Einrichten eines Regelwerkes
Regeln zur Einhaltung und Überwachung regulatorischer Anforderungen definieren Sie in einem Regelwerk. Eine Regel enthält im One Identity Manager neben der technischen Beschreibung auch weitere Eigenschaften, wie beispielsweise Schweregrad einer Regelverletzung, Eigentümer, Verantwortlicher oder Revisionsinformationen. Ebenso ist eine Klassifizierung der Regeln nach Kategorien („Compliance Frameworks“) und Regelgruppen möglich.
Sobald eine Regel angelegt wird, wird in der Datenbank ein zugehöriges Objekt für Regelverletzungen erzeugt. In dieses Objekt werden alle Personen aufgenommen, die die Regel verletzen.
Erstellen von Regeln
Für jede Regel wird in der Datenbank eine Arbeitskopie angelegt. Um Regeln zu erstellen und zu ändern, bearbeiten Sie deren Arbeitskopien. Erst mit Aktivierung der Arbeitskopie werden die Änderungen auf die Regel übertragen.
Hinweis:One Identity Manager Benutzer mit der Anwendungsrolle Identity & Access Governance | Identity Audit | Regelverantwortliche können bestehende Regeln bearbeiten, für die sie als Regelverantwortliche in den Stammdaten eingetragen sind.
Um eine neue Regel zu erstellen
- Wählen Sie die Kategorie Identity Audit | Regeln.
-
Klicken Sie in der Ergebnisliste 
.
- Erfassen Sie die Stammdaten der Regel.
- Speichern Sie die Änderungen.
Es wird eine Arbeitskopie angelegt.
- Wählen Sie die Aufgabe Arbeitskopie aktivieren. Bestätigen Sie die Sicherheitsabfrage mit OK.
Es wird eine aktive Regel in der Datenbank angelegt. Die Arbeitskopie bleibt bestehen und wird für nachfolgende Regeländerungen genutzt.
Um eine bestehende Regel zu bearbeiten
- Wählen Sie die Kategorie Identity Audit | Regeln.
- Wählen Sie in der Ergebnisliste eine Regel.
- Wählen Sie die Aufgabe Arbeitskopie erstellen.
Die Daten der bestehenden Arbeitskopie werden auf Nachfrage mit den Daten der originalen Regel überschrieben. Die Arbeitskopie wird geöffnet und kann bearbeitet werden.
- ODER -
Wählen Sie die Kategorie Identity Audit | Regeln | Arbeitskopien von Regeln.
- Wählen Sie in der Ergebnisliste eine Arbeitskopie.
-
Wählen Sie die Aufgabe Stammdaten bearbeiten.
- Bearbeiten Sie die Stammdaten der Arbeitskopie.
- Speichern Sie die Änderungen.
- Wählen Sie die Aufgabe Arbeitskopie aktivieren. Bestätigen Sie die Sicherheitsabfrage mit OK.
Die Änderungen an der Arbeitskopie werden auf die Regel übertragen. Dabei wird eine deaktivierte Regel auf Nachfrage aktiviert.
Allgemeine Stammdaten einer Regel
Für eine Regel erfassen Sie folgende allgemeine Stammdaten.
Tabelle 13: Allgemeine Stammdaten einer Regel
|
Regel |
Bezeichnung der Regel.
Mit dieser Bezeichnung wird beim Erstellen einer neuen Regel automatisch ein neues Objekt für Regelverletzungen erzeugt.
Hinweis:Wenn Sie Complianceregeln umbenennen, wird die Bezeichnung der zugehörigen Regelverletzung nicht geändert. |
|
Beschreibung |
Freitextfeld für zusätzliche Erläuterungen. |
|
Hauptversionsnummer |
Bearbeitungsstand der Regel als Versionsnummer. Bei jeder Änderung der Regelbedingung wird in der Standardinstallation des One Identity Manager die letzte Stelle der Versionsnummer erhöht. |
|
Arbeitskopie |
Angabe, ob es sich um die Arbeitskopie der Regel handelt. |
|
Deaktiviert |
Angabe, ob die Regel deaktiviert ist.
Nur aktivierte Regeln werden in der Regelprüfung berücksichtigt. Zur Aktivierung und Deaktivierung einer Regel verwenden Sie die Aufgaben Regel aktivieren und Regel deaktivieren. Die Arbeitskopie einer Regel ist immer deaktiviert. |
|
Regelgruppe |
Regelgruppe, zu der die Regel inhaltlich gehört. Wählen Sie eine Regelgruppe aus der Auswahlliste. Um eine neue Regelgruppe zu erstellen, klicken Sie . Erfassen Sie den Namen und eine Beschreibung der Regelgruppe. |
|
Regelverantwortliche |
Anwendungsrolle, deren Mitglieder inhaltlich für die Regel verantwortlich sind.
Um eine neue Anwendungsrolle zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle zu. |
|
Ausnahmegenehmingung möglich |
Angabe, ob Ausnahmegenehmigungen erlaubt sind, wenn die Regel verletzt wird. Zuweisungen oder Bestellungen, die eine Regelverletzung verursachen, können somit trotzdem genehmigt und zugewiesen werden. |
|
Ausnahmegenehmiger |
Anwendungsrolle, deren Mitglieder berechtigt sind, Ausnahmegenehmigungen für Verletzungen dieser Regel zu erteilen.
Um eine neue Anwendungsrolle zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle zu. |
|
Hinweise zur Ausnahmegenehmigung |
Informationen, die Ausnahmegenehmiger für ihre Entscheidung benötigen. Diese Hinweise sollten die Risiken und Nebenwirkungen einer Ausnahmegenehmigung beschreiben. |
|
Max. Tage gültig |
Gültigkeitszeitraum für Ausnahmegenehmigungen, um Ausnahmegenehmigungen zeitlich zu befristen. Erfassen Sie die Anzahl der Tage, die eine Ausnahmegenehmigung gelten darf. Nach Ablauf des Gültigkeitszeitraums werden die Ausnahmegenehmigungen automatisch aufgehoben. |
|
Attestierer |
Anwendungsrolle, deren Mitglieder berechtigt sind, Attestierungsvorgänge über Complianceregeln und Regelverletzungen zu entscheiden.
Um eine neue Anwendungsrolle zu erstellen, klicken Sie . Erfassen Sie die Bezeichnung der Anwendungsrolle und ordnen Sie die übergeordnete Anwendungsrolle zu.
Hinweis:Das Eingabefeld steht zur Verfügung, wenn das Modul Attestierung vorhanden ist. |
|
Unternehmensbereich |
Unternehmensbereich, für den die Regel relevant ist. |
|
Abteilung |
Abteilung, für welche die Regel relevant ist. |
|
Regel für zyklische Prüfung und Risikobewertung im IT Shop |
Angabe, ob die Regel bei der Risikobewertung von IT Shop Bestellungen berücksichtigt werden soll.
Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter "QER\ComplianceCheck\SimpleMode\NonSimpleAllowed" aktiviert ist. |
|
Regel nur für zyklische Prüfung |
Angabe, ob die Regel nur bei der zyklischen Regelprüfung berücksichtigt werden soll.
Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter "QER\ComplianceCheck\SimpleMode\NonSimpleAllowed" aktiviert ist. |
|
Bedingung |
Bedingungen, die zu einer Regelverletzung führen. Die Bedingungen stellen Sie über einen Regeleditor zusammen. |
Detaillierte Informationen zum Thema
Verwandte Themen
Risikobewertung
Tabelle 14: Konfigurationsparameter für die Risikobewertung
| QER\CalculateRiskIndex |
Präprozessorrelevanter Konfigurationsparameter zur Steuerung der Modellbestandteile für die Berechnung des Risikoindex. Nach Änderung des Parameters müssen Sie die Datenbank kompilieren.
Ist der Parameter aktiviert, können Werte für den Risikoindex erfasst und berechnet werden. |
Mit dem One Identity Manager können Sie die Risiken von Regelverletzungen bewerten. Dazu legen Sie an den Regeln einen Risikoindex fest. Der Risikoindex gibt an, welches Risiko für Ihr Unternehmen besteht, wenn die Regel verletzt wird. Der Risikoindex wird als numerischer Wert mit dem Wertebereich 0 .. 1 angegeben. Dabei legen Sie fest, ob mit einer Regelverletzung für Ihr Unternehmen kein Risiko verbunden ist (Risikoindex = 0) oder ob jede Regelverletzung ein Problem darstellt (Risikoindex = 1).
Der Risikoindex von Systemberechtigungen kann als Objekteigenschaft bereits beim Erstellen von Regelbedingungen berücksichtigt werden. Durch solche Regeln kann beispielsweise verhindert werden, dass Systemberechtigungen, die einen festgelegten Risikoindex übersteigen, im IT Shop bestellt werden können.
Um Objekte, Zuweisungen und Regelverletzungen abhängig vom Risikoindex auszuwerten, können Sie mit dem Report Editor verschiedene Berichte erstellen.
Für die Risikobewertung einer Regelverletzung im Rahmen des Identity Audits erfassen Sie auf dem Tabreiter Bewertungskriterien Werte für die Einstufung der Regel.
Tabelle 15: Bewertungskriterien einer Regel
| Schweregrad |
Gibt an, welche Auswirkung Verletzungen dieser Regel für das Unternehmen haben. Stellen Sie über den Schieberegler einen Wert zwischen 0 und 1 ein.
0 ... keine Auswirkung
1 ... Jede Regelverletzung ist ein Problem. |
| Auswirkung |
Gibt in verbaler Beschreibung an, welche Auswirkung Verletzungen dieser Regel für das Unternehmen haben. In der Standardinstallation wird die Werteliste {Niedrig, Mittel, Hoch, Kritisch} angezeigt. |
| Risikoindex |
Gibt an, wie riskant Verletzungen dieser Regel für das Unternehmen sind. Abhängig vom Wert der Auswirkung wird per Bildungsregel ein Risikoindexwert vorgegeben.
Tabelle 16: Risikoindex in Abhängigkeit der Auswirkungen
| Niedrig |
0,0 |
| Mittel |
0,33 |
| Hoch |
0,66 |
| Kritisch |
1,0 |
Dieser Wert kann geändert werden. Stellen Sie über den Schieberegler einen Wert zwischen 0 und 1 ein.
0 ... kein Risiko
1 ... Jede Regelverletzung ist ein Problem.
Sobald sich die Auswirkung ändert, passt die Bildungsregel den Risikoindex wieder an.
Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter "QER\CalculateRiskIndex" aktiviert ist. |
| Risikoindex (reduziert) |
Gibt den Risikoindex unter Berücksichtigung der zugewiesenen risikomindernden Maßnahmen an. Der Risikoindex einer Regel wird um die Signifikanzminderung aller zugewiesenen risikomindernden Maßnahmen reduziert. Der Risikoindex (reduziert) wird für die originale Regel berechnet. Um diesen Wert in die Arbeitskopie zu übernehmen, führen Sie die Aufgabe Arbeitskopie erstellen aus.
Das Eingabefeld ist nur sichtbar, wenn der Konfigurationsparameter "QER\CalculateRiskIndex" aktiviert ist. Der Wert wird durch den One Identity Manager berechnet und kann nicht bearbeitet werden. |
| Transparenzindex |
Gibt an, wie nachvollziehbar Zuweisungen sind, die durch die Regel geprüft werden. Stellen Sie über den Schieberegler einen Wert zwischen 0 und 1 ein.
0 ... keine Transparenz
1 ... volle Transparenz |
| Max. Anzahl Regelverletzungen |
Anzahl der Regelverletzungen, die für diese Regel zugelassen sind. |
Detaillierte Informationen zum Thema
- One Identity Manager Administrationshandbuch für Risikobewertungen
- Report Editor im One Identity Manager Konfigurationshandbuch
- Risikomindernde Maßnahmen
Verwandte Themen
