Criminal Justice Information Services (CJIS)

La division Criminal Justice Information Services (CJIS) de l'US Federal Bureau of Investigation (FBI) dispense des conseils aux autorités fédérales, gouvernementales et locales sur la protection des informations liées à la justice pénale (CJI) lors de l'utilisation de fournisseurs de services cloud (FSC), comme Google Cloud.

Google Cloud fournit des contrôles de sécurité pour protéger et stocker les données CJI via Assured Workloads pour Google Cloud et Assured Controls pour Google Workspace. Les organismes chargés de l'application des lois peuvent se conformer à la politique de sécurité du CJIS en appliquant ces contrôles pour les services Google Cloud concernés.

Conformité de Google avec le CJIS

Le bureau du programme CJIS du FBI a publié de nombreux artefacts fournissant des conseils spécifiques pour la protection des données CJI. Le document principal, la politique de sécurité CJIS du FIB, décrit un ensemble minimal d'exigences de sécurité à respecter pour protéger les données CJI.

Le FBI fournit également un mappage des exigences du CJIS en lien avec les contrôles de sécurité de la révision 4 de la norme SP 800-53 publiée par le NIST.

Tous les services Google Cloud compatibles avec le CJIS peuvent répondre aux exigences requises pour la protection des données CJI. Google a également reçu des attestations d'un évaluateur tiers indépendant confirmant la conformité avec les contrôles 800-53 du NIST inclus dans le mappage du FBI.

Contactez l'équipe commerciale de Google Cloud via notre formulaire de contact pour en savoir plus sur la conformité de Google avec le CJIS.

Fonctionnalités CJIS de Google

Les services spécifiques au CJIS sont disponibles via Assured Workloads et Assured Controls pour favoriser la mise en œuvre des contrôles de sécurité du CJIS et permettre aux clients d'utiliser les fonctionnalités de Google Cloud et Google Workspace pour répondre à leurs besoins commerciaux.

Les organismes chargés de l'application des lois à l'échelle gouvernementale, locale et fédérale, ainsi que les organismes de justice pénale (et leurs sous-traitants) peuvent utiliser ces services pour :

Définir des garde-fous pour limiter les charges de travail du CJIS aux États-Unis
Restreindre le personnel d'assistance technique aux résidents des États-Unis ayant fait l'objet d'une présélection par Google et le CJIS
Appliquer le chiffrement FIPS-140-2 aux données au repos et en transit
Utiliser des clés de chiffrement gérées par le client (CMEK)
Implémenter des contrôles d'accès du personnel
Appliquer les restrictions de conformité des développeurs et la segmentation logique pour répondre aux exigences du CJIS, et plus encore

Tous les employés Google Cloud aux États-Unis sont soumis à une vérification de leurs antécédents par Google, qui tient toutefois compte de la sensibilité des données CJI. C'est pourquoi Google Cloud collabore avec ses clients pour limiter l'assistance technique au personnel américain ayant fait l'objet d'une vérification d'antécédents basée sur les empreintes digitales par le FBI et d'une vérification d'antécédents criminels, conformément à la politique de sécurité du CJIS.

Les États peuvent également fournir leur propre processus approuvé de vérification d'antécédents afin de permettre aux clients de contrôler les personnes autorisées à gérer les données CJI.

Principales mises à jour de la politique de sécurité 5.9.1 et 5.9.2 du CJIS

Fin 2022, le FBI a fait évoluer la politique de sécurité du CJIS de la version 5.9.0 à la version 5.9.2. Vous pouvez consulter les modifications dans le document d'accompagnement des exigences publié par le FBI.

La dernière politique contient des mises à jour importantes dans plusieurs domaines. Plus précisément, les conseils relatifs à la protection des médias, au filtrage du personnel, à la gestion de l'authentification et des accès, à la sensibilisation et à la formation, ainsi qu'à l'intégrité du système et des informations ont été mis à jour et sont désormais plus étroitement liés aux contrôles 800-53 du NIST.

Il existe également des idées reçues sur ces changements. L'annexe G.3 (présentée dans les versions précédentes de la politique) spécifie dans le scénario 2 que, lorsque les données CJI sont déchiffrés dans l'environnement d'un FSC, le personnel administratif qui peut accéder à l'environnement doit être "soumis à une formation sur la sensibilisation à la sécurité" et à des contrôles de sécurité, comme décrit dans la politique de sécurité du CJIS. Cela est valable même lorsque le CJIS conserve le contrôle des clés de chiffrement.

Afin de fournir une protection complète aux clients, Google utilise des clés de chiffrement gérées par le client (CMEK) et des contrôles de sécurité du personnel afin de limiter l'accès aux données CJI aux personnes situées aux États-Unis qui ont été autorisés et répondent aux exigences de la politique de sécurité du CJIS.

Services Google Cloud conformes aux exigences du CJIS

BigQuery

Cloud Key Management Service

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Pub/Sub

Cloud privé virtuel

VPC Service Controls

Nouvelle version de Sites

Sheets

Slides

Questions fréquentes

Les entités qui gèrent les données CJI (comme Google Cloud) doivent remplir un avenant CJIS relatif à la sécurité avec les États qui souhaitent utiliser les services de l'entité pour protéger les données CJI. L'avenant est un modèle de contrat approuvé par le procureur général des États-Unis. Il engage Google Cloud à maintenir un programme de sécurité conforme aux exigences du CJIS.

Vous pouvez également consulter la politique de sécurité du CJIS pour en savoir plus sur la manière dont votre organisme doit protéger le cycle de vie complet des données CJI.

Google Cloud s'engage à collaborer avec les autorités gouvernementales et locales pour gérer les charges de travail du CJIS. Bien que les clients puissent utiliser Google Cloud pour exécuter des charges de travail contenant des données CJI aux États-Unis, Google Cloud est autorisé à protéger les données CJI dans les États suivants :

Floride

Massachusetts

Oklahoma

Pennsylvanie

Tennessee

Utah

Contactez l'équipe commerciale de Google Cloud Platform de votre État via notre formulaire de contact pour démarrer le processus et obtenir l'accès à un avenant CJIS relatif à la sécurité pour Google Cloud.

Cet avenant fournit aux clients des informations détaillées sur la manière dont Google Cloud respecte la politique de sécurité du CJIS, sur les responsabilités de chaque partie, sur les services cloud couverts et sur de nombreuses autres dispositions importantes.

Google signe l'avenant CJIS relatif à la sécurité auprès de l'organisme de systèmes d'un État CJIS (CSA) ou du directeur de la sécurité CJIS. Vous pouvez en demander une copie à Google ou au CSA/CSO de votre État.

De plus, Google offre aux clients un accès aux rapports de conformité préparés par des auditeurs indépendants afin qu'ils puissent confirmer que Google a mis en œuvre des contrôles de sécurité (tels que NIST, ISO ou SOC) adaptés au champ d'application de l'audit.

Les clients peuvent auditer les contrôles de sécurité de Google pour vérifier qu'ils respectent les exigences de la politique de sécurité du CJIS.

Oui. Les clients peuvent configurer des ressources dans des emplacements situés aux États-Unis, pour nos principaux services, et Google stockera vos données au repos uniquement dans la région sélectionnée, conformément à nos conditions spécifiques au service.

Google a investi dans une approche multicouche de la sécurité pour son infrastructure cloud publique, en fournissant des fonctionnalités comme le chiffrement et des contrôles renforcés de l'accès aux données du personnel. Vous bénéficiez ainsi de la stratégie de sécurité forte requise pour répondre aux exigences strictes de la politique de sécurité du CJIS, tout en permettant aux clients de tirer parti des innovations produit en cours dans le cloud public.

La mise en œuvre par Google des contrôles mentionnés ci-dessus (et de bien d'autres) est conforme aux exigences de niveau d'impact modéré et élevé du FedRAMP. Elle a été reconnue par la commission JAB (Joint Authorization Board).

Non. Étant donné que Google fournit des clés de chiffrement gérées par le client et des contrôles d'accès aux données du personnel limitant l'accès aux données CJI, l'informatique confidentielle n'est pas requise pour la conformité au CJIS sur Google Cloud.

Toutefois, les clients peuvent néanmoins avoir recours à l'informatique confidentielle en tant que contrôle de sécurité supplémentaire en plus de l'environnement sécurisé et limité que Google offre aux clients CJIS.

Google Cloud utilise un module de chiffrement certifié FIPS 140-2 (Voir la page de conformité FIPS 140-2) appelé BoringCrypto (certificat 3678) dans notre environnement de production. Cela signifie que les données en transit (vers le client et entre les centres de données) comme les données au repos sont sécurisées par défaut à l'aide d'un chiffrement certifié FIPS 140-2.

Le module qui a obtenu cette certification FIPS 140-2 fait partie de notre bibliothèque BoringSSL. Cela permet aux clients de garantir la conformité FIPS en choisissant parmi plusieurs solutions de gestion de clés cloud telles que les clés gérées par Google, les clés de chiffrement gérées par le client, et la gestion des clés externes. Étant donné que Google Cloud utilise ce niveau de chiffrement par défaut pour les données au repos et en transit, les clients peuvent hériter du chiffrement FIPS 140-2 et n'ont plus besoin d'exécuter des produits et services en mode FIPS.