Criminal Justice Information Services (CJIS)

Die Abteilung CJIS (Criminal Justice Information Services) des US-amerikanischen Federal Bureau of Investigation (FBI) hat Bundes-, Landes- und Kommunalbehörden Anleitungen zum Schutz von Informationen aus Strafjustiz (CJI) bereitgestellt, die sie nutzen sollen bei Verwendung von Cloud-Dienstanbietern wie Google Cloud.

Google Cloud bietet Sicherheitskontrollen zum Schutz und zur Speicherung von CJI über Assured Workloads for Google Cloud und Assured Controls for Google Workspace. Strafverfolgungsbehörden können die Einhaltung der CJIS-Sicherheitsrichtlinie erreichen, indem sie diese Kontrollen für den Vorgaben entsprechende Google Cloud-Dienste implementieren.

CJIS-Compliance von Google

Das FBI CJIS Program Office hat zahlreiche Artefakte veröffentlicht, die eine Anleitung zum Schutz von CJI liefern. Im primären Dokument, der CJIS-Sicherheitsrichtlinie des FBI, werden die Mindestanforderungen an die Sicherheit beschrieben, die erfüllt werden müssen, um CJI zu schützen. Das FBI bietet außerdem eine Zuordnung der CJIS-Anforderungen zu den Sicherheitskontrollen in NIST SP 800-53.

Google Cloud Platform- und Google Workspace-Kunden können mit Assured Workloads und Assured Controls die CJIS-Sicherheitsrichtlinie einhalten. Wenden Sie sich über unser Kontaktformular an das Google Cloud-Vertriebsteam, um mehr über die CJIS-Compliance von Google zu erfahren.

CJIS-Arbeitslasten in Google Cloud hosten

Die Investitionen von Google Cloud in die standardmäßige Sicherheit unserer Infrastruktur sorgen dafür, dass Sicherheitskontrollen eingebunden und vorkonfiguriert sind, sodass Kunden auch ohne herkömmliche isolierte staatliche Cloud-Architektur verschiedene Compliance-Stufen erreichen können.

Kunden, die CJIS-Lösungen über Google Cloud bereitstellen möchten, können Assured Workloads nutzen, um die Compliance mit der CJIS-Sicherheitsrichtlinie zu erreichen. Mit Assured Workloads können Kunden sensible Arbeitslasten mit Google Cloud-Diensten souverän schützen und konfigurieren, damit sie Compliance- und Sicherheitsanforderungen erfüllen. Es basiert nicht auf einer physischen Infrastruktur, die von seinen öffentlichen Cloud-Rechenzentren getrennt ist, sondern bietet eine softwaredefinierte Community Cloud mit Kosten-, Geschwindigkeits- und Innovationsvorteilen.

Assured Workloads bietet über Assured Workloads-Monitoring auch Einblick in den Compliancestatus von CJIS-Arbeitslasten. Mit diesem Tool können Sie Complianceverstöße leichter erkennen und beheben und Auditoren Ihres Compliancestatus Kontroll-Attestierungen zur Verfügung stellen.

Zusätzlich zu den Kontrollen, die von der Google Cloud-Infrastruktur erfüllt werden, können Strafverfolgungsbehörden auf bundesstaatlicher, lokaler und Bundesebene sowie deren Auftragnehmern Assured Workloads verwenden, um:

  • Legen Sie Schutzmaßnahmen fest, um das Speichern von CJIS-Arbeitslasten in den USA einzuschränken.
  • Implementierung von Personalsicherheits- und Zugriffskontrollen, um den CJI-Zugriff auf US-amerikanische Personen in den USA zu beschränken, die die Zuverlässigkeitsüberprüfungen des FBI und der strafrechtlichen Zuverlässigkeitsüberprüfungen absolviert haben,
  • FIPS-140-2-Verschlüsselung für ruhende Daten sowie Daten während der Übertragung erzwingen
  • Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden
  • Logische Kontrollen implementieren, mit denen Netzwerke und Nutzer nach sensiblen Daten segmentiert werden, die unter die Vorgaben fallen

CJIS-Arbeitslasten in Workspace hosten

Mit Assured Controls für Google Workspace können Organisationen organisatorische und Compliance-Anforderungen erfüllen, z  B. indem sie den Zugriff von Google-Mitarbeitern auf Kundendaten einschränken oder vorgeben, wo ruhende Kundendaten gespeichert sind.

Kunden, die CJIS-Lösungen über Google Workspace bereitstellen möchten, können mit Assured Controls Richtlinien festlegen, die mit der CJIS-Sicherheitsrichtlinie übereinstimmen. Eine Konfigurationsanleitung für CJIS-Lösungen in Google Workspace finden Sie hier.

Zusätzlich zu den durch die Google Workspace-Infrastruktur unterstützten Kontrollen können die Strafverfolgungsbehörden auf Landes-, Kommunal- und Bundesebene sowie deren Auftragnehmer Assured Controls für folgende Zwecke nutzen:

  • Legen Sie Schutzmaßnahmen fest, um das Speichern von CJIS-Arbeitslasten in den USA einzuschränken.
  • Implementierung von Personalsicherheits- und Zugriffskontrollen, um den CJI-Zugriff auf US-amerikanische Personen in den USA zu beschränken, die die Zuverlässigkeitsüberprüfungen des FBI und der strafrechtlichen Zuverlässigkeitsüberprüfungen absolviert haben,
  • Erzwingen Sie FIPS-140-2-Verschlüsselung von ruhenden Daten und Daten bei der Übertragung und mehr.

Häufig gestellte Fragen

Entitäten, die CJI verarbeiten (z. B. Google Cloud), müssen einen CJIS-Sicherheitszusatz für Bundesstaaten ausführen, in denen die Dienste der Entität zum Schutz von CJI genutzt werden sollen. Der Nachtrag ist eine vorlagenbasierte Vereinbarung, die vom US-amerikanischen Generalstaatsanwalt genehmigt wurde und den Kunden detaillierte Informationen dazu gibt, wie Google Cloud die CJIS-Sicherheitsrichtlinie erfüllt, die Verantwortlichkeiten der einzelnen Parteien, die abgedeckten Cloud-Dienste und viele andere wichtige Bestimmungen.

Wenden Sie sich über unser Kontaktformular an das Google Cloud Platform-Vertriebsteam ihres Bundesstaates, um den Vorgang zu starten und Zugriff auf ein Google Cloud CJIS-Sicherheit-Zusatz zu erhalten.

Google unterzeichnet einen CJIS-Sicherheitszusatz mit einer staatlichen CJIS-Systembehörde (CSA) oder einem CJIS-Sicherheitsbeauftragten (CSO). Sie können eine Kopie von Google oder dem CSA oder CSO Ihres Bundesstaat anfordern.

Darüber hinaus bietet Google CJIS-Kunden umfassende Kontrollberichte, in denen beschrieben wird, wie Google Cloud Kunden dabei unterstützt, die vom FBI kartografierten technischen Kontrollen zu erfüllen, die für die CJIS-Compliance erforderlich sind.

Wenden Sie sich an cjis@google.com, um eine Kopie der CJIS-Zuordnung von Google zu erhalten.

In Bundesstaaten, in denen Google-Mitarbeiter unbeaufsichtigten Zugriff auf unverschlüsselte CJI haben, arbeitet Google mit den einzelnen bundesstaatlichen Behörden zusammen, um sicherzustellen, dass Mitarbeiter, die unbeabsichtigten Zugriff auf die unverschlüsselte CJI eines Bundesstaates haben, zusätzlich zum nationalen FBI-Bericht zur Strafgeschichte des FBI auch CJIS-Hintergrundüberprüfungen durchlaufen. Qualifizierte Google-Mitarbeiter senden FD-258-Fingerabdruckkarten zusammen mit allen erforderlichen Dokumenten an die zuständigen Behörden.

Dadurch wird sichergestellt, dass autorisiertes Personal erst nach Abschluss der Zuverlässigkeitsüberprüfung und der CJIS-Schulung zum Sicherheitsbewusstsein unbegleiteten Zugang erhält.

Nein. Da Google vom Kunden verwaltete Verschlüsselungsschlüssel und Zugriffssteuerungen für Datenzugriff durch Mitarbeiter bereitstellt, die den CJI-Zugriff einschränken, ist Confidential Computing für CJIS in Google Cloud nicht erforderlich.

Allerdings können Kunden zusätzlich zur sicheren und eingeschränkten Umgebung, die Google für CJIS-Kunden bietet, auch Confidential Computing als zusätzliche Sicherheitskontrolle nutzen.

Ja. Kunden können für unsere wichtigsten Dienste Ressourcen an US-Standorten konfigurieren, und Google speichert Ihre Daten nur in der ausgewählten Region in Übereinstimmung mit unseren servicespezifischen Bedingungen.

Google Cloud verwendet einen FIPS 140-2-(Siehe FIPS 140-2-Compliance-Seite)-validiertes Verschlüsselungsmodul namens BoringCrypto (Zertifikat 3678) in unserer Produktionsumgebung. Das bedeutet, dass sowohl die Daten bei der Übertragung (an den Kunden und zwischen Rechenzentren) als auch die ruhenden Daten standardmäßig mit FIPS 140-2-validierter Verschlüsselung verschlüsselt werden.

Das gemäß FIPS 140-2 validierte Modul ist Teil unserer BoringSSL-Bibliothek. So können Kunden die FIPS-Compliance wahren und gleichzeitig aus einer Vielzahl von Angeboten für das Cloud Schlüsselverwaltung auswählen, z. B. von Google verwaltete Schlüssel, vom Kunden verwaltete Verschlüsselungsschlüssel und die externe Schlüsselverwaltung. Da Google Cloud dieses Maß an Verschlüsselung standardmäßig für ruhende Daten und Daten bei der Übertragung verwendet, können Kunden die FIPS-140-2-Verschlüsselung übernehmen und können die Anforderungen zum Ausführen von Produkte und Dienste im FIPS-Modus eliminieren.

Google hat bei seiner öffentlichen Cloud-Infrastruktur in einen mehrstufigen Sicherheitsansatz investiert, der Features wie Verschlüsselung und starke Mitarbeiter-Datenzugriffskontrollen bietet. Dies bietet einen starken Sicherheitsstatus, der nötig ist, um den strengen Anforderungen der CJIS-Sicherheitsrichtlinie zu entsprechen, und der es Kunden gleichzeitig ermöglicht, die kontinuierlichen Produktinnovationen öffentlicher Clouds zu nutzen.

Die Implementierung von Google der zuvor genannten Kontrollen (und vieler anderer) entsprechen den Anforderungen von FedRAMP Moderate und FedRAMP High und wurden vom Joint Authorization Board (JAB) anerkannt.

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Google Cloud