Integration von Richtlinienausnahmen mit Vulnerability Response

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 4 Minuten Lesedauer

    • Ab Version 10.1 können Sie Richtlinienausnahmen mit der inhärenten Funktionalität der Policy and Compliance Management -Anwendung zur Verwaltung von Richtlinienausnahmen ab Version 10.3 der Anwendung GRCVulnerability Response anfordern.

    Vorteile der Verwendung der Integration von Richtlinienausnahmen

    Das Anfordern von Ausnahmen mithilfe der Integration von Richtlinienausnahmen mit Policy and Compliance Management bietet die folgenden Vorteile:
    • Führen Sie Bewertungen durch, um zusätzliche Informationen zu den Anforderungen zu sammeln.
    • Fordern Sie Ausnahmen basierend auf einer bestimmten Richtlinie oder einem Kontrollziel an. Diese Aktion zeigt die Auswirkungen auf die Compliance, wenn eine Ausnahme genehmigt wird.
    • Konfigurieren Sie Genehmigungen so, dass sie basierend auf der Risikobewertung, der Richtlinie oder dem Kontrollziel, die der Richtlinienausnahme zugeordnet sind, automatisch ausgelöst werden.

    Funktionsweise der Integration von Richtlinienausnahmen

    Das hier beschriebene Szenario geht davon aus, dass eine Schwachstelle in Ihrem System identifiziert wurde und Ihr Korrekturbesitzer festgestellt hat, dass ein Software-Patch erforderlich ist. Der Patch wurde nicht vollständig getestet, und der Besitzer fordert eine Richtlinienausnahme an, um die Bereitstellung des Patch bis zum Abschluss des Tests zurückzustellen.
    Das folgende Diagramm zeigt die Schritte, die vom Compliance-Manager und vom Fehlerkorrektur-Besitzer in jeder der Anwendungen ausgeführt werden.
    Abbildung : 1. Integration von Richtlinienausnahmen
    Workflow für die Integration von Richtlinienausnahmen
    Hinweis:
    Der GRC-Geschäftsbenutzer (sn_grc.business_user) oder Geschäftsbenutzer – Lite (sn_grc.business_user_lite) ist die mindestens erforderliche Rolle, um eine Richtlinienausnahme von einer vorgelagerten Anwendung auszulösen.
    1. Bei der Installation der Anwendung Vulnerability Response werden automatisch zwei Datensätze für die Integration von Richtlinienausnahmen erstellt und der Integrationsregistrierung hinzugefügt, einer für eine Schwachstellengruppe und einer für ein angreifbares Element.
      Abbildung : 2. Integrationsregister für Richtlinienausnahmen
      Integration von Richtlinienausnahmen Register.
      Um den Datensatz für angreifbare Elemente zu konfigurieren, führt der Compliance-Manager die folgenden Schritte aus.
      1. Identifiziert die Zuordnung von Tabellen, die zur Integration der beiden Anwendungen verwendet werden.
      2. Definiert Gründe für die Anforderung von Ausnahmen.
      3. (optional) Definiert Richtlinienkategorien zum Filtern von Richtlinien
      4. (optional) Erstellt einen oder mehrere Fragebögen, die an die anfordernde Person gesendet werden, um zusätzliche Informationen zur Anforderung einer Richtlinienausnahme zu sammeln.
    2. Der Compliance-Manager definiert auch optionale Überprüfungsregeln und Genehmigungsregeln, um den Genehmigungsprozess für die Richtlinienausnahme zu automatisieren.
    3. In Vulnerability Response, der Korrekturbesitzer Fordern Sie eine Ausnahme mit an GRC: Policy and Compliance Management an.
    4. Wenn eine Überprüfungsregel für die Anwendung definiert wurde, werden die festgelegten Genehmiger benachrichtigt, dass ihre Genehmigung erforderlich ist. Wenn Felder in der Richtlinienausnahmeanforderung nicht von der anfordernden Person ausgefüllt wurden (z. B. die Richtlinie oder das Kontrollziel), werden diese Felder für die Genehmiger zu Pflichtfeldern. Wenn die Genehmiger die Anforderung überprüft, abgeschlossen und genehmigt haben, geht sie in den Status Analysieren über und wird dem Compliance-Manager zur weiteren Analyse und Genehmigung zugewiesen.
    5. In Policy and Compliance Managementerhält der Compliance-Manager die genehmigte Anforderung und weist der Richtlinienausnahmeanforderung auf der Registerkarte Risikobewertung eine Risikobewertung zu.
      Abbildung : 3. Anforderung einer Richtlinienausnahme auf der Registerkarte „Risikobewertung“.
      Risikobewertung

      Wenn der Richtlinienausnahmedatensatz gespeichert wird, werden die Informationen auf der Registerkarte Quelle, einschließlich der Quellanwendung und des Quelldatensatzes, sowie Informationen in der zugehörigen Liste „Angreifbare Elemente“ automatisch ausgefüllt. Der Compliance-Manager hat jetzt Zugriff auf alle Daten, die zum Überprüfen und Genehmigen der Richtlinienausnahme erforderlich sind.

    6. In Policy and Compliance Managementführt der Compliance-Manager die Ausnahmebewertung durch, wenn Bewertungen konfiguriert wurden. Nach Abschluss der Bewertung kehrt der Compliance-Manager zur Registerkarte Risikobewertung zurück und aktualisiert bei Bedarf die Risikobewertung basierend auf den Ergebnissen der Bewertung. Der Compliance-Manager füllt auch die folgenden Felder mit Informationen aus, die während der Bewertung gesammelt wurden.
      Tabelle : 1. Registerkarte „Risikobewertung“.
      Feld Beschreibung
      Risikobeschreibung Geben Sie Details zum mit dieser Richtlinienausnahme verbundenen Risiko an.
      Analyse von Risiko und Auswirkung Geben Sie Details zu Ihrer Analyse des Risikos und der Auswirkungen der Richtlinienausnahme an.
      Risikominderungsplan Geben Sie Details zum Risikominderungsplan an, der dieser Richtlinienausnahme zugeordnet ist.
    7. Wenn in der Richtlinienausnahme Informationen fehlen, kann der Compliance-Manager auf Weitere Informationen klicken und Kommentare hinzufügen, um den Typ der erforderlichen Daten zu identifizieren. Die anfordernde Person wird benachrichtigt und stellt die angeforderten Informationen bereit.
    8. Optional kann der Compliance-Manager die Richtlinienausnahme für eine zusätzliche interne Überprüfung senden, bevor er sie genehmigt, indem er auf Überprüfung anfordernklickt.
      Hinweis:
      Stellen Sie vor der Anforderung einer Überprüfung sicher, dass die zugehörige Liste „Betroffene Steuerungen“ die Steuerungen enthält, die von der Richtlinienausnahme betroffen sind. Öffnen Sie einfach die zugehörige Liste, klicken Sie auf Hinzufügenund wählen Sie die Steuerungen aus.
    9. Wenn die Richtlinienausnahme ein besonders hohes Risiko aufweist und der Compliance-Manager der Meinung ist, dass die Genehmigung von einer höheren Person in der Organisation erfolgen sollte (z. B. dem CIO), kann der Compliance-Manager auf Genehmigung anfordernklicken.
      Andernfalls wird die Genehmigung in den folgenden Szenarien durchgeführt.
      Genehmigungsregel definiert Auswirkung auf die Genehmigung
      Wenn keine Genehmigungsregel für definiert wurde Vulnerability Response Durch Klicken auf die Schaltfläche Genehmigt wird die Richtlinienausnahme genehmigt.
      Wenn eine Genehmigungsregel definiertwurde, aber das Kontrollkästchen Auto-trigger (Automatischer Auslöser) nicht aktiviert wurde Sie können auf Genehmigung anfordern klicken, um die Richtlinienausnahme an die in der Regel definierten Benutzer oder Gruppen zu senden. Beispielsweise kann eine Genehmigungsregel angeben, dass, wenn die Richtlinienausnahme auf einer bestimmten Richtlinie basiert, eine bestimmte Gruppe von Benutzern oder Gruppen benachrichtigt wird, dass sie eine Genehmigung für die Richtlinienausnahme erteilen müssen. Oder eine Genehmigungsregel kann so definiert werden, dass jede Richtlinienausnahme mit der Risikobewertung Kritisch automatisch an eine bestimmte Gruppe von Genehmigern gesendet wird.

      Die Anzahl der für die Genehmigung der Richtlinienausnahme erforderlichen Genehmiger hängt von der Einstellung im Feld Genehmigung erforderlich in der Regel ab.

      Sie können auch auf Genehmigen klicken, um die Richtlinienausnahme selbst zu genehmigen.
      Wenn eine Genehmigungsregel definiert wurde und das Kontrollkästchen Auto-trigger (Automatischer Auslöser) aktiviert wurde Wenn Sie auf die Schaltfläche Genehmigen klicken, wird die Genehmigungsregel ausgeführt und die Richtlinienausnahme wird automatisch zur Genehmigung an die Benutzer oder Gruppen gesendet, die durch die Regel definiert sind. Durch den automatischen Auslöser ist dieser Schritt obligatorisch. Wenn Genehmigungen eingehen, tritt die Richtlinienausnahme in Kraft.
    10. In Vulnerability Responsewird die Richtlinienausnahme nach Eingang der Genehmigungen aktiv, und die Patch-Aktivität für das angreifbare Element wird zurückgestellt, bis die Richtlinienausnahme abläuft. Wenn das Gültig-bis -Datum erreicht ist, läuft die Richtlinienausnahme ab, und der Status des angreifbaren Elements ändert sich von „Zurückgestellt“ in „Offen“.