Criminal Justice Information Services (CJIS)

Übersicht

CJIS_Logo

AWS-Services unterstützen die CJIS-Anforderungen in allen Bereichen der CJIS-Sicherheitsrichtlinien. Die Infrastruktur und die Services von AWS wurden von den Strafverfolgungsbehörden der USA und der einzelnen Bundesstaaten geprüft, und AWS wurde Kompetenz in der Unterstützung von CJIS-Arbeitslasten für seine Kunden zugesprochen.

Viele Kunden, die sensible Daten verwalten – darunter Strafverfolgungsbehörden, Finanzinstitute und Organisationen im Gesundheitswesen – vertrauen ihre Arbeitslasten der AWS GovCloud (USA) an, einer Region, die explizit für die speziellen Compliance-Anforderungen sensibler Arbeitslasten geschaffen wurde. AWS GovCloud (USA) bietet über die in allen kommerziellen Regionen verfügbaren Sicherheitsgewährleistungsprogramme hinaus zusätzliche Kontrollen, die Kunden auf bundesstaatlicher, regionaler und föderaler Ebene die Einhaltung der ITAR, FedRamp/FISMA High und DoD SRG Impact Levels 2, 4 und 5 garantieren.

Kunden aus dem Bereich der Strafverfolgung (und deren Partner, die Strafverfolgungsdaten verwalten) nutzen AWS-Services – darunter die folgenden erweiterten Sicherheitsservices und -funktionen von AWS – gezielt, um die Sicherheit und den Schutz ihrer CJI-Daten zu erhöhen:

  • Aktivitätsprotokollierung (AWS CloudTrail)
  • Verschlüsselung von Daten während der Übertragung und im Speicher (serverseitige Verschlüsselung von Amazon S3 mit der Option der Verwendung eigener Schlüssel)
  • Umfassende Schlüsselverwaltung und Datenschutz (AWS Key Management Service und CloudHSM)
  • Integrierte Berechtigungsverwaltung (Verwaltung von Identitätsverbunden in IAM, Multifaktor-Authentifizierung)
  • Was sind Criminal Justice Information(CJI)-Daten?

    Informationen zum Strafrecht (CJI-Daten) sind vom FBI CJIS bereitgestellte Daten, die erforderlich sind, damit Strafverfolgungsbehörden ihren Auftrag erfüllen und die Rechtsvorschriften durchsetzen können. Hierbei handelt es sich z. B. um biometrische, personenbezogene, Familien-, Unternehmens-, Eigentums- und Falldaten. CJI-Daten umfassen außerdem Daten, die von Verwaltungsbehörden für ihre Arbeit benötigt werden, wie etwa Daten für Einstellungsentscheidungen.

  • Was ist die CJIS-Sicherheitsrichtlinie?

    Die CJIS-Sicherheitsrichtlinie ("Richtlinie") spiegelt die gemeinsame Verantwortung von FBI CJIS, CJIS Systems Agency (CSA) und State Identification Bureaus (SIB) für die rechtmäßige Nutzung und den angemessenen Schutz von Criminal Justice Information (CJI) wider. Die Richtlinie enthält grundlegende Sicherheitsanforderungen an aktuelle und geplante Dienste und legt Mindestanforderungen für neue Initiativen fest. Wir leisten unseren Beitrag als Cloud-Serviceanbieter in Übereinstimmung mit der Richtlinie und geben unseren Kunden über unsere Services die Mittel an die Hand, die CJIS-Anforderungen für die IT-Umgebung in AWS zu erfüllen.

  • Kann AWS für CJIS-Daten genutzt werden?

    Ja. Um die Anforderungen von CJIS-Kunden zu erfüllen, wurde die AWS-Cloud-Infrastruktur als eine der flexibelsten und sichersten Cloud Computing-Umgebungen konzipiert. Kunden können hier Anwendungen, Daten und Services bereitstellen, die die Anforderungen der CJIS-Sicherheitsrichtlinie zuverlässig erfüllen. 

  • Was muss ich beim Erstellen von CJIS-kompatiblen Anwendungen und Services in AWS berücksichtigen?

    Ähnlich wie unsere Compliance-Frameworks verwendet die CJIS-Sicherheitsrichtlinie ein Modell der gemeinsamen Verantwortung von AWS und unseren Kunden. Weitere Informationen finden Sie auf der Webseite zum Modell der gemeinsamen Verantwortung von AWS.

    Der Einsatz eines Cloud-Service-Anbieters (Cloud Service Provider, CSP), der die CJIS-Sicherheitsanforderungen erfüllt, bedeutet nicht automatisch, dass Ihre Umgebung durch das Sicherheitsniveau des CSP abgesichert ist. Bei der Verwendung von AWS müssen Sie Folgendes selbst durchführen:

    • Die Anforderungen der CJIS-Sicherheitsrichtlinie prüfen, um zu ermitteln, welche unmittelbar auf Ihre Umgebung zutreffen.
    • Lösungen implementieren (nach Bedarf), um diese Anforderungen zu erfüllen.
    • Die Lösung hinsichtlich der zutreffenden Kontrollanforderungen bewerten und prüfen.
    • Ihre CJIS-Dokumentation unter Verwendung der AWS CJIS-Arbeitsmappe an Ihre Kundenbehörde zur Prüfung und formellen CJIS-Autorisierung übergeben

    Außerdem sind auch folgende wichtige Punkte bei der Unterstützung von CJIS-Verarbeitungslasten von Kunden zu berücksichtigen:

    • Die Verantwortung für die Sicherheit ist eine gemeinsame Verantwortung AWS verwaltet die Umgebung oder die Daten des Kunden nicht. Sie sind daher selbst dafür verantwortlich, die jeweiligen Anforderungen aus der CJIS-Sicherheitsrichtlinie in Ihrer AWS-Umgebung umzusetzen. AWS verwaltet lediglich die Umsetzung von Sicherheitsanforderungen innerhalb der AWS-Infrastruktur.
    • Die Verschlüsselung gespeicherter Daten ist äußerst wichtig. AWS bietet verschiedene Ressourcen, mit denen Sie dieses wichtige Ziel erreichen können, darunter auch Solutions Architect-Mitarbeiter, die Sie unterstützen können, und unser Whitepaper Verschlüsselung gespeicherter Daten.
    • AWS geht die relevanten Anforderungen der CJIS-Sicherheitsrichtlinie an die AWS-Infrastruktur direkt an. Da AWS eine vom Kunden selbst bereitgestellte und vollständig verwaltete Plattform ist, unterliegt AWS nicht direkt der CJIS-Sicherheitsrichtlinie. Wir sehen es jedoch als unsere Aufgabe an, führende Programme zur Cloud-Sicherheit und Compliance zu unterstützen, um die Anforderungen unserer Kunden zu erfüllen. AWS hält die geltenden CJIS-Anforderungen, die von unseren von unabhängigen Stellen (wie FedRAMP) bewerteten Frameworks unterstützt werden, ein. Dazu gehören auch Vor-Ort-Audits in den Rechenzentren, die von unserer von FedRAMP zugelassenen unabhängigen Bewertungsorganisation (3PAO) durchgeführt werden.
    • Im Sinne eines gemeinsamen Verantwortungsmodells für die Sicherheit stellt AWS eine Arbeitsmappe zur CJIS-Sicherheitsrichtlinie (innerhalb einer Systemsicherheitsplanvorlage) bereit, die mit den Bereichen der CJIS-Richtlinie übereinstimmt. Diese Arbeitsmappe unterstützt Kunden bei der systematischen Dokumentation ihrer Implementierung von CJIS-Anforderungen und erläutert den AWS-Ansatz für die einzelnen Anforderungen (enthält auch eine Anleitung zum Einreichen des Dokuments zur Prüfung und Autorisierung). Beachten Sie auch die Criminal Justice Information Services (CJIS) – Arbeitsmappe und Tabelle.
    • AWS stellt eine Vielzahl von integrierten Funktionen zur Unterstützung von CJIS-Workloads bereit, wie etwa die folgenden:
  • Wie wird CJIS-Compliance ermittelt?

    Es gibt keine zentrale CJIS-Autorisierungsstelle, keinen zugelassenen Pool unabhängiger Prüfer und auch kein standardisiertes Prüfkonzept, um zu ermitteln, ob eine bestimmte Lösung CJIS-konform ist. Es gibt keine standardisierte CJIS-konforme Lösung, die von allen Strafverfolgungsbehörden verwendet werden kann. Stattdessen interpretiert jede Strafverfolgungsbehörde, die CJIS-Autorisierungen erteilt, Lösungen anhand ihres eigenen Standards dafür, was als CJIS-konform angesehen werden kann. Autorisierungen eines Staates entsprechen nicht den Autorisierungen in anderen Staaten (oder selbst denen innerhalb desselben Staates). Anbieter müssen Lösungen bei den Autorisierungsbefugten der einzelnen Stellen zur Prüfung einreichen. Die Lösungen enthalten möglicherweise doppelte Fingerabdruck- und Hintergrundprüfungen und andere spezifische Anforderungen für den jeweiligen Bundesstaat.

    Jede Autorisierung ist eine Vereinbarung mit der jeweiligen Organisation, und die Autorisierungen müssen lokal bei jeder Strafverfolgungsbehörde wiederholt werden. AWS stellt keine unzutreffenden Behauptungen auf und gibt daher auch nicht an, CJIS-konform zu sein. Auch wenn ein bestimmter Staat oder eine bestimmte Behörde festgestellt hat, dass AWS für seine/ihre Zwecke CJIS-konform ist, ist dies kein Indiz für eine CJIS-Zertifizierung, die für sämtliche Abteilungen der Strafverfolgungsbehörden gilt.

  • Gibt es Kunden, die AWS für CJIS-Daten verwenden?

    Ja. Wir haben beispielsweise eine Reihe von Partnerlösungen, die im Zusammenhang mit Strafverfolgungsinteraktionen digitales Beweismaterial (z. B. Video- oder Audio-Dateien) erfassen, übertragen, verwalten und gemeinsam nutzen. AWS arbeitet auch mit Partnern zusammen, die richterliche Anordnungen auf elektronischem Weg für Strafverfolgungsbehörden in mehreren Staaten, Landkreisen und Städten erstellen, zur Genehmigung weiterleiten und ausgeben. Außerdem unterstützt AWS Strafverfolgungsbehörden bei der Verwaltung von Polizeivideos im Zusammenhang mit Demonstrationen, öffentlichen Versammlungen und allgemeinen Polizeiinteraktionen über öffentliche Portale als Mittel zur Schaffung von Transparenz. AWS trägt somit dazu bei, Vertrauen in die Strafverfolgung aufzubauen und diese transparent zu machen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »