형사사법정보부(CJIS)
미국연방수사국(FBI) 형사사법정보부(CJIS)에서는 Google Cloud와 같은 클라우드 서비스 제공업체(CSP)를 사용할 때 연방, 주, 지역, 부족 기관에 형사사법정보(CJI)를 보호하는 방법을 안내합니다.
Google Cloud 고객은 Google Cloud용 Assured Workloads 및 Google Workspace용 Assured Controls를 사용해서 CJIS 보안 정책의 v5.9.5를 준수할 수 있습니다.
CJIS 소개
FBI CJIS 부서는 전국의 형사사법기관(CJA)에서 활용하는 많은 국가 데이터베이스를 감독합니다. 이러한 데이터베이스에 유지되는 데이터의 대부분은 형사사법정보(CJI)로 간주되며 무단 사용 및 공개로부터 보호됩니다. FBI CJIS 부서에서 게시한 CJIS 보안 정책('CJISSECPOL')은 CJI 보호 및 보안을 위한 최소 보안 요구사항을 제공합니다.
또한 FBI는 CJIS 보안 정책의 최근 변경사항을 강조 표시하고 CJI에 액세스하는 법인의 보안 역할과 책임을 파악하는 데 도움이 되는 요구사항 동반 문서를 제공합니다. CJI에 액세스하는 CJA는 항상 CJIS 규정 준수를 보장할 책임이 있지만, 요구사항 동반 문서는 CJA가 특정 요구사항이 충족되고 있는지 확인할 수 있는 기술적 역량을 갖춘 주체(예: FBI CJIS 부서, CJA, 서비스 제공업체 등)를 판단하는 데 지침을 제공합니다.
Google Cloud Platform 및 Google Workspace 고객은 Assured Workloads 및 Assured Controls를 사용해서 CJIS 보안 정책 v5.9.5의 규정을 준수합니다. 최근 독립적인 서드 파티 평가 조직에서 Google Cloud의 CJIS 보안 제어를 평가한 결과 Google Cloud가 CJIS 규정을 준수하고 있음을 확인했습니다. Google Cloud가 클라우드 서비스 제공업체에 적용되는 CJISS ECPOL 요구사항을 충족하는 방법을 보여주기 위해 요청 시 추가 규정 준수 정보도 제공할 수 있습니다.
또한 Google Cloud는 CJIS 자문 정책 위원회 회의에 참석하고 새로운 버전의 CJIS 보안 정책 및 요구사항 동반 문서를 검토하여 Google의 정책과 절차가 변경사항을 준수하는지 확인합니다.
Google Cloud Platform에서 CJIS 워크로드 호스팅
CJIS용 Assured Workloads를 사용하면 고객이 CJIS 보안 정책의 규정을 준수할 수 있습니다. Google Cloud Platform용 Assured Workloads는 Google Cloud의 규제 클라우드로, CJIS, FedRAMP 높음, 미국 국방부 IL2/IL4/IL5와 같은 프레임워크의 규정 준수를 지원합니다.
Assured Workloads는 규정 준수를 위해 제로 트러스트, 소프트웨어 중심 접근 방식을 취합니다. 이를 통해 고객은 엄격한 정부 클라우드 규정 준수 요구사항을 충족하면서도 물리적으로 분리된 클라우드 아키텍처를 사용할 때 포기하는 성능, 규모, 서비스 가용성, 비용, 안정성 이점을 누릴 수 있습니다.
Assured Workloads는 다음과 같은 방식으로 주, 지역, 부족, 연방 정부의 법 집행 기관(및 CJI의 기타 형사 사법 또는 비형사 사법 사용자)을 위한 보안 및 규정 준수를 간소화합니다.
- CJIS 워크로드를 미국 전용 리전으로 제한하도록 데이터 위치 제어 설정('데이터 상주')
- 인사 보안 조치와 액세스 제어를 실행하여 지문 기반 FBI 백그라운드 확인을 완료한 미국 거주 미국인의 암호화되지 않은 CJI에 대한 무단 액세스 제한
- Google Cloud에서 호스팅되거나 외부 키 관리자를 사용하여 호스팅되는 고객 관리 암호화 키(CMEK) 사용 지원
- 고객이 관리 액세스를 제어하고 파악할 수 있도록 지원
- 규정 준수 위반 여부를 지속적으로 모니터링하는 고객 환경
Google Workspace에서 CJIS 워크로드 호스팅
Google Workspace를 위한 Assured Controls를 통해 조직은 고객 데이터에 대한 Google 담당자의 액세스를 제한하거나 고객 데이터의 위치가 미국으로 제한되도록 하는 등 조직 및 규정 준수 요구사항을 충족할 수 있습니다.
Google Workspace를 사용하여 CJIS 솔루션을 배포하려는 고객은 Assured Controls를 사용해서 CJIS 보안 정책에 맞게 정책을 설정할 수 있습니다. Google Workspace에서 CJIS 솔루션에 대한 구성 가이드는 여기에서 찾을 수 있습니다.
CJIS 범위에 해당하는 Google Cloud 서비스
Google Cloud Platform
FAQ
Google은 클라우드 서비스가 CJIS 보안 정책의 규정을 준수하는 것을 어떻게 입증하나요?
최근 독립적인 서드 파티 평가 조직에서 Google Cloud의 CJIS 보안 제어를 평가한 결과 Google Cloud가 CJIS 규정을 준수하고 있음을 확인했습니다. Google은 CJIS 보안 정책 v6.0이 게시되면 이 평가를 업데이트할 계획입니다.
고객 또는 주 CJIS 시스템 기관(CSA)에서 요청하는 경우 Google Cloud는 관리 계약을 체결하여 Google Cloud가 CJIS 보안 정책을 준수하는 방법, 각 당사자의 책임, 포함된 클라우드 서비스, 기타 여러 중요한 조항에 관한 세부 정보를 고객에게 제공합니다. cjis@google.com으로 이메일을 보내 Google Cloud CJIS 관리 계약 사본을 요청할 수 있습니다.
Google Cloud 규정 준수팀은 Google Cloud가 클라우드 서비스 제공업체에 적용되는 CJISSECPOL 요구사항을 충족하는 방법을 보여주는 자세한 규정 준수 설명도 제공할 수 있습니다.
Google Cloud Platform에서 CJIS 워크로드를 미국 전용 데이터 센터로 제한할 수 있나요?
예. Google Cloud를 사용하면 고객이 Assured Workloads 및 Assured Controls를 통해 CJIS 워크로드를 미국 전용 리전으로 제한할 수 있습니다. Google은 서비스별 약관에 따라 저장 데이터를 보관합니다.
Google에서 승인된 직원만 CJI를 지원할 수 있도록 어떻게 보장하나요?
Google 직원이 암호화되지 않은 CJI에 대해 무단으로 액세스했을 수도 있는 주에 Google은 CSA(또는 지역 기관)와 협력하여 주의 암호화되지 않은 CJI에 대해 무단으로 액세스할 수 있는 직원이 지문 기반 FBI 백그라운드 확인을 받도록 합니다. 자격을 갖춘 Google 직원이 필요한 서류와 함께 FD-258 지문 카드를 각 CSA에 제출합니다.
이러한 과정은 백그라운드 확인 및 CJIS 보안 인식 교육을 이수한 후에만 승인된 직원에게 무단 액세스 권한을 부여하도록 보장합니다.
Google은 어떻게 내 데이터를 안전하게 보호하나요?
Google은 서비스와 운영의 핵심에 제로 트러스트를 구현했습니다. Google 인프라는 인프라에서 실행 중인 서비스 간에 신뢰가 있다고 가정하지 않습니다. 즉, 모든 리소스 액세스 요청은 신뢰할 수 없는 네트워크에서 전송된 것처럼 검사, 인증, 검증됩니다.
Google Cloud 내 고객 환경도 논리적으로 분리되어 사용자와 고객이 할당되지 않은 리소스에 액세스하지 못하도록 합니다. 고객 데이터(CJI 포함)는 도메인별로 논리적으로 분리되어 단일 테넌트에 대한 데이터를 생성할 수 있습니다. Google Cloud는 이러한 방식으로 고객 데이터를 보호하는 동시에 기능을 더 빠르게 개발하고 고객 비용을 절감할 수 있는 기능을 제공하므로 정부 고객에게 더 적합한 선택입니다.
마지막으로, 전송 중인 모든 고객 데이터는 암호화되며 모든 고객의 데이터는 기본적으로 저장 시 암호화됩니다. 이를 통해 멀티 테넌트 클라우드 아키텍처에 여러 계층의 방어 체계가 존재하며 모든 고객에게 강력한 격리를 제공합니다.
CJIS에 컨피덴셜 컴퓨팅이 필요한가요?
아니요. Google은 CJI 액세스를 제한하는 고객 관리 암호화 키 및 개인 데이터 액세스 제어를 제공하기 때문에 Google Cloud에서 CJIS에 대해서는 컨피덴셜 컴퓨팅이 필요하지 않습니다. 하지만 Google이 CJIS 고객에게 제공하는 보안 및 제한된 환경 외에도 추가적인 보안 제어로 컨피덴셜 컴퓨팅을 계속 활용할 수 있습니다.
Google은 CJIS 보안 정책의 암호화 요구사항을 준수하나요?
예. Google Cloud는 프로덕션 환경에서 BoringCrypto(인증서 4735)라는 FIPS 140-3 검사 암호화 모듈을 사용합니다. 즉, 고객에게 전송 중인 데이터 및 데이터 센터 간 전송 중인 데이터와 저장 데이터가 기본적으로 FIPS 140-3 검사 암호화를 사용하여 암호화됩니다.
이를 통해 고객은 FIPS 규정 준수를 유지하면서 Google 관리 키, 고객 관리 암호화 키, 외부 키 관리와 같은 다양한 Cloud 키 관리 제품 중에서 선택할 수 있습니다. Google Cloud는 저장 데이터와 전송 중인 데이터에 이 수준의 암호화를 기본적으로 사용하므로 고객이 FIPS 140-3 암호화를 상속하고 FIPS 모드에서 제품 및 서비스를 실행할 필요가 없습니다.
Google에 정부 클라우드가 필요하지 않은 이유는 무엇인가요?
CJIS 보안 정책은 정부 클라우드('GovCloud') 사용을 요구하지 않으며 GovCloud의 구성 요소에 대한 보편적인 정의나 표준이 없습니다. Google Cloud는 CJIS 보안 정책에 따라 CJIS 규정을 준수할 수 있으며 독립적인 서드 파티 평가 조직과 수많은 주 CSA에 규정 준수를 입증했습니다.
Google은 퍼블릭 클라우드 인프라에 레이어로 구성된 보안 접근 방식에 투자하여 암호화 및 강력한 직원 데이터 액세스 제어와 같은 기능을 제공하고 있습니다. 이는 위에 설명된 제로 트러스트 구현과 함께 고객이 퍼블릭 클라우드의 지속적인 제품 혁신을 활용할 수 있도록 하면서도 CJIS 보안 정책의 엄격한 요구사항을 충족하는 데 필요한 강력한 보안 상황을 제공합니다.
앞서 언급한 제어 기능 등을 비롯한 Google의 구현은 FedRAMP Moderate 및 FedRAMP High 요구사항을 준수하며 합동인증위원회(JAB)의 인정을 받았습니다.
미국 관리예산국(OMB) 메모 M-24-15('연방 위험 및 인증 관리 프로그램(FedRAMP) 현대화')에서 연방 기관이 격리된 GovCloud 아키텍처에서 벗어나도록 권장하는 내용을 보면 Google의 접근 방식이 타당함을 알 수 있습니다.
“FedRAMP는 연방 보안 프레임워크의 적용이나 기타 프로그램 운영을 통해 연방 정부용으로 별도의 전용 서비스를 만들도록 상업용 클라우드 제공업체에 인센티브를 제공하거나 요구해서는 안 됩니다. 연방 정부는 상업용 클라우드 제공업체가 시장에서 성공하기 위해 핵심 제품에 투자하고 보안을 유지하며 신속하게 기능을 개발하는 혜택을 누리고 있습니다. 상업용 서비스 제공업체 역시 FedRAMP와의 협력을 통해 얻은 개선된 보안 관행을 핵심 서비스에 통합하도록 인센티브를 받게 되므로 모든 고객에게 도움이 됩니다."
내 데이터가 Google Cloud에 저장된 후에도 데이터에 대한 단독 소유권을 계속 유지할 수 있나요?
Google Cloud는 투명성을 유지할 때 신뢰가 쌓인다고 생각하며, 클라우드의 데이터를 보호하고 관리하는 데 있어 Google이 분담하는 책무에 대해 Google이 약속하고 귀사가 기대할 수 있는 바를 투명하게 공개하고자 합니다.
Google Workspace 또는 Google Cloud를 사용하는 경우:
- 고객 데이터는 Google이 아니라 고객이 소유합니다.
- Google은 고객 데이터를 제3자에게 판매하지 않습니다.
- Google Cloud는 광고 목적으로 고객 데이터를 사용하지 않습니다.
- 모든 고객 데이터는 기본적으로 암호화됩니다.
- Google에서는 내부자가 데이터에 액세스하지 못하도록 보호합니다.
- Google이 '당사자에게 알리지 않고' 정부 기관에 액세스를 제공하는 일은 절대로 없습니다.
- Google의 개인 정보 보호 관행은 국제 표준의 감사를 받습니다.
데이터 처리 약정에 대한 자세한 내용은 Cloud 데이터 처리 추가 조항(CDPA)을 참조하세요.
보안 권장사항 알아보기
권장사항 보기일반적인 문제 해결
보안 사용 사례 동영상 보기파트너 지원
보안 파트너 보기
