Criminal Justice Information Services (CJIS)
Die Abteilung CJIS (Criminal Justice Information Services) des US-amerikanischen Federal Bureau of Investigation (FBI) hat Bundes-, Landes- und Kommunalbehörden Anleitungen zum Schutz von Informationen aus Strafjustiz (CJI) bereitgestellt, die sie nutzen sollen bei Verwendung von Cloud-Dienstanbietern wie Google Cloud.
Google Cloud bietet Sicherheitskontrollen zum Schutz und Speichern von CJI über Assured Workloads für Google Cloud und Assured Controls for Google Workspace. Strafverfolgungsbehörden können die Einhaltung der CJIS-Sicherheitsrichtlinie erreichen, indem sie diese Kontrollen für den Vorgaben entsprechende Google Cloud-Dienste implementieren.
CJIS-Compliance von Google
Das FBI CJIS Program Office hat zahlreiche Artefakte veröffentlicht, die eine spezifische Anleitung zum Schutz von CJI liefern. Das Hauptdokument ist die FBI-CJIS-Sicherheitsrichtlinie, in der ein Minimalsatz von Sicherheitsanforderungen beschrieben wird, der erfüllt werden muss, für den Schutz von CJI.
Das FBI bietet außerdem eine Zuordnung der CJIS-Anforderungen zu den Sicherheitskontrollen in NIST SP 800-53 Überarbeitung 4.
Alle Google Cloud-Dienste, die CJIS unterstützen, können die Anforderungen erfüllen, die zum Schutz von CJI nötig sind. Google hat außerdem Attestierungen von einem unabhängigen externen Prüfer erhalten, der die Einhaltung der NIST 800-53-Kontrollen bestätigt, die in der FBI-Zuordnung enthalten sind.
Wenden Sie sich über unser Kontaktformular an das Google Cloud-Vertriebsteam, um mehr über die CJIS-Compliance von Google zu erfahren.
CJIS-Funktionen von Google
Über CJIS-konforme Dienste, die über Assured Workloads und Assured Controls verfügbar sind, werden CJIS-Sicherheitskontrollen implementiert und Kunden können die Funktionen von Google Cloud und Google Workspace nutzen, um ihre geschäftlichen Anforderungen zu erfüllen.
Behörden auf bundesstaatlicher, kommunaler und Bundesebene sowie Strafverfolgungsbehörden und Strafjustizbehörden (und ihre Auftragnehmer) können diese Dienste für folgende Zwecke nutzen:
- Schutzmaßnahmen festlegen, um CJIS-Arbeitslasten auf die USA zu beschränken
- Den technische Support auf Personen in den USA beschränken, die in den USA ansässig sind und sowohl von Google als auch von der staatlichen CJIS-Behörde geprüft wurden.
- FIPS-140-2-konforme Verschlüsselung für ruhende Daten sowie Daten während der Übertragung erzwingen
- Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden
- Personalzugriffssteuerungen implementieren
- Compliance-Einschränkungen für Entwickler und logische Segmentierung zur Unterstützung von CJIS-Anforderungen und mehr erzwingen
Während alle Google Cloud-Mitarbeiter in den USA Google-Zuverlässigkeitsüberprüfungen unterzogen werden, erkennt Google die Vertraulichkeit von CJI-Daten an. Aus diesem Grund arbeiten wir gemeinsam mit Kunden daran, den technischen Support auf Mitarbeiter in den USA zu beschränken, die durch die CJIS-Sicherheitsrichtlinie vorgeschriebene Fingerabdruckbasierte FBI-Zuverlässigkeitsüberprüfungen und Überprüfungen des strafrechtlichen Hintergrunds absolviert haben.
Außerdem können Bundesstaaten eigene genehmigte Prozesse zur Zuverlässigkeitsüberprüfung anbieten, damit Kunden die Kontrolle darüber haben, wer CJI unterstützen kann.
Wichtige Aktualisierungen der CJIS-Sicherheitsrichtlinie, Version 5.9.1 und 5.9.2
Das FBI hat die CJIS-Sicherheitsrichtlinie Ende 2022 von Version 5.9.0 auf Version 5.9.2 aktualisiert. Die Änderungen finden Sie im Begleitdokument für Anforderungen des FBI.
Die neueste Richtlinie enthält in einigen Bereichen erhebliche Aktualisierungen. Insbesondere wurden die Hinweise in den Bereichen Medienschutz, Personalprüfung, Identitäts- und Zugriffsverwaltung, Bewusstsein und Schulungen sowie System- und Informationsintegrität aktualisiert und sind jetzt enger an die NIST 800-53 Kontrollen angelehnt.
Außerdem gibt es einige häufige Missverständnisse in Bezug auf diese Änderungen. In Anhang G.3, der in vorherigen Versionen der Richtlinie vorhanden war, wird in Szenario 2 angegeben, dass bei der Entschlüsselung von CJI innerhalb der Umgebung einer CSP alle Administratoren, die zugreifen können auf die Umgebung, Sicherheitsschulungen und den Sicherheitskontrollen für Mitarbeiter unterliegen müssen, wie in der CJIS-Sicherheitsrichtlinie beschrieben.“ Das gilt selbst dann, wenn die CJIS-Agentur die Kontrolle über die Verschlüsselungsschlüssel hat.
Zum vollständigen Schutz von Kunden verwendet Google vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) und Personalsicherheitskontrollen, um den CJI-Zugriff auf in den USA ansässige US-Personen zu beschränken, die autorisiert wurden und die Anforderungen der CJIS-Sicherheitsrichtlinie erfüllen.