Chat now with support
Chat with Support

Identity Manager 8.0 - Administrationshandbuch für Risikobewertungen

Risikominderung berechnen

Risikominderung berechnen

Tabelle 11: Konfigurationsparameter für die Berechnung des Risikoindex von Regelverletzungen
Konfigurationsparameter Wirkung bei Aktivierung
QER\CalculateRiskIndex\MitigatingControlsPerViolation

Der Konfigurationsparameter regelt die Berechnung von Risikoindizes für Regelverletzungen. Ist der Parameter aktiviert, können Ausnahmegenehmiger risikomindernde Maßnahmen an Regelverletzungen zuweisen. Die Risikoindexberechnung berücksichtigt nur diese risikomindernden Maßnahmen. Ist der Parameter deaktiviert, berücksichtigt die Risikoindexberechnung die risikomindernden Maßnahmen, die an Complianceregeln zugewiesen sind.

Die Signifikanzminderung einer risikomindernden Maßnahme gibt den Wert an, um den sich der Risikoindex einer Complianceregel, SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie reduziert, wenn die Maßnahme umgesetzt wird. Auf Basis des erfassten Risikoindex und der Signifikanzminderung errechnet der One Identity Manager einen reduzierten Risikoindex. Der One Identity Manager liefert Standard-Berechnungsvorschriften für die Berechnung der reduzierten Risikoindizes. Diese Berechnungsvorschriften können mit den One Identity Manager-Werkzeugen nicht bearbeitet werden.

Der reduzierte Risikoindex berechnet sich aus dem Risikoindex der SAP Funktion, Attestierungsrichtlinie oder Unternehmensrichtlinie und der Summe der Signifikanzminderungen aller zugewiesenen risikomindernden Maßnahmen.

Die Berechnung der Risikominderung für Regelverletzungen ist abhängig vom Konfigurationsparameter "QER\CalculateRiskIndex\MitigatingControlsPerViolation".

Tabelle 12: Wirkung des Konfigurationsparameters "QER\CalculateRiskIndex\MitigatingControlsPerViolation" auf die Berechnung der Risikominderung
Konfigurationsparameter Wirkung
Deaktiviert Es wird der reduzierte Risikoindex der Complianceregeln berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die einer Complianceregel zugewiesen sind.
Aktiviert Der Risikoindex der Complianceregeln wird nicht reduziert. Damit entspricht der reduzierte Risikoindex dem erfassten Risikoindex der Complianceregeln.

Es wird der reduzierte Risikoindex von Personen mit Regelverletzungen berechnet. Dabei werden alle risikomindernden Maßnahmen berücksichtigt, die bei einer Ausnahmegenehmigung an eine Regelverletzung zugewiesen wurden.

Risikoindex (reduziert) = Risikoindex - Summe der Signifikanzminderungen

Wenn die Summe der Signifikanzminderung größer als der Risikoindex ist, wird der reduzierte Risikoindex auf den Wert 0 gesetzt.

Verwandte Themen

Anhang: Beispiel für eine Risikoindexberechnung

Anhang: Beispiel für eine Risikoindexberechnung

Die Risikoindexberechnung wird anhand einer Person mit Berechtigungen in einem SAP System und mit zugewiesenen Applikationen erläutert. Die Person ist ein Manager.

Clara Harris ist

  • ein interner Mitarbeiter
  • primäres Mitglied der Abteilung "Personal"
  • Kunde im IT Shop "Software"

Der Abteilung "Personal" sind zugewiesen

  • eine Kontendefinition "KRSAP" für den SAP Mandanten "SAPMandant"
  • eine SAP Gruppe "SAPG1"

Außerdem gilt

  • Über den IT Shop hat Clara Harris drei Applikationen bestellt. Die Bestellungen wurden genehmigt; die Applikationen sind zugewiesen.
  • Über die Kontendefinition wurde das Benutzerkonto "CLARAH" (SAP R/3) erzeugt.
  • Das Benutzerkonto "CLARAH" ist direktes Mitglied der SAP Gruppe "SAPG2".
  • Dem Benutzerkonto "CLARAH" ist das strukturelle Profil "SAPSP" direkt zugewiesen.
  • Clara Harris ist Leiterin einer Arbeitsgruppe und damit Manager von 10 Mitarbeitern.
  • Personen werden regelmäßig attestiert.

An den Unternehmensressourcen sind folgende Risikoindizes erfasst:

Unternehmensressource Risikoindex
KRSAP 0,0
SAPG1 0,7
SAPG2 0,2
SAPSP 0,5
Applikation 1 0,1
Applikation 2 0,2
Applikation 3 0,3

Der One Identity Manager berechnet über die Standard-Berechnungsvorschriften Risikoindizes für folgende Objekttypen:

Tabelle aus den Risikoindizes der Objekte
Personen alle zugewiesenen Objekte
Applikationszuweisungen Applikationen
Zuweisungen Kontendefinitionen Kontendefinitionen
SAP Benutzerkonten SAP Gruppen, Strukturelle Profile
Rollen und Organisationen Applikationen (für die Produktknoten der drei Applikationen)

SAP Gruppen (für die Abteilung R)

Kontendefinitionen (für die Abteilung R)

Die Berechnungsart ist "Maximum (gewichtet)". Der Wichtungsfaktor ist "1".

Ablauf der Berechnung

  1. Risikoindizes der Tabelle "SAP Benutzerkonten: Zuweisungen an Gruppen" ermitteln.

    Die Tabelle enthält zwei Einträge für das Benutzerkonto CLARAH. Die Risikoindizes entsprechen den Risikoindizes der zugewiesenen SAP Gruppen SAPG1 und SAPG2. Da die SAP Gruppe SAPG1 durch Vererbung zugewiesen ist, wird der Risikoindex dieser SAP Gruppe vermindert.

  2. Risikoindizes der Tabelle "SAP Benutzerkonten: Zuweisungen an strukturelle Profile" ermitteln.

    Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex entspricht dem Risikoindex des zugewiesenen strukturellen Profils SAPSP.

  3. Risikoindex der Tabelle "SAP Benutzerkonten" berechnen.

    Die Tabelle enthält einen Eintrag für das Benutzerkonto CLARAH. Der Risikoindex wird aus den in Schritt 1 und 2 ermittelten Risikoindizes berechnet.

  4. Risikoindex der Tabelle "Applikationszuweisungen" ermitteln.

    Die Tabelle enthält drei Einträge für Clara Harris für die drei zugewiesenen Applikationen. Die Risikoindizes entsprechen den Risikoindizes der Applikationen.

  5. Risikoindex der Tabelle "Zuweisungen Kontendefinitionen" ermitteln.

    Die Tabelle enthält einen Eintrag für Ines Franz. Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.

  6. Risikoindex der Tabelle "Personen" berechnen.

    Die Tabelle enthält einen Eintrag für Clara Harris. Der Risikoindex wird aus den in den Schritten 3, 4 und 5 berechneten Risikoindizes berechnet. Da Clara Harris Manager anderer Personen ist, wird der berechnete Risikoindex erhöht. Da der zuletzt abgeschlossene Attestierungsvorgang für Clara Harris genehmigt wurde, wird der berechnete Risikoindex vermindert.

    Tabelle 13: Ergebnisse der Risikoindexberechnung
    # Objekt ermittelter Risikoindex +/- resultierender Risikoindex Kommentar
    1 CLARAH: SAPG1 0,7 -0,05 0,65 Verminderung, da vererbt
    CLARAH: SAPG2 0,2 0,2 direkt zugewiesen
    2 CLARAH: SAPSP 0,5 0,5 direkt zugewiesen
    3 CLARAH 0,65 0,65 maximaler Wert aus Schritt 1 und 2
    0,5
    4 Clara Harris: Applikation 1 0,1 0,1
    Clara Harris: Applikation 2 0,2 0,2
    Clara Harris: Applikation 3 0,3 0,3
    5 Clara Harris: KRSAP 0,0 0,0
    6 Clara Harris 0,65 0,65 maximaler Wert aus Schritt 3, 4 und 5
    0,3
    0,0
    +0,2 0,85 Erhöhung, da Clara Harris Manager anderer Personen ist
    -0,33 0,52 Verminderung, da die Attestierung genehmigt ist
    Legende: # – Schritt, +/- – Erhöhung/Verminderung
  1. Risikoindex der Tabelle "Rollen und Organisationen: Zuweisungen Applikationen" ermitteln.

    Die Tabelle enthält je einen Eintrag für die bestellten Applikationen. Die Risikoindizes entsprechen den Risikoindizes der Applikationen.

  2. Risikoindex der Tabelle "Rollen und Organisationen" berechnen.

    Die Tabelle enthält je einen Eintrag für die Produktknoten der drei Applikationen. Die Risikoindizes werden aus den in Schritt 7 ermittelten Risikoindizes berechnet.

  3. Risikoindex der Tabelle "Rollen und Organisationen: Zuweisungen Kontendefinitionen" ermitteln.

    Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen Kontendefinition KRSAP.

  4. Risikoindex der Tabelle "Rollen und Organisationen: Zuweisungen SAP Gruppen" ermitteln.

    Die Tabelle enthält einen Eintrag für die Abteilung "Personal". Der Risikoindex entspricht dem Risikoindex der zugewiesenen SAP Gruppe SAPG1.

  5. Risikoindex der Tabelle "Rollen und Organisationen" berechnen.

    Die Tabelle enthält je einen Eintrag für die Abteilung "Personal". Der Risikoindex wird aus den in Schritt 9 und 10 ermittelten Risikoindizes berechnet. Da der Abteilung kein Manager zugeordnet ist, wird der berechnete Risikoindex erhöht.

  6. Risikoindex der Tabelle "Personen: Mitgliedschaften in Rollen und Organisationen" ermitteln.

    Die Tabelle enthält drei Einträge für Clara Harris, da sie Mitglied der drei Produktknoten ist. Die Risikoindizes werden aus den in Schritt 8 berechneten Risikoindizes ermittelt. Die Tabelle enthält keinen Eintrag für die Abteilung R, da Clara Harris kein sekundäres Mitglied dieser Abteilung ist (sondern primäres).

    Tabelle 14: Ergebnisse der Risikoindexberechnung
    # Objekt ermittelter Risikoindex +/- resultierender Risikoindex Kommmentar
    7 Produktknoten 1:

    Applikation 1

    0,1 0,1
    Produktknoten 2:

    Applikation 2

    0,2 0,2
    Produktknoten 3:

    Applikation 3

    0,3 0,3
    8 Produktknoten 1 0,1 0,1
    Produktknoten 2 0,2 0,2
    Produktknoten 3 0,3 0,3
    9 Personal: KRSAP 0,0 0,0
    10 Personal: SAPG1 0,5 0,5
    11 Personal 0,0 0,5 maximaler Wert aus Schritt 9 und 10
    0,5
    0,5 +0,05 0,55 Erhöhung, da die Abteilung keinen Manager hat
    12 Clara Harris:

    Produktknoten 1

    0,1 0,1
    Clara Harris:

    Produktknoten 2

    0,2 0,2
    Clara Harris:

    Produktknoten 3

    0,3 0,3

     

    Legende: # – Schritt, +/- – Erhöhung/Verminderung
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating