刑事司法信息服务 (CJIS)
美国联邦调查局 (FBI) 刑事司法信息服务 (CJIS) 部门为联邦、州和地方机构提供了有关如何在使用 Google Cloud 等云服务提供商 (CSP) 时保护刑事司法信息 (CJI)。
Google Cloud 通过适用于 Google Cloud 的 Assured Workloads 和 适用于 Google Workspace 的安全管控提供安全控制措施,保护和存储 CJI。执法机构可为适用范围内的 Google Cloud 服务实施这些控制措施,以符合 CJIS 安全政策。
Google 的 CJIS 合规性
FBI CJIS 计划办公室发布了许多工件,针对保护 CJI 提供了具体指导。 主要文档是 FBI CJIS 安全政策,其中详细介绍了保护 CJI 的最低安全要求集。
FBI 还提供了 CJIS 要求与 NIST SP 800-53 修订版 4 中安全控制措施的对应关系。
所有支持 CJIS 的 Google Cloud 服务都能够满足保护 CJI 所必需的要求。Google 还收到了来自独立第三方评估员的证明,确认符合 FBI 映射中包含的 NIST 800-53 控制措施的要求。
请通过我们的联系表单与 Google Cloud 销售团队联系,详细了解 Google 的 CJIS 合规性。
Google 的 CJIS 功能
通过 Assured Workloads 和安全管控提供的 CJIS 范围服务,可实现 CJIS 安全控制机制并允许客户使用 Google Cloud 和 Google Workspace 的功能以满足其业务需求。
州、地方和联邦执法机构以及刑事司法机构(及其承包商)可以使用这些服务来:
- 设置保护措施,将 CJIS 工作负载限制在美国境内
- 将技术支持人员限制为位于美国并由 Google 和州 CJIS 机构筛选的美国人
- 在静态和传输中强制执行 FIPS-140-2 合规加密
- 使用客户管理的加密密钥 (CMEK)
- 实施人员访问权限控制
- 实施开发者合规性限制和逻辑细分,以满足 CJIS 要求等
虽然美国的所有 Google Cloud 员工都要接受 Google 背景调查,但 Google 了解 CJI 数据的敏感性。正因如此,Google Cloud 与客户合作,将技术支持人员限制为已完成 CJIS 安全政策规定的基于指纹的 FBI 背景调查和犯罪背景调查的美国人员。
州还可以提供自己的已获批准的背景调查流程,以确保客户能够控制谁可以支持 CJI。
CJIS 安全政策 v5.9.1 和 v5.9.2 中的重要更新
FBI 于 2022 年底将 CJIS 安全政策从 v5.9.0 更新为 v5.9.2。您可以在 FBI 发布的要求随附文档中查看变更内容。
最新的政策包含几个方面的重大更新。具体而言,与媒体保护、人员过滤、身份和访问权限管理、认知度和培训以及系统和信息完整性相关的指南已更新,现在与 NIST 800-53 控制措施的相关性更密切。
关于这些变化,也有一些常见的误解。附录 G.3(存在于先前版本的政策中)会在场景 2 中指定,当 CSP 的环境中解密 CJI 时,任何能够访问该环境的管理人员都必须“接受 CJIS 安全政策中所述的安全意识培训和人员安全控制措施”。即使 CJIS 机构保留对加密密钥的控制权,也是如此。
为了全面保护客户,Google 会使用客户管理的加密密钥 (CMEK) 和人员安全控制措施,将拥有 CJI 访问权限的人员限制为美国境内已获授权并符合 CJIS 安全政策要求的美国人。