Criminal Justice Information Services (CJIS)

Die Abteilung CJIS (Criminal Justice Information Services) des US-amerikanischen Federal Bureau of Investigation (FBI) hat Bundes-, Landes-, Kommunal und indigenen Behörden Anleitungen zum Schutz von Informationen aus Strafjustiz (CJI) bereitgestellt, die sie nutzen sollen bei Verwendung von Cloud-Dienstanbietern wie Google Cloud.

Kunden können die Einhaltung der CJIS-Sicherheitsrichtlinie v6.0 in Google Cloud erreichen, indem sie die Datenbegrenzung über Assured Workloads und Assured Controls für Google Workspace nutzen.

Einführung in CJIS

Die CJIS-Abteilung des FBI verwaltet viele nationale Datenbanken, die von Strafjustizbehörden im ganzen Land genutzt werden. Viele der in diesen Datenbanken gespeicherten Daten gelten als Informationen aus dem Bereich der Strafjustiz (Criminal Justice Information, CJI) und müssen vor unbefugter Nutzung und Weitergabe geschützt werden. Die CJIS-Sicherheitsrichtlinie („CJISSECPOL“), veröffentlicht von der CJIS Division des FBI, enthält die Mindestanforderungen an die Sicherheit zum Schutz von CJI.

Das FBI bietet außerdem ein Begleitdokument zu den Anforderungen, in dem die jüngsten Änderungen an der CJIS-Sicherheitsrichtlinie hervorgehoben werden und das dabei hilft, Sicherheitsrollen und Verantwortlichkeiten für Unternehmen zu identifizieren, die auf CJI zugreifen. Obwohl die auf CJI zugreifende CJA letztendlich dafür verantwortlich ist, die Einhaltung der CJIS-Vorschriften sicherzustellen, hilft ihr das Begleitdokument zu den Anforderungen dabei, zu bestimmen, wer (z. B. FBI CJIS Division, CJA, Dienstanbieter usw.) die technischen Möglichkeiten hat, die Einhaltung einer bestimmten Anforderung zu gewährleisten. 

Kunden können Datenbegrenzungen über Assured Workloads und Assured Controls für Google Workspace verwenden, um die Anforderungen von Version 6.0 der CJIS-Sicherheitsrichtlinie zu erfüllen. Die Einhaltung von Version 6.0 durch Google Cloud wurde von Coalfire, einer externen Bewertungsorganisation (3PAO), unabhängig geprüft und bestätigt. Außerdem haben wir einen CJIS-Implementierungsleitfaden veröffentlicht, um Kunden die Einhaltung von CJIS v6.0 zu erleichtern. Auf Anfrage können wir Ihnen weitere Informationen zur Compliance bereitstellen, um zu zeigen, wie Google Cloud die für Cloud-Dienstanbieter geltenden CJISSECPOL-Anforderungen erfüllt. 

Google Cloud nimmt auch an Sitzungen des CJIS Advisory Policy Board teil und prüft neue Versionen der CJIS-Sicherheitsrichtlinie und des Begleitdokuments zu den Anforderungen, um sicherzustellen, dass unsere Richtlinien und Verfahren mit allen Änderungen übereinstimmen.

Google Cloud und CJIS-Compliance

Google Cloud

Die Datenbegrenzung über Assured Workloads von Google Cloud bietet einen modernen Ansatz für Kunden, um die Compliance mit Version 6.0 der CJIS-Sicherheitsrichtlinie zu erreichen, und ermöglicht die Compliance mit zusätzlichen Frameworks wie FedRAMP High und Department of Defense IL2/IL4/IL5.

Die Datenbegrenzung über Assured Workloads verfolgt einen auf Software aufbauenden Zero-Trust-Ansatz für die Compliance Dies hilft Kunden, die strengen Compliance-Anforderungen von Behörden zu erfüllen und gleichzeitig die Vorteile in Bezug auf Leistung, Skalierung, Dienstverfügbarkeit, Kosten und Zuverlässigkeit zu nutzen, was bei Verwendung von physisch getrennten Cloud-Architekturen nicht möglich wäre. Kunden aus dem öffentlichen Sektor und Strafverfolgungsbehörden können die Datenbegrenzung über Assured Workloads nutzen, um CJI in ihrer Google Cloud-Umgebung zu verarbeiten, zu speichern und zu übertragen. Über dieses Formular können Sie eine kostenlose Testversion anfordern.

Die Datenbegrenzung über Assured Workloads vereinfacht die Sicherheit und Compliance für Strafverfolgungsbehörden auf Landes-, Kommunal-, indigener und Bundesebene (und alle anderen Nutzer von CJI für Strafverfolgungs- und nicht-strafrechtliche Zwecke) durch:

  • Einstellung der Standortkontrollen für Daten, um CJIS-Arbeitslasten auf Regionen in den USA zu beschränken („Datenstandort“)
  • Den unbegleiteten Zugriff auf unverschlüsselte CJI auf in den USA ansässige Personen beschränken, die sich in den USA aufhalten und eine fingerabdruckbasierte Zuverlässigkeitsüberprüfung durch eine staatliche CJIS-Behörde (CSA) oder CJA absolviert haben
  • Verwendung von vom Kunden verwalteten Verschlüsselungsschlüsseln (Customer Managed Encryption Keys, CMEK), die entweder in Google Cloud gehostet werden oder mit einem externen Schlüsselmanager verwendet werden
  • Kunden können den Administratorzugriff steuern und einsehen
  • Kontinuierliche Überwachung von Kundenumgebungen auf Compliance-Verstöße

Google Workspace

Mit Assured Controls für Google Workspace können Organisationen organisatorische und Compliance-Anforderungen erfüllen, z. B. indem sie den Zugriff von Google-Mitarbeitern auf Kundendaten einschränken oder vorgeben, dass Kundendaten nur in den USA gespeichert werden dürfen.

Kunden, die CJIS-Lösungen mit Google Workspace bereitstellen möchten, können mit Assured Controls Richtlinien festlegen, die mit der CJIS-Sicherheitsrichtlinie übereinstimmen. Eine Konfigurationsanleitung für CJIS-Lösungen in Google Workspace finden Sie hier.

Google-Mitarbeiter und CJIS-Prüfung

Kunden in allen 50 Bundesstaaten und im District of Columbia können CJIS-Anwendungen bedenkenlos in Google Cloud hosten oder dorthin migrieren, da wir Kundenimplementierungen unterstützen und die Einhaltung der CJIS-Sicherheitsrichtlinie nachweisen können.

Google Cloud-Mitarbeiter mit CJIS-Berechtigung wurden in den folgenden Bundesstaaten mit zentralisierter Überprüfung bestätigt: Alabama, Alaska, Arizona, Colorado, Delaware, Florida, Georgia, Hawaii, Idaho, Indiana, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, North Carolina, North Dakota, Oklahoma, Pennsylvania, Tennessee, Utah, Washington, West Virginia, Wisconsin und Wyoming. 

Unsere Mitarbeiter sind bereit, sich in allen anderen Bundesstaaten einer Zuverlässigkeitsüberprüfung zu unterziehen. Wenn Sie wissen möchten, wie unsere Mitarbeiter in einem Bundesstaat überprüft werden können, der nicht in der Liste aufgeführt ist, wenden Sie sich bitte an die CSA Ihres Bundesstaats oder an cjis@google.com.

Google Cloud-Dienste, die den CJIS-Vorgaben entsprechen

Access Context Manager

Access Transparency

Agent Assist

AlloyDB for PostgreSQL

Apigee

App Hub

Artifact Registry

Sicherung für GKE

BigQuery

BigQuery Data Transfer Service

Bigtable

Binärautorisierung

Certificate Authority Service

Cloud Asset Inventory

Cloud Build

Cloud Composer

Cloud Data Fusion

Cloud Deploy

Cloud DNS

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (Network Address Translation)

Cloud OS Login API

Cloud Router

Cloud Run

Cloud Run Functions

Cloud SQL

Cloud Storage

Cloud Tasks

Cloud Vision API

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Conversational Agents (Dialogflow CX)

Dialogorientierte Insights

Datenbankcenter

Dataflow

Dataform

Dataplex Universal Catalog

Dataproc

Document AI

Wichtige Kontakte

Eventarc

Filestore

Firebase-Sicherheitsregeln

Firestore

Generative KI in Vertex AI

GKE Hub

GKE Identity Service

Admin-Konsole

Google Agentspace

Google Cloud Armor

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Key Access Justifications

Looker (Google Cloud Core)

Memorystore for Redis

Model Armor

Network Connectivity Center

Organisationsrichtliniendienst

Persistent Disk

Pub/Sub

Resource Manager

Secret Manager

Secure Source Manager

Sensitive Data Protection

Service Mesh

Spanner

Speech-to-Text

Storage Transfer Service

Text-to-Speech

Vertex AI Model Monitoring

Vertex AI Model Registry

Vertex AI Search

Vertex AI Workbench

Virtual Private Cloud

VPC Service Controls

Web Risk

Mitarbeiteridentitätsföderation

Häufig gestellte Fragen

Eine unabhängige Drittorganisation hat kürzlich die Sicherheitskontrollen von Google Cloud bewertet und festgestellt, dass Google Cloud die Einhaltung der CJIS-Sicherheitsrichtlinie v6.0 ermöglicht. 

Auf Anfrage eines Kunden oder einer staatlichen CJIS Systems Agency (CSA) schließt Google Cloud eine Verwaltungsvereinbarung ab, die den Kunden detaillierte Informationen dazu gibt, wie Google Cloud die CJIS-Sicherheitsrichtlinie erfüllt, welche Verantwortlichkeiten der einzelnen Parteien bestehen, welche Cloud-Dienste abgedeckt sind und viele andere wichtige Bestimmungen. Sie können eine Kopie des Google Cloud CJIS Management Agreement per E-Mail an cjis@google.com anfordern.

Das Google Cloud-Compliance-Team kann auch detaillierte Compliance-Berichte bereitstellen, die zeigen, wie Google Cloud die für Cloud-Dienstanbieter geltenden CJISSECPOL-Anforderungen erfüllt.

Ja. Google Cloud ermöglicht es Kunden, CJIS-Arbeitslasten mithilfe von Assured Workloads und Assured Controls auf Regionen in den USA zu beschränken. Google speichert Ihre Daten in Übereinstimmung mit den servicespezifischen Nutzungsbedingungen.

Google arbeitet mit den staatlichen CSAs (oder lokalen Behörden) zusammen, um sicherzustellen, dass Google-Mitarbeiter, die unbegleiteten Zugriff auf die unverschlüsselten CJI eines Staates haben könnten, fingerabdruckbasierten Zuverlässigkeitsüberprüfungen unterzogen werden, die mit der CJIS-Sicherheitsrichtlinie übereinstimmen. Die betroffenen Google-Mitarbeiter reichen FD-258-Fingerabdruckkarten zusammen mit den erforderlichen Unterlagen bei den einzelnen CSAs oder lokalen Behörde ein.

Dadurch wird sichergestellt, dass das Personal erst nach Abschluss der fingerabdruckbasierten Zuverlässigkeitsüberprüfung, der CJIS-Schulung zum Sicherheitsbewusstsein und der Unterzeichnung des CJIS-Sicherheitsanhangs unbegleiteten Zugriff auf ein unverschlüsseltes CJI erhält.

Google hat Zero-Trust-Sicherheit als Kernprinzip in unsere Dienste und Abläufe eingebunden. Unsere Infrastruktur setzt kein Vertrauensverhältnis zwischen den darauf ausgeführten Diensten voraus. Mit anderen Worten: Jede Anfrage für den Zugriff auf Ressourcen wird geprüft, authentifiziert und verifiziert, als ob sie aus einem nicht vertrauenswürdigen Netzwerk stammt.

Außerdem sind die Umgebungen in Google Cloud logisch voneinander getrennt, damit Nutzer und Kunden nicht auf Ressourcen zugreifen können, die ihnen nicht zugeordnet sind. Kundendaten (einschließlich CJI) werden logisch nach Domain getrennt, sodass Daten für einen einzelnen Mandanten erstellt werden können. Google Cloud bietet die Möglichkeit, Kundendaten auf diese Weise zu schützen und gleichzeitig eine schnellere Entwicklung von Funktionen und Kostenvorteile für Kunden zu ermöglichen. Daher ist Google Cloud die bessere Wahl für Behörden.

Ja. Google Cloud verwendet in unserer Produktionsumgebung das gemäß FIPS 140-3 validierte Verschlüsselungsmodul BoringCrypto (Zertifikat 4735). Google Cloud verschlüsselt alle Kundeninhalte, die inaktiv sind und während der Übertragung zwischen unseren Einrichtungen gespeichert werden, mit einem oder mehreren Verschlüsselungsmechanismen, ohne dass der Kunde etwas unternehmen muss.

So können Kunden die Compliance mit den Sicherheitsrichtlinien des CJIS wahren und gleichzeitig aus einer Vielzahl von Angeboten für die Cloud-Schlüsselverwaltung wählen, z. B. von Google verwaltete Schlüssel, vom Kunden verwaltete Verschlüsselungsschlüssel und die externe Schlüsselverwaltung. Da Google Cloud dieses Maß an Verschlüsselung standardmäßig für ruhende Daten und Daten bei der Übertragung verwendet, können Kunden die validierte FIPS-140-3-Verschlüsselung übernehmen und können die Anforderungen zum Ausführen von Produkte und Dienste im FIPS-Modus eliminieren.

Nein. Da Google vom Kunden verwaltete Verschlüsselungsschlüssel bereitstellt und den unbegleiteten Zugriff auf unverschlüsselte CJI auf Mitarbeiter mit CJIS-Berechtigung beschränkt, die entsprechend überprüft wurden, ist Confidential Computing für CJIS in Google Cloud nicht erforderlich. Kunden können jedoch zusätzlich zur sicheren und eingeschränkten CJIS Data Boundary auch Confidential Computing nutzen.

Die CJIS-Sicherheitsrichtlinie schreibt die Verwendung einer Government Cloud („GovCloud“) nicht vor. Es gibt keine Definition in der CJIS-Sicherheitsrichtlinie oder im Standard, was eine GovCloud ausmacht. Die CJIS-Datenbegrenzung von Google Cloud unterstützt Kundenunternehmen bei der Einhaltung der CJIS-Sicherheitsrichtlinie. Die Compliance von Google Cloud wurde von einer unabhängigen externen Bewertungsorganisation und zahlreichen staatlichen CSAs bestätigt. 

Google hat bei seiner öffentlichen Cloud-Infrastruktur in einen mehrstufigen Sicherheitsansatz investiert, der Features wie Verschlüsselung und starke Mitarbeiter-Datenzugriffskontrollen bietet. Dies bietet zusammen mit der oben beschriebenen Zero-Trust-Implementierung einen starken Sicherheitsstatus, der nötig ist, um den strengen Anforderungen der CJIS-Sicherheitsrichtlinie zu entsprechen, und der es Kunden gleichzeitig ermöglicht, die kontinuierlichen Produktinnovationen öffentlicher Clouds zu nutzen.

Die Implementierung von Google der zuvor genannten Kontrollen (und vieler anderer) entsprechen den Anforderungen von FedRAMP Moderate und FedRAMP High und wurden vom Joint Authorization Board (JAB) anerkannt.

Wir sehen eine Bestätigung unseres Ansatzes in dem Memo M-24-15 („Modernizing the Federal Risk and Authorization Management Program (FedRAMP)“) des Office of Management and Budget (OMB), in dem Bundesbehörden empfohlen wird, von isolierten GovCloud-Architekturen abzurücken:

„FedRAMP sollte kommerzielle Cloud-Anbieter nicht dazu anregen oder verpflichten, separate, dedizierte Angebote für die Nutzung durch Bundesbehörden zu erstellen, weder durch die Anwendung von Sicherheitsrahmenwerken des Bundes noch durch andere Programmabläufe. Die Bundesregierung profitiert von den Investitionen, der Sicherheitswartung und der schnellen Entwicklung von Funktionen, die kommerzielle Cloud-Anbieter in ihre Kernprodukte stecken, um auf dem Markt erfolgreich zu sein. Auch kommerzielle Anbieter werden so dazu motiviert, die verbesserten Sicherheitspraktiken, die sich aus ihrer Zusammenarbeit mit FedRAMP ergeben, in ihre Kerndienste einzubinden, was allen Kunden zugutekommt.“

Ja, Google Cloud-Kunden sind Eigentümer ihrer Kundendaten, wenn sie Google Cloud oder Google Workspace verwenden. Details zu unseren Verpflichtungen zur Datenverarbeitung finden Sie im Zusatz zur Verarbeitung von Cloud-Daten (CDPA) und in unserem Privacy Resource Center.

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Google Cloud
DocsSupport
Console
Anmelden
Security
Threat IntelligenceSecOpsCloud-SicherheitBeratungSicherheitsressourcen
  • Beschleunigen Sie Ihre digitale Transformation
  • Ganz gleich, ob Ihr Unternehmen erst am Anfang seines Wegs der digitalen Transformation steht oder schon einiges erreicht hat – Google Cloud unterstützt Sie dabei, Ihre größten Herausforderungen zu bewältigen.
  • Google Cloud-Produkte
  • Lernen Sie über 100 Produkte kennen. Neukunden erhalten ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen. Alle Kunden können innerhalb der monatlichen Nutzungslimits mehr als 25 Produkte kostenlos nutzen.
  • Sparen Sie Geld mit unserem transparenten Preisansatz
  • „Pay-as-you-go“-Preise von Google Cloud bieten automatische Einsparungen basierend auf der monatlichen Nutzung und ermäßigten Preisen für Prepaid-Ressourcen Kontaktieren Sie uns, um ein Angebot zu erhalten.
Google Cloud