Criminal Justice Information Services (CJIS)

Die Abteilung CJIS (Criminal Justice Information Services) des US-amerikanischen Federal Bureau of Investigation (FBI) hat Bundes-, Landes-, Kommunal und indigenen Behörden Anleitungen zum Schutz von Informationen aus Strafjustiz (CJI) bereitgestellt, die sie nutzen sollen bei Verwendung von Cloud-Dienstanbietern wie Google Cloud.

Google Cloud-Kunden können Assured Workloads für Google Cloud und Assured Controls für Google Workspace verwenden, um die Version 5.9.5 der CJIS-Sicherheitsrichtlinie einzuhalten.

Einführung in CJIS

Die CJIS-Abteilung des FBI überwacht zahlreiche nationale Datenbanken, die von Strafverfolgungsbehörden im ganzen Land genutzt werden. Viele der in diesen Datenbanken gespeicherten Daten gelten als Informationen im Strafrecht und sind vor unbefugter Verwendung und Weitergabe geschützt. Die CJIS-Sicherheitsrichtlinie („CJISSECPOL“) des FBI CJIS-Programmbüros enthält den Mindestsatz an Sicherheitsanforderungen zum Schutz von CJI.

Das FBI stellt außerdem ein Requirements Companion Document zur Verfügung, das auf die jüngsten Änderungen der CJIS-Sicherheitsrichtlinie hinweist und dabei hilft, Sicherheitsrollen und ‑verantwortlichkeiten für Entitäten zu identifizieren, die auf CJI zugreifen. Obwohl die CJA, die auf CJI zugreift, letztendlich für die Einhaltung der CJIS-Vorschriften verantwortlich ist, hilft das Begleitdokument zu den Anforderungen der CJA dabei, festzustellen, wer (z.B. FBI CJIS Division, CJA, Service Provider usw.) über die technischen Möglichkeiten verfügt, um eine bestimmte Anforderung zu erfüllen. 

Google Cloud Platform- und Google Workspace-Kunden können Assured Workloads und Assured Controls verwenden, um die Version 5.9.5 der CJIS-Sicherheitsrichtlinie einzuhalten. Eine unabhängige Drittpartei hat die CJIS-Sicherheitskontrollen von Google Cloud kürzlich geprüft und festgestellt, dass Google Cloud die CJIS-Compliance ermöglicht. Auf Anfrage können weitere Compliance-Informationen bereitgestellt werden, um zu zeigen, wie Google Cloud die CJISSECPOL-Anforderungen erfüllt, die für Cloud-Dienstanbieter gelten. 

Google Cloud nimmt auch an Sitzungen des CJIS Advisory Policy Board teil und überprüft neue Versionen der CJIS-Sicherheitsrichtlinie und des Begleitdokuments zu den Anforderungen, um sicherzustellen, dass unsere Richtlinien und Verfahren den Änderungen entsprechen.

CJIS-Arbeitslasten auf der Google Cloud Platform hosten

Assured Workloads für CJIS ermöglicht es Kunden, die CJIS-Sicherheitsrichtlinie einzuhalten. Assured Workloads für die Google Cloud-Plattform ist die Cloud für regulierte Arbeitslasten von Google Cloud und ermöglicht die Einhaltung von Frameworks wie CJIS, FedRAMP High und Department of Defense IL2 / IL4 / IL5.

Assured Workloads verfolgt einen Zero-Trust-Ansatz für die regulatorische Compliance. Damit können Kunden die strengen Compliance-Anforderungen von Behörden erfüllen und gleichzeitig die Vorteile in Bezug auf Leistung, Skalierung, Dienstverfügbarkeit, Kosten und Zuverlässigkeit nutzen, die sie bei der Verwendung von physisch getrennten Cloud-Architekturen nicht hätten.

Assured Workloads vereinfacht die Sicherheit und Compliance für Strafverfolgungsbehörden auf Landes-, Kommunal- und Bundesebene (und alle anderen Nutzer von CJI für Strafverfolgungs- und nicht-strafrechtliche Zwecke) durch:

  • Einstellung der Steuerelemente für den Datenstandort, um CJIS-Arbeitslasten auf Regionen in den USA zu beschränken („Data Residency“)
  • Implementierung von Personalsicherheits- und Zugriffskontrollen, um den unbegleiteten Zugriff auf unverschlüsselte CJI auf in den USA ansässige Personen, die sich in den USA aufhalten, zu beschränken, die eine fingerabdruckbasierte FBI-Zuverlässigkeitsüberprüfung absolviert haben
  • Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer Managed Encryption Keys, CMEK), die entweder in Google Cloud gehostet werden oder mit einem externen Schlüsselmanager verwendet werden
  • Kunden können den Administratorzugriff steuern und einsehen
  • Kontinuierliche Überwachung der Kundenumgebungen auf Complianceverstöße

CJIS-Arbeitslasten in Google Workspace hosten

Mit Assured Controls für Google Workspace können Organisationen organisatorische und Compliance-Anforderungen erfüllen, z. B. indem sie den Zugriff von Google-Mitarbeitern auf Kundendaten einschränken oder sicherstellen, dass Kundendaten nur in den USA gespeichert werden.

Kunden, die CJIS-Lösungen mit Google Workspace bereitstellen möchten, können mit Assured Controls Richtlinien gemäß der CJIS-Sicherheitsrichtlinie festlegen. Eine Anleitung zur Konfiguration von CJIS-Lösungen in Google Workspace finden Sie hier.

Google Cloud-Dienste, die den CJIS-Vorgaben entsprechen

Häufig gestellte Fragen

Eine unabhängige Drittpartei hat die CJIS-Sicherheitskontrollen von Google Cloud kürzlich bewertet und festgestellt, dass Google Cloud erfolgreich die CJIS-Compliance ermöglicht. Google plant, diese Bewertung zu aktualisieren, sobald die CJIS-Sicherheitsrichtlinie 6.0 veröffentlicht wurde. 

Auf Anfrage eines Kunden oder einer staatlichen CJIS Systems Agency (CSA) schließt Google Cloud eine Verwaltungsvereinbarung ab, die den Kunden detaillierte Informationen dazu gibt, wie Google Cloud die CJIS-Sicherheitsrichtlinie erfüllt, welche Verantwortlichkeiten der einzelnen Parteien bestehen, welche Cloud-Dienste abgedeckt sind und viele andere wichtige Bestimmungen. Sie können eine Kopie der Google Cloud CJIS-Informationsmanagementvereinbarung anfordern, indem Sie eine E-Mail an cjis@google.com senden.

Das Google Cloud-Compliance-Team kann auch detaillierte Compliance-Berichte bereitstellen, die zeigen, wie Google Cloud die für Cloud-Dienstanbieter geltenden CJ ISPA-Anforderungen erfüllt.

Ja. Google Cloud ermöglicht es Kunden, CJIS-Arbeitslasten mithilfe von Assured Workloads und Assured Controls auf Regionen in den USA zu beschränken. Google speichert Ihre Daten in Übereinstimmung mit den servicespezifischen Nutzungsbedingungen.

In Bundesstaaten, in denen Google-Mitarbeiter unbeaufsichtigten Zugriff auf unverschlüsselte CJI-Daten haben, arbeitet Google mit dem CSA (oder einer lokalen Behörde) zusammen, um sicherzustellen, dass Mitarbeiter, die unbeaufsichtigten Zugriff auf unverschlüsselte CJI-Daten eines Bundesstaats haben, einer fingerabdruckbasierten FBI-Zuverlässigkeitsüberprüfung unterzogen werden. Berechtigte Google-Mitarbeiter reichen die Fingerabdruckkarten FD-258 zusammen mit den erforderlichen Unterlagen bei jedem CSA ein.

Dadurch wird sichergestellt, dass autorisiertes Personal erst nach Abschluss der Zuverlässigkeitsüberprüfung und der CJIS-Schulung zum Sicherheitsbewusstsein unbegleiteten Zugang erhält.

Google hat Zero-Trust-Sicherheit in den Kern unserer Dienste und Abläufe implementiert. In unserer Infrastruktur wird kein Vertrauensverhältnis zwischen den darauf ausgeführten Diensten vorausgesetzt. Mit anderen Worten: Jede Anfrage für den Zugriff auf Ressourcen wird so geprüft, authentifiziert und verifiziert, als würde sie von einem nicht vertrauenswürdigen Netzwerk stammen.

Die Kundenumgebungen in Google Cloud sind auch logisch voneinander getrennt, damit Nutzer und Kunden nicht auf Ressourcen zugreifen können, die ihnen nicht zugewiesen sind. Kundendaten (einschließlich vertraulicher personenbezogener Daten) werden logisch nach Domains getrennt, damit Daten für einen einzelnen Tenant generiert werden können. Die Fähigkeit von Google Cloud, Kundendaten auf diese Weise zu schützen und gleichzeitig eine schnellere Funktionsentwicklung und Kostenvorteile für Kunden zu ermöglichen, macht es zur besseren Wahl für Behördenkunden. 

Außerdem werden alle Kundendaten während der Übertragung standardmäßig und auch bei Inaktivität verschlüsselt. So gibt es in einer Multi-Tenant-Cloud-Architektur mehrere Schutzebenen und eine starke Isolation für alle Kunden.

Nein. Da Google vom Kunden verwaltete Verschlüsselungsschlüssel und Zugriffssteuerungen für Datenzugriff durch Mitarbeiter bereitstellt, die den CJI-Zugriff einschränken, ist Confidential Computing für CJIS in Google Cloud nicht erforderlich. Allerdings können Kunden zusätzlich zur sicheren und eingeschränkten Umgebung, die Google für CJIS-Kunden bietet, auch Confidential Computing als zusätzliche Sicherheitskontrolle nutzen.

Ja – Google Cloud verwendet in der Produktionsumgebung das gemäß FIPS 140-3 validierte Modul BoringCrypto (Zertifikat 4735). Das bedeutet, dass sowohl die Daten bei der Übertragung (an den Kunden und zwischen Rechenzentren) als auch die ruhenden Daten standardmäßig mit FIPS 140-3-validierter Verschlüsselung verschlüsselt werden.

So können Kunden die FIPS-Compliance wahren und gleichzeitig aus einer Vielzahl von Angeboten für das Cloud Schlüsselverwaltung auswählen, z. B. von Google verwaltete Schlüssel, vom Kunden verwaltete Verschlüsselungsschlüssel und die externe Schlüsselverwaltung. Da Google Cloud dieses Maß an Verschlüsselung standardmäßig für ruhende Daten und Daten bei der Übertragung verwendet, können Kunden die FIPS-140-3-Verschlüsselung übernehmen und können die Anforderungen zum Ausführen von Produkte und Dienste im FIPS-Modus eliminieren.

Die CJIS-Sicherheitsrichtlinie schreibt nicht die Verwendung einer Government Cloud (GovCloud) vor und es gibt keine allgemeine Definition oder Norm dafür, was eine GovCloud ist. Google Cloud kann die CJIS-Compliance gemäß der CJIS-Sicherheitsrichtlinie ermöglichen und hat seine Compliance gegenüber einer unabhängigen Bewertungsorganisation und zahlreichen staatlichen CSAs nachgewiesen. 

Google hat bei seiner öffentlichen Cloud-Infrastruktur in einen mehrstufigen Sicherheitsansatz investiert, der Features wie Verschlüsselung und starke Mitarbeiter-Datenzugriffskontrollen bietet. Zusammen mit der oben beschriebenen Zero-Trust-Implementierung bietet dies einen starken Sicherheitsstatus, der nötig ist, um den strengen Anforderungen der CJIS-Sicherheitsrichtlinie zu entsprechen, und der es Kunden gleichzeitig ermöglicht, die kontinuierlichen Produktinnovationen öffentlicher Clouds zu nutzen.

Die Implementierung von Google der zuvor genannten Kontrollen (und vieler anderer) entsprechen den Anforderungen von FedRAMP Moderate und FedRAMP High und wurden vom Joint Authorization Board (JAB) anerkannt.

Unsere Herangehensweise wird in dem Memo M-24-15 des Office of Management and Budget (OMB) bestätigt, in dem empfohlen wird, dass Bundesbehörden von isolierten GovCloud-Architekturen absehen sollten:

„FedRAMP sollte kommerzielle Cloud-Anbieter nicht dazu anregen oder verpflichten, separate, dedizierte Angebote für den Einsatz durch Bundesbehörden zu erstellen, sei es durch die Anwendung von Sicherheitsrahmenwerken des Bundes oder andere Programmabläufe. Die Bundesregierung profitiert von den Investitionen, der Sicherheitspflege und der schnellen Funktionsentwicklung, die kommerzielle Cloud-Anbieter in ihre Kernprodukte stecken, um auf dem Markt erfolgreich zu sein. Auch kommerzielle Anbieter werden so dazu motiviert, die verbesserten Sicherheitspraktiken, die sich aus ihrer Zusammenarbeit mit FedRAMP ergeben, in ihre Kerndienste einzubinden, was allen Kunden zugutekommt.“

Wir bei Google Cloud glauben, dass Vertrauen durch Transparenz geschaffen wird. Wir möchten nicht nur transparent sein, was unsere Verpflichtungen betrifft, sondern auch bezüglich dessen, was Sie erwarten können, wenn es um die gemeinsame Verantwortung für den Schutz und die Verwaltung Ihrer Daten in der Cloud geht.

Wenn Sie Google Workspace oder die Google Cloud Platform verwenden:

  1. Eigentümer der Daten sind Sie, nicht Google.
  2. Google verkauft Ihre Daten nicht an Dritte.
  3. Google Cloud verwendet Kundendaten nicht zu Werbezwecken
  4. Alle Kundendaten sind standardmäßig verschlüsselt.
  5. Wir schützen Sie vor Insiderzugriffen auf Ihre Daten.
  6. Wir gewähren keiner Behörde „Backdoor”-Zugriff.
  7. Unser Umgang mit dem Datenschutz wird anhand internationaler Standards geprüft

Weitere Informationen zu unseren Verpflichtungen bei der Datenverarbeitung finden Sie im Zusatz zur Verarbeitung von Cloud-Daten.

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Jetzt kostenlos starten
Google Cloud
DocsSupport
Console
Anmelden
Security
StartseiteErkenntnisse und FachwissenSecOpsCloud-SicherheitSicherheitsressourcen
Unterstützung bei der Reaktion auf Vorfälle
Kontakt
  • Beschleunigen Sie Ihre digitale Transformation
  • Ganz gleich, ob Ihr Unternehmen erst am Anfang seines Wegs der digitalen Transformation steht oder schon einiges erreicht hat – Google Cloud unterstützt Sie dabei, Ihre größten Herausforderungen zu bewältigen.
  • Google Cloud-Produkte
  • Lernen Sie über 100 Produkte kennen. Neukunden erhalten ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen. Alle Kunden können innerhalb der monatlichen Nutzungslimits mehr als 25 Produkte kostenlos nutzen.
  • Sparen Sie Geld mit unserem transparenten Preisansatz
  • „Pay-as-you-go“-Preise von Google Cloud bieten automatische Einsparungen basierend auf der monatlichen Nutzung und ermäßigten Preisen für Prepaid-Ressourcen Kontaktieren Sie uns, um ein Angebot zu erhalten.
Google Cloud