Criminal Justice Information Services (CJIS)

Divisi Criminal Justice Information Services (CJIS) Biro Investigasi Federal AS (FBI) memberikan panduan kepada lembaga federal, negara bagian, lokal, dan suku mengenai cara melindungi informasi peradilan pidana (CJI) saat menggunakan penyedia layanan cloud (CSP) seperti Google Cloud.

Pelanggan Google Cloud dapat menggunakan Assured Workloads untuk Google Cloud dan Assured Controls untuk Google Workspace untuk mematuhi v5.9.5 dari Kebijakan Keamanan CJIS.

Pengantar CJIS

Divisi CJIS FBI mengawasi banyak database nasional yang dimanfaatkan oleh Lembaga Peradilan Pidana (CJA) di seluruh negeri. Sebagian besar data yang disimpan dalam database ini dianggap sebagai Informasi Peradilan Pidana (CJI), dan tunduk pada perlindungan dari penggunaan dan pelepasan yang tidak sah. Kebijakan Keamanan CJIS (“CJISSECPOL”), yang diterbitkan oleh Divisi CJIS FBI, memberikan serangkaian persyaratan keamanan minimum untuk melindungi dan mengamankan CJI.

FBI juga menyediakan Dokumen Pendamping Persyaratan yang menyoroti perubahan terbaru pada Kebijakan Keamanan CJIS dan membantu mengidentifikasi peran dan tanggung jawab keamanan untuk entitas yang mengakses CJI. Meskipun CJA yang mengakses CJI selalu bertanggung jawab untuk memastikan kepatuhan CJIS, Dokumen Pendamping Persyaratan memandu CJA dalam menentukan siapa saja (misalnya, Divisi CJIS FBI, CJA, Penyedia Layanan, dll.) yang memiliki kemampuan teknis untuk memastikan persyaratan tertentu terpenuhi. 

Pelanggan Google Cloud Platform dan Google Workspace dapat menggunakan Assured Workloads dan Assured Controls untuk mematuhi versi 5.9.5 dari Kebijakan Keamanan CJIS. Organisasi penilaian pihak ketiga independen baru-baru ini menilai kontrol keamanan CJIS Google Cloud dan mendapati bahwa Google Cloud mengikuti kepatuhan terhadap CJIS. Informasi kepatuhan tambahan juga dapat diberikan atas permintaan untuk menunjukkan bagaimana Google Cloud memenuhi persyaratan CJISSECPOL yang berlaku untuk Penyedia Layanan Cloud. 

Google Cloud juga menghadiri pertemuan Dewan Pengarah Kebijakan CJIS dan meninjau versi baru Kebijakan Keamanan CJIS dan Dokumen Pendamping Persyaratan untuk memastikan bahwa kebijakan dan prosedur kami mematuhi setiap perubahan.

Menghosting Workload CJIS di Google Cloud Platform

Assured Workloads untuk CJIS memungkinkan pelanggan mematuhi Kebijakan Keamanan CJIS. Assured Workloads untuk Google Cloud Platform adalah cloud peraturan Google Cloud yang memungkinkan kepatuhan terhadap framework seperti CJIS, FedRAMP High, dan Departemen Pertahanan IL2 / IL4 / IL5.

Assured Workloads menggunakan pendekatan zero-trust dan berbasis software untuk kepatuhan terhadap peraturan. Dengan solusi ini, pelanggan dapat memenuhi persyaratan kepatuhan cloud pemerintah yang ketat, sekaligus memberikan manfaat performa, skala, ketersediaan layanan, biaya, dan keandalan yang tidak dapat didapatkan saat menggunakan arsitektur cloud yang terpisah secara fisik.

Assured Workloads menyederhanakan keamanan dan kepatuhan untuk penegak hukum negara bagian, lokal, suku, dan federal (dan pengguna CJI lainnya yang menangani peradilan pidana atau non-pidana) dengan:

  • Menetapkan kontrol lokasi data untuk membatasi workload CJIS ke region khusus AS (“residensi data”)
  • Menerapkan kontrol akses dan keamanan personel untuk membatasi akses tanpa pengawalan ke CJI yang tidak dienkripsi bagi orang Amerika Serikat yang berada di Amerika Serikat yang telah menyelesaikan pemeriksaan latar belakang FBI berbasis sidik jari
  • Mengaktifkan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK), yang dihosting di Google Cloud atau menggunakan External Key Manager
  • Memungkinkan pelanggan mendapatkan kontrol dan visibilitas atas akses administratif
  • Terus memantau lingkungan pelanggan terhadap pelanggaran kepatuhan

Menghosting Workload CJIS di Google Workspace

Assured Controls untuk Google Workspace memungkinkan organisasi memenuhi persyaratan organisasi dan kepatuhan, baik yang melibatkan pembatasan akses personel Google ke data pelanggan, atau memastikan bahwa lokasi data pelanggan dibatasi di Amerika Serikat.

Pelanggan yang ingin men-deploy solusi CJIS menggunakan Google Workspace dapat menggunakan Assured Controls untuk menetapkan kebijakan yang sesuai dengan Kebijakan Keamanan CJIS. Panduan konfigurasi untuk solusi CJIS di Google Workspace dapat ditemukan di sini.

Layanan Google Cloud yang berada dalam cakupan untuk CJIS

FAQ

Organisasi penilaian pihak ketiga independen baru-baru ini mengevaluasi kontrol keamanan CJIS Google Cloud dan menemukan bahwa Google Cloud berhasil mendukung kepatuhan CJIS. Google berencana memperbarui penilaian ini setelah Kebijakan Keamanan CJIS v6.0 dipublikasikan. 

Jika diminta oleh pelanggan atau CJIS System Agency (CSA) negara bagian, Google Cloud akan melaksanakan Perjanjian Pengelolaan yang memberikan informasi mendetail kepada pelanggan tentang cara Google Cloud mendukung kepatuhan terhadap Kebijakan Keamanan CJIS, tanggung jawab setiap pihak, layanan cloud mana yang dicakup, dan banyak ketentuan penting lainnya. Anda dapat meminta salinan Perjanjian Pengelolaan CJIS Google Cloud dengan mengirim email ke cjis@google.com.

Tim kepatuhan Google Cloud juga dapat memberikan narasi kepatuhan mendetail yang menunjukkan bagaimana Google Cloud memenuhi persyaratan CJISSECPOL yang berlaku untuk Penyedia Layanan Cloud.

Ya. Google Cloud memungkinkan pelanggan untuk membatasi workload CJIS ke region khusus AS melalui Assured Workloads dan Assured Controls. Google akan menyimpan data Anda dalam penyimpanan sesuai dengan Persyaratan Khusus Layanan kami.

Di negara bagian yang mengizinkan karyawan Google mengakses CJI tanpa pengawalan dan tanpa enkripsi, Google bekerja sama dengan CSA (atau lembaga lokal) untuk memastikan personel yang mungkin memiliki akses tanpa pengawalan ke CJI negara bagian tanpa enkripsi menjalani pemeriksaan latar belakang FBI berbasis sidik jari. Personel Google yang memenuhi syarat akan menyerahkan kartu sidik jari FD-258, bersama dengan dokumentasi yang diperlukan, kepada setiap CSA.

Proses ini memastikan bahwa personel yang berwenang akan diberikan akses tanpa pengawasan hanya setelah menyelesaikan pemeriksaan latar belakang dan pelatihan kesadaran keamanan CJIS.

Google telah menerapkan zero-trust sebagai inti dari layanan dan operasi kami. Infrastruktur kami tidak mengasumsikan adanya kepercayaan antara layanan yang berjalan di atas infrastruktur tersebut. Dengan kata lain, setiap permintaan akses resource diperiksa, diautentikasi, dan diverifikasi seolah-olah berasal dari jaringan yang tidak tepercaya.

Lingkungan pelanggan dalam Google Cloud juga dipisahkan secara logis untuk mencegah pengguna dan pelanggan mengakses resource yang tidak ditugaskan kepadanya. Data pelanggan (termasuk CJI) dipisahkan secara logis berdasarkan domain agar data dapat dihasilkan untuk satu tenant. Kemampuan Google Cloud untuk melindungi data pelanggan dengan cara ini, sekaligus memungkinkan pengembangan fitur yang lebih cepat dan manfaat biaya pelanggan, menjadikannya pilihan yang lebih baik bagi pelanggan pemerintah. 

Terakhir, semua data pelanggan dalam pengiriman akan dienkripsi dan data akan dienkripsi saat dalam penyimpanan, secara default, untuk SEMUA pelanggan. Hal ini memastikan bahwa ada beberapa lapisan pertahanan dalam arsitektur cloud multi-tenant dan memberikan isolasi yang kuat untuk semua pelanggan.

Tidak. Karena Google menyediakan kunci enkripsi yang dikelola pelanggan dan kontrol akses data personel yang membatasi akses CJI, confidential computing tidak diperlukan untuk CJIS di Google Cloud. Namun, pelanggan masih dapat menggunakan confidential computing sebagai kontrol keamanan tambahan di samping lingkungan yang aman dan terbatas yang ditawarkan Google untuk pelanggan CJIS.

Ya, Google Cloud menggunakan modul enkripsi tervalidasi FIPS 140-3 yang disebut BoringCrypto (sertifikat 4735) di lingkungan produksi kami. Ini berarti bahwa data dalam pengiriman (ke pelanggan dan antara pusat data) dan data dalam penyimpanan dienkripsi secara default menggunakan enkripsi tervalidasi FIPS 140-3. 

Dengan begitu, pelanggan dapat menjaga kepatuhan terhadap FIPS saat memilih dari berbagai penawaran Cloud Key Management, seperti Kunci yang Dikelola Google, Kunci Enkripsi yang Dikelola Pelanggan, dan Pengelolaan Kunci Eksternal. Karena Google Cloud menggunakan level enkripsi ini secara default untuk data dalam penyimpanan dan dalam pengiriman, pelanggan dapat mewarisi enkripsi FIPS 140-3 dan menghilangkan persyaratan untuk menjalankan produk dan layanan dalam mode FIPS.

Kebijakan Keamanan CJIS tidak mengharuskan penggunaan Cloud Pemerintah (‘GovCloud’) dan tidak ada definisi atau standar universal terkait apa yang dimaksud dengan GovCloud. Google Cloud dapat mengikuti kepatuhan CJIS terhadap Kebijakan Keamanan CJIS dan telah menunjukkan kepatuhan kami kepada organisasi penilaian pihak ketiga independen dan kepada sejumlah CSA negara bagian. 

Google telah berinvestasi dalam pendekatan keamanan berlapis pada infrastruktur cloud publiknya, dengan menyediakan fitur-fitur seperti enkripsi dan kontrol akses data personel yang kuat. Hal ini, bersama dengan penerapan zero-trust yang dijelaskan di atas, memberikan postur keamanan kuat yang diperlukan untuk memenuhi persyaratan ketat Kebijakan Keamanan CJIS sekaligus memungkinkan pelanggan memanfaatkan inovasi produk cloud publik yang sedang berlangsung.

Penerapan kontrol yang disebutkan di atas (dan banyak lainnya) oleh Google mematuhi persyaratan FedRAMP Moderate dan FedRAMP High serta telah diakui oleh Dewan Otorisasi Bersama (JAB). 

Kami melihat validasi pendekatan kami dalam Memo Office of Management and Budget (OMB) M-24-15 (‘Modernizing the Federal Risk and Authorization Management Program (FedRAMP)’), yang merekomendasikan agar lembaga-lembaga federal beralih dari arsitektur GovCloud yang terisolasi:

“FedRAMP tidak boleh memberikan insentif atau mewajibkan penyedia cloud komersial untuk membuat penawaran khusus yang terpisah untuk penggunaan Federal, baik melalui penerapan framework keamanan Federal maupun operasi program lainnya. Pemerintah Federal mendapatkan manfaat dari investasi, pemeliharaan keamanan, dan pengembangan fitur yang cepat yang diberikan oleh penyedia cloud komersial pada produk inti mereka untuk meraih kesuksesan di pasar. Penyedia komersial juga didorong untuk mengintegrasikan praktik keamanan yang ditingkatkan kualitasnya dari interaksi mereka dengan FedRAMP ke dalam layanan inti mereka, sehingga menguntungkan semua pelanggan.”

Google Cloud percaya bahwa kepercayaan terbentuk melalui transparansi. Kami ingin bersikap transparan mengenai komitmen kami dan ekspektasi Anda terkait tanggung jawab bersama untuk melindungi dan mengelola data Anda di cloud.

Saat Anda menggunakan Google Workspace atau Google Cloud:

  1. Data adalah milik Anda sendiri, bukan milik Google
  2. Google tidak menjual data pelanggan kepada pihak ketiga
  3. Google Cloud tidak menggunakan data pelanggan untuk iklan
  4. Semua data pelanggan dienkripsi secara default
  5. Kami mencegah akses orang dalam ke data Anda
  6. Kami tidak pernah memberikan akses "backdoor" kepada entitas pemerintah mana pun
  7. Praktik privasi kami diaudit berdasarkan standar internasional

Baca Adendum Pemrosesan Data Cloud (CDPA) untuk mengetahui detail lebih lanjut tentang komitmen pemrosesan data kami.

Langkah selanjutnya

Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.

Mulai secara gratis
Google Cloud
DokumenDukungan
Konsol
Login
Security
BerandaKecerdasan dan keahlianSecOpsKeamanan cloudResource keamanan
Bantuan Respons Insiden
Hubungi Kami
  • Percepat transformasi digital Anda
  • Google Cloud dapat membantu mengatasi tantangan terberat Anda, baik saat bisnis Anda baru memulai transformasi digital atau sudah di tingkat lanjut.
  • Produk Google Cloud
  • Lihat lebih dari 100 produk. Pelanggan baru akan mendapatkan kredit gratis senilai $300 untuk menjalankan, menguji, dan men-deploy workload. Semua pelanggan dapat menggunakan 25 lebih produk secara gratis, hingga batas penggunaan bulanan yang berlaku.
  • Hemat uang dengan pendekatan transparan kami soal harga
  • Harga bayar sesuai penggunaan dari Google Cloud menawarkan penghematan otomatis berdasarkan penggunaan bulanan dan tarif diskon untuk resource prabayar. Hubungi kami sekarang untuk mendapatkan penawaran harga.
Google Cloud