Konfigurations-Compliance Übersicht über Ausnahmeverwaltung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 2 Minuten Lesedauer

    • Wenn Ihre Organisation eine veröffentlichte Richtlinie, einen Standard oder eine Leitlinie für das Schwachstellenmanagement oder die Sicherheit nicht einhalten kann, können Sie eine Ausnahme anfordern. Die Ausnahmeverwaltung umfasst das Anfordern, Überprüfen, Genehmigen oder Ablehnen von Ausnahmen für eine Korrekturaufgabe, die nicht gemäß der Richtlinie behoben werden können.

    Hinweis:
    Ab v14.9 von Konfigurations-Compliancewurden die folgenden Begriffe umbenannt:
    Tabelle : 1. Änderungen in der Terminologie
    Terminologie vor v14.9 Terminologie ab Version 14.9
    Testergebnisgruppe Korrekturaufgabe
    Gruppenregeln Regeln für Korrekturaufgaben
    Richtlinie Testgruppe

    Für einige Schwachstellen ist möglicherweise kein Patch, keine Korrektur oder keine Lösung vorhanden. Wenn eine Ausnahme genehmigt wird, bedeutet dies auch, dass Sie ein Risiko akzeptieren, da Sie die Konsequenzen anerkennen und ihnen zustimmen, wenn die konfigurationsbezogene Schwachstelle nicht behoben wird.

    Lebenszyklus einer Ausnahme

    Eine Ausnahme ist eine Anforderung, die Korrektur einer Korrekturaufgabe für einen bestimmten Zeitraum zurückzustellen.

    Der Lebenszyklus einer Ausnahme ist wie folgt:
    • Ausnahme wird angefordert
    • Eine Ausnahmeanforderung wird genehmigt
    • Verfolgen Sie eine Ausnahmeanforderung
    • Ablauf einer Ausnahmeanforderung
    Ausnahme wird angefordert

    Als Korrekturbesitzer können Sie mithilfe des Ausnahmeverwaltungsprozesses eine Befreiung für eine Korrekturaufgabe anfordern. Während des Genehmigungsprozesses verbleibt die Korrekturaufgabe im Status Wird überprüft. Nachdem der Ausnahmegenehmiger diese Anforderung genehmigt hat, wechselt die Korrekturaufgabe in den Status Zurückgestellt.

    Eine Ausnahmeanforderung wird genehmigt

    Korrekturaufgaben, die nicht sofort korrigiert werden können, werden überprüft, auf Risiken geprüft und zur Zurückstellung genehmigt, bis sie korrigiert werden können. Das Genehmigen einer Ausnahmeanforderung kann ein zweistufiger Workflow sein. Wenn nur der Genehmiger der ersten Ebene anwesend ist, kann die Ausnahme angefordert und genehmigt werden. Wenn jedoch kein Genehmiger der ersten Ebene vorhanden ist, kann keine Ausnahme angefordert werden. Weitere Informationen finden Sie unter Fügen Sie einen Ausnahmegenehmiger für hinzu Konfigurations-Compliance.

    Hinweis:

    Ab Konfigurations-Compliance v13.0 wird der Flow Designer für die Ausnahmeverwaltung standardmäßig aktiviert, wenn Sie die Anwendung CC zum ersten Mal bereitstellen. Wenn Sie den Workflow bereits verwenden, können Sie den Flow Designer aktualisieren. In beiden Fällen können Sie ihn nicht zurück in den Workflow ändern.

    Sobald eine Ausnahmeanforderung für eine Korrekturaufgabe genehmigt wurde, können Sie die folgenden Aktionen ausführen:
    • Erneut öffnen
    • Schließen
    • Löschen
    Hinweis:
    Ablehnungskommentare werden in den Arbeitsnotizen für eine Korrekturaufgabe angezeigt. Wenn eine Ausnahmeanforderung abgelehnt wird, wird diese Korrekturaufgabe in den vorherigen Status zurückversetzt.
    Verfolgen Sie eine Ausnahmeanforderung

    Nachdem Sie die Ausnahme ausgelöst haben, können Sie ihren Status auf der Registerkarte Change-Genehmigungen im Status der Korrekturaufgabe nachverfolgen. Wenn eine Aktion für eine Korrekturaufgabe ausgeführt wird, können Sie den Status der einzelnen Testergebnisse in dieser Korrekturaufgabe nicht nachverfolgen.

    Ablauf einer Ausnahmeanforderung

    Wenn eine Ausnahmeanforderung für eine Korrekturaufgabe abläuft, wird die Korrekturaufgabe in den Status „ Offen “ zurückversetzt.

    Abbildung : 1. Genehmigungsprozess für die Ausnahmeverwaltung vor CC v13.0
    Ausnahmeverwaltungs-Lebenszyklus für CC