형사사법정보부(CJIS)

미국연방수사국(FBI) 형사사법정보부(CJIS)에서는 Google과 같은 클라우드 서비스 제공업체(CSP)를 사용할 때 연방 당국 및 주 정부, 지방 법무 기관에 형사사법정보(CJI)를 보호하는 방법을 안내합니다.

Google Cloud는 Google Cloud용 Assured Workloads와 Google Workspace용 Assured Controls를 통해 CJI를 보호하고 저장할 수 있는 보안 제어 기능을 제공합니다. 법 집행 기관은 범위 내 Google Cloud 서비스에 대해 이러한 제어를 구현하여 CJIS 보안 정책을 준수할 수 있습니다.

Google의 CJIS 규정 준수

FBI CJIS 프로그램 부서는 CJI를 보호하기 위한 구체적인 지침을 제공하는 수많은 아티팩트를 게시했습니다. 주요 문서는 CJI를 보호하기 위해 충족해야 하는 최소 보안 요구사항을 설명하는 FBI CJIS 보안 정책입니다.

또한 FBI는 NIST SP 800-53 버전 4에 있는 보안 제어에 CJIS 요구사항 안내서를 제공합니다.

CJIS를 지원하는 모든 Google Cloud 서비스는 CJI를 보호하는 데 필요한 요구사항을 충족할 수 있습니다. 또한 Google은 독립적인 서드 파티 평가사로부터 FBI의 안내서에 포함된 NIST 800-53 제어 규정을 준수하는지 확인하는 증명을 받았습니다.

Google의 CJIS 규정 준수에 대한 자세한 내용은 문의 양식을 통해 Google Cloud 영업팀에 문의하세요.

Google의 CJIS 기능

Assured Workloads 및 Assured Controls를 통해 제공되는 CJIS 범위 서비스는 CJIS 보안 제어를 구현하고 고객이 Google Cloud 및 Google Workspace의 기능으로 비즈니스 요구사항을 충족하도록 지원합니다.

주, 지방, 연방 법 집행 기관과 형사 사법 기관 및 그 계약업체는 이러한 서비스를 다음과 같은 용도로 사용할 수 있습니다.

CJIS 워크로드를 미국으로 제한하는 가드레일 설정
기술 지원 담당자를 Google 및 주 CJIS 기관의 심사를 거친 미국 내 미국인 직원으로 제한
저장 및 전송 중에 FIPS-140-2 규정 준수 암호화 시행
고객 관리 암호화 키(CMEK) 사용
직원 액세스 제어 구현
CJIS 요구사항 등을 지원하기 위해 개발자 규정 준수 제한 및 논리적 세분화 시행

미국 내 모든 Google Cloud 직원은 Google 백그라운드 확인을 거치지만, Google은 CJI 데이터의 민감도를 인식합니다. 이러한 이유로 Google Cloud는 CJIS 보안 정책에 따라 디지털 지문 기반 FBI 백그라운드 확인 및 범죄 이력 조사를 완료한 미국 직원으로만 기술 지원을 제한하기 위해 고객과 협력하고 있습니다.

또한 주 정부는 고객이 CJI를 지원할 수 있는 사용자를 계속 관리할 수 있도록 승인된 백그라운드 확인 절차를 제공할 수 있습니다.

CJIS 보안 정책 v5.9.1 및 v5.9.2의 주요 업데이트

FBI는 2022년 말에 CJIS 보안 정책을 v5.9.0에서 v5.9.2로 업데이트했습니다. 변경사항은 FBI에서 게시한 요구사항 관련 문서에서 확인할 수 있습니다.

최신 정책에는 몇 가지 영역에서 중요한 업데이트가 포함됩니다. 특히 미디어 보호, 직원 심사, ID 및 액세스 관리, 인식 및 학습, 시스템 및 정보 무결성과 관련된 지침이 업데이트되었으며 이제 NIST 800-1 53 통제와 더욱 관련성이 높아졌습니다.

이러한 변경사항에 대한 몇 가지 일반적인 오해도 있습니다. 부록 G.3(정책의 이전 버전에 제공되어 있음)은 CSP의 환경 내에서 CJI가 복호화될 때 환경에 액세스할 수 있는 관리 직원은 'CJIS 보안 정책에 설명된 대로 보안 인식 교육 및 직원 보안 제어를 받아야 합니다.'라고 시나리오 2에서 설명합니다. CJIS 기관이 암호화 키를 제어하고 있는 경우에도 마찬가지입니다.

고객에게 완전한 보호를 제공하기 위해 Google은 고객 관리 암호화 키(CMEK) 및 직원 보안 제어를 사용하여 CJI 액세스를 CJIS 보안 정책 요건을 충족하고 승인 받은 미국 내 미국인으로 제한합니다.

CJIS 범위에 해당하는 Google Cloud 서비스

BigQuery

Cloud Key Management Service

Google Kubernetes Engine

Identity and Access Management

Persistent Disk

Pub/Sub

Virtual Private Cloud

Gmail을 열고

FAQ

CJI를 처리하는 법인(예: Google Cloud)은 CJI 보호를 위해 법인의 서비스를 사용하려는 주와 함께 CJIS 보안 추가 조항을 실행해야 합니다. 추가 조항은 미국 법무 장관이 승인한 템플릿 형식의 계약으로, Google Cloud는 CJIS 규정을 준수하는 보안 프로그램을 유지관리할 것을 약속합니다.

CJIS 보안 정책을 참고하여 기관에서 CJI의 전체 수명 주기를 보호하는 방법을 자세히 알아볼 수도 있습니다.

Google Cloud는 주 정부 및 지방 정부와 협력하여 CJIS 워크로드를 지원합니다. 고객은 Google Cloud를 사용하여 미국 전역에서 CJI가 포함된 워크로드를 실행할 수 있지만 Google Cloud는 다음 주에서 CJI를 보호할 권한이 있습니다.

플로리다

Massachusetts

오클라호마

펜실베이니아

테네시

유타

문의 양식을 통해 거주하는 주의 Google Cloud Platform 영업팀에 연락하여 절차를 시작하고 Google Cloud CJIS 보안 추가 조항에 대한 액세스 권한을 얻으세요.

이 추가 조항은 Google Cloud가 CJIS 보안 정책을 충족하는 방법, 각 당사자의 책임, 적용되는 클라우드 서비스 및 기타 여러 중요한 조항에 대한 자세한 정보를 고객에게 제공합니다.

Google에서 주 CJIS 시스템 기관(CSA) 또는 CJIS 보안 담당자(CSO)와 CJIS 보안 추가 조항에 서명합니다. Google 또는 거주하는 주의 CSA 또는 CSO에 사본을 요청할 수 있습니다.

또한 Google은 고객에게 독립 감사 기관에서 마련한 규정 준수 보고서에 대한 액세스 권한을 제공하여 Google이 관련 감사 범위에 적합한 보안 제어(예: NIST, ISO, SOC)를 구현했는지 검증할 수 있도록 합니다.

고객은 Google의 보안 제어 기능을 감사하여 CJIS 보안 정책의 요구사항을 충족하는지 확인할 수 있습니다.

예. 고객은 Google의 핵심 서비스를 위한 미국 위치에 리소스를 구성할 수 있으며, Google은 서비스별 약관에 따라 선택한 리전에만 저장 데이터를 보관합니다.

Google은 퍼블릭 클라우드 인프라에 레이어로 구성된 보안 접근 방식에 투자하여 암호화 및 강력한 직원 데이터 액세스 제어와 같은 기능을 제공하고 있습니다. 이를 통해 CJIS 보안 정책의 엄격한 요구사항을 충족하는 데 필요한 강력한 보안 태세를 갖추는 동시에 고객이 퍼블릭 클라우드의 지속적인 제품 혁신을 활용할 수 있습니다.

앞서 언급한 제어 기능 등을 비롯한 Google의 구현은 FedRAMP Moderate 및 FedRAMP High 요구사항을 준수하며 합동인증위원회(JAB)의 인정을 받았습니다.

아니요. Google은 CJI 액세스를 제한하는 고객 관리 암호화 키와 직원 데이터 액세스 제어를 제공하므로 Google Cloud의 CJIS에는 컨피덴셜 컴퓨팅이 필요하지 않습니다.

하지만 Google이 CJIS 고객에게 제공하는 보안 및 제한된 환경 외에도 추가적인 보안 제어로 컨피덴셜 컴퓨팅을 계속 활용할 수 있습니다.

Google Cloud는 프로덕션 환경에서 BoringCrypto(인증서 3678)라는 FIPS 140-2(FIPS 140-2 규정 준수 페이지 참고) 검증 암호화 모듈을 사용합니다. 즉, 고객에게 전송 중인 데이터 및 데이터 센터 간 전송 중인 데이터와 저장 데이터가 기본적으로 FIPS 140-2 유효성 검사 암호화 기술을 통해 암호화됩니다.

FIPS 140-2 유효성 검사가 완료된 모듈은 Google BoringSSL 라이브러리에 포함됩니다. 이를 통해 고객은 FIPS 규정 준수를 유지하면서 Google 관리 키, 고객 관리 암호화 키, 외부 키 관리와 같은 다양한 Cloud 키 관리 제품 중에서 선택할 수 있습니다. Google Cloud는 저장 데이터와 전송 중인 데이터에 이 수준의 암호화를 기본적으로 사용하므로 고객이 FIPS 140-2 암호화를 상속하고 FIPS 모드에서 제품 및 서비스를 실행할 필요가 없습니다.