Criminal Justice Information Services (CJIS)
La divisione Criminal Justice Information Services (CJIS) del Federal Bureau of Investigations (FBI) degli Stati Uniti offre agli enti federali, statali e locali indicazioni su come proteggere le informazioni sulla giustizia penale (CJI) quando utilizzano provider di servizi cloud (CSP) come Google Cloud.
Google Cloud offre controlli di sicurezza per proteggere e archiviare le CJI tramite Assured Workloads per Google Cloud e Assured Controls for Google Workspace. Le forze dell'ordine possono ottenere la conformità alle norme sulla sicurezza CJIS implementando questi controlli per i servizi Google Cloud interessati.
Conformità CJIS di Google
L'FBI CJIS Program Office ha pubblicato numerosi artefatti che forniscono indicazioni specifiche sulla protezione delle CJI. Il documento principale, relativo alle norme sulla sicurezza CJIS dell'FBI, descrive in dettaglio un insieme minimo di requisiti di sicurezza che devono essere soddisfatti per proteggere e salvaguardare le CJI.
L'FBI fornisce inoltre una mappatura dei requisiti CJIS ai controlli di sicurezza in NIST SP 800-53 revision 4.
Tutti i servizi Google Cloud che supportano CJIS sono in grado di soddisfare i requisiti necessari per la protezione delle CJI. Google ha ricevuto anche attestazioni da parte di un ente certificatore terzo indipendente che confermano la conformità ai controlli NIST 800-53 inclusi nella mappatura dell'FBI.
Contatta il team di vendita di Google Cloud tramite il nostro modulo di contatto per saperne di più sulla conformità CJIS di Google.
Funzionalità CJIS di Google
I servizi interessati dalla normativa CJIS resi disponibili tramite Assured Workloads e Assured Controls implementano i controlli di sicurezza CJIS e consentono ai clienti di utilizzare le funzionalità di Google Cloud e Google Workspace per soddisfare le proprie esigenze aziendali.
Le agenzie di giustizia penale e le forze dell'ordine statali, locali e federali possono utilizzare questi servizi per:
- Impostare sistemi di protezione per limitare i carichi di lavoro CJIS agli Stati Uniti.
- Limitare il personale dell'assistenza tecnica a soggetti statunitensi che si trovano negli Stati Uniti e verificati sia da Google che dall'ente CJIS statale.
- Applicare la crittografia at-rest e in transito conforme a FIPS-140-2.
- Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
- Implementare controlli di accesso del personale.
- Applicare limitazioni di conformità per gli sviluppatori e segmentazione logica per supportare i requisiti CJIS e altro ancora.
Tutti i dipendenti di Google Cloud negli Stati Uniti sono soggetti ai controlli dei precedenti di Google, ma Google riconosce la sensibilità dei dati CJI. Ecco perché Google Cloud collabora con i clienti per limitare l'assistenza tecnica al personale statunitense che ha completato i controlli dei precedenti dell'FBI basati sulle impronte digitali e i controlli dei precedenti penali imposti dalle norme sulla sicurezza CJIS.
Gli stati possono anche fornire una propria procedura di controllo dei precedenti approvata per consentire ai clienti di avere il controllo su chi può supportare le CJI.
Aggiornamenti principali alle norme sulla sicurezza CJIS v5.9.1 e v5.9.2
L'FBI ha aggiornato le norme sulla sicurezza CJIS da v5.9.0 a v5.9.2 alla fine del 2022. Le modifiche possono essere visualizzate nel documento complementare sui requisiti pubblicato dall'FBI.
Le norme più recenti contengono aggiornamenti significativi in alcune aree. In particolare, sono state aggiornate le linee guida relative a protezione dei media, controllo del personale, gestione di identità e accessi, awareness e formazione, nonché integrità dei sistemi e delle informazioni, ora più strettamente correlate ai controlli NIST 800-53.
Ci sono anche alcune convinzioni popolari errate rispetto a questi cambiamenti. L'appendice G.3 (presente nelle versioni precedenti delle norme) specifica nello Scenario 2 che, quando le CJI vengono decriptate all'interno dell'ambiente di un CSP, tutto il personale amministrativo che può accedere all'ambiente deve "essere formato sull'awareness della sicurezza e sottoposto ai controlli di sicurezza del personale come descritto nelle norme sulla sicurezza CJIS". Questo vale anche quando l'ente CJIS mantiene il controllo delle chiavi di crittografia.
Per fornire protezione completa ai clienti, Google utilizza chiavi di crittografia gestite dal cliente (CMEK) e controlli di sicurezza del personale per limitare l'accesso CJI ai soggetti statunitensi che si trovano negli Stati Uniti che hanno ottenuto l'autorizzazione e soddisfano i requisiti delle norme sulla sicurezza CJIS.