Chat now with support
Chat with Support

Identity Manager 9.1.2 - Administrationshandbuch für Risikobewertungen

Risikobewertung

Jede Person in einem Unternehmen, die über Berechtigungen in einem IT-System verfügt, birgt für das Unternehmen ein Sicherheitsrisiko. Beispielsweise trägt eine Person, die berechtigt ist, Finanzdaten im SAP System zu bearbeiten, ein höheres Risiko, als eine Person, die die eigenen Personenstammdaten bearbeiten darf. Um dieses Risiko zu bewerten, können Sie mit dem One Identity Manager für jede Unternehmensressource einen Risikowert erfassen. Für jede Person, der diese Unternehmensressourcen direkt oder indirekt zugewiesen sind, wird aus diesen Werten ein Risikoindex berechnet. Unternehmensressourcen umfassen Zielsystemberechtigungen (beispielsweise Active Directory Gruppen oder SAP Profile), Systemrollen, abonnierbare Berichte, Software und Ressourcen. Dadurch können alle Personen ermittelt werden, die im Unternehmen über besonders risikoreiche Unternehmensressourcen verfügen.

Im Rahmen des Identity Audits können auch Regeln mit einem Risikoindex versehen werden. Mit jeder Regelverletzung kann sich das Sicherheitsrisiko aller Personen erhöhen, die die Regel verletzen. Daher werden auch diese Risikoindizes in die Risikoberechnung der Personen einbezogen. Über risikomindernde Maßnahmen können Sie geeignete Gegenmaßnahmen definieren und an den Complianceregeln hinterlegen.

Weitere Faktoren beeinflussen den berechneten Risikoindex von Personen. Das sind unter anderem die Art der Zuweisung einer Ressource (genehmigte Bestellung im IT Shop oder Direktzuweisung), Attestierungen, Ausnahmegenehmigungen für Regelverletzungen, Verantwortlichkeiten der Person und definierte Wichtungen. Darüber hinaus kann der Risikoindex auch für alle Geschäftsrollen, Organisationen und Systemrollen berechnet werden, denen Unternehmensressourcen zugewiesen sind. Der Risikoindex von Benutzerkonten wird anhand der zugewiesenen Systemberechtigungen berechnet.

Für die im Folgenden beschriebenen Risikoindexberechnungen stellt One Identity Manager Standard-Berechnungsvorschriften bereit. Diese Berechnungsvorschriften stehen zur Verfügung, wenn die jeweiligen Module installiert sind. Darüber hinaus können Sie unternehmensspezifische Berechnungsvorschriften erstellen.

Um die Möglichkeiten der Risikobewertung zu nutzen

  • Aktivieren Sie im Designer den Konfigurationsparameter QER | CalculateRiskIndex und kompilieren Sie die Datenbank.

Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.

One Identity Manager Benutzer für die Konfiguration der Risikobewertung

In die Festlegung der Risikoindizes und die Bearbeitung der Berechnungsvorschriften für Risikoindizes sind folgende Benutzer eingebunden.

Tabelle 1: Benutzer
Benutzer Aufgaben

Verantwortliche für die einzelnen Unternehmensressourcen

Die Benutzer werden über die verschiedenen Anwendungsrollen für Administratoren und Verantwortliche definiert.

Benutzer mit diesen Anwendungsrollen:

  • Legen die Risikoindizes der Unternehmensressourcen fest, für die sie verantwortlich sind.

Administratoren für Complianceregeln

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Legen die Risikoindizes für Complianceregeln fest.

  • Legen risikomindernde Maßnahmen fest.

  • Erstellen und bearbeiten Berechnungsvorschriften.

Administratoren für Attestierungsvorgänge

Die Administratoren sind der Anwendungsrolle Identity & Access Governance | Attestierung | Administratoren zugewiesen.

Benutzer mit dieser Anwendungsrolle:

  • Legen die Risikoindizes für Attestierungsrichtlinien fest.

  • Legen risikomindernde Maßnahmen fest.

  • Erstellen und bearbeiten Berechnungsvorschriften.

Administratoren für Unternehmensrichtlinien

Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichlinien | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Legen die Risikoindizes für Unternehmensrichtlinien fest.

  • Legen risikomindernde Maßnahmen fest.

  • Erstellen und bearbeiten Berechnungsvorschriften.

Administratoren für Personen

Die Administratoren müssen der Anwendungsrolle Identity Management | Personen | Administratoren zugewiesen sein.

Benutzer mit dieser Anwendungsrolle:

  • Erstellen und bearbeiten Berechnungsvorschriften.

One Identity Manager Administratoren

One Identity Manager Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.

One Identity Manager Administratoren:

  • Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.

  • Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.

  • Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.

  • Erstellen und konfigurieren bei Bedarf Zeitpläne.

 

Risikoindex festlegen

HINWEIS: Die Objekttypen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.

Der Risikoindex kann für folgende Objekttypen erfasst werden.

Tabelle 2: Risikoindex für Objekte im One Identity Manager
Objekttyp Anwendung Verfügbar im Modul

Zielsystemberechtigungen, beispielsweise Active Directory Gruppen oder Google Workspace Produkte und SKUs

Risiko für das Unternehmen, wenn die Zielsystemberechtigung an ein Benutzerkonto zugewiesen ist.

im jeweiligen Zielsystemmodul

Software

Risiko für das Unternehmen, wenn die Kontendefinition, Software oder Ressource einer Person zugewiesen ist.

Modul Softwaremanagement

Ressourcen

immer

Kontendefinitionen

Zielsystem Basismodul

Mehrfach bestellbare Ressourcen

Risiko für das Unternehmen, wenn die Ressource einer IT Shop Struktur zugewiesen ist.

immer

Mehrfach zu-/abbestellbare Ressourcen

immer

Zuweisungsressourcen

immer

Anwendungsrollen

Risiko für das Unternehmen, wenn eine Person Mitglied dieser Anwendungsrolle ist.

immer

Complianceregeln

Risiko für das Unternehmen, wenn die Regel verletzt wird.

Modul Complianceregeln

SAP Funktionen

Risiko für das Unternehmen, wenn SAP Benutzerkonten die SAP Funktion treffen.

Modul SAP R/3 Compliance Add-on

Unternehmensrichtlinien

Risiko für das Unternehmen, wenn die Unternehmensrichtlinie verletzt wird.

Modul Unternehmensrichtlinien

Attestierungsrichtlinien

Risiko für das Unternehmen, wenn ein Attestierungsvorgang dieser Attestierungsrichtlinie abgelehnt wird.

Modul Attestierung

Abonnierbare Berichte

Risiko für das Unternehmen, wenn eine Person diesen Bericht abonniert hat.

Modul Berichtsabonnement

Um den Risikoindex zu erfassen

  1. Öffnen Sie im Manager das Stammdatenformular des Objekts, für das ein Risikoindex erfasst werden soll.

  2. Stellen Sie im Eingabefeld Risikoindex den gewünschten Wert ein.

    Der Risikoindex wird als Gleitkommazahl im Wertebereich 0,0 ... 1,0 angegeben. Dabei bedeuten:

    • 0,0: Es liegt kein Risiko vor

    • 1,0: Problem. Es ist eine Risiko eingetreten.

Risikoindex berechnen

Auf Basis der erfassten Risikoindizes werden für Personen, Benutzerkonten und hierarchische Rollen die resultierenden Risikoindizes berechnet. Dabei werden alle direkt und indirekt zugewiesenen Objekte berücksichtigt.

Für folgende Objekttypen wird der Risikoindex berechnet.

Tabelle 3: Objekttypen mit berechnetem Risikoindex

Objekttyp

Berechnung

Verfügbar im Modul

Personen

Wird aus den Risikoindizes aller verbundenen Benutzerkonten, den direkt und indirekt zugewiesenen Software-Anwendungen, Ressourcen, Kontendefinitionen und abonnierbaren Berichten, den Mitgliedschaften in Anwendungsrollen und den Regelverletzungen berechnet.

immer

Benutzerkonten, beispielsweise Active Directory Benutzerkonten oder Google Workspace Benutzerkonten

Wird aus den Risikoindizes aller zugewiesenen Zielsystemberechtigungen berechnet.

im jeweiligen Zielsystemmodul

Abteilungen, Standorte, Kostenstellen

Wird aus den Risikoindizes aller zugewiesenen Unternehmensressourcen berechnet.

immer

Geschäftsrollen

Geschäftsrollenmodul

Systemrollen

Systemrollenmodul

IT Shop-Strukturen

immer

Regelverletzungen

Wird aus dem Risikoindex der verletzten Regel und den zugewiesenen risikomindernden Maßnahmen ermittelt.

Modul Complianceregeln

Der One Identity Manager liefert Standard-Berechnungsvorschriften für die Risikoindizes mit, in denen die Risikoberechnung für die hier aufgeführten Objekttypen definiert ist. Einzelne Eigenschaften der Standard-Berechnungsvorschriften können im One Identity Manager bearbeitet werden. Darüber hinaus können Sie unternehmensspezifische Berechnungsvorschriften erfassen.

Verwandte Themen
Self Service Tools
Knowledge Base
Notifications & Alerts
Product Support
Software Downloads
Technical Documentation
User Forums
Video Tutorials
RSS Feed
Contact Us
Licensing Assistance
Technical Support
View All
Related Documents

The document was helpful.

Select Rating

I easily found the information I needed.

Select Rating