형사사법정보부(CJIS)

미국연방수사국(FBI) 형사사법정보부(CJIS)에서는 Google Cloud와 같은 클라우드 서비스 제공업체(CSP)를 사용할 때 연방 당국 및 주 정부, 지방 법무 기관에 형사사법정보(CJI)를 보호하는 방법을 안내합니다.

Google Cloud는 Google Cloud용 Assured Workloads 및 Google Cloud용 Assured Controls를 통해 CJI를 보호 및 저장하기 위한 보안 제어를 제공합니다. 법 집행 기관은 범위 내 Google Cloud 서비스에 이러한 제어를 구현함으로써 CJIS 보안 정책과의 규정 준수를 달성할 수 있습니다.

Google CJIS 규정 준수

FBI CJIS 프로그램 부서는 CJI를 보호하기 위한 지침을 제공하는 수많은 아티팩트를 게시했습니다. 기본 문서인 FBI CJIS 보안 정책에서는 CJI 보호 및 보안을 위해 충족되어야 하는 최소한의 보안 요구사항 집합에 대해 자세히 설명합니다. 또한 FBI는 NIST SP 800-53에 있는 보안 제어에 CJIS 요구사항 안내서를 제공합니다.

Google Cloud Platform 및 Google Workspace 고객은 Assured Workloads 및 Assured Controls를 사용해서 CJIS 보안 정책으로 규정 준수를 달성합니다. Google CJIS 규정 준수에 대해 자세히 알아보려면 문의 양식을 통해 Google Cloud 영업팀에 문의하세요.

Google Cloud에서 CJIS 워크로드 호스팅

Google Cloud는 Google 인프라의 보안 기반 투자를 통해 고객이 기존의 격리된 정부 클라우드 없이도 다양한 규정 준수 수준을 달성할 수 있도록 보안 제어가 기본 제공 및 사전 구성되도록 보장합니다. 있습니다.

Google Cloud를 사용하여 CJIS 솔루션을 배포하려는 고객은 Assured Workloads를 사용해서 CJIS 보안 정책의 규정을 준수할 수 있습니다. Assured Workloads를 사용하는 고객은 민감한 워크로드를 안심하고 보호 및 구성하여 Google Cloud 서비스를 통해 규정 준수 및 보안 요구사항을 충족할 수 있습니다. 퍼블릭 클라우드 데이터 센터와 구분되는 물리적 인프라에 의존하지 않고, 대신 비용, 속도, 혁신 이점이 있는 소프트웨어 정의 커뮤니티 클라우드를 제공합니다.

또한 Assured Workloads는 Assured Workloads 모니터링을 통해 CJIS 워크로드의 규정 준수 상태에 대한 가시성을 제공합니다. 이 도구를 사용하면 규정 준수 위반을 찾아 해결할 수 있으며 규정 준수 상태 감사 기관에 제어 증명을 제공할 수 있습니다.

Google Cloud 인프라로 충족되는 제어 기능 외에도 주 정부, 지역 정부, 연방 정부의 사법 및 형사 사법 기관(및 해당 계약업체)은 Assured Workloads를 사용해서 다음을 수행할 수 있습니다.

미국 내에 저장할 CJIS 워크로드를 제한하는 가드레일 설정
인사 보안 조치와 액세스 제어를 실행하여 주 정부 지문 기반 FBI 및 백그라운드 확인 및 범죄자 백그라운드 확인을 완료한 미국 거주 미국 시민의 CJI 액세스 제한
저장 및 전송 중에 FIPS-140-2 암호화 시행
고객 관리 암호화 키(CMEK) 사용
범위 내에 있는 민감한 정보 등으로부터 네트워크 및 사용자를 구분하기 위한 논리적 제어 장치 구현

Workspace에서 CJIS 워크로드 호스팅

Google Workspace를 위한 Assured Controls를 통해 조직은 고객 데이터에 대한 Google 담당자의 액세스를 제한하거나 고객 데이터가 저장 상태로 있는 위치를 지정하는 등 조직 및 규정 준수 요구사항을 충족할 수 있습니다.

Google Workspace를 사용하여 CJIS 솔루션을 배포하려는 고객은 Assured Controls를 사용해서 CJIS 보안 정책에 맞게 정책을 설정할 수 있습니다. Google Workspace에서 CJIS 솔루션에 대한 구성 가이드는 여기에서 찾을 수 있습니다.

Google Workspace 인프라로 충족되는 제어 기능 외에도 주 정부, 지역 정부, 연방 정부의 사법 및 형사 사법 기관(및 해당 계약업체)은 Assured Controls를 사용해서 다음을 수행할 수 있습니다.

미국 내에 저장할 CJIS 워크로드를 제한하는 가드레일 설정
인사 보안 조치와 액세스 제어를 실행하여 주 정부 지문 기반 FBI 및 백그라운드 확인 및 범죄자 백그라운드 확인을 완료한 미국 거주 미국 시민의 CJI 액세스 제한
저장 및 전송 중에 FIPS-140-2 암호화 시행 및 기타

CJIS 범위에 해당하는 Google Cloud 서비스

Google Cloud Platform

Google Workspace

Gmail을 열고

FAQ

현재 거주하는 주에서 CJIS 보안 추가 조항 프로세스를 시작하려면 어떻게 해야 하나요?

CJI를 처리하는 법인(예: Google Cloud)은 CJI 보호를 위해 법인의 서비스를 사용하려는 주와 함께 CJIS 보안 추가 조항을 실행해야 합니다. 추가 조항은 미국 법무 장관이 승인한 템플릿 형식의 계약으로, Google Cloud가 CJIS 보안 정책, 양 당사자의 책임, 포함된 클라우드 서비스, 기타 여러 중요한 규정을 충족하는 방법에 관한 세부 정보를 고객에게 제공합니다.

문의 양식을 통해 거주하는 주의 Google Cloud Platform 영업팀에 연락하여 절차를 시작하고 Google Cloud CJIS 보안 추가 조항에 대한 액세스 권한을 얻으세요.

Google은 클라우드 서비스가 현재 거주하는 주의 요건 준수를 어떻게 입증하나요?

Google에서 주 CJIS 시스템 기관(CSA) 또는 CJIS 보안 담당자(CSO)와 CJIS 보안 추가 조항에 서명합니다. Google 또는 거주하는 주의 CSA 또는 CSO에 사본을 요청할 수 있습니다.

또한 Google은 Google Cloud에서 고객이 CJIS 규정 준수에 필요한 FBI 지정 기술 제어를 충족할 수 있도록 지원하는 방법을 설명하는 포괄적인 제어 설명을 CJIS 고객들에게 제공합니다.

Google의 CJIS 설명서 사본을 얻으려면 cjis@google.com에 문의하세요.

Google에서 승인된 직원만 CJI를 지원할 수 있도록 어떻게 보장하나요?

Google 직원이 암호화되지 않은 CJI에 대해 무단으로 액세스했을 수도 있는 주에 Google은 FBI의 국가 범죄 전력 보고서 외에도 해당 주에 특정한 CJIS 백그라운드 확인을 받도록 주 정부 당국과 협력합니다. 자격을 갖춘 Google 직원이 필요한 서류와 함께 FD-258 지문 카드를 각 기관에 제출합니다.

이러한 과정은 백그라운드 확인 및 CJIS 보안 인식 교육을 이수한 후에만 승인된 직원에게 무단 액세스 권한을 부여하도록 보장합니다.

CJIS에 컨피덴셜 컴퓨팅이 필요한가요?

아니요, Google은 CJI 액세스를 제한하는 고객 관리 암호화 키 및 개인 데이터 액세스 제어를 제공하기 때문에 Google Cloud에서 CJIS에 대해서는 컨피덴셜 컴퓨팅이 필요하지 않습니다.

하지만 Google이 CJIS 고객에게 제공하는 보안 및 제한된 환경 외에도 추가적인 보안 제어로 컨피덴셜 컴퓨팅을 계속 활용할 수 있습니다.

Google Cloud Platform에서 미국에 데이터를 저장할 수 있나요?

예. 고객은 Google의 핵심 서비스를 위한 미국 위치에 리소스를 구성할 수 있으며, Google은 서비스별 약관에 따라 선택한 리전에만 저장 데이터를 보관합니다.

Google에서 FIPS 140-2 검증 암호화를 사용하나요?

Google Cloud는 프로덕션 환경에서 BoringCrypto(인증서 3678)라는 FIPS 140-2(FIPS 140-2 규정 준수 페이지 참조) 검증 암호화 모듈을 사용합니다. 즉, 고객에게 전송 중인 데이터 및 데이터 센터 간 전송 중인 데이터와 저장 데이터가 기본적으로 FIPS 140-2 유효성 검사 암호화 기술을 통해 암호화됩니다.

FIPS 140-2 유효성 검사가 완료된 모듈은 Google BoringSSL 라이브러리에 포함됩니다. 이를 통해 고객은 FIPS 규정 준수를 유지하면서 Google 관리 키, 고객 관리 암호화 키, 외부 키 관리와 같은 다양한 Cloud 키 관리 제품 중에서 선택할 수 있습니다. Google Cloud는 저장 데이터와 전송 중인 데이터에 이 수준의 암호화를 기본적으로 사용하므로 고객이 FIPS 140-2 암호화를 상속하고 FIPS 모드에서 제품 및 서비스를 실행할 필요가 없습니다.

Google에 정부 클라우드가 필요하지 않은 이유는 무엇인가요?

Google은 퍼블릭 클라우드 인프라에 레이어로 구성된 보안 접근 방식에 투자하여 암호화 및 강력한 직원 데이터 액세스 제어와 같은 기능을 제공하고 있습니다. 이를 통해 고객이 퍼블릭 클라우드의 지속적인 제품 혁신을 활용하면서도 CJIS 보안 정책의 엄격한 요구사항을 충족하는 데 필요한 강력한 보안 상황을 제공합니다.

앞서 언급한 제어 기능 등을 비롯한 Google의 구현은 FedRAMP Moderate 및 FedRAMP High 요구사항을 준수하며 합동인증위원회(JAB)의 인정을 받았습니다.