Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für Risikobewertungen

Risikoindexberechnung starten

Die Risikoindexberechnung wird durch folgende Ereignisse gestartet:

  • Eine Berechnungsvorschrift wurde geändert.

  • Objekte in den Quelltabellen wurden geändert.

  • Ein zeitgesteuerter Berechnungsauftrag wird ausgeführt.

Berechnungsvorschrift wurde geändert

Sobald eine Berechnungsvorschrift geändert wurde, wird die Berechnungsprozedur für die betroffene Tabellenspalte (Ziel) neu erstellt. Dabei wird für jede Tabellenspalte (Ziel) genau eine Prozedur erstellt, die alle aktivierten Berechnungsvorschriften für diese Tabellenspalte zusammenfasst. Anschließend werden die Risikoindizes neu berechnet.

Datenänderung in einer Quelltabelle

Sobald sich Daten in den Quelltabellen ändern, werden die Risikoindizes neu berechnet. Dafür wird ein Berechnungsauftrag in den DBQueue Prozessor eingestellt. Wenn die Option Direkte Berechnung an der Berechnungsvorschrift aktiviert ist, werden die betroffenen Risikoindizes sofort berechnet. Die Berechnung wird in diesem Fall nicht über den DBQueue Prozessor gesteuert.

Folgende Änderungen in den Quelltabellen lösen eine Neuberechnung aus

  • Objekte wurden eingefügt oder gelöscht

  • Die Herkunft einer Zuweisung hat sich geändert.

  • Die Wirksamkeit einer Zuweisung hat sich geändert.

  • Risikoindizes wurden geändert

  • Risikoindizes wurden berechnet

Alle anderen Änderungen lösen keine automatische Neuberechnung der Risikoindizes aus. Damit sich auch diese Änderungen auf die berechneten Risikoindizes auswirken können, kann die Risikoindexberechnung durch einen zeitgesteuerten Prozessauftrag ausgelöst werden. Das ist beispielsweise erforderlich, damit die Genehmigung von Attestierungsvorgängen in den berechneten Risikoindizes berücksichtigt wird. Ebenso werden Berechnungsvorschriften, denen keine Quelltabellen zugewiesen sind, nur bei einer zyklischen Neuberechnung berücksichtigt.

Zeitgesteuerter Berechnungsauftrag für den DBQueue Prozessor wird ausgeführt

Um sicherzustellen, dass die berechneten Risikoindizes alle Datenänderungen und alle Berechnungsvorschriften berücksichtigen, kann die Risikoindexberechnung durch einen zeitgesteuerten Berechnungsauftrag veranlasst werden. Dafür wird der Zeitplan Risikoindizes berechnen bereitgestellt. Der Zeitplan ist standardmäßig deaktiviert. Um die zyklische Neuberechnung von Risikoindizes zu veranlassen, aktivieren Sie den Zeitplan und passen Sie die Ausführungszeiten unternehmensspezifisch an.

Um den Zeitplan zur Risikoindexberechnung zu aktivieren

  1. Wählen Sie im Designer die Kategorie Basisdaten > Allgemein > Zeitpläne.

  2. Wählen Sie im Listeneditor den Zeitplan Risikoindizes berechnen.

  3. Klicken Sie in der Bearbeitungsansicht Aktiviert.

  4. Speichern Sie die Änderungen.
Verwandte Themen

Wichtung und Normierung

Der Risikoindex eines Objekttyps kann über verschiedene Verfahren berechnet werden.

  1. Höchster Risikoindex aller zugewiesenen Unternehmensressourcen

  2. Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen

  3. Höchster gewichteter Risikoindex aller zugewiesenen Unternehmensressourcen

  4. Summe aller auf 1 normierten und gewichteten Risikoindexwerte der zugewiesenen Unternehmensressourcen

In den Standard-Berechnungsvorschriften werden die Risikoindizes nach dem Verfahren 1 berechnet.

HINWEIS: Wenn in Berechnungsvorschriften für ein und dieselbe Zielspalte sowohl Berechnungsarten zur Wichtung, als auch Berechnungsarten zur Normierung eingesetzt werden, ermittelt die Risikoindexberechnung keine sinnvollen Werte.

Für alle Berechnungsvorschriften einer Zielspalte gilt: Kombinieren Sie nur Berechnungsvorschriften mit den Berechnungsarten Maximum (gewichtet) und Mittelwert (gewichtet) oder Berechnungsvorschriften mit den Berechnungsarten Maximum (normiert) und Mittelwert (normiert)!

Wichtung

Bei den Berechnungen nach Verfahren 3 wird der Maximalwert oder der Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen eines Objekttyps ermittelt. Dieser Wert wird mit dem angegebenen Wichtungsfaktor gewichtet. Der höchste gewichtete Risikoindex bildet den berechneten Risikoindex.

Berechnungen nach den Verfahren 1 und 2 ergeben sich, wenn als Wichtung in allen relevanten Berechnungsvorschriften der Wert 1 angegeben ist.

Um Risikoindizes nach den Verfahren 1, 2 oder 3 zu berechnen

  • Wählen Sie die Berechnungsart Maximum (gewichtet) oder Mittelwert (gewichtet).

Normierung

Bei den Berechnungen nach Verfahren 4 wird der Maximalwert oder der Mittelwert der Risikoindizes aller zugewiesenen Unternehmensressourcen eines Objekttyps ermittelt. Dieser Wert wird gewichtet. Die Summe aller gewichteten Risikoindizes dieses Objekttyps bildet den berechneten Risikoindex.

Da für den resultierenden Risikoindex der Wertebereich 0 bis 1 eingehalten werden muss, muss die Summe der Wichtungsfaktoren innerhalb einer Berechnung genau 1 sein. Daher werden die Wichtungsfaktoren aller aktivierten Berechnungsvorschriften für ein und dieselbe Zielspalte auf 1 normiert. Mit diesem normierten Wert wird der ermittelte Risikoindex gewichtet. Die normierte Wichtung berechnet sich aus dem Wichtungsfaktor geteilt durch die Summe aller relevanten Wichtungsfaktoren. Damit ergibt sich für die Berechnung des Risikoindex folgende Formel:

Um Risikoindizes nach dem Verfahren 4 zu berechnen

  • Wählen Sie die Berechnungsart Maximum (normiert) oder Mittelwert (normiert).

Sobald nur eine Berechnungsvorschrift für eine Zielspalte existiert, ist der Wichtungsfaktor nicht relevant, da das Ergebnis der Normierung genau 1 ist. In diesem Fall liefern Berechnungen nach dem Verfahren 4 das gleiche Ergebnis, wie die Berechnungen nach Verfahren 1. Der Unterschied zwischen Wichtung und Normierung ist dann relevant, wenn mehr als eine Berechnungsvorschrift für eine Zielspalte aktiviert ist. Das wird in folgendem Beispiel deutlich.

Beispiel:

Der Risikoindex für SAP Benutzerkonten soll aus den Risikoindizes der zugewiesenen SAP Gruppen und strukturellen Profile berechnet werden sowie aus den Risikoindizes der SAP Funktionen, die die Benutzerkonten treffen. Einem Benutzerkonto sind drei SAP Gruppen (G1, G2, G3) sowie zwei strukturelle Profile (P1, P2) zugewiesen. Das Benutzerkonto trifft genau eine SAP Funktion (SF).

Risikoindizes

  • G1 = 0,2

  • G2 = 0,3

  • G3 = 0,4

  • P1 = 0,6

  • P2 = 0,7

  • SF = 0,5

Berechnungsart

  • nach Verfahren 1: Maximum (gewichtet), Wichtungsfaktor = 1

  • nach Verfahren 3: Maximum (gewichtet)

    Wichtungsfaktor der SAP Gruppen: 0,6

    Wichtungsfaktor der strukturellen Profile: 0,8

    Wichtungsfaktor der SAP Funktion: 0,7

  • nach Verfahren 4: Maximum (normiert)

    Wichtungsfaktor der SAP Gruppen: 0,6

    Wichtungsfaktor der strukturellen Profile: 0,8

    Wichtungsfaktor der SAP Funktion: 0,7

Tabelle 7: Ergebnisse der Risikoindexberechnungen
Berechnung Verfahren 1 Verfahren 3 Verfahren 4

Höchster Risikoindex aller zugewiesenen SAP Gruppen

0,4

0,4

0,4

Wichtung/Normierung

1 * 0,4 = 0,4

0,6 * 0,4 = 0,24

(0,6 / (0,6 + 0,8 + 0,7)) * 0,4 = 0,11428

Höchster Risikoindex aller zugewiesenen strukturellen Profile

0,7

0,7

0,7

Wichtung/Normierung

1 * 0,7 = 0,7

0,8 * 0,7 = 0,56

(0,8 / (0,6 + 0,8 + 0,7)) * 0,7 = 0,26667

Höchster Risikoindex aller getroffenen SAP Funktionen

0,5

0,5

0,5

Wichtung/Normierung

1 * 0,5 = 0,5

0,7 * 0,5 = 0,35

(0,7 / (0,6 + 0,8 + 0,7)) * 0,5 = 0,16667

Höchster gewichteter Wert/Summe der normierten Werte (= resultierender Risikoindex des Benutzerkontos)

0,7

0,56

0,54762

Risikomindernde Maßnahmen

Im Rahmen des Identity Audits werden die effektiven Berechtigungen von Identitäten, Rollen oder Benutzerkonten anhand regulatorischer Anforderungen überprüft. Für Unternehmen kann die Verletzung von regulatorischen Anforderungen unterschiedliche Risiken bergen. Um diese Risiken zu bewerten, können an Complianceregeln, SAP Funktionen, Attestierungsrichtlinien und Unternehmensrichtlinien Risikoindizes angegeben werden. Diese Risikoindizes geben darüber Auskunft, wie riskant eine Verletzung der jeweiligen Regel, SAP Funktion oder Richtlinie für das Unternehmen ist. Sobald die Risiken erkannt und bewertet sind, können dafür risikomindernde Maßnahmen festgelegt werden.

Risikomindernde Maßnahmen sind unabhängig von den Funktionen des One Identity Manager. Sie werden nicht durch den One Identity Manager überwacht.

Ein Beispiel für eine risikomindernde Maßnahme ist die Zuweisung von Systemberechtigungen nur über authorisierte Bestellungen im IT Shop. Wenn Systemberechtigungen über IT Shop Bestellungen an Identitäten zugewiesen werden, kann in das Genehmigungsverfahren der Bestellung eine Regelprüfung integriert werden. Systemberechtigungen, die zu einer Regelverletzung führen würden, werden damit nicht oder nur nach einer Ausnahmegenehmigung zugewiesen. Das Risiko, dass die Regeln verletzt werden, sinkt damit.

Risikomindernde Maßnahmen definieren

Risikomindernde Maßnahmen können in folgenden Funktionen des One Identity Manager definiert werden.

Tabelle 8: Objekttypen mit risikomindernden Maßnahmen
Funktion Objekttyp Anwendung Verfügbar im Modul
Compliance Complianceregeln Mindern das Risiko, das mit Verletzungen von Regeln verbunden ist. Modul Complianceregeln
Regelverletzungen Mindern das Risiko, das mit mit der Ausnahmegenehmigung einer konkreten Regelverletzung verbunden ist.
SAP Funktionen Mindern das Risiko, das SAP Benutzerkonten die SAP Funktion treffen. Modul SAP R/3 Compliance Add-on
Attestierung Attestierungsrichtlinien Mindern das Risiko, das mit abgelehnten Attestierungsvorgängen verbunden ist. Modul Attestierung
Attestierungsvorgänge Mindern das Risiko, das mit der Ablehnung eines konkreten Attestierungsvorgangs verbunden ist.
Unternehmensrichtlinien Unternehmensrichtlinien Mindern das Risiko, das mit Verletzungen von Richtlinien verbunden ist. Modul Unternehmensrichtlinien
Richtlinienverletzungen Mindern das Risiko, das mit der Ausnahmegenehmigung einer konkreten Richtlinienverletzung verbunden ist.

Um risikomindernde Maßnahmen zu bearbeiten

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | CalculateRiskIndex und kompilieren Sie die Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

Um risikomindernde Maßnahmen an Complianceregeln, SAP Funktionen, Attestierungsrichtlinien oder Unternehmensrichtlinien zuzuweisen, nutzen Sie den Manager.

Bei der Bearbeitung von Ausnahmegenehmigungen für Regelverletzungen im Web Portal können Sie risikomindernde Maßnahmen direkt an eine konkrete Regelverletzung zuweisen. Bei Attestierungen im Web Portal können Sie risikomindernde Maßnahmen direkt an einen konkreten Attestierungsvorgang zuweisen. Bei der Bearbeitung von Ausnahmegenehmigungen für Richtlinienverletzungen im Web Portal können Sie risikomindernde Maßnahmen direkt an eine konkrete Richtlinienverletzung zuweisen. Weitere Informationen finden Sie im One Identity Manager Web Designer Web Portal Anwenderhandbuch.

Detaillierte Informationen zum Thema
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating