Weiter zu

Criminal Justice Information Services (CJIS)

Die Abteilung CJIS (Criminal Justice Information Services) des US-amerikanischen Federal Bureau of Investigation (FBI) hat Bundes-, Landes- und Kommunalbehörden Anleitungen zum Schutz von Informationen aus Strafjustiz (CJI) bereitgestellt, die sie nutzen sollen bei Verwendung von Cloud-Dienstanbietern wie Google Cloud.

Google Cloud bietet Sicherheitskontrollen zum Schutz und Speichern von CJI über Assured Workloads für Google Cloud und Assured Controls for Google Workspace. Strafverfolgungsbehörden können die Einhaltung der CJIS-Sicherheitsrichtlinie erreichen, indem sie diese Kontrollen für den Vorgaben entsprechende Google Cloud-Dienste implementieren.

CJIS-Compliance von Google

Das FBI CJIS Program Office hat zahlreiche Artefakte veröffentlicht, die eine spezifische Anleitung zum Schutz von CJI liefern. Das Hauptdokument ist die FBI-CJIS-Sicherheitsrichtlinie, in der ein Minimalsatz von Sicherheitsanforderungen beschrieben wird, der erfüllt werden muss, für den Schutz von CJI.

Das FBI bietet außerdem eine Zuordnung der CJIS-Anforderungen zu den Sicherheitskontrollen in NIST SP 800-53 Überarbeitung 4.

Alle Google Cloud-Dienste, die CJIS unterstützen, können die Anforderungen erfüllen, die zum Schutz von CJI nötig sind. Google hat außerdem Attestierungen von einem unabhängigen externen Prüfer erhalten, der die Einhaltung der NIST 800-53-Kontrollen bestätigt, die in der FBI-Zuordnung enthalten sind.

Wenden Sie sich über unser Kontaktformular an das Google Cloud-Vertriebsteam, um mehr über die CJIS-Compliance von Google zu erfahren.

CJIS-Funktionen von Google

Über CJIS-konforme Dienste, die über Assured Workloads und Assured Controls verfügbar sind, werden CJIS-Sicherheitskontrollen implementiert und Kunden können die Funktionen von Google Cloud und Google Workspace nutzen, um ihre geschäftlichen Anforderungen zu erfüllen.

Behörden auf bundesstaatlicher, kommunaler und Bundesebene sowie Strafverfolgungsbehörden und Strafjustizbehörden (und ihre Auftragnehmer) können diese Dienste für folgende Zwecke nutzen:

  1. Schutzmaßnahmen festlegen, um CJIS-Arbeitslasten auf die USA zu beschränken
  2. Den technische Support auf Personen in den USA beschränken, die in den USA ansässig sind und sowohl von Google als auch von der staatlichen CJIS-Behörde geprüft wurden.
  3. FIPS-140-2-konforme Verschlüsselung für ruhende Daten sowie Daten während der Übertragung erzwingen
  4. Vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) verwenden
  5. Personalzugriffssteuerungen implementieren
  6. Compliance-Einschränkungen für Entwickler und logische Segmentierung zur Unterstützung von CJIS-Anforderungen und mehr erzwingen

Während alle Google Cloud-Mitarbeiter in den USA Google-Zuverlässigkeitsüberprüfungen unterzogen werden, erkennt Google die Vertraulichkeit von CJI-Daten an. Aus diesem Grund arbeiten wir gemeinsam mit Kunden daran, den technischen Support auf Mitarbeiter in den USA zu beschränken, die durch die CJIS-Sicherheitsrichtlinie vorgeschriebene Fingerabdruckbasierte FBI-Zuverlässigkeitsüberprüfungen und Überprüfungen des strafrechtlichen Hintergrunds absolviert haben.

Außerdem können Bundesstaaten eigene genehmigte Prozesse zur Zuverlässigkeitsüberprüfung anbieten, damit Kunden die Kontrolle darüber haben, wer CJI unterstützen kann.

Wichtige Aktualisierungen der CJIS-Sicherheitsrichtlinie, Version 5.9.1 und 5.9.2

Das FBI hat die CJIS-Sicherheitsrichtlinie Ende 2022 von Version 5.9.0 auf Version 5.9.2 aktualisiert. Die Änderungen finden Sie im Begleitdokument für Anforderungen des FBI.

Die neueste Richtlinie enthält in einigen Bereichen erhebliche Aktualisierungen. Insbesondere wurden die Hinweise in den Bereichen Medienschutz, Personalprüfung, Identitäts- und Zugriffsverwaltung, Bewusstsein und Schulungen sowie System- und Informationsintegrität aktualisiert und sind jetzt enger an die NIST 800-53 Kontrollen angelehnt.

Außerdem gibt es einige häufige Missverständnisse in Bezug auf diese Änderungen. In Anhang G.3, der in vorherigen Versionen der Richtlinie vorhanden war, wird in Szenario 2 angegeben, dass bei der Entschlüsselung von CJI innerhalb der Umgebung einer CSP alle Administratoren, die zugreifen können auf die Umgebung, Sicherheitsschulungen und den Sicherheitskontrollen für Mitarbeiter unterliegen müssen, wie in der CJIS-Sicherheitsrichtlinie beschrieben.“ Das gilt selbst dann, wenn die CJIS-Agentur die Kontrolle über die Verschlüsselungsschlüssel hat.

Zum vollständigen Schutz von Kunden verwendet Google vom Kunden verwaltete Verschlüsselungsschlüssel (Customer Managed Encryption Keys, CMEK) und Personalsicherheitskontrollen, um den CJI-Zugriff auf in den USA ansässige US-Personen zu beschränken, die autorisiert wurden und die Anforderungen der CJIS-Sicherheitsrichtlinie erfüllen. 

Häufig gestellte Fragen

Entitäten, die CJI verarbeiten (z. B. Google Cloud), müssen einen CJIS-Sicherheitszusatz für Bundesstaaten ausführen, in denen die Dienste der Entität zum Schutz von CJI genutzt werden sollen. Der Zusatz ist eine aus Vorlagen erstellte Vereinbarung, die vom Attorney General der US-Regierung genehmigt wurde und Google Cloud verpflichtet, ein CJIS-konformes Sicherheitsprogramm aufrechtzuerhalten.

Weitere Informationen dazu, wie Ihre Agentur den gesamten Lebenszyklus der CJI schützen muss, finden Sie in der CJIS-Sicherheitsrichtlinie.

Google Cloud arbeitet mit staatlichen und lokalen Behörden zusammen, um CJIS-Arbeitslasten zu unterstützen. In den USA können Kunden Arbeitslasten, die CJI enthalten, mithilfe von Google Cloud ausführen. Google Cloud ist in den folgenden Bundesstaaten berechtigt, CJI zu schützen:

Florida

Massachusetts

Oklahoma

Pennsylvania

Tennessee

Utah

Wenden Sie sich über unser Kontaktformular an das Google Cloud-Vertriebsteam ihres Bundesstaates, um den Vorgang zu starten und Zugriff auf ein Google Cloud CJIS-Sicherheit-Zusatz zu erhalten.

Dieser Zusatz bietet Kunden detaillierte Informationen darüber, wie Google Cloud die CJIS-Sicherheitsrichtlinie erfüllt, die Verantwortlichkeiten der Parteien, welche Cloud-Dienste abgedeckt sind und viele andere wichtige Bestimmungen.

Google unterzeichnet einen CJIS-Sicherheitszusatz mit einer staatlichen CJIS-Systembehörde (CSA) oder einem CJIS-Sicherheitsbeauftragten (CSO). Sie können eine Kopie von Google oder dem CSA oder CSO Ihres Bundesstaat anfordern.

Darüber hinaus bietet Google Kunden Zugriff auf Complianceberichte, die von unabhängigen Prüfern erstellt wurden, damit sie prüfen können, ob Google Sicherheitskontrollen wie NIST oder ISO oder SOC implementiert hat, die dem jeweiligen Audit-Bereich entsprechen.

Kunden können überprüfen die Sicherheitskontrollen von Google, um zu verifizieren, ob sie den Anforderungen der CJIS-Sicherheitsrichtlinie entsprechen.

Ja. Kunden können für unsere wichtigsten Dienste Ressourcen an US-Standorten konfigurieren, und Google speichert Ihre Daten nur in der ausgewählten Region in Übereinstimmung mit unseren servicespezifischen Bedingungen.

Google hat bei seiner öffentlichen Cloud-Infrastruktur in einen mehrstufigen Sicherheitsansatz investiert, der Features wie Verschlüsselung und starke Mitarbeiter-Datenzugriffskontrollen bietet. Dies bietet einen starken Sicherheitsstatus, der nötig ist, um den strengen Anforderungen der CJIS-Sicherheitsrichtlinie zu entsprechen, und der es Kunden gleichzeitig ermöglicht, die kontinuierlichen Produktinnovationen öffentlicher Clouds zu nutzen.

Die Implementierung von Google der zuvor genannten Kontrollen (und vieler anderer) entsprechen den Anforderungen von FedRAMP Moderate und FedRAMP High und wurden vom Joint Authorization Board (JAB) anerkannt.

Nein. Da Google vom Kunden verwaltete Verschlüsselungsschlüssel und Zugriffssteuerungen für Datenzugriff durch Mitarbeiter bereitstellt, die den CJI-Zugriff einschränken, ist Confidential Computing für CJIS in Google Cloud nicht erforderlich.

Allerdings können Kunden zusätzlich zur sicheren und eingeschränkten Umgebung, die Google für CJIS-Kunden bietet, auch Confidential Computing als zusätzliche Sicherheitskontrolle nutzen.

Google Cloud verwendet einen FIPS 140-2-(Siehe FIPS 140-2-Compliance-Seite)-validiertes Verschlüsselungsmodul namens BoringCrypto (Zertifikat 3678) in unserer Produktionsumgebung. Das bedeutet, dass sowohl die Daten bei der Übertragung (an den Kunden und zwischen Rechenzentren) als auch die ruhenden Daten standardmäßig mit FIPS 140-2-validierter Verschlüsselung verschlüsselt werden.

Das gemäß FIPS 140-2 validierte Modul ist Teil unserer BoringSSL-Bibliothek. So können Kunden die FIPS-Compliance wahren und gleichzeitig aus einer Vielzahl von Angeboten für das Cloud Schlüsselverwaltung auswählen, z. B. von Google verwaltete Schlüssel, vom Kunden verwaltete Verschlüsselungsschlüssel und die externe Schlüsselverwaltung. Da Google Cloud dieses Maß an Verschlüsselung standardmäßig für ruhende Daten und Daten bei der Übertragung verwendet, können Kunden die FIPS-140-2-Verschlüsselung übernehmen und können die Anforderungen zum Ausführen von Produkte und Dienste im FIPS-Modus eliminieren.