Criminal Justice Information Services (CJIS)
Die Abteilung CJIS (Criminal Justice Information Services) des US-amerikanischen Federal Bureau of Investigation (FBI) hat Bundes-, Landes- und Kommunalbehörden Anleitungen zum Schutz von Informationen aus Strafjustiz (CJI) bereitgestellt, die sie nutzen sollen bei Verwendung von Cloud-Dienstanbietern wie Google Cloud.
Google Cloud bietet über Assured Workloads für Google Cloud und Assured Controls für Google Workspace Sicherheitskontrollen zum Schutz und zur Speicherung von CJI. Strafverfolgungsbehörden können die Einhaltung der CJIS-Sicherheitsrichtlinie erreichen, indem sie diese Kontrollen für den Vorgaben entsprechende Google Cloud-Dienste implementieren.
CJIS-Compliance von Google
Das FBI CJIS Program Office hat zahlreiche Artefakte veröffentlicht, die eine Anleitung zum Schutz von CJI liefern. Das Hauptdokument, die FBI CJIS Security Policy, enthält eine Reihe von Mindestsicherheitsanforderungen, die erfüllt werden müssen, um CJI zu schützen. Das FBI bietet außerdem eine Zuordnung der CJIS-Anforderungen zu den Sicherheitskontrollen in NIST SP 800-53.
Kunden von Google Cloud und Google Workspace können mit Assured Workloads und Assured Controls die CJIS-Sicherheitsrichtlinie einhalten. Wenden Sie sich über das Kontaktformular an das Google Cloud-Vertriebsteam, um mehr über die CJIS-Compliance von Google zu erfahren.
CJIS-Arbeitslasten in Google Cloud hosten
Die Investitionen von Google Cloud in die standardmäßige Sicherheit unserer Infrastruktur sorgen dafür, dass Sicherheitskontrollen eingebunden und vorkonfiguriert sind, sodass Kunden auch ohne herkömmliche isolierte staatliche Cloud-Architektur verschiedene Compliance-Stufen erreichen können.
Kunden, die CJIS-Lösungen mit Google Cloud bereitstellen möchten, können Assured Workloads verwenden, um die CJIS-Sicherheitsrichtlinie einzuhalten. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Es nutzt keine physische Infrastruktur, die sich von seinen Rechenzentren in der öffentlichen Cloud unterscheidet, und bietet stattdessen eine Software Defined Community Cloud mit Vorteilen bei Kosten, Geschwindigkeit und Innovation.
Assured Workloads bietet außerdem über Assured Workloads-Monitoring Einblick in den Compliancestatus von CJIS-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontroll-Attestierungen zur Verfügung stellen.
Zusätzlich zu den durch die Google Cloud-Infrastruktur abgedeckten Kontrollen können staatliche, lokale und bundesstaatliche Strafverfolgungsbehörden und Strafrechtsbehörden (und ihre Auftragnehmer) Assured Workloads für Folgendes verwenden:
- Legen Sie Sicherheitsvorkehrungen fest, um die Speicherung von CJIS-Arbeitslasten in den USA einzuschränken.
- Personalsicherheits- und Zugriffskontrollen implementieren, um den Zugriff von CJI auf US-amerikanische Personen in den USA zu beschränken, die die Zuverlässigkeitsüberprüfungen des FBI und die Zuverlässigkeitsüberprüfungen auf Strafregistereinträgen absolviert haben
- FIPS-140-2-Verschlüsselung für ruhende Daten sowie Daten während der Übertragung erzwingen
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden
- Implementieren Sie logische Kontrollen, mit denen Netzwerke und Nutzer nach sensiblen Daten segmentiert werden, die unter die Vorgaben fallen, und mehr.
CJIS-Arbeitslasten in Workspace hosten
Mit Assured Controls für Google Workspace können Organisationen organisatorische und Compliance-Anforderungen erfüllen, unabhängig davon, ob es darum geht, den Zugriff von Google-Mitarbeitern auf Kundendaten zu beschränken oder festzulegen, wo sich ruhende Kundendaten befinden sollen.
Kunden, die CJIS-Lösungen mit Google Workspace bereitstellen möchten, können mit Assured Controls Richtlinien festlegen, die der CJIS-Sicherheitsrichtlinie entsprechen. Eine Konfigurationsanleitung für CJIS-Lösungen in Google Workspace finden Sie hier.
Zusätzlich zu den durch die Google Workspace-Infrastruktur unterstützten Kontrollen können die Strafverfolgungsbehörden auf Landes-, Kommunal- und Bundesebene sowie deren Auftragnehmer Assured Controls für folgende Zwecke nutzen:
- Legen Sie Sicherheitsvorkehrungen fest, um die Speicherung von CJIS-Arbeitslasten in den USA einzuschränken.
- Personalsicherheits- und Zugriffskontrollen implementieren, um den Zugriff von CJI auf US-amerikanische Personen in den USA zu beschränken, die die Zuverlässigkeitsüberprüfungen des FBI und die Zuverlässigkeitsüberprüfungen auf Strafregistereinträgen absolviert haben
- Erzwingen Sie die FIPS-140-2-Verschlüsselung für ruhende Daten und Übertragung und mehr.
Google Cloud-Dienste, die den CJIS-Vorgaben entsprechen
Google Cloud Platform
Häufig gestellte Fragen
Wie kann ich den Prozess der CJIS-Sicherheits-Nachtrag in meinem Staat starten?
Entitäten, die CJI verarbeiten (z. B. Google Cloud), müssen einen CJIS-Sicherheitszusatz für Bundesstaaten ausführen, in denen die Dienste der Entität zum Schutz von CJI genutzt werden sollen. Der Nachtrag ist eine vorlagenbasierte Vereinbarung, die vom US-amerikanischen Generalstaatsanwalt genehmigt wurde und den Kunden detaillierte Informationen dazu gibt, wie Google Cloud die CJIS-Sicherheitsrichtlinie erfüllt, die Verantwortlichkeiten der einzelnen Parteien, die abgedeckten Cloud-Dienste und viele andere wichtige Bestimmungen.
Wenden Sie sich über unser Kontaktformular an das Google Cloud Platform-Vertriebsteam ihres Bundesstaates, um den Vorgang zu starten und Zugriff auf ein Google Cloud CJIS-Sicherheit-Zusatz zu erhalten.
Wie demonstriert Google, dass die Cloud-Dienste Compliance mit den Anforderungen meines Bundesstaats möglich machen?
Google unterzeichnet einen CJIS-Sicherheitszusatz mit einer staatlichen CJIS-Systembehörde (CSA) oder einem CJIS-Sicherheitsbeauftragten (CSO). Sie können eine Kopie von Google oder dem CSA oder CSO Ihres Bundesstaat anfordern.
Darüber hinaus stellt Google CJIS-Kunden umfassende Kontrollberichte zur Verfügung, in denen beschrieben wird, wie sie mit Google Cloud die vom FBI zugeordneten technischen Kontrollen erfüllen können, die für die CJIS-Compliance erforderlich sind.
Wenden Sie sich an cjis@google.com, um eine Kopie der CJIS-Zuordnung von Google zu erhalten.
Wie stellt Google sicher, dass nur autorisiertes Personal den CJI unterstützen kann?
In Bundesstaaten, in denen Google-Mitarbeiter unverschlüsselten CJI haben, arbeitet Google mit den einzelnen staatlichen Behörden zusammen, um sicherzustellen, dass Mitarbeiter, die möglicherweise ungefilterten Zugriff auf die unverschlüsselten CJI eines Bundesstaates haben, den CJIS-Hintergrundprüfungen in diesem Bundesstaat unterzogen werden (zusätzlich zum nationalen Strafregister des FBI). finden Sie weitere Informationen. Qualifizierte Google-Mitarbeiter reichen die FD-258-Fingerabdruckkarten zusammen mit allen erforderlichen Dokumenten an jede Behörde ein.
Dadurch wird sichergestellt, dass autorisiertes Personal erst nach Abschluss der Zuverlässigkeitsüberprüfung und der CJIS-Schulung zum Sicherheitsbewusstsein unbegleiteten Zugang erhält.
Ist für CJIS Confidential Computing erforderlich?
Nein. Da Google vom Kunden verwaltete Verschlüsselungsschlüssel und Zugriffssteuerungen für Datenzugriff durch Mitarbeiter bereitstellt, die den CJI-Zugriff einschränken, ist Confidential Computing für CJIS in Google Cloud nicht erforderlich.
Allerdings können Kunden zusätzlich zur sicheren und eingeschränkten Umgebung, die Google für CJIS-Kunden bietet, auch Confidential Computing als zusätzliche Sicherheitskontrolle nutzen.
Können über die Google Cloud Platform Daten in den USA gespeichert werden?
Ja. Kunden können für unsere wichtigsten Dienste Ressourcen an US-Standorten konfigurieren, und Google speichert Ihre Daten nur in der ausgewählten Region in Übereinstimmung mit unseren servicespezifischen Bedingungen.
Verwendet Google die gemäß FIPS 140-2 validierte Verschlüsselung?
Google Cloud verwendet einen FIPS 140-2-(Siehe FIPS 140-2-Compliance-Seite)-validiertes Verschlüsselungsmodul namens BoringCrypto (Zertifikat 3678) in unserer Produktionsumgebung. Das bedeutet, dass sowohl die Daten bei der Übertragung (an den Kunden und zwischen Rechenzentren) als auch die ruhenden Daten standardmäßig mit FIPS 140-2-validierter Verschlüsselung verschlüsselt werden.
Das gemäß FIPS 140-2 validierte Modul ist Teil unserer BoringSSL-Bibliothek. So können Kunden die FIPS-Compliance wahren und gleichzeitig aus einer Vielzahl von Angeboten für das Cloud Schlüsselverwaltung auswählen, z. B. von Google verwaltete Schlüssel, vom Kunden verwaltete Verschlüsselungsschlüssel und die externe Schlüsselverwaltung. Da Google Cloud dieses Maß an Verschlüsselung standardmäßig für ruhende Daten und Daten bei der Übertragung verwendet, können Kunden die FIPS-140-2-Verschlüsselung übernehmen und können die Anforderungen zum Ausführen von Produkte und Dienste im FIPS-Modus eliminieren.
Warum braucht Google keine Government Cloud?
Google hat bei seiner öffentlichen Cloud-Infrastruktur in einen mehrstufigen Sicherheitsansatz investiert, der Features wie Verschlüsselung und starke Mitarbeiter-Datenzugriffskontrollen bietet. Dies bietet einen starken Sicherheitsstatus, der nötig ist, um den strengen Anforderungen der CJIS-Sicherheitsrichtlinie zu entsprechen, und der es Kunden gleichzeitig ermöglicht, die kontinuierlichen Produktinnovationen öffentlicher Clouds zu nutzen.
Die Implementierung von Google der zuvor genannten Kontrollen (und vieler anderer) entsprechen den Anforderungen von FedRAMP Moderate und FedRAMP High und wurden vom Joint Authorization Board (JAB) anerkannt.
Weitere Angebote
Gleich loslegen
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.
Best Practices für Sicherheit
Mehr über Best PracticesHäufige Probleme beheben
Videos zu sicherheitsbezogenen Fallstudien ansehenUnterstützung durch Partner
Mehr über unsere Sicherheitspartner
