Chat now with support
Chat mit Support

Identity Manager 8.2.1 - Administrationshandbuch für Risikobewertungen

Risikominderung berechnen

Tabelle 11: Konfigurationsparameter für die Berechnung des Risikoindex von Regelverletzungen
Konfigurationsparameter Wirkung bei Aktivierung
QER\CalculateRiskIndex\MitigatingControlsPerViolation

Der Konfigurationsparameter regelt die Berechnung von Risikoindizes für Regelverletzungen. Ist der Parameter aktiviert, können Ausnahmegenehmiger risikomindernde Maßnahmen an Regelverletzungen zuweisen. Die Risikoindexberechnung berücksichtigt nur diese risikomindernden Maßnahmen. Ist der Parameter deaktiviert, berücksichtigt die Risikoindexberechnung die risikomindernden Maßnahmen, die an Complianceregeln zugewiesen sind.

Die Signifikanzminderung einer risikomindernden Maßnahme gibt den Wert an, um den sich der Risikoindex einer Complianceregel, SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie reduziert, wenn die Maßnahme umgesetzt wird. Auf Basis des erfassten Risikoindex und der Signifikanzminderung errechnet der One Identity Manager einen reduzierten Risikoindex. Der One Identity Manager liefert Standard-Berechnungsvorschriften für die Berechnung der reduzierten Risikoindizes. Diese Berechnungsvorschriften können mit den One Identity Manager-Werkzeugen nicht bearbeitet werden.

Der reduzierte Risikoindex berechnet sich aus dem Risikoindex der SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie und der Summe der Signifikanzminderungen aller zugewiesenen risikomindernden Maßnahmen.

Die Berechnung der Risikominderung für Regelverletzungen ist abhängig vom Konfigurationsparameter QER | CalculateRiskIndex | MitigatingControlsPerViolation.

Tabelle 12: Wirkung des Konfigurationsparameters auf die Berechnung der Risikominderung
Konfigurationsparameter Wirkung

Deaktiviert

Es wird der reduzierte Risikoindex der Complianceregeln berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die einer Complianceregel zugewiesen sind.

Aktiviert

Der Risikoindex der Complianceregeln wird nicht reduziert. Damit entspricht der reduzierte Risikoindex dem erfassten Risikoindex der Complianceregeln.

Es wird der reduzierte Risikoindex von Personen mit Regelverletzungen berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die bei einer Ausnahmegenehmigung an eine Regelverletzung zugewiesen wurden.

Risikoindex (reduziert) = Risikoindex - Summe der Signifikanzminderungen

Wenn die Summe der Signifikanzminderung größer als der Risikoindex ist, wird der reduzierte Risikoindex auf den Wert 0 gesetzt.

Verwandte Themen

Anhang: Beispiel für eine Risikoindexberechnung

Die Risikoindexberechnung wird anhand einer Person mit Berechtigungen in einem SAP System und mit zugewiesener Software erläutert. Die Person ist ein Manager.

Clara Harris ist

  • ein interner Mitarbeiter
  • primäres Mitglied der Abteilung "Personal"
  • Kunde im IT Shop "Software"

Der Abteilung "Personal" sind zugewiesen

  • eine Kontendefinition KRSAP für den SAP Mandanten "SAPMandant"
  • eine SAP Gruppe SAPG1

Außerdem gilt

  • Über den IT Shop hat Clara Harris drei Software-Anwendungen bestellt. Die Bestellungen wurden genehmigt; die Software ist zugewiesen.
  • Über die Kontendefinition wurde das Benutzerkonto CLARAH (SAP R/3) erzeugt.
  • Das Benutzerkonto CLARAH ist direktes Mitglied der SAP Gruppe SAPG2.
  • Dem Benutzerkonto CLARAH ist das strukturelle Profil SAPSP direkt zugewiesen.
  • Clara Harris ist Leiterin einer Arbeitsgruppe und damit Manager von 10 Mitarbeitern.
  • Personen werden regelmäßig attestiert.

An den Unternehmensressourcen sind folgende Risikoindizes erfasst:

Unternehmensressource Risikoindex
KRSAP 0,0
SAPG1 0,7
SAPG2 0,2
SAPSP 0,5
Software 1 0,1
Software 2 0,2
Software 3 0,3

Der One Identity Manager berechnet über die Standard-Berechnungsvorschriften Risikoindizes für folgende Objekttypen:

Tabelle aus den Risikoindizes der Objekte
Personen alle zugewiesenen Objekte
Softwarezuweisungen Software-Anwendungen
Zuweisungen Kontendefinitionen Kontendefinitionen
SAP Benutzerkonten SAP Gruppen, Strukturelle Profile
Rollen und Organisationen Software (für die Produktknoten der drei Software-Anwendungen)

SAP Gruppen (für die Abteilung R)

Kontendefinitionen (für die Abteilung R)

Die Berechnungsart ist Maximum (gewichtet). Der Wichtungsfaktor ist 1.

Ablauf der Berechnung

  1. Risikoindizes der Tabelle SAP Benutzerkonten: Zuweisungen an Gruppen ermitteln.

    Die Tabelle enthält zwei Einträge für das Benutzerkonto CLARAH. Die Risikoindizes entsprechen den Risikoindizes der zugewiesenen SAP Gruppen SAPG1 und SAPG2. Da die SAP Gruppe SAPG1 durch Vererbung zugewiesen ist, wird der Risikoindex dieser SAP Gruppe vermindert.

  2. Risikoindizes der Tabelle SAP Benutzerkonten: Zuweisungen an strukturelle Profile ermitteln.

    Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex entspricht dem Risikoindex des zugewiesenen strukturellen Profils SAPSP.

  3. Risikoindex der Tabelle SAP Benutzerkonten berechnen.

    Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex wird aus den in Schritt 1 und 2 ermittelten Risikoindizes berechnet.

  4. Risikoindex der Tabelle Softwarezuweisungen ermitteln.

    Die Tabelle enthält drei Einträge für Clara Harris für die drei zugewiesenen Software-Anwendungen. Die Risikoindizes entsprechen den Risikoindizes der Software-Anwendungen.

  5. Risikoindex der Tabelle Zuweisungen Kontendefinitionen ermitteln.

    Die Tabelle enthält einen Eintrag für Ines Franz. Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.

  6. Risikoindex der Tabelle Personen berechnen.

    Die Tabelle enthält einen Eintrag für Clara Harris. Der Risikoindex wird aus den in den Schritten 3, 4 und 5 berechneten Risikoindizes berechnet. Da Clara Harris Manager anderer Personen ist, wird der berechnete Risikoindex erhöht. Da der zuletzt abgeschlossene Attestierungsvorgang für Clara Harris genehmigt wurde, wird der berechnete Risikoindex vermindert.

    Tabelle 13: Ergebnisse der Risikoindexberechnung

    #

    Objekt

    ermittelter Risikoindex

    +/-

    resultierender Risikoindex

    Kommentar

    1

    CLARAH: SAPG1

    0,7

    -0,05

    0,65

    Verminderung, da vererbt

    CLARAH: SAPG2

    0,2

    0,2

    direkt zugewiesen

    2

    CLARAH: SAPSP

    0,5

    0,5

    direkt zugewiesen

    3

    CLARAH

    0,65

    0,65

    maximaler Wert aus Schritt 1 und 2

    0,5

    4

    Clara Harris: Software 1

    0,1

    0,1

    Clara Harris: Software 2

    0,2

    0,2

    Clara Harris: Software 3

    0,3

    0,3

    5

    Clara Harris: KRSAP

    0,0

    0,0

    6

    Clara Harris

    0,65

    0,65

    maximaler Wert aus Schritt 3, 4 und 5

    0,3

    0,0

    +0,2

    0,85

    Erhöhung, da Clara Harris Manager anderer Personen ist

    -0,33

    0,52

    Verminderung, da die Attestierung genehmigt ist

    Legende: # – Schritt, +/- – Erhöhung/Verminderung

  1. Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen Software ermitteln.

    Die Tabelle enthält je einen Eintrag für die bestellten Software-Anwendungen. Die Risikoindizes entsprechen den Risikoindizes der Software-Anwendungen.

  2. Risikoindex der Tabelle Rollen und Organisationen berechnen.

    Die Tabelle enthält je einen Eintrag für die Produktknoten der drei Software-Anwendungen. Die Risikoindizes werden aus den in Schritt 7 ermittelten Risikoindizes berechnet.

  3. Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen Kontendefinitionen ermitteln.

    Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.

  4. Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen SAP Gruppen ermitteln.

    Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen SAP Gruppe SAPG1.

  5. Risikoindex der Tabelle Rollen und Organisationen berechnen.

    Die Tabelle enthält je einen Eintrag für die Abteilung "Personal". Der Risikoindex wird aus den in Schritt 9 und 10 ermittelten Risikoindizes berechnet. Da der Abteilung kein Manager zugeordnet ist, wird der berechnete Risikoindex erhöht.

  6. Risikoindex der Tabelle Personen: Mitgliedschaften in Rollen und Organisationen ermitteln.

    Die Tabelle enthält drei Einträge für Clara Harris, da sie Mitglied der drei Produktknoten ist. Die Risikoindizes werden aus den in Schritt 8 berechneten Risikoindizes ermittelt. Die Tabelle enthält keinen Eintrag für die Abteilung R, da Clara Harris kein sekundäres Mitglied dieser Abteilung ist (sondern primäres).

    Tabelle 14: Ergebnisse der Risikoindexberechnung

    #

    Objekt

    ermittelter Risikoindex

    +/-

    resultierender Risikoindex

    Kommmentar

    7

    Produktknoten 1:

    Software 1

    0,1

    0,1

    Produktknoten 2:

    Software 2

    0,2

    0,2

    Produktknoten 3:

    Software 3

    0,3

    0,3

    8

    Produktknoten 1

    0,1

    0,1

    Produktknoten 2

    0,2

    0,2

    Produktknoten 3

    0,3

    0,3

    9

    Personal: KRSAP

    0,0

    0,0

    10

    Personal: SAPG1

    0,5

    0,5

    11

    Personal

    0,0

    0,5

    maximaler Wert aus Schritt 9 und 10

    0,5

    0,5

    +0,05

    0,55

    Erhöhung, da die Abteilung keinen Manager hat

    12

    Clara Harris:

    Produktknoten 1

    0,1

    0,1

    Clara Harris:

    Produktknoten 2

    0,2

    0,2

    Clara Harris:

    Produktknoten 3

    0,3

    0,3

     

    Legende: # – Schritt, +/- – Erhöhung/Verminderung

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen