Criminal Justice Information Services (CJIS)
La division Criminal Justice Information Services (CJIS) de l'US Federal Bureau of Investigation (FBI) dispense des conseils aux autorités fédérales, gouvernementales et locales sur la protection des informations liées à la justice pénale (CJI) lors de l'utilisation de fournisseurs de services cloud (FSC), comme Google Cloud.
Google Cloud fournit des contrôles de sécurité pour protéger et stocker les données CJI via Assured Workloads pour Google Cloud et Assured Controls pour Google Workspace. Les organismes chargés de l'application des lois peuvent se conformer à la politique de sécurité du CJIS en appliquant ces contrôles pour les services Google Cloud concernés.
Conformité de Google avec le CJIS
Le bureau du programme CJIS du FBI a publié de nombreux artefacts fournissant des conseils spécifiques pour la protection des données CJI. Le document principal, la politique de sécurité CJIS du FIB, décrit un ensemble minimal d'exigences de sécurité à respecter pour protéger les données CJI.
Le FBI fournit également un mappage des exigences du CJIS en lien avec les contrôles de sécurité de la révision 4 de la norme SP 800-53 publiée par le NIST.
Tous les services Google Cloud compatibles avec le CJIS peuvent répondre aux exigences requises pour la protection des données CJI. Google a également reçu des attestations d'un évaluateur tiers indépendant confirmant la conformité avec les contrôles 800-53 du NIST inclus dans le mappage du FBI.
Contactez l'équipe commerciale de Google Cloud via notre formulaire de contact pour en savoir plus sur la conformité de Google avec le CJIS.
Fonctionnalités CJIS de Google
Les services spécifiques au CJIS sont disponibles via Assured Workloads et Assured Controls pour favoriser la mise en œuvre des contrôles de sécurité du CJIS et permettre aux clients d'utiliser les fonctionnalités de Google Cloud et Google Workspace pour répondre à leurs besoins commerciaux.
Les organismes chargés de l'application des lois à l'échelle gouvernementale, locale et fédérale, ainsi que les organismes de justice pénale (et leurs sous-traitants) peuvent utiliser ces services pour :
- Définir des garde-fous pour limiter les charges de travail du CJIS aux États-Unis
- Restreindre le personnel d'assistance technique aux résidents des États-Unis ayant fait l'objet d'une présélection par Google et le CJIS
- Appliquer le chiffrement FIPS-140-2 aux données au repos et en transit
- Utiliser des clés de chiffrement gérées par le client (CMEK)
- Implémenter des contrôles d'accès du personnel
- Appliquer les restrictions de conformité des développeurs et la segmentation logique pour répondre aux exigences du CJIS, et plus encore
Tous les employés Google Cloud aux États-Unis sont soumis à une vérification de leurs antécédents par Google, qui tient toutefois compte de la sensibilité des données CJI. C'est pourquoi Google Cloud collabore avec ses clients pour limiter l'assistance technique au personnel américain ayant fait l'objet d'une vérification d'antécédents basée sur les empreintes digitales par le FBI et d'une vérification d'antécédents criminels, conformément à la politique de sécurité du CJIS.
Les États peuvent également fournir leur propre processus approuvé de vérification d'antécédents afin de permettre aux clients de contrôler les personnes autorisées à gérer les données CJI.
Principales mises à jour de la politique de sécurité 5.9.1 et 5.9.2 du CJIS
Fin 2022, le FBI a fait évoluer la politique de sécurité du CJIS de la version 5.9.0 à la version 5.9.2. Vous pouvez consulter les modifications dans le document d'accompagnement des exigences publié par le FBI.
La dernière politique contient des mises à jour importantes dans plusieurs domaines. Plus précisément, les conseils relatifs à la protection des médias, au filtrage du personnel, à la gestion de l'authentification et des accès, à la sensibilisation et à la formation, ainsi qu'à l'intégrité du système et des informations ont été mis à jour et sont désormais plus étroitement liés aux contrôles 800-53 du NIST.
Il existe également des idées reçues sur ces changements. L'annexe G.3 (présentée dans les versions précédentes de la politique) spécifie dans le scénario 2 que, lorsque les données CJI sont déchiffrés dans l'environnement d'un FSC, le personnel administratif qui peut accéder à l'environnement doit être "soumis à une formation sur la sensibilisation à la sécurité" et à des contrôles de sécurité, comme décrit dans la politique de sécurité du CJIS. Cela est valable même lorsque le CJIS conserve le contrôle des clés de chiffrement.
Afin de fournir une protection complète aux clients, Google utilise des clés de chiffrement gérées par le client (CMEK) et des contrôles de sécurité du personnel afin de limiter l'accès aux données CJI aux personnes situées aux États-Unis qui ont été autorisés et répondent aux exigences de la politique de sécurité du CJIS.