Integration von Richtlinienausnahmen in Vulnerability Response

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 4 Minuten Lesedauer

    • Ab Version 10.1 können Sie mit der in der Anwendung [] enthaltenen Funktion zur Verwaltung von Richtlinienausnahmen Richtlinien- und Compliance-Management ab Version 10.3 der Anwendung Vulnerability ResponseGRC Richtlinienausnahmen anfordern.

    Vorteile der Verwendung der Integration für Richtlinienausnahmen

    Das Anfordern von Ausnahmen mithilfe der Integration von Richtlinienausnahmen mit Richtlinien- und Compliance-Management bietet folgende Vorteile:
    • Führen Sie Bewertungen durch, um zusätzliche Informationen zu den Anforderungen zu sammeln.
    • Fordern Sie Ausnahmen basierend auf einem bestimmten Richtlinien- oder Kontrollziel an. Diese Aktion zeigt die Auswirkungen auf die Compliance, wenn eine Ausnahme genehmigt wird.
    • Konfigurieren Sie Genehmigungen so, dass sie automatisch basierend auf der Risikobewertung, der Richtlinie oder dem Kontrollziel ausgelöst werden, die der Richtlinienausnahme zugeordnet sind.

    Funktionsweise der Integration von Richtlinienausnahmen

    Das hier beschriebene Szenario setzt voraus, dass in Ihrem System eine Schwachstelle identifiziert wurde und der Besitzer der Korrektur festgestellt hat, dass ein Software-Patch erforderlich ist. Der Patch wurde nicht vollständig getestet, und der Besitzer fordert eine Richtlinienausnahme an, um die Bereitstellung des Patch zurückzustellen, bis der Test abgeschlossen ist.
    Das folgende Diagramm veranschaulicht die Schritte, die vom Compliance-Manager und vom Verantwortlichen für die Korrektur in den einzelnen Anwendungen ausgeführt werden.
    Abbildung : 1. Integration von Richtlinienausnahmen
    Workflow für die Integration von Richtlinienausnahmen
    Hinweis:
    GRC Business User (sn_grc.business_user) oder Business User Lite (sn_grc.business_user_lite) ist die mindestens erforderliche Rolle, um eine Richtlinienausnahme in einer vorgelagerten Anwendung auszulösen.
    1. Bei der Installation der Anwendung Vulnerability Response werden automatisch zwei Integrationsdatensätze für Richtlinienausnahmen erstellt und der Integrationsregistrierung hinzugefügt, einer für eine Schwachstellengruppe und einer für ein angreifbares Element.
      Abbildung : 2. Integrationsregister für Richtlinienausnahmen
      Integration für Richtlinienausnahme Register.
      Um den Datensatz für angreifbare Elemente zu konfigurieren, führt der Compliance-Manager die folgenden Schritte aus.
      1. Gibt die Zuordnung von Tabellen an, die zur Integration der beiden Anwendungen verwendet werden.
      2. Definiert Gründe für die Anforderung von Ausnahmen.
      3. (optional) Definiert Richtlinienkategorien zum Filtern von Richtlinien
      4. (optional) Erstellt einen oder mehrere Fragebogen, die an die anfordernde Person gesendet werden, um zusätzliche Informationen zur Anforderung einer Richtlinienausnahme zu sammeln.
    2. Der Compliance Manager definiert außerdem optionale Verifizierungsregeln und Genehmigungsregeln, um den Prozess zum Einholen von Genehmigungen für Richtlinienausnahmen zu automatisieren.
    3. In Vulnerability Response, der für die Korrektur Verantwortliche Fordern Sie mit eine Ausnahme an GRC: Richtlinien- und Compliance-Management .
    4. Wenn für die Anwendung eine Verifizierungsregel definiert wurde, werden die festgelegten Genehmiger benachrichtigt, dass ihre Genehmigung erforderlich ist. Wenn Felder in der Anforderung einer Richtlinienausnahme von der anfordernden Person nicht ausgefüllt wurden (z. B. das Richtlinien- oder Kontrollziel), werden diese Felder für die Genehmiger obligatorisch. Wenn die Genehmiger die Anforderung überprüft, abgeschlossen und genehmigt haben, geht sie in den Status Analysieren über und wird dem Compliance-Manager zur weiteren Analyse und Genehmigung zugewiesen.
    5. In Richtlinien- und Compliance-Managementerhält der Compliance-Manager die genehmigte Anforderung und weist der Anforderung einer Richtlinienausnahme auf der Registerkarte Risikobewertung eine Risikobewertung zu.
      Abbildung : 3. Anforderung einer Richtlinienausnahme auf der Registerkarte Risikobewertung
      Risikobewertung

      Wenn der Richtlinienausnahmedatensatz gespeichert wird, werden Informationen auf der Registerkarte Quelle, einschließlich Quellanwendung und Quelldatensatz, sowie Informationen in der zugehörigen Liste „Angreifbare Elemente“ automatisch ausgefüllt. Der Compliance-Manager hat jetzt Zugriff auf alle Daten, die zum Überprüfen und Genehmigen der Richtlinienausnahme erforderlich sind.

    6. In Richtlinien- und Compliance-Managementführt der Compliance-Manager die Ausnahmebewertung durch, wenn Bewertungen konfiguriert wurden. Wenn die Bewertung abgeschlossen ist, kehrt der Compliance-Manager zur Registerkarte Risikobewertung zurück und aktualisiert die Risikobewertung bei Bedarf basierend auf den Ergebnissen der Bewertung. Der Compliance Manager füllt auch die folgenden Felder mit Informationen, die während der Bewertung gesammelt wurden.
      Tabelle : 1. Registerkarte „Risikobewertung“.
      Feld Beschreibung
      Risikobeschreibung Geben Sie Details zum Risiko an, das mit dieser Richtlinienausnahme verbunden ist.
      Analyse von Risiko und Auswirkung Geben Sie Details zu Ihrer Analyse des Risikos und der Auswirkungen auf die Richtlinienausnahme an.
      Risikominderungsplan Geben Sie Details zum Risikominderungsplan an, der dieser Richtlinienausnahme zugeordnet ist.
    7. Wenn bei der Richtlinienausnahme Informationen fehlen, kann der Compliance-Manager auf Weitere Informationen anfordern klicken und Kommentare hinzufügen, um den Typ der erforderlichen Daten zu identifizieren. Die anfordernde Person wird benachrichtigt und stellt die angeforderten Informationen bereit.
    8. Optional kann der Compliance-Manager die Richtlinienausnahme für eine zusätzliche interne Überprüfung senden, bevor er sie genehmigt, indem er auf Überprüfung anfordernklickt.
      Hinweis:
      Stellen Sie vor dem Anfordern einer Überprüfung sicher, dass die zugehörige Liste „Betroffene Kontrollen“ die Kontrollen enthält, die von der Richtlinienausnahme betroffen sind. Öffnen Sie einfach die zugehörige Liste, klicken Sie auf Hinzufügenund wählen Sie die Steuerungen aus.
    9. Wenn die Richtlinienausnahme ein besonders hohes Risiko darstellt und der Compliance-Manager der Ansicht ist, dass die Genehmigung von einer höheren Person in der Organisation erfolgen sollte (z. B. vom CIO), kann der Compliance-Manager auf Genehmigung anfordernklicken.
      Andernfalls wird die Genehmigung in den folgenden Szenarien durchgeführt.
      Genehmigungsregel definiert Auswirkung auf Genehmigung
      Wenn für keine Genehmigungsregel definiert wurde Vulnerability Response Durch Klicken auf die Schaltfläche Genehmigt wird die Richtlinienausnahme genehmigt.
      Wenn eine Genehmigungsregel definiertwurde, aber das Kontrollkästchen Automatisch auslösen nicht aktiviert wurde Sie können auf Genehmigung anfordern klicken, um die Richtlinienausnahme an die in der Regel definierten Benutzer oder Gruppen zu senden. Eine Genehmigungsregel kann beispielsweise angeben, dass, wenn die Richtlinienausnahme auf einer bestimmten Richtlinie basiert, eine bestimmte Gruppe von Benutzern oder Gruppen benachrichtigt wird, dass sie die Genehmigung für die Richtlinienausnahme erteilen müssen. Oder es kann eine Genehmigungsregel so definiert werden, dass jede Richtlinienausnahme mit der Risikobewertung Kritisch automatisch an eine bestimmte Gruppe von Genehmigern gesendet wird.

      Die Anzahl der Genehmiger, die zum Genehmigen der Richtlinienausnahme erforderlich sind, hängt von der Einstellung im Feld Erforderliche Genehmigung in der Regel ab.

      Sie können auch auf Genehmigen klicken, um die Richtlinienausnahme selbst zu genehmigen.
      Wenn eine Genehmigungsregel definiert wurde und das Kontrollkästchen Automatisch auslösen aktiviert wurde Wenn Sie auf die Schaltfläche Genehmigen klicken, wird die Genehmigungsregel ausgeführt und die Richtlinienausnahme wird automatisch zur Genehmigung an die von der Regel definierten Benutzer oder Gruppen gesendet. Durch den automatischen Auslöser ist dieser Schritt obligatorisch. Wenn Genehmigungen eingehen, wird die Richtlinienausnahme wirksam.
    10. In Vulnerability Responsewird die Richtlinienausnahme nach Erhalt der Genehmigungen aktiv, und die Patch-Aktivität für das angreifbare Element wird zurückgestellt, bis die Richtlinienausnahme abläuft. Wenn das Datum Gültig bis erreicht ist, läuft die Richtlinienausnahme ab, und der Status des angreifbaren Elements ändert sich von Zurückgestellt in Offen.