Risikoindexberechnung starten
Die Risikoindexberechnung wird durch folgende Ereignisse gestartet:
-
Eine Berechnungsvorschrift wurde geändert.
-
Objekte in den Quelltabellen wurden geändert.
-
Ein zeitgesteuerter Berechnungsauftrag wird ausgeführt.
Berechnungsvorschrift wurde geändert
Sobald eine Berechnungsvorschrift geändert wurde, wird die Berechnungsprozedur für die betroffene Tabellenspalte (Ziel) neu erstellt. Dabei wird für jede Tabellenspalte (Ziel) genau eine Prozedur erstellt, die alle aktivierten Berechnungsvorschriften für diese Tabellenspalte zusammenfasst. Anschließend werden die Risikoindizes neu berechnet.
Datenänderung in einer Quelltabelle
Sobald sich Daten in den Quelltabellen ändern, werden die Risikoindizes neu berechnet. Dafür wird ein Berechnungsauftrag in den DBQueue Prozessor eingestellt. Wenn die Option Direkte Berechnung an der Berechnungsvorschrift aktiviert ist, werden die betroffenen Risikoindizes sofort berechnet. Die Berechnung wird in diesem Fall nicht über den DBQueue Prozessor gesteuert.
Folgende Änderungen in den Quelltabellen lösen eine Neuberechnung aus
-
Objekte wurden eingefügt oder gelöscht
-
Die Herkunft einer Zuweisung hat sich geändert.
-
Die Wirksamkeit einer Zuweisung hat sich geändert.
-
Risikoindizes wurden geändert
-
Risikoindizes wurden berechnet
Alle anderen Änderungen lösen keine automatische Neuberechnung der Risikoindizes aus. Damit sich auch diese Änderungen auf die berechneten Risikoindizes auswirken können, kann die Risikoindexberechnung durch einen zeitgesteuerten Prozessauftrag ausgelöst werden. Das ist beispielsweise erforderlich, damit die Genehmigung von Attestierungsvorgängen in den berechneten Risikoindizes berücksichtigt wird. Ebenso werden Berechnungsvorschriften, denen keine Quelltabellen zugewiesen sind, nur bei einer zyklischen Neuberechnung berücksichtigt.
Zeitgesteuerter Berechnungsauftrag für den DBQueue Prozessor wird ausgeführt
Um sicherzustellen, dass die berechneten Risikoindizes alle Datenänderungen und alle Berechnungsvorschriften berücksichtigen, kann die Risikoindexberechnung durch einen zeitgesteuerten Berechnungsauftrag veranlasst werden. Dafür wird der Zeitplan Risikoindizes berechnen bereitgestellt. Der Zeitplan ist standardmäßig deaktiviert. Um die zyklische Neuberechnung von Risikoindizes zu veranlassen, aktivieren Sie den Zeitplan und passen Sie die Ausführungszeiten unternehmensspezifisch an.
Um den Zeitplan zur Risikoindexberechnung zu aktivieren
-
Wählen Sie im Designer die Kategorie Basisdaten > Allgemein > Zeitpläne.
-
Wählen Sie im Listeneditor den Zeitplan Risikoindizes berechnen.
-
Klicken Sie in der Bearbeitungsansicht Aktiviert.
- Speichern Sie die Änderungen.
Verwandte Themen
Wichtung und Normierung
Der Risikoindex eines Objekttyps kann über verschiedene Verfahren berechnet werden.
-
Höchster Risikoindex aller zugewiesenen Unternehmensressourcen
-
Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen
-
Höchster gewichteter Risikoindex aller zugewiesenen Unternehmensressourcen
-
Summe aller auf 1 normierten und gewichteten Risikoindexwerte der zugewiesenen Unternehmensressourcen
In den Standard-Berechnungsvorschriften werden die Risikoindizes nach dem Verfahren 1 berechnet.
HINWEIS: Wenn in Berechnungsvorschriften für ein und dieselbe Zielspalte sowohl Berechnungsarten zur Wichtung, als auch Berechnungsarten zur Normierung eingesetzt werden, ermittelt die Risikoindexberechnung keine sinnvollen Werte.
Für alle Berechnungsvorschriften einer Zielspalte gilt: Kombinieren Sie nur Berechnungsvorschriften mit den Berechnungsarten Maximum (gewichtet) und Mittelwert (gewichtet) oder Berechnungsvorschriften mit den Berechnungsarten Maximum (normiert) und Mittelwert (normiert)!
Wichtung
Bei den Berechnungen nach Verfahren 3 wird der Maximalwert oder der Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen eines Objekttyps ermittelt. Dieser Wert wird mit dem angegebenen Wichtungsfaktor gewichtet. Der höchste gewichtete Risikoindex bildet den berechneten Risikoindex.
Berechnungen nach den Verfahren 1 und 2 ergeben sich, wenn als Wichtung in allen relevanten Berechnungsvorschriften der Wert 1 angegeben ist.
Um Risikoindizes nach den Verfahren 1, 2 oder 3 zu berechnen
Normierung
Bei den Berechnungen nach Verfahren 4 wird der Maximalwert oder der Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen eines Objekttyps ermittelt. Dieser Wert wird gewichtet. Die Summe aller gewichteten Risikoindizes dieses Objekttyps bildet den berechneten Risikoindex.
Da für den resultierenden Risikoindex der Wertebereich 0 bis 1 eingehalten werden muss, muss die Summe der Wichtungsfaktoren innerhalb einer Berechnung genau 1 sein. Daher werden die Wichtungsfaktoren aller aktivierten Berechnungsvorschriften für ein und dieselbe Zielspalte auf 1 normiert. Mit diesem normierten Wert wird der ermittelte Risikoindex gewichtet. Die normierte Wichtung berechnet sich aus dem Wichtungsfaktor geteilt durch die Summe aller relevanten Wichtungsfaktoren. Damit ergibt sich für die Berechnung des Risikoindex folgende Formel:
Um Risikoindizes nach dem Verfahren 4 zu berechnen
- Wählen Sie die Berechnungsart Maximum (normiert) oder Mittelwert (normiert).
Sobald nur eine Berechnungsvorschrift für eine Zielspalte existiert, ist der Wichtungsfaktor nicht relevant, da das Ergebnis der Normierung genau 1 ist. In diesem Fall liefern Berechnungen nach dem Verfahren 4 das gleiche Ergebnis, wie die Berechnungen nach Verfahren 1. Der Unterschied zwischen Wichtung und Normierung ist dann relevant, wenn mehr als eine Berechnungsvorschrift für eine Zielspalte aktiviert ist. Das wird in folgendem Beispiel deutlich.
Beispiel:
Der Risikoindex für SAP Benutzerkonten soll aus den Risikoindizes der zugewiesenen SAP Gruppen und strukturellen Profile berechnet werden sowie aus den Risikoindizes der SAP Funktionen, die die Benutzerkonten treffen. Einem Benutzerkonto sind drei SAP Gruppen (G1, G2, G3) sowie zwei strukturelle Profile (P1, P2) zugewiesen. Das Benutzerkonto trifft genau eine SAP Funktion (SF).
Risikoindizes
-
G1 = 0,2
-
G2 = 0,3
-
G3 = 0,4
-
P1 = 0,6
-
P2 = 0,7
-
SF = 0,5
Berechnungsart
-
nach Verfahren 1: Maximum (gewichtet), Wichtungsfaktor = 1
-
nach Verfahren 3: Maximum (gewichtet)
Wichtungsfaktor der SAP Gruppen: 0,6
Wichtungsfaktor der strukturellen Profile: 0,8
Wichtungsfaktor der SAP Funktion: 0,7
-
nach Verfahren 4: Maximum (normiert)
Wichtungsfaktor der SAP Gruppen: 0,6
Wichtungsfaktor der strukturellen Profile: 0,8
Wichtungsfaktor der SAP Funktion: 0,7
Tabelle 7: Ergebnisse der Risikoindexberechnungen
|
Höchster Risikoindex aller zugewiesenen SAP Gruppen |
0,4 |
0,4 |
0,4 |
|
Wichtung/Normierung |
1 * 0,4 = 0,4 |
0,6 * 0,4 = 0,24 |
(0,6 / (0,6 + 0,8 + 0,7)) * 0,4 = 0,11428 |
|
Höchster Risikoindex aller zugewiesenen strukturellen Profile |
0,7 |
0,7 |
0,7 |
|
Wichtung/Normierung |
1 * 0,7 = 0,7 |
0,8 * 0,7 = 0,56 |
(0,8 / (0,6 + 0,8 + 0,7)) * 0,7 = 0,26667 |
|
Höchster Risikoindex aller getroffenen SAP Funktionen |
0,5 |
0,5 |
0,5 |
|
Wichtung/Normierung |
1 * 0,5 = 0,5 |
0,7 * 0,5 = 0,35 |
(0,7 / (0,6 + 0,8 + 0,7)) * 0,5 = 0,16667 |
|
Höchster gewichteter Wert/Summe der normierten Werte (= resultierender Risikoindex des Benutzerkontos) |
0,7 |
0,56 |
0,54762 |
Risikomindernde Maßnahmen
Im Rahmen des Identity Audits werden die effektiven Berechtigungen von Personen, Rollen oder Benutzerkonten anhand regulatorischer Anforderungen überprüft. Für Unternehmen kann die Verletzung von regulatorischen Anforderungen unterschiedliche Risiken bergen. Um diese Risiken zu bewerten, können an Complianceregeln, SAP Funktionen, Attestierungsrichtlinien und Unternehmensrichtlinien Risikoindizes angegeben werden. Diese Risikoindizes geben darüber Auskunft, wie riskant eine Verletzung der jeweiligen Regel, SAP Funktion oder Richtlinie für das Unternehmen ist. Sobald die Risiken erkannt und bewertet sind, können dafür risikomindernde Maßnahmen festgelegt werden.
Risikomindernde Maßnahmen sind unabhängig von den Funktionen des One Identity Manager. Sie werden nicht durch den One Identity Manager überwacht.
Ein Beispiel für eine risikomindernde Maßnahme ist die Zuweisung von Systemberechtigungen nur über authorisierte Bestellungen im IT Shop. Wenn Systemberechtigungen über IT Shop Bestellungen an die Mitarbeiter vergeben werden, kann in das Genehmigungsverfahren der Bestellung eine Regelprüfung integriert werden. Systemberechtigungen, die zu einer Regelverletzung führen würden, werden damit nicht oder nur nach einer Ausnahmegenehmigung zugewiesen. Das Risiko, dass die Regeln verletzt werden, sinkt damit.
Risikomindernde Maßnahmen definieren
Risikomindernde Maßnahmen können in folgenden Funktionen des One Identity Manager definiert werden.
Tabelle 8: Objekttypen mit risikomindernden Maßnahmen
| Compliance |
Complianceregeln |
Mindern das Risiko, das mit Verletzungen von Regeln verbunden ist. |
Modul Complianceregeln |
| Regelverletzungen |
Mindern das Risiko, das mit mit der Ausnahmegenehmigung einer konkreten Regelverletzung verbunden ist. |
| SAP Funktionen |
Mindern das Risiko, das SAP Benutzerkonten die SAP Funktion treffen. |
Modul SAP R/3 Compliance Add-on |
| Attestierung |
Attestierungsrichtlinien |
Mindern das Risiko, das mit abgelehnten Attestierungsvorgängen verbunden ist. |
Modul Attestierung |
| Attestierungsvorgänge |
Mindern das Risiko, das mit der Ablehnung eines konkreten Attestierungsvorgangs verbunden ist. |
| Unternehmensrichtlinien |
Unternehmensrichtlinien |
Mindern das Risiko, das mit Verletzungen von Richtlinien verbunden ist. |
Modul Unternehmensrichtlinien |
| Richtlinienverletzungen |
Mindern das Risiko, das mit der Ausnahmegenehmigung einer konkreten Richtlinienverletzung verbunden ist. |
Um risikomindernde Maßnahmen zu bearbeiten
- Aktivieren Sie im Designer den Konfigurationsparameter QER | CalculateRiskIndex und kompilieren Sie die Datenbank.
Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
Um risikomindernde Maßnahmen an Complianceregeln, SAP Funktionen, Attestierungsrichtlinien oder Unternehmensrichtlinien zuzuweisen, nutzen Sie den Manager. Weitere Informationen finden Sie unter Zusätzliche Aufgaben für eine risikomindernde Maßnahme.
Bei der Bearbeitung von Ausnahmegenehmigungen für Regelverletzungen im Web Portal können Sie risikomindernde Maßnahmen direkt an eine konkrete Regelverletzung zuweisen. Bei Attestierungen im Web Portal können Sie risikomindernde Maßnahmen direkt an einen konkreten Attestierungsvorgang zuweisen. Bei der Bearbeitung von Ausnahmegenehmigungen für Richtlinienverletzungen im Web Portal können Sie risikomindernde Maßnahmen direkt an eine konkrete Richtlinienverletzung zuweisen. Weitere Informationen finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.
