Die Abteilung CJIS (Criminal Justice Information Services) des US-amerikanischen Federal Bureau of Investigation (FBI) hat Bundes-, Landes-, Kommunal und indigenen Behörden Anleitungen zum Schutz von Informationen aus Strafjustiz (CJI) bereitgestellt, die sie nutzen sollen bei Verwendung von Cloud-Dienstanbietern wie Google Cloud.
Kunden können die Einhaltung der CJIS-Sicherheitsrichtlinie v6.0 in Google Cloud erreichen, indem sie die Datenbegrenzung über Assured Workloads und Assured Controls für Google Workspace nutzen.
Die CJIS-Abteilung des FBI verwaltet viele nationale Datenbanken, die von Strafjustizbehörden im ganzen Land genutzt werden. Viele der in diesen Datenbanken gespeicherten Daten gelten als Informationen aus dem Bereich der Strafjustiz (Criminal Justice Information, CJI) und müssen vor unbefugter Nutzung und Weitergabe geschützt werden. Die CJIS-Sicherheitsrichtlinie („CJISSECPOL“), veröffentlicht von der CJIS Division des FBI, enthält die Mindestanforderungen an die Sicherheit zum Schutz von CJI.
Das FBI bietet außerdem ein Begleitdokument zu den Anforderungen, in dem die jüngsten Änderungen an der CJIS-Sicherheitsrichtlinie hervorgehoben werden und das dabei hilft, Sicherheitsrollen und Verantwortlichkeiten für Unternehmen zu identifizieren, die auf CJI zugreifen. Obwohl die auf CJI zugreifende CJA letztendlich dafür verantwortlich ist, die Einhaltung der CJIS-Vorschriften sicherzustellen, hilft ihr das Begleitdokument zu den Anforderungen dabei, zu bestimmen, wer (z. B. FBI CJIS Division, CJA, Dienstanbieter usw.) die technischen Möglichkeiten hat, die Einhaltung einer bestimmten Anforderung zu gewährleisten.
Kunden können Datenbegrenzungen über Assured Workloads und Assured Controls für Google Workspace verwenden, um die Anforderungen von Version 6.0 der CJIS-Sicherheitsrichtlinie zu erfüllen. Die Einhaltung von Version 6.0 durch Google Cloud wurde von Coalfire, einer externen Bewertungsorganisation (3PAO), unabhängig geprüft und bestätigt. Außerdem haben wir einen CJIS-Implementierungsleitfaden veröffentlicht, um Kunden die Einhaltung von CJIS v6.0 zu erleichtern. Auf Anfrage können wir Ihnen weitere Informationen zur Compliance bereitstellen, um zu zeigen, wie Google Cloud die für Cloud-Dienstanbieter geltenden CJISSECPOL-Anforderungen erfüllt.
Google Cloud nimmt auch an Sitzungen des CJIS Advisory Policy Board teil und prüft neue Versionen der CJIS-Sicherheitsrichtlinie und des Begleitdokuments zu den Anforderungen, um sicherzustellen, dass unsere Richtlinien und Verfahren mit allen Änderungen übereinstimmen.
Google Cloud
Die Datenbegrenzung über Assured Workloads von Google Cloud bietet einen modernen Ansatz für Kunden, um die Compliance mit Version 6.0 der CJIS-Sicherheitsrichtlinie zu erreichen, und ermöglicht die Compliance mit zusätzlichen Frameworks wie FedRAMP High und Department of Defense IL2/IL4/IL5.
Die Datenbegrenzung über Assured Workloads verfolgt einen auf Software aufbauenden Zero-Trust-Ansatz für die Compliance Dies hilft Kunden, die strengen Compliance-Anforderungen von Behörden zu erfüllen und gleichzeitig die Vorteile in Bezug auf Leistung, Skalierung, Dienstverfügbarkeit, Kosten und Zuverlässigkeit zu nutzen, was bei Verwendung von physisch getrennten Cloud-Architekturen nicht möglich wäre. Kunden aus dem öffentlichen Sektor und Strafverfolgungsbehörden können die Datenbegrenzung über Assured Workloads nutzen, um CJI in ihrer Google Cloud-Umgebung zu verarbeiten, zu speichern und zu übertragen. Über dieses Formular können Sie eine kostenlose Testversion anfordern.
Die Datenbegrenzung über Assured Workloads vereinfacht die Sicherheit und Compliance für Strafverfolgungsbehörden auf Landes-, Kommunal-, indigener und Bundesebene (und alle anderen Nutzer von CJI für Strafverfolgungs- und nicht-strafrechtliche Zwecke) durch:
Google Workspace
Mit Assured Controls für Google Workspace können Organisationen organisatorische und Compliance-Anforderungen erfüllen, z. B. indem sie den Zugriff von Google-Mitarbeitern auf Kundendaten einschränken oder vorgeben, dass Kundendaten nur in den USA gespeichert werden dürfen.
Kunden, die CJIS-Lösungen mit Google Workspace bereitstellen möchten, können mit Assured Controls Richtlinien festlegen, die mit der CJIS-Sicherheitsrichtlinie übereinstimmen. Eine Konfigurationsanleitung für CJIS-Lösungen in Google Workspace finden Sie hier.
Kunden in allen 50 Bundesstaaten und im District of Columbia können CJIS-Anwendungen bedenkenlos in Google Cloud hosten oder dorthin migrieren, da wir Kundenimplementierungen unterstützen und die Einhaltung der CJIS-Sicherheitsrichtlinie nachweisen können.
Google Cloud-Mitarbeiter mit CJIS-Berechtigung wurden in den folgenden Bundesstaaten mit zentralisierter Überprüfung bestätigt: Alabama, Alaska, Arizona, Colorado, Delaware, Florida, Georgia, Hawaii, Idaho, Indiana, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, North Carolina, North Dakota, Oklahoma, Pennsylvania, Tennessee, Utah, Washington, West Virginia, Wisconsin und Wyoming.
Unsere Mitarbeiter sind bereit, sich in allen anderen Bundesstaaten einer Zuverlässigkeitsüberprüfung zu unterziehen. Wenn Sie wissen möchten, wie unsere Mitarbeiter in einem Bundesstaat überprüft werden können, der nicht in der Liste aufgeführt ist, wenden Sie sich bitte an die CSA Ihres Bundesstaats oder an cjis@google.com.
Eine unabhängige Drittorganisation hat kürzlich die Sicherheitskontrollen von Google Cloud bewertet und festgestellt, dass Google Cloud die Einhaltung der CJIS-Sicherheitsrichtlinie v6.0 ermöglicht.
Auf Anfrage eines Kunden oder einer staatlichen CJIS Systems Agency (CSA) schließt Google Cloud eine Verwaltungsvereinbarung ab, die den Kunden detaillierte Informationen dazu gibt, wie Google Cloud die CJIS-Sicherheitsrichtlinie erfüllt, welche Verantwortlichkeiten der einzelnen Parteien bestehen, welche Cloud-Dienste abgedeckt sind und viele andere wichtige Bestimmungen. Sie können eine Kopie des Google Cloud CJIS Management Agreement per E-Mail an cjis@google.com anfordern.
Das Google Cloud-Compliance-Team kann auch detaillierte Compliance-Berichte bereitstellen, die zeigen, wie Google Cloud die für Cloud-Dienstanbieter geltenden CJISSECPOL-Anforderungen erfüllt.
Ja. Google Cloud ermöglicht es Kunden, CJIS-Arbeitslasten mithilfe von Assured Workloads und Assured Controls auf Regionen in den USA zu beschränken. Google speichert Ihre Daten in Übereinstimmung mit den servicespezifischen Nutzungsbedingungen.
Google arbeitet mit den staatlichen CSAs (oder lokalen Behörden) zusammen, um sicherzustellen, dass Google-Mitarbeiter, die unbegleiteten Zugriff auf die unverschlüsselten CJI eines Staates haben könnten, fingerabdruckbasierten Zuverlässigkeitsüberprüfungen unterzogen werden, die mit der CJIS-Sicherheitsrichtlinie übereinstimmen. Die betroffenen Google-Mitarbeiter reichen FD-258-Fingerabdruckkarten zusammen mit den erforderlichen Unterlagen bei den einzelnen CSAs oder lokalen Behörde ein.
Dadurch wird sichergestellt, dass das Personal erst nach Abschluss der fingerabdruckbasierten Zuverlässigkeitsüberprüfung, der CJIS-Schulung zum Sicherheitsbewusstsein und der Unterzeichnung des CJIS-Sicherheitsanhangs unbegleiteten Zugriff auf ein unverschlüsseltes CJI erhält.
Google hat Zero-Trust-Sicherheit als Kernprinzip in unsere Dienste und Abläufe eingebunden. Unsere Infrastruktur setzt kein Vertrauensverhältnis zwischen den darauf ausgeführten Diensten voraus. Mit anderen Worten: Jede Anfrage für den Zugriff auf Ressourcen wird geprüft, authentifiziert und verifiziert, als ob sie aus einem nicht vertrauenswürdigen Netzwerk stammt.
Außerdem sind die Umgebungen in Google Cloud logisch voneinander getrennt, damit Nutzer und Kunden nicht auf Ressourcen zugreifen können, die ihnen nicht zugeordnet sind. Kundendaten (einschließlich CJI) werden logisch nach Domain getrennt, sodass Daten für einen einzelnen Mandanten erstellt werden können. Google Cloud bietet die Möglichkeit, Kundendaten auf diese Weise zu schützen und gleichzeitig eine schnellere Entwicklung von Funktionen und Kostenvorteile für Kunden zu ermöglichen. Daher ist Google Cloud die bessere Wahl für Behörden.
Ja. Google Cloud verwendet in unserer Produktionsumgebung das gemäß FIPS 140-3 validierte Verschlüsselungsmodul BoringCrypto (Zertifikat 4735). Google Cloud verschlüsselt alle Kundeninhalte, die inaktiv sind und während der Übertragung zwischen unseren Einrichtungen gespeichert werden, mit einem oder mehreren Verschlüsselungsmechanismen, ohne dass der Kunde etwas unternehmen muss.
So können Kunden die Compliance mit den Sicherheitsrichtlinien des CJIS wahren und gleichzeitig aus einer Vielzahl von Angeboten für die Cloud-Schlüsselverwaltung wählen, z. B. von Google verwaltete Schlüssel, vom Kunden verwaltete Verschlüsselungsschlüssel und die externe Schlüsselverwaltung. Da Google Cloud dieses Maß an Verschlüsselung standardmäßig für ruhende Daten und Daten bei der Übertragung verwendet, können Kunden die validierte FIPS-140-3-Verschlüsselung übernehmen und können die Anforderungen zum Ausführen von Produkte und Dienste im FIPS-Modus eliminieren.
Nein. Da Google vom Kunden verwaltete Verschlüsselungsschlüssel bereitstellt und den unbegleiteten Zugriff auf unverschlüsselte CJI auf Mitarbeiter mit CJIS-Berechtigung beschränkt, die entsprechend überprüft wurden, ist Confidential Computing für CJIS in Google Cloud nicht erforderlich. Kunden können jedoch zusätzlich zur sicheren und eingeschränkten CJIS Data Boundary auch Confidential Computing nutzen.
Die CJIS-Sicherheitsrichtlinie schreibt die Verwendung einer Government Cloud („GovCloud“) nicht vor. Es gibt keine Definition in der CJIS-Sicherheitsrichtlinie oder im Standard, was eine GovCloud ausmacht. Die CJIS-Datenbegrenzung von Google Cloud unterstützt Kundenunternehmen bei der Einhaltung der CJIS-Sicherheitsrichtlinie. Die Compliance von Google Cloud wurde von einer unabhängigen externen Bewertungsorganisation und zahlreichen staatlichen CSAs bestätigt.
Google hat bei seiner öffentlichen Cloud-Infrastruktur in einen mehrstufigen Sicherheitsansatz investiert, der Features wie Verschlüsselung und starke Mitarbeiter-Datenzugriffskontrollen bietet. Dies bietet zusammen mit der oben beschriebenen Zero-Trust-Implementierung einen starken Sicherheitsstatus, der nötig ist, um den strengen Anforderungen der CJIS-Sicherheitsrichtlinie zu entsprechen, und der es Kunden gleichzeitig ermöglicht, die kontinuierlichen Produktinnovationen öffentlicher Clouds zu nutzen.
Die Implementierung von Google der zuvor genannten Kontrollen (und vieler anderer) entsprechen den Anforderungen von FedRAMP Moderate und FedRAMP High und wurden vom Joint Authorization Board (JAB) anerkannt.
Wir sehen eine Bestätigung unseres Ansatzes in dem Memo M-24-15 („Modernizing the Federal Risk and Authorization Management Program (FedRAMP)“) des Office of Management and Budget (OMB), in dem Bundesbehörden empfohlen wird, von isolierten GovCloud-Architekturen abzurücken:
„FedRAMP sollte kommerzielle Cloud-Anbieter nicht dazu anregen oder verpflichten, separate, dedizierte Angebote für die Nutzung durch Bundesbehörden zu erstellen, weder durch die Anwendung von Sicherheitsrahmenwerken des Bundes noch durch andere Programmabläufe. Die Bundesregierung profitiert von den Investitionen, der Sicherheitswartung und der schnellen Entwicklung von Funktionen, die kommerzielle Cloud-Anbieter in ihre Kernprodukte stecken, um auf dem Markt erfolgreich zu sein. Auch kommerzielle Anbieter werden so dazu motiviert, die verbesserten Sicherheitspraktiken, die sich aus ihrer Zusammenarbeit mit FedRAMP ergeben, in ihre Kerndienste einzubinden, was allen Kunden zugutekommt.“
Ja, Google Cloud-Kunden sind Eigentümer ihrer Kundendaten, wenn sie Google Cloud oder Google Workspace verwenden. Details zu unseren Verpflichtungen zur Datenverarbeitung finden Sie im Zusatz zur Verarbeitung von Cloud-Daten (CDPA) und in unserem Privacy Resource Center.
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.