Vai a
Criminal Justice Information Services (CJIS)

Criminal Justice Information Services (CJIS)

La divisione Criminal Justice Information Services (CJIS) del Federal Bureau of Investigations (FBI) degli Stati Uniti offre agli enti federali, statali e locali indicazioni su come proteggere le informazioni sulla giustizia penale (CJI) quando utilizzano provider di servizi cloud (CSP) come Google Cloud.

Google Cloud offre controlli di sicurezza per proteggere e archiviare le CJI tramite Assured Workloads per Google Cloud e Assured Controls for Google Workspace. Le forze dell'ordine possono ottenere la conformità alle norme sulla sicurezza CJIS implementando questi controlli per i servizi Google Cloud interessati.

Conformità CJIS di Google

L'FBI CJIS Program Office ha pubblicato numerosi artefatti che forniscono indicazioni specifiche sulla protezione delle CJI. Il documento principale, relativo alle norme sulla sicurezza CJIS dell'FBI, descrive in dettaglio un insieme minimo di requisiti di sicurezza che devono essere soddisfatti per proteggere e salvaguardare le CJI.

L'FBI fornisce inoltre una mappatura dei requisiti CJIS ai controlli di sicurezza in NIST SP 800-53 revision 4.

Tutti i servizi Google Cloud che supportano CJIS sono in grado di soddisfare i requisiti necessari per la protezione delle CJI. Google ha ricevuto anche attestazioni da parte di un ente certificatore terzo indipendente che confermano la conformità ai controlli NIST 800-53 inclusi nella mappatura dell'FBI.

Contatta il team di vendita di Google Cloud tramite il nostro modulo di contatto per saperne di più sulla conformità CJIS di Google.

Funzionalità CJIS di Google

I servizi interessati dalla normativa CJIS resi disponibili tramite Assured Workloads e Assured Controls implementano i controlli di sicurezza CJIS e consentono ai clienti di utilizzare le funzionalità di Google Cloud e Google Workspace per soddisfare le proprie esigenze aziendali.

Le agenzie di giustizia penale e le forze dell'ordine statali, locali e federali possono utilizzare questi servizi per:

  1. Impostare sistemi di protezione per limitare i carichi di lavoro CJIS agli Stati Uniti.
  2. Limitare il personale dell'assistenza tecnica a soggetti statunitensi che si trovano negli Stati Uniti e verificati sia da Google che dall'ente CJIS statale.
  3. Applicare la crittografia at-rest e in transito conforme a FIPS-140-2.
  4. Utilizzare le chiavi di crittografia gestite dal cliente (CMEK).
  5. Implementare controlli di accesso del personale.
  6. Applicare limitazioni di conformità per gli sviluppatori e segmentazione logica per supportare i requisiti CJIS e altro ancora.

Tutti i dipendenti di Google Cloud negli Stati Uniti sono soggetti ai controlli dei precedenti di Google, ma Google riconosce la sensibilità dei dati CJI. Ecco perché Google Cloud collabora con i clienti per limitare l'assistenza tecnica al personale statunitense che ha completato i controlli dei precedenti dell'FBI basati sulle impronte digitali e i controlli dei precedenti penali imposti dalle norme sulla sicurezza CJIS.

Gli stati possono anche fornire una propria procedura di controllo dei precedenti approvata per consentire ai clienti di avere il controllo su chi può supportare le CJI.

Aggiornamenti principali alle norme sulla sicurezza CJIS v5.9.1 e v5.9.2

L'FBI ha aggiornato le norme sulla sicurezza CJIS da v5.9.0 a v5.9.2 alla fine del 2022. Le modifiche possono essere visualizzate nel documento complementare sui requisiti pubblicato dall'FBI.

Le norme più recenti contengono aggiornamenti significativi in alcune aree. In particolare, sono state aggiornate le linee guida relative a protezione dei media, controllo del personale, gestione di identità e accessi, awareness e formazione, nonché integrità dei sistemi e delle informazioni, ora più strettamente correlate ai controlli NIST 800-53.

Ci sono anche alcune convinzioni popolari errate rispetto a questi cambiamenti. L'appendice G.3 (presente nelle versioni precedenti delle norme) specifica nello Scenario 2 che, quando le CJI vengono decriptate all'interno dell'ambiente di un CSP, tutto il personale amministrativo che può accedere all'ambiente deve "essere formato sull'awareness della sicurezza e sottoposto ai controlli di sicurezza del personale come descritto nelle norme sulla sicurezza CJIS". Questo vale anche quando l'ente CJIS mantiene il controllo delle chiavi di crittografia.

Per fornire protezione completa ai clienti, Google utilizza chiavi di crittografia gestite dal cliente (CMEK) e controlli di sicurezza del personale per limitare l'accesso CJI ai soggetti statunitensi che si trovano negli Stati Uniti che hanno ottenuto l'autorizzazione e soddisfano i requisiti delle norme sulla sicurezza CJIS. 

Servizi Google Cloud interessati dalla normativa CJIS

BigQuery

Cloud Key Management Service

Cloud Storage

Compute Engine

Dataflow

Dataproc

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Pub/Sub

Virtual Private Cloud

Controlli di servizio VPC

Calendar

Documenti

Drive

Moduli

Gmail

Google Chat

Google Meet

Nuova versione di Sites

Fogli

Presentazioni

Domande frequenti

Le entità che gestiscono le CJI, ad esempio Google Cloud, devono eseguire un addendum di sicurezza CJIS con gli stati che intendono utilizzare i servizi dell'entità per proteggere le CJI. L'addendum è un contratto basato su modelli approvato dal procuratore generale degli Stati Uniti che impegna Google Cloud a mantenere un programma di sicurezza conforme alla normativa CJIS.

Puoi anche consultare le norme sulla sicurezza CJIS per avere maggiori informazioni su come la tua agenzia deve proteggere l'intero ciclo di vita delle CJI.

Google Cloud si impegna a collaborare con i governi statali e locali a supporto dei carichi di lavoro CJIS. I clienti possono utilizzare Google Cloud per eseguire carichi di lavoro contenenti CJI negli Stati Uniti, ma Google Cloud è autorizzata a proteggerli nei seguenti stati:

Florida

Massachusetts

Oklahoma

Pennsylvania

Tennessee

Utah

Contatta il team di vendita di Google Cloud del tuo stato utilizzando il nostro modulo di contatto per avviare la procedura e ottenere l'accesso a un addendum di sicurezza CJIS per Google Cloud.

Questo addendum fornisce ai clienti informazioni dettagliate su come Google Cloud soddisfa le norme sulla sicurezza CJIS, responsabilità di ogni parte coinvolta, quali servizi cloud sono coperti e molte altre disposizioni importanti.

Google sottoscrive un addendum di sicurezza CJIS con l'agenzia per i sistemi CJIS (CSA) o il responsabile della sicurezza CJIS (CSO) dei vari stati. Puoi richiedere una copia a Google oppure alla CSA o al CSO del tuo stato.

Inoltre, Google fornisce ai clienti l'accesso ai report di conformità preparati da revisori indipendenti per poter confermare che Google ha implementato i controlli di sicurezza (come NIST, ISO, SOC) all'ambito di controllo pertinente.

I clienti possono rivedere i controlli di sicurezza di Google per verificare che soddisfino i requisiti delle norme sulla sicurezza CJIS.

Sì. I clienti possono configurare le risorse in località negli Stati Uniti per i nostri servizi principali. Google archivierà i dati inattivi solo nella regione selezionata, in conformità con i nostri Termini di servizio specifici.

Google ha investito in un approccio di sicurezza a più livelli per la propria infrastruttura cloud pubblica, fornendo funzionalità quali crittografia e solidi controlli dell'accesso ai dati del personale. Ciò fornisce la solida postura di sicurezza necessaria per soddisfare i severi requisiti delle norme sulla sicurezza CJIS e consente inoltre ai clienti di sfruttare le attuali innovazioni del cloud pubblico.

L'implementazione di Google dei suddetti controlli (e di tanti altri) è conforme ai requisiti FedRAMP Moderate e FedRAMP High ed è stata riconosciuta dal Joint Authorization Board (JAB).

No. Poiché Google fornisce chiavi di crittografia gestite dal cliente e controlli dell'accesso ai dati del personale che limitano l'accesso alle CJI, il Confidential Computing non è richiesto per CJIS su Google Cloud.

Tuttavia, i clienti possono comunque utilizzare il Confidential Computing come controllo di sicurezza supplementare oltre all'ambiente sicuro e limitato che Google offre ai clienti CJIS.

Google Cloud utilizza nel suo ambiente di produzione un modulo di crittografia convalidato FIPS 140-2 (consulta la pagina di conformità agli standard FIPS 140-2) denominato BoringCrypto (certificato 3678). Ciò significa che i dati in transito (verso il cliente e tra i data center) e i dati at-rest sono criptati per impostazione predefinita tramite la crittografia convalidata FIPS 140-2.

Il modulo che ha ottenuto la convalida FIPS 140-2 fa parte della nostra libreria BoringSSL. Consente ai clienti di mantenere la conformità FIPS scegliendo tra una vasta gamma di offerte di Cloud Key Management, tra cui chiavi gestite da Google, chiavi di crittografia gestite dal cliente e chiavi gestite esternamente. Poiché Google Cloud utilizza questo livello di crittografia per impostazione predefinita per i dati at-rest e in transito, i clienti possono ereditare la crittografia FIPS 140-2 ed eliminare il requisito per eseguire i prodotti e i servizi in modalità FIPS.

Risorse

Norme sulla sicurezza CJIS dell'FBI

Mappatura del controllo di sicurezza dell'FBI delle norme sulla sicurezza CJIS

Google Cloud - FedRAMP

Google Cloud - NIST 800-53

Assured Workloads per Google Cloud

Assured Controls per Google Workspace

Offerte correlate

NIST 800-53
NIST 800-53
Guarda quali servizi Google Cloud sono stati sottoposti a una valutazione indipendente di terze parti e operano in conformità ai controlli dello standard NIST 800-53
FedRAMP
FedRAMP
Google Cloud mantiene le autorizzazioni provvisorie a operare (P-ATO) FedRAMP High e FedRAMP Moderate per i prodotti Google Cloud e Google Workspace.

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Inizia gratuitamente

Fai il prossimo passo

Inizia il tuo prossimo progetto, esplora tutorial interattivi e gestisci il tuo account.

Contatta il team di vendita