der Berechnungsvorschriften für Risikoindizes sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Verantwortliche für die einzelnen Unternehmensressourcen

Die Benutzer werden über die verschiedenen Anwendungsrollen für Administratoren und Verantwortliche definiert.

Benutzer mit diesen Anwendungsrollen:

  • Legen die Risikoindizes der Unternehmensressourcen fest, für die sie verantwortlich sind.

Administratoren für Complianceregeln

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Legen die Risikoindizes für Complianceregeln fest.
  • Legen risikomindernde Maßnahmen fest.
  • Erstellen und bearbeiten Berechnungsvorschriften.

Administratoren für Attestierungsvorgänge

Die Administratoren sind der Anwendungsrolle Identity & Access Governance | Attestierung | Administratoren zugewiesen.

Benutzer mit dieser Anwendungsrolle:

  • Legen die Risikoindizes für Attestierungsrichtlinien fest.
  • Legen risikomindernde Maßnahmen fest.
  • Erstellen und bearbeiten Berechnungsvorschriften.

Administratoren für Unternehmensrichtlinien

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichlinien | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Legen die Risikoindizes für Unternehmensrichtlinien fest.
  • Legen risikomindernde Maßnahmen fest.
  • Erstellen und bearbeiten Berechnungsvorschriften.
Administratoren für Personen

Die Administratoren müssen der Anwendungsrolle Identity Management | Personen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erstellen und bearbeiten Berechnungsvorschriften.
One Identity Manager Administratoren
  • Erstellen bei Bedarf im Designer kundenspezifische Rechtegruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Rechtegruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

  • Erstellen und konfigurieren bei Bedarf Kennwortrichtlinien.

 

Risikoindex festlegen

Der Risikoindex kann für folgende Objekttypen im One Identity Manager erfasst werden.

Hinweis: Die Objekttypen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.
Tabelle 2: Risikoindex für Objekte im One Identity Manager
Objekttyp Anwendung Verfügbar im Modul

Active Directory Gruppen

Risiko für das Unternehmen, wenn die Zielsystemberechtigung vergeben ist.

Active Directory Modul

SAP Gruppen, SAP Rollen, SAP Profile,

SAP R/3 Benutzermanagement-Modul

Strukturelle Profile

Modul SAP R/3 Strukturelle Profile Add-on

BI Analyseberechtigungen

Modul SAP R/3 Analyseberechtigungen Add-on

LDAP Gruppen

LDAP Modul

IBM Notes Gruppen

IBM Notes Modul

SharePoint Gruppen,

SharePoint Rollen

SharePoint Modul

E-Business Suite Berechtigungen

Oracle E-Business Suite Modul
Azure Active Directory Gruppen Azure Active Directory Modul

G Suite Gruppen

G Suite Modul

G Suite Produkte und SKUs

G Suite Modul

UNIX Gruppen Modul Unix-basierte Zielsysteme
Cloud Gruppen Modul Cloud Systems Management

PAM Benutzergruppen

Privileged Account Governance Modul

Systemberechtigungen im Unified Namespace

Zielsystem Basismodul

Applikationen

Risiko für das Unternehmen, wenn die Kontendefinition, Applikation oder Ressource einer Person zugewiesen ist.

Modul Applikationsmanagement

Ressourcen

immer

Kontendefinitionen Zielsystem Basismodul
Mehrfach bestellbare Ressourcen Risiko für das Unternehmen, wenn die Ressource einer IT Shop Struktur zugewiesen ist. immer
Mehrfach zu-/abbestellbare Ressourcen immer
Zuweisungsressourcen immer

Anwendungsrollen

Risiko für das Unternehmen, wenn eine Person Mitglied dieser Anwendungsrolle ist.

immer

Complianceregeln

Risiko für das Unternehmen, wenn die Regel verletzt wird.

Modul Complianceregeln

SAP Funktionen

Risiko für das Unternehmen, wenn SAP Benutzerkonten die SAP Funktion treffen.

Modul SAP R/3 Compliance Add-on

Unternehmensrichtlinien

Risiko für das Unternehmen, wenn die Unternehmensrichtlinie verletzt wird.

Modul Unternehmensrichtlinien

Attestierungsrichtlinien

Risiko für das Unternehmen, wenn ein Attestierungsvorgang dieser Attestierungsrichtlinie abgelehnt wird.

Modul Attestierung

Abonnierbare Berichte

Risiko für das Unternehmen, wenn eine Person diesen Bericht abonniert hat.

Modul Berichtsabonnement

Um den Risikoindex zu erfassen

  1. Öffnen Sie das Stammdatenformular des Objekts, für das ein Risikoindex erfasst werden soll.
  2. Stellen Sie im Eingabefeld Risikoindex den gewünschten Wert ein.

    Der Risikoindex wird als Gleitkommazahl im Wertebereich 0,0 ... 1,0 angegeben. Dabei bedeuten:

    • 0,0: kein Risiko
    • 1,0: Problem; Risiko ist eingetreten

Risikoindex berechnen

Auf Basis der erfassten Risikoindizes errechnet der One Identity Manager für Personen, Benutzerkonten und hierarchische Rollen die resultierenden Risikoindizes. Dabei werden alle direkt und indirekt zugewiesenen Objekte berücksichtigt.

Für folgende Objekttypen wird der Risikoindex berechnet.

Tabelle 3: Objekttypen mit berechnetem Risikoindex

Objekttyp

Berechnung

Verfügbar im Modul

Personen

Wird aus den Risikoindizes aller verbundenen Benutzerkonten, den direkt und indirekt zugewiesenen Applikationen, Ressourcen, Kontendefinitionen und abonnierbaren Berichten, den Mitgliedschaften in Anwendungsrollen und den Regelverletzungen berechnet.

immer

Active Directory Benutzerkonten

Wird aus den Risikoindizes aller zugewiesenen Zielsystemberechtigungen berechnet.

Active Directory Modul

SAP Benutzerkonten

SAP R/3 Benutzermanagement-Modul

BI Benutzerkonten

Modul SAP R/3 Analyseberechtigungen Add-on

LDAP Benutzerkonten

LDAP Modul

IBM Notes Benutzerkonten

IBM Notes Modul

SharePoint Benutzerkonten

SharePoint Modul

E-Business Suite Benutzerkonten

Oracle E-Business Suite Modul

Azure Active Directory Benutzerkonten

Azure Active Directory Modul

G Suite Benutzerkonten

G Suite Modul

UNIX Benutzerkonten

Modul Unix-basierte Zielsysteme

Cloud Benutzerkonten

Modul Cloud Systems Management

PAM Benutzerkonten

Privileged Account Governance Modul

Benutzerkonten

Zielsystem Basismodul

Abteilungen, Standorte, Kostenstellen

Wird aus den Risikoindizes aller zugewiesenen Unternehmensressourcen berechnet.

immer

Geschäftsrollen

Geschäftsrollenmodul

Systemrollen

Systemrollenmodul

IT Shop-Strukturen

immer

Regelverletzungen

Wird aus dem Risikoindex der verletzten Regel und den zugewiesenen risikomindernden Maßnahmen ermittelt.

Modul Complianceregeln

Hinweis: Wenn Sie mit der Data Governance Edition arbeiten, können Sie auch Risikoindizes für Daten unter Überwachung festlegen und berechnen. Diese gehen dann ebenfalls in die Berechnung der Risikoindizes an Personen ein. Weitere Informationen erhalten Sie im Data Governance User Guide.

Der One Identity Manager liefert Standard-Berechnungsvorschriften für die Risikoindizes mit, in denen die Risikoberechnung für die hier aufgeführten Objekttypen definiert ist. Einzelne Eigenschaften der Standard-Berechnungsvorschriften können im One Identity Manager bearbeitet werden. Darüber hinaus können Sie unternehmensspezifische Berechnungsvorschriften erfassen.

Verwandte Themen
Self-Service-Tools
Knowledge Base
Benachrichtigungen und Warnmeldungen
Produkt-Support
Software-Downloads
Technische Dokumentationen
Benutzerforen
Videoanleitungen
RSS Feed
Kontakt
Unterstützung bei der Lizenzierung
Technische Support
Alle anzeigen
Verwandte Dokumente