Criminal Justice Information Services (CJIS)

La divisione Criminal Justice Information Services (CJIS) del Federal Bureau of Investigations (FBI) degli Stati Uniti offre agli enti federali, statali e locali indicazioni su come proteggere le informazioni sulla giustizia penale (CJI) quando utilizzano provider di servizi cloud (CSP) come Google Cloud.

I clienti di Google Cloud possono utilizzare Assured Workloads per Google Cloud e Assured Controls per Google Workspace per ottenere la conformità alla versione 5.9.5 dei criteri di sicurezza CJIS.

Introduzione a CJIS

La divisione FBI CJIS supervisiona molti database nazionali utilizzati dalle agenzie di giustizia penale (CJAs) di tutto il paese. Gran parte dei dati conservati in questi database è considerata Criminal Justice Information (CJI) ed è soggetta a protezione da uso e divulgazione non autorizzati. Le Norme sulla sicurezza CJIS ("CJISSECPOL"), pubblicate dalla FBI CJIS Division, forniscono l'insieme minimo di requisiti di sicurezza per la protezione e la salvaguardia delle CJI.

L'FBI fornisce anche un documento di accompagnamento sui requisiti che evidenzia le modifiche recenti alle norme sulla sicurezza CJIS e aiuta a identificare i ruoli e le responsabilità di sicurezza per le entità che accedono alle CJI. Sebbene la CJA che accede alle CJI sia sempre responsabile in ultima istanza di garantire la conformità al CJIS, il documento di accompagnamento ai requisiti guida la CJA nel determinare chi (ad es. FBI CJIS Division, CJA, Service Provider ecc.) ha la capacità tecnica di garantire il rispetto di un determinato requisito. 

I clienti della piattaforma Google Cloud e di Google Workspace possono utilizzare Assured Workloads e Assured Controls per ottenere la conformità alla versione 5.9.5 dei criteri di sicurezza CJIS. Recentemente un'organizzazione di valutazione indipendente di terze parti ha valutato i controlli di sicurezza CJIS di Google Cloud e ha rilevato che Google Cloud consente la conformità al CJIS. Su richiesta, è possibile fornire ulteriori informazioni sulla conformità per dimostrare in che modo Google Cloud soddisfa i requisiti del CJISSECPOL applicabili ai fornitori di servizi cloud. 

Google Cloud partecipa inoltre alle riunioni del comitato consultivo per le norme del CJIS e rivede le nuove versioni delle norme di sicurezza del CJIS e del documento di accompagnamento dei requisiti per garantire che le nostre norme e procedure siano conformi a eventuali modifiche.

Hosting di workload CJIS sulla piattaforma Google Cloud

Assured Workloads per CJIS consente ai clienti di ottenere la conformità ai criteri di sicurezza CJIS. Assured Workloads per la piattaforma Google Cloud è il cloud normativo di Google Cloud e consente la conformità a framework come CJIS, FedRAMP High e Department of Defense IL2/IL4/IL5.

Assured Workloads adotta un approccio basato sul software e Zero Trust per la conformità normativa. Consente ai clienti di soddisfare i rigorosi requisiti di conformità del cloud governativo, offrendo al contempo i vantaggi in termini di prestazioni, scalabilità, disponibilità del servizio, costi e affidabilità che i clienti rinunciano quando utilizzano architetture cloud fisicamente separate.

Assured Workloads semplifica la sicurezza e la conformità per le forze dell'ordine statali, locali, tribali e federali (e per qualsiasi altro utente di CJI per la giustizia penale o non penale) in quanto:

  • Impostazione dei controlli della località dei dati per limitare i carichi di lavoro CJIS alle regioni solo degli Stati Uniti ("residenza dei dati")
  • Implementazione di controlli di sicurezza e di accesso del personale per limitare l'accesso non accompagnato alla CJI non criptata alle persone statunitensi che si trovano negli Stati Uniti e che hanno completato i controlli dei precedenti dell'FBI basati sulle impronte digitali
  • Attivazione dell'uso delle chiavi di crittografia gestite dal cliente (CMEK), ospitate su Google Cloud o tramite un gestore chiavi esterno
  • Consentire ai clienti di ottenere controllo e visibilità sull'accesso amministrativo
  • Monitoraggio continuo degli ambienti dei clienti per rilevare violazioni della conformità

Hosting di carichi di lavoro CJIS su Google Workspace

Assured Controls per Google Workspace consente alle organizzazioni di soddisfare i requisiti organizzativi e di conformità, sia che ciò implichi la limitazione dell'accesso del personale Google ai dati dei clienti o che imponga la località in cui questi dati dei clienti sono posizionati negli Stati Uniti.

I clienti che vogliono eseguire il deployment di soluzioni CJIS utilizzando Google Workspace possono utilizzare Assured Controls per impostare criteri in linea con i criteri di sicurezza CJIS. Qui puoi trovare una guida alla configurazione delle soluzioni CJIS in Google Workspace.

Servizi Google Cloud interessati dalla normativa CJIS

Domande frequenti

Recentemente un'organizzazione di test indipendente di terze parti ha valutato i controlli di sicurezza del CJIS di Google Cloud e ha rilevato che Google Cloud consente la conformità al CJIS. Google prevede di aggiornare questa valutazione una volta pubblicata la versione 6.0 delle norme sulla sicurezza CJIS. 

Se richiesto da un cliente o dall'agenzia per i sistemi CJIS (CSA) di uno stato, Google Cloud stipulerà un contratto di gestione che fornisce ai clienti informazioni dettagliate su come Google Cloud consente la conformità ai criteri di sicurezza CJIS, sulle responsabilità di ogni parte, sui servizi cloud coperti e su molte altre disposizioni importanti. Puoi richiedere una copia del contratto di gestione CJIS di Google Cloud inviando un'email all'indirizzo cjis@google.com.

Il team per la conformità di Google Cloud può anche fornire relazioni dettagliate sulla conformità che dimostrano come Google Cloud soddisfi i requisiti CJISSECPOL applicabili ai fornitori di servizi cloud.

Sì. Google Cloud consente ai clienti di limitare i carichi di lavoro CJIS a regioni solo degli Stati Uniti tramite Assured Workloads e Assured Controls. Google archivia i dati at-rest in conformità con i nostri Termini di servizio specifici.

Negli stati in cui i dipendenti di Google potrebbero avere accesso senza scorta ai dati CJI non criptati, Google collabora con il CSA (o un'agenzia locale) per garantire che il personale che può avere accesso senza scorta ai dati CJI non criptati di uno stato sia sottoposto a controlli dei precedenti dell'FBI basati sulle impronte digitali. Il personale Google idoneo invierà a ciascuna CSA le carte delle impronte FD-258, insieme alla documentazione richiesta.

Questo processo garantisce che al personale autorizzato venga concesso l'accesso senza scorta solo dopo aver completato il controllo dei precedenti e la formazione per la consapevolezza della sicurezza di CJIS.

Google ha implementato il principio di Zero Trust al centro dei suoi servizi e delle sue operazioni; la nostra infrastruttura non presuppone alcuna relazione di attendibilità tra i servizi in esecuzione. In altre parole, ogni richiesta di accesso alle risorse viene ispezionata, autenticata e verificata come se provenisse da una rete non attendibile.

Gli ambienti dei clienti all'interno di Google Cloud sono inoltre logicamente segregati per impedire agli utenti e ai clienti di accedere alle risorse che non sono loro assegnate. I dati dei clienti (incluse le CJI) sono logicamente segregati per dominio per consentire la produzione di dati per un singolo tenant. La capacità di Google Cloud di proteggere i dati dei clienti in questo modo, consentendo allo stesso tempo uno sviluppo più rapido delle funzionalità e vantaggi economici per i clienti, lo rende la scelta migliore per i clienti del settore pubblico. 

Infine, tutti i dati dei clienti in transito sono criptati e i dati sono criptati at-rest, per impostazione predefinita, per TUTTI i clienti. In questo modo, in un'architettura cloud multi-tenant sono presenti più livelli di difesa e viene garantito un isolamento efficace per tutti i clienti.

No. Poiché Google fornisce chiavi di crittografia gestite dal cliente e controlli dell'accesso ai dati del personale che limitano l'accesso alle CJI, il Confidential Computing non è richiesto per CJIS su Google Cloud. Tuttavia, i clienti possono comunque utilizzare il Confidential Computing come controllo di sicurezza supplementare oltre all'ambiente sicuro e limitato che Google offre ai clienti CJIS.

Sì, Google Cloud utilizza un modulo di crittografia convalidato FIPS 140-3 denominato BoringCrypto (certificato 4735) nel nostro ambiente di produzione. Ciò significa che i dati in transito (verso il cliente e tra i data center) e i dati at-rest sono criptati per impostazione predefinita tramite la crittografia convalidata FIPS 140-3. 

Consente ai clienti di mantenere la conformità FIPS scegliendo tra una vasta gamma di offerte di Cloud Key Management, tra cui chiavi gestite da Google, chiavi di crittografia gestite dal cliente e chiavi gestite esternamente. Poiché Google Cloud utilizza questo livello di crittografia per impostazione predefinita per i dati at-rest e in transito, i clienti possono ereditare la crittografia FIPS 140-3 ed eliminare il requisito per eseguire i prodotti e i servizi in modalità FIPS.

Il documento sulle norme sulla sicurezza CJIS non richiede l'utilizzo di un cloud governativo ("GovCloud") e non esiste una definizione o uno standard universale per ciò che costituisce un GovCloud. Google Cloud può consentire la conformità al CJIS con le norme sulla sicurezza CJIS e ha dimostrato la nostra conformità a un'organizzazione di valutazione indipendente di terze parti e a numerosi CSA statali. 

Google ha investito in un approccio di sicurezza a più livelli per la propria infrastruttura cloud pubblica, fornendo funzionalità quali crittografia e solidi controlli dell'accesso ai dati del personale. Ciò, insieme all'implementazione del modello Zero Trust descritto in precedenza, fornisce la solida security posture necessaria per soddisfare i severi requisiti delle norme sulla sicurezza CJIS e consente inoltre ai clienti di sfruttare le attuali innovazioni del cloud pubblico.

L'implementazione di Google dei suddetti controlli (e di tanti altri) è conforme ai requisiti FedRAMP Moderate e FedRAMP High ed è stata riconosciuta dal Joint Authorization Board (JAB). 

La convalida del nostro approccio è contenuta nel memorandum M-24-15 ("Modernizing the Federal Risk and Authorization Management Program (FedRAMP)") dell'Office of Management and Budget (OMB), che consiglia alle agenzie federali di abbandonare le architetture GovCloud isolate:

"Il FedRAMP non dovrebbe incentivare o richiedere ai fornitori di servizi cloud commerciali di creare offerte separate e dedicate per l'uso federale, sia attraverso l'applicazione di quadri di sicurezza federali che altre operazioni di programma. Il governo federale beneficia degli investimenti, della manutenzione della sicurezza e dello sviluppo rapido delle funzionalità che i fornitori di servizi cloud commerciali offrono ai loro prodotti principali per avere successo sul mercato. Allo stesso modo, i fornitori commerciali sono incentivati a integrare nei loro servizi principali le migliori prassi di sicurezza che emergono dal loro impegno con FedRAMP, a beneficio di tutti i clienti".

In Google Cloud, crediamo che la fiducia si crei attraverso la trasparenza. Vogliamo quindi essere trasparenti riguardo ai nostri impegni e a ciò che puoi aspettarti in relazione alla nostra responsabilità condivisa nei confronti della protezione e della gestione dei dati nella cloud.

Quando utilizzi Google Workspace o Google Cloud:

  1. I dati appartengono a te, non a Google
  2. Google non vende i tuoi dati a terze parti
  3. Google Cloud non utilizza i dati dei clienti per la pubblicità
  4. Tutti i dati dei clienti sono criptati per impostazione predefinita
  5. Proteggiamo i dati dei clienti dall'accesso di personale interno
  6. Non diamo mai ad alcun ente governativo un accesso "backdoor" ai dati
  7. Le nostre norme di tutela della privacy sono verificate in base agli standard internazionali

Consulta l'Addendum per il trattamento dei dati Cloud (ATDC) per ulteriori dettagli sul nostro impegno in materia di trattamento dei dati.

Fai il prossimo passo

Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.

Inizia gratuitamente
Google Cloud
DocumentiAssistenza
Console
Accedi
Security
Home pageIntelligence e competenzeSecOpsSicurezza del cloudRisorse per la sicurezza
Assistenza per la risposta agli incidenti
Contattaci
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud