Chat now with support
Chat with Support

Identity Manager 8.2.1 - Administrationshandbuch für Risikobewertungen

Risikoindex an Complianceregeln und Regelverletzungen

Installierte Module:

Modul Complianceregeln

Modul Attestierung

Tabelle 4: Konfigurationsparameter für die Berechnung des Risikoindex von Regelverletzungen
Konfigurationsparameter Wirkung bei Aktivierung
QER\CalculateRiskIndex\MitigatingControlsPerViolation

Der Konfigurationsparameter regelt die Berechnung von Risikoindizes für Regelverletzungen. Ist der Parameter aktiviert, können Ausnahmegenehmiger risikomindernde Maßnahmen an Regelverletzungen zuweisen. Die Risikoindexberechnung berücksichtigt nur diese risikomindernden Maßnahmen. Ist der Parameter deaktiviert, berücksichtigt die Risikoindexberechnung die risikomindernden Maßnahmen, die an Complianceregeln zugewiesen sind.

Um das Risiko von Regelverletzungen zu bewerten, können an Complianceregeln Risikoindizes angegeben werden. Jeder Regel können risikomindernde Maßnahmen zugewiesen werden, die umgesetzt werden sollen, sobald eine Regel verletzt wird. Wenn eine Regelverletzung genehmigt wird, kann der Ausnahmegenehmiger der Regelverletzung eine konkrete risikomindernde Maßnahme zuweisen. Risikomindernde Maßnahmen vermindern den Risikoindex der Complianceregeln.

Über den Konfigurationsparameter "QER\CalculateRiskIndex\MitigatingControlsPerViolation" steuern Sie, ob risikomindernde Maßnahmen bei einer Ausnahmegenehmigung an Regelverletzungen zugewiesen werden können. Wenn der Konfigurationsparameter aktiviert ist, werden bei der Risikoindexberechnung nur die risikomindernden Maßnahmen berücksichtigt, die den Regelverletzungen zugewiesen sind. Der Konfigurationsparameter ist standardmäßig deaktiviert.

Der Risikoindex von verletzten Regeln wird bei der Berechnung des Risikoindex von Personen berücksichtigt.

Tabelle 5: Berechnung des Risikoindex für Complianceregeln und Regelverletzungen
Berechnungsvorschrift für Konfigurationsparameter ist
deaktiviert aktiviert
Complianceregeln (ComplianceRule. RiskIndexReduced) Der reduzierte Risikoindex wird aus dem Risikoindex der Complianceregel und den Signifikanzminderungen aller zugewiesenen risikomindernden Maßnahmen berechnet. Der Risikoindex wird nicht reduziert. Damit entspricht der reduzierte Risikoindex dem Risikoindex der Complianceregel.
Verletzte Regeln (BaseTree. RiskIndexCalculated) Der Risikoindex entspricht dem reduzierten Risikoindex der verletzten Regel.
Personen mit Regelverletzungen (PersonInBaseTree. RiskIndexCalculated) Der Risikoindex entspricht dem berechneten Risikoindex der verletzten Regel.
Personen mit genehmigten Regelverletzungen (PersonInBaseTree. RiskIndexCalculated) Der Risikoindex wird um einen festen Betrag gemindert, wenn die Regelverletzung genehmigt wurde.
Personen mit attestierten Regelverletzungen (PersonInBaseTree. RiskIndexCalculated) Der Risikoindex wird um einen festen Betrag gemindert, wenn die Regelverletzung attestiert und genehmigt wurde.
Personen mit genehmigten Regelverletzungen und zugewiesenen risikomindernden Maßnahmen (PersonInBaseTree. RiskIndexReduced) Der Risikoindex wird nicht weiter reduziert. Damit entspricht der reduzierte Risikoindex dem Risikoindex der Regelverletzung (PersonInBaseTree. RiskIndexCalculated).

Der reduzierte Risikoindex wird aus dem Risikoindex der Regelverletzung (PersonInBaseTree. RiskIndexCalculated) und den Signifikanzminderungen der risikomindernden Maßnahmen berechnet, die bei der Ausnahmegenehmigung zugewiesen wurden.

Wenn keine risikomindernden Maßnahmen zugewiesen sind, entspricht der reduzierte Risikoindex dem berechneten Risikoindex der Regelverletzung (PersonInBaseTree. RiskIndexCalculated).

Personen (Person. RiskIndexCalculated) Es wird der höchste Risikoindex aller Regelverletzungen der Person ermittelt. Die Berechnung berücksichtigt den reduzierten Risikoindex der Regelverletzungen (PersonInBaseTree.RiskIndexReduced).

Risikoindex an Personen

Installierte Module:

Modul Attestierung

Um die Risikoindizes für Personen zu berechnen, werden die Risikoindizes aller zugewiesenen Unternehmensressourcen ermittelt. Dafür sind Berechnungsvorschriften für die Zuordnungstabellen hinterlegt (beispielsweise für die Tabelle "Ressourcen Zuweisungen"). Diese Werte werden durch einen weiteren Faktor vermindert.

  • Die Zuweisung ist attestiert und genehmigt.

Zusätzlich werden die Risikoindizes für alle Mitgliedschaften von Personen in Anwendungsrollen und für Regelverletzungen ermittelt (Tabelle "Personen: Mitgliedschaften in Rollen und Organisationen"). Der Risikoindex der Mitgliedschaften wird durch einen weiteren Faktor vermindert.

  • Die Mitgliedschaft ist attestiert und genehmigt.

Aus den Risikoindizes der Zuweisungen, Mitgliedschaften, Regelverletzungen und verbundenen Benutzerkonten ermittelt der One Identity Manager für jede Person den höchsten Risikoindex (Berechnungsart: "Maximum (gewichtet)").

Der Risikoindex einer Person ergibt sich aus dem höchsten Risikoindex dieser berechneten Einzelwerte. Dieser Wert wird durch weitere Faktoren vermindert oder erhöht.

  • Die Person ist attestiert und genehmigt.
  • Die Person ist Manager anderer Personen.
  • Die Person ist deaktiviert und mit aktivierten Benutzerkonten verbunden.

Hinweis: Auch wenn keine Risikoindizes an den Unternehmensressourcen hinterlegt sind, können Personen einen berechneten Risikoindex erhalten. Der Risikoindex berechnet sich in diesem Fall aus den zusätzlichen Faktoren, die den Risikoindex erhöhen. Der Risikoindex einer Person erhöht sich, wenn

  • die Person Manager anderer Personen ist oder
  • die Person deaktiviert und mit aktivierten Benutzerkonten verbunden ist.
TIPP: Die Standard-Berechnungsvorschrift "Geschäftsrollen und Organisationen" an der Tabelle "Personen: Mitgliedschaften in Rollen und Organisationen" ermittelt die Risikoindizes für alle sekundären Mitgliedschaften von Personen in hierarchischen Rollen und IT Shop Strukturen. Dabei werden auch Risikoindizes für sekundäre Mitgliedschaften in Geschäftsrollen, Abteilungen, Standorten, Kostenstellen und IT Shop Strukturen ermittelt. Die Risikoindizes dieser Mitgliedschaften können Sie für unternehmensspezifische Berechnungen oder Auswertungen nutzen. Implementieren Sie dafür eigene Berechnungsvorschriften oder Prozesse.

Berechnungsvorschriften definieren

Sie können unternehmensspezifische Berechnungsvorschriften definieren und einzelne Eigenschaften der Standard-Berechnungsvorschriften bearbeiten.

Um die Berechnungsvorschriften für Risikoindizes zu bearbeiten

  1. Wählen Sie die Kategorie Risikoindex-Berechnungsvorschriften.

  2. Erweitern Sie in der Navigationsansicht den Knoten Risikoindex-Berechnungsvorschriften.

    In der Navigationsansicht werden alle Tabellen eingeblendet, für die Berechnungsvorschriften definiert sind. Hierbei handelt es sich um Tabellen mit einer Spalte RiskIndexCalculated.

  3. Wählen Sie die Tabelle, deren Berechnungsvorschriften Sie bearbeiten möchten, und erweitern Sie den Knoten.

    Es werden die Filter Zuweisungen und Eigenschaften angezeigt.

    Unter dem Filter Zuweisungen sind alle Berechnungsvorschriften zusammengefasst, die Zuweisungen zur ausgewählten Tabelle behandeln (beispielsweise Mitgliedschaften von Active Directory Benutzerkonten in Active Directory Gruppen).

    Unter dem Filter Eigenschaften sind alle Berechnungsvorschriften zusammengefasst, welche die berechneten Risikoindizes zusätzlich erhöhen oder vermindern.

  4. Wählen Sie einen Filter.

  5. Um eine Berechnungsvorschrift zu bearbeiten, wählen Sie in der Ergebnisliste die Berechnungsvorschrift und wählen Sie die Aufgabe Stammdaten bearbeiten.

    - ODER -

    Um eine neue Berechnungsvorschrift zu erstellen, klicken Sie in der Ergebnisliste .

  6. Bearbeiten Sie die Stammdaten der Berechnungsvorschrift.

    Für Standard-Berechnungsvorschriften können folgende Eigenschaften unternehmensspezifisch geändert werden:

    • Deaktiviert

    • Berechnungsart

    • Wichtung/Änderungsbetrag

    • Direkte Berechnung

  7. Speichern Sie die Änderungen.
Verwandte Themen

Allgemeine Stammdaten einer Berechnungsvorschrift

Erfassen Sie die folgenden Informationen für eine Berechnungsvorschrift.

Tabelle 6: Stammdaten einer Berechnungsvorschrift

Eigenschaft

Beschreibung

Bezeichnung

Name der Berechnungsvorschrift zur Anzeige in den One Identity Manager-Werkzeugen.

Beschreibung

Freitextfeld für zusätzliche Erläuterungen.

Deaktiviert

Angabe, ob die Berechnungsvorschrift bei der Gesamtberechnung der Risikoindizes berücksichtigt werden soll.

Berechnungsart

Verfahren, mit dem der Risikoindix berechnet wird. Zulässige Werte sind:

Maximum (gewichtet) Aus allen relevanten Risikoindizes wird der höchste Wert ermittelt, gewichtet und für die weitere Berechnung zugrunde gelegt.
Maximum (normiert) Aus allen relevanten Risikoindizes wird der höchste Wert ermittelt, mit dem normierten Wichtungsfaktor gewichtet und für die weitere Berechnung zugrunde gelegt.
Erhöhung Der Risikoindex der Tabellenspalte (Ziel) wird um einen festen Wert erhöht. Dieser Wert ist im Eingabefeld Wichtung/Änderungsbetrag festgelegt.
Verminderung Der Risikoindex der Tabellenspalte (Ziel) wird um einen festen Wert vermindert. Dieser Wert ist im Eingabefeld Wichtung/Änderungsbetrag festgelegt.
Mittelwert (gewichtet) Aus allen relevanten Risikoindizes wird der Mittelwert ermittelt, gewichtet und für die weitere Berechnung zugrunde gelegt.
Mittelwert (normiert) Aus allen relevanten Risikoindizes wird der Mittelwert ermittelt, mit dem normierten Wichtungsfaktor gewichtet und für die weitere Berechnung zugrunde gelegt.
Abschwächung Wird bei der Berechnung des reduzierten Risikoindex für Complianceregeln, SAP Funktionen, Unternehmensrichtlinien und Attestierungsrichtlinien angewendet. Es können keine unternehmensspezifischen Berechnungsvorschriften mit dieser Berechnungsart angelegt werden!

HINWEIS: Wenn in Berechnungsvorschriften für ein und dieselbe Zielspalte sowohl Berechnungsarten zur Wichtung, als auch Berechnungsarten zur Normierung eingesetzt werden, ermittelt die Risikoindexberechnung keine sinnvollen Werte.

Für alle Berechnungsvorschriften einer Zielspalte gilt: Kombinieren Sie nur Berechnungsvorschriften mit den Berechnungsarten "Maximum (gewichtet)" und "Mittelwert (gewichtet)" oder Berechnungsvorschriften mit den Berechnungsarten "Maximum (normiert)" und "Mittelwert (normiert)"!

Wichtung/Änderungsbetrag

Wert, um den der berechnete Risikoindex modifiziert wird. Dabei werden drei Fälle unterschieden.

Berechnungsart Wichtung/Änderungsbetrag
Maximum (gewichtet) und Mittelwert (gewichtet) Wert, mit dem der ermittelte Risikoindex bei der Gesamtberechnung gewichtet wird.
Maximum (normiert) und Mittelwert (normiert) Wert, mit dem der ermittelte Risikoindex bei der Gesamtberechnung gewichtet wird. Der Wert wird für diese Berechnung zuvor auf 1 normiert.
Verminderung und Erhöhung Wert, um den der berechnete Risikoindex bei der Gesamtberechnung vermindert oder erhöht wird.
Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating