Chat now with support
Chat with Support

Identity Manager 9.2 - Administrationshandbuch für Risikobewertungen

Risikomindernde Maßnahmen an SAP Funktionsdefinitionen zuweisen

HINWEIS: Diese Funktion steht zur Verfügung, wenn das Modul SAP R/3 Compliance Add-on vorhanden ist.

Mit dieser Aufgabe legen Sie fest, für welche Funktionsdefinitionen eine risikomindernde Maßnahme gilt. Auf dem Zuweisungsformular können Sie nur die Arbeitskopien der Funktionsdefinitionen zuweisen.

Um SAP Funktionsdefinitionen an eine risikomindernde Maßnahme zuzuweisen

  1. Wählen Sie im Manager die Kategorie Risikoindex-Berechnungsvorschriften > Risikomindernde Maßnahme.

  2. Wählen Sie in der Ergebnisliste die risikomindernde Maßnahme.

  3. Wählen Sie die Aufgabe Funktionsdefinitionen zuweisen.

    Weisen Sie im Bereich Zuordnungen hinzufügen die Funktionsdefinitionen zu.

    TIPP: Im Bereich Zuordnungen entfernen können Sie die Zuweisung von Funktionsdefinitionen entfernen.

    Um eine Zuweisung zu entfernen

    • Wählen Sie die risikomindernden Maßnahme und doppelklicken Sie .

  4. Speichern Sie die Änderungen.

Überblick über risikomindernde Maßnahmen anzeigen

Auf dem Überblicksformular erhalten Sie auf einen Blick die wichtigsten Informationen zu einer risikomindernden Maßnahme.

Um einen Überblick über eine risikomindernde Maßnahme zu erhalten

  1. Wählen Sie im Manager die Kategorie Risikoindex-Berechnungsvorschriften > Risikomindernde Maßnahmen.

  2. Wählen Sie in der Ergebnisliste die risikomindernde Maßnahme.

  3. Wählen Sie die Aufgabe Überblick über die risikomindernde Maßnahme.

Risikominderung berechnen

Die Signifikanzminderung einer risikomindernden Maßnahme gibt den Wert an, um den sich der Risikoindex einer Complianceregel, SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie reduziert, wenn die Maßnahme umgesetzt wird. Auf Basis des erfassten Risikoindex und der Signifikanzminderung errechnet der One Identity Manager einen reduzierten Risikoindex. Der One Identity Manager liefert Standard-Berechnungsvorschriften für die Berechnung der reduzierten Risikoindizes. Diese Berechnungsvorschriften können mit den One Identity Manager-Werkzeugen nicht bearbeitet werden.

Der reduzierte Risikoindex berechnet sich aus dem Risikoindex der SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie und der Summe der Signifikanzminderungen aller zugewiesenen risikomindernden Maßnahmen.

Die Berechnung der Risikominderung für Regelverletzungen ist abhängig vom Konfigurationsparameter QER | CalculateRiskIndex | MitigatingControlsPerViolation.

Tabelle 10: Wirkung des Konfigurationsparameters auf die Berechnung der Risikominderung
Konfigurationsparameter Wirkung

Deaktiviert

Es wird der reduzierte Risikoindex der Complianceregeln berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die einer Complianceregel zugewiesen sind.

Aktiviert

Der Risikoindex der Complianceregeln wird nicht reduziert. Damit entspricht der reduzierte Risikoindex dem erfassten Risikoindex der Complianceregeln.

Es wird der reduzierte Risikoindex von Identitäten mit Regelverletzungen berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die bei einer Ausnahmegenehmigung an eine Regelverletzung zugewiesen wurden.

Risikoindex (reduziert) = Risikoindex - Summe der Signifikanzminderungen

Wenn die Summe der Signifikanzminderung größer als der Risikoindex ist, wird der reduzierte Risikoindex auf den Wert 0 gesetzt.

Verwandte Themen

Beispiel für eine Risikoindexberechnung

Die Risikoindexberechnung wird anhand einer Identität mit Berechtigungen in einem SAP System und mit zugewiesener Software erläutert. Die Identität ist ein Manager.

Clara Harris ist

  • ein interner Mitarbeiter
  • primäres Mitglied der Abteilung "Personal"
  • Kunde im IT Shop "Software"

Der Abteilung "Personal" sind zugewiesen

  • eine Kontendefinition KRSAP für den SAP Mandanten "SAPMandant"
  • eine SAP Gruppe SAPG1

Außerdem gilt

  • Über den IT Shop hat Clara Harris drei Software-Anwendungen bestellt. Die Bestellungen wurden genehmigt; die Software ist zugewiesen.
  • Über die Kontendefinition wurde das Benutzerkonto CLARAH (SAP R/3) erzeugt.
  • Das Benutzerkonto CLARAH ist direktes Mitglied der SAP Gruppe SAPG2.
  • Dem Benutzerkonto CLARAH ist das strukturelle Profil SAPSP direkt zugewiesen.
  • Clara Harris ist Leiterin einer Arbeitsgruppe und damit Manager von 10 Mitarbeitern.
  • Identitäten werden regelmäßig attestiert.

An den Unternehmensressourcen sind folgende Risikoindizes erfasst:

Unternehmensressource Risikoindex
KRSAP 0,0
SAPG1 0,7
SAPG2 0,2
SAPSP 0,5
Software 1 0,1
Software 2 0,2
Software 3 0,3

Der One Identity Manager berechnet über die Standard-Berechnungsvorschriften Risikoindizes für folgende Objekttypen:

Tabelle aus den Risikoindizes der Objekte
Identitäten alle zugewiesenen Objekte
Softwarezuweisungen Software-Anwendungen
Zuweisungen Kontendefinitionen Kontendefinitionen
SAP Benutzerkonten SAP Gruppen, Strukturelle Profile
Rollen und Organisationen Software (für die Produktknoten der drei Software-Anwendungen)

SAP Gruppen (für die Abteilung R)

Kontendefinitionen (für die Abteilung R)

Die Berechnungsart ist Maximum (gewichtet). Der Wichtungsfaktor ist 1.

Ablauf der Berechnung

  1. Risikoindizes der Tabelle SAP Benutzerkonten: Zuweisungen an Gruppen ermitteln.

    Die Tabelle enthält zwei Einträge für das Benutzerkonto CLARAH. Die Risikoindizes entsprechen den Risikoindizes der zugewiesenen SAP Gruppen SAPG1 und SAPG2. Da die SAP Gruppe SAPG1 durch Vererbung zugewiesen ist, wird der Risikoindex dieser SAP Gruppe vermindert.

  2. Risikoindizes der Tabelle SAP Benutzerkonten: Zuweisungen an strukturelle Profile ermitteln.

    Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex entspricht dem Risikoindex des zugewiesenen strukturellen Profils SAPSP.

  3. Risikoindex der Tabelle SAP Benutzerkonten berechnen.

    Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex wird aus den in Schritt 1 und 2 ermittelten Risikoindizes berechnet.

  4. Risikoindex der Tabelle Softwarezuweisungen ermitteln.

    Die Tabelle enthält drei Einträge für Clara Harris für die drei zugewiesenen Software-Anwendungen. Die Risikoindizes entsprechen den Risikoindizes der Software-Anwendungen.

  5. Risikoindex der Tabelle Zuweisungen Kontendefinitionen ermitteln.

    Die Tabelle enthält einen Eintrag für Ines Franz. Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.

  6. Risikoindex der Tabelle Identitäten berechnen.

    Die Tabelle enthält einen Eintrag für Clara Harris. Der Risikoindex wird aus den in den Schritten 3, 4 und 5 berechneten Risikoindizes berechnet. Da Clara Harris Manager anderer Identitäten ist, wird der berechnete Risikoindex erhöht. Da der zuletzt abgeschlossene Attestierungsvorgang für Clara Harris genehmigt wurde, wird der berechnete Risikoindex vermindert.

    Tabelle 11: Ergebnisse der Risikoindexberechnung

    #

    Objekt

    ermittelter Risikoindex

    +/-

    resultierender Risikoindex

    Kommentar

    1

    CLARAH: SAPG1

    0,7

    -0,05

    0,65

    Verminderung, da vererbt

    CLARAH: SAPG2

    0,2

    0,2

    direkt zugewiesen

    2

    CLARAH: SAPSP

    0,5

    0,5

    direkt zugewiesen

    3

    CLARAH

    0,65

    0,65

    maximaler Wert aus Schritt 1 und 2

    0,5

    4

    Clara Harris: Software 1

    0,1

    0,1

    Clara Harris: Software 2

    0,2

    0,2

    Clara Harris: Software 3

    0,3

    0,3

    5

    Clara Harris: KRSAP

    0,0

    0,0

    6

    Clara Harris

    0,65

    0,65

    maximaler Wert aus Schritt 3, 4 und 5

    0,3

    0,0

    +0,2

    0,85

    Erhöhung, da Clara Harris Manager anderer Identitäten ist

    -0,33

    0,52

    Verminderung, da die Attestierung genehmigt ist

    Legende: # – Schritt, +/- – Erhöhung/Verminderung

  1. Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen Software ermitteln.

    Die Tabelle enthält je einen Eintrag für die bestellten Software-Anwendungen. Die Risikoindizes entsprechen den Risikoindizes der Software-Anwendungen.

  2. Risikoindex der Tabelle Rollen und Organisationen berechnen.

    Die Tabelle enthält je einen Eintrag für die Produktknoten der drei Software-Anwendungen. Die Risikoindizes werden aus den in Schritt 7 ermittelten Risikoindizes berechnet.

  3. Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen Kontendefinitionen ermitteln.

    Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.

  4. Risikoindex der Tabelle Rollen und Organisationen: Zuweisungen SAP Gruppen ermitteln.

    Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen SAP Gruppe SAPG1.

  5. Risikoindex der Tabelle Rollen und Organisationen berechnen.

    Die Tabelle enthält je einen Eintrag für die Abteilung "Personal". Der Risikoindex wird aus den in Schritt 9 und 10 ermittelten Risikoindizes berechnet. Da der Abteilung kein Manager zugeordnet ist, wird der berechnete Risikoindex erhöht.

  6. Risikoindex der Tabelle Identitäten: Mitgliedschaften in Rollen und Organisationen ermitteln.

    Die Tabelle enthält drei Einträge für Clara Harris, da sie Mitglied der drei Produktknoten ist. Die Risikoindizes werden aus den in Schritt 8 berechneten Risikoindizes ermittelt. Die Tabelle enthält keinen Eintrag für die Abteilung R, da Clara Harris kein sekundäres Mitglied dieser Abteilung ist (sondern primäres).

    Tabelle 12: Ergebnisse der Risikoindexberechnung

    #

    Objekt

    ermittelter Risikoindex

    +/-

    resultierender Risikoindex

    Kommentar

    7

    Produktknoten 1:

    Software 1

    0,1

    0,1

    Produktknoten 2:

    Software 2

    0,2

    0,2

    Produktknoten 3:

    Software 3

    0,3

    0,3

    8

    Produktknoten 1

    0,1

    0,1

    Produktknoten 2

    0,2

    0,2

    Produktknoten 3

    0,3

    0,3

    9

    Personal: KRSAP

    0,0

    0,0

    10

    Personal: SAPG1

    0,5

    0,5

    11

    Personal

    0,0

    0,5

    maximaler Wert aus Schritt 9 und 10

    0,5

    0,5

    +0,05

    0,55

    Erhöhung, da die Abteilung keinen Manager hat

    12

    Clara Harris:

    Produktknoten 1

    0,1

    0,1

    Clara Harris:

    Produktknoten 2

    0,2

    0,2

    Clara Harris:

    Produktknoten 3

    0,3

    0,3

     

    Legende: # – Schritt, +/- – Erhöhung/Verminderung

Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating