Criminal Justice Information Services (CJIS)

Übersicht

CJIS_Logo

AWS befolgt die Sicherheitsrichtlinie der Criminal Justice Information Services (CJIS) der US-Bundespolizei (Federal Bureau of Investigation, FBI). Wir unterzeichnen CJIS-Sicherheitsvereinbarungen mit unseren Kunden, die auch das Zulassen oder Durchführen von erforderlichen Sicherheitsprüfungen des Hintergrunds von Mitarbeitern entsprechend den CJIS-Sicherheitsrichtlinien umfassen.

AWS hat eine Arbeitsmappe und eine Tabelle zu den Criminal Justice Information Services (CJIS) im Format der Sicherheitsplanvorlage erstellt, die mit den Bereichen der CJIS-Richtlinie übereinstimmt.

Exekutivorgane, die Informationen zum Strafrecht (Criminal Justice Information, CJI) verwenden, konnten die Sicherheit und den Schutz der CJI-Daten dank der AWS-Services deutlich verbessern. AWS bietet erweiterte Sicherheits-Services und -Funktionen, beispielsweise Aktivitätsprotokollierung (AWS CloudTrail), Verschlüsselung von Daten bei der Übertragung und bei der Speicherung (serverseitige S3-Verschlüsselung mit der Option, eigene Schlüssel zu verwenden), umfassende Verwaltung und Schutz von Schlüsseln (AWS Key Management Service und CloudHSM) und integrierte Berechtigungsverwaltung (verknüpfte IAM-Identitätsverwaltung und Multifaktor-Authentifizierung) an.

  • Was sind Criminal Justice Information(CJI)-Daten?

    Informationen zum Strafrecht (CJI-Daten) sind vom FBI CJIS bereitgestellte Daten, die erforderlich sind, damit Strafverfolgungsbehörden ihren Auftrag erfüllen und die Rechtsvorschriften durchsetzen können. Hierbei handelt es sich z. B. um biometrische, personenbezogene, Familien-, Unternehmens-, Eigentums- und Falldaten. CJI-Daten umfassen außerdem Daten, die von Verwaltungsbehörden für ihre Arbeit benötigt werden, wie etwa Daten für Einstellungsentscheidungen.

  • Was ist die CJIS-Sicherheitsrichtlinie?

    Die CJIS-Sicherheitsrichtlinie ("Richtlinie") spiegelt die gemeinsame Verantwortung von FBI CJIS, CJIS Systems Agency (CSA) und State Identification Bureaus (SIB) für die rechtmäßige Nutzung und den angemessenen Schutz von Criminal Justice Information (CJI) wider. Die Richtlinie enthält grundlegende Sicherheitsanforderungen an aktuelle und geplante Dienste und legt Mindestanforderungen für neue Initiativen fest. Wir leisten unseren Beitrag als Cloud-Serviceanbieter in Übereinstimmung mit der Richtlinie und geben unseren Kunden über unsere Services die Mittel an die Hand, die CJIS-Anforderungen für die IT-Umgebung in AWS zu erfüllen.

  • Kann AWS für CJIS-Daten genutzt werden?

    Ja. Um die Anforderungen von CJIS-Kunden zu erfüllen, wurde die AWS-Cloud-Infrastruktur als eine der flexibelsten und sichersten Cloud Computing-Umgebungen konzipiert. Kunden können Anwendungen, Daten und Services bereitstellen, die jeweils den Anforderungen der CJIS-Sicherheitsrichtlinie entsprechen.

  • Was muss ich beim Erstellen von CJIS-kompatiblen Anwendungen und Services in AWS berücksichtigen?

    Ähnlich wie unsere Compliance-Frameworks verwendet die CJIS-Sicherheitsrichtlinie ein Modell der gemeinsamen Verantwortung von AWS und unseren Kunden. Weitere Informationen finden Sie auf der Webseite zum Modell der gemeinsamen Verantwortung von AWS.

    Der Einsatz eines Cloud-Service-Anbieters (Cloud Service Provider, CSP), der die CJIS-Sicherheitsanforderungen erfüllt, bedeutet nicht automatisch, dass Ihre Umgebung durch das Sicherheitsniveau des CSP abgesichert ist. Bei der Verwendung von AWS müssen Sie Folgendes selbst durchführen:

    • Die Anforderungen der CJIS-Sicherheitsrichtlinie prüfen, um zu ermitteln, welche unmittelbar auf Ihre Umgebung zutreffen.
    • Lösungen implementieren (nach Bedarf), um diese Anforderungen zu erfüllen.
    • Die Lösung hinsichtlich der zutreffenden Kontrollanforderungen bewerten und prüfen.
    • Ihre CJIS-Dokumentation unter Verwendung der AWS CJIS-Arbeitsmappe an Ihre Kundenbehörde zur Prüfung und formellen CJIS-Autorisierung übergeben

    Außerdem sind auch folgende wichtige Punkte bei der Unterstützung von CJIS-Verarbeitungslasten von Kunden zu berücksichtigen:

    • Die Verantwortung für die Sicherheit ist eine gemeinsame Verantwortung AWS verwaltet die Umgebung oder die Daten des Kunden nicht. Sie sind daher selbst dafür verantwortlich, die jeweiligen Anforderungen aus der CJIS-Sicherheitsrichtlinie in Ihrer AWS-Umgebung umzusetzen. AWS verwaltet lediglich die Umsetzung von Sicherheitsanforderungen innerhalb der AWS-Infrastruktur.
    • Die Verschlüsselung gespeicherter Daten ist äußerst wichtig. AWS bietet verschiedene Ressourcen, mit denen Sie dieses wichtige Ziel erreichen können, darunter auch Solutions Architect-Mitarbeiter, die Sie unterstützen können, und unser Whitepaper Verschlüsselung gespeicherter Daten.
    • AWS geht die relevanten Anforderungen der CJIS-Sicherheitsrichtlinie an die AWS-Infrastruktur direkt an. Da AWS eine vom Kunden selbst bereitgestellte und vollständig verwaltete Plattform ist, unterliegt AWS nicht direkt der CJIS-Sicherheitsrichtlinie. Wir sehen es jedoch als unsere Aufgabe an, führende Programme zur Cloud-Sicherheit und Compliance zu unterstützen, um die Anforderungen unserer Kunden zu erfüllen. AWS hält die geltenden CJIS-Anforderungen, die von unseren von unabhängigen Stellen (wie FedRAMP) bewerteten Frameworks unterstützt werden, ein. Dazu gehören auch Vor-Ort-Audits in den Rechenzentren, die von unserer von FedRAMP zugelassenen unabhängigen Bewertungsorganisation (3PAO) durchgeführt werden.
    • Im Sinne eines gemeinsamen Verantwortungsmodells für die Sicherheit stellt AWS eine Arbeitsmappe zur CJIS-Sicherheitsrichtlinie (innerhalb einer Systemsicherheitsplanvorlage) bereit, die mit den Bereichen der CJIS-Richtlinie übereinstimmt. Diese Arbeitsmappe unterstützt Kunden bei der systematischen Dokumentation ihrer Implementierung von CJIS-Anforderungen und erläutert den AWS-Ansatz für die einzelnen Anforderungen (enthält auch eine Anleitung zum Einreichen des Dokuments zur Prüfung und Autorisierung). Beachten Sie auch die Criminal Justice Information Services (CJIS) – Arbeitsmappe und Tabelle.
    • AWS stellt eine Vielzahl von integrierten Funktionen zur Unterstützung von CJIS-Workloads bereit, wie etwa die folgenden:
  • Wie wird CJIS-Compliance ermittelt?

    Es gibt keine zentrale CJIS-Autorisierungsstelle, keinen zugelassenen Pool unabhängiger Prüfer und auch kein standardisiertes Prüfkonzept, um zu ermitteln, ob eine bestimmte Lösung CJIS-konform ist. Es gibt keine standardisierte CJIS-konforme Lösung, die von allen Strafverfolgungsbehörden verwendet werden kann. Stattdessen interpretiert jede Strafverfolgungsbehörde, die CJIS-Autorisierungen erteilt, Lösungen anhand ihres eigenen Standards dafür, was als CJIS-konform angesehen werden kann. Autorisierungen eines Staates entsprechen nicht den Autorisierungen in anderen Staaten (oder selbst denen innerhalb desselben Staates). Anbieter müssen Lösungen bei den Autorisierungsbefugten der einzelnen Stellen zur Prüfung einreichen. Die Lösungen enthalten möglicherweise doppelte Fingerabdruck- und Hintergrundprüfungen und andere spezifische Anforderungen für den jeweiligen Bundesstaat.

    Jede Autorisierung ist eine Vereinbarung mit der jeweiligen Organisation, und die Autorisierungen müssen lokal bei jeder Strafverfolgungsbehörde wiederholt werden. AWS stellt keine unzutreffenden Behauptungen auf und gibt daher auch nicht an, CJIS-konform zu sein. Auch wenn ein bestimmter Staat oder eine bestimmte Behörde festgestellt hat, dass AWS für seine/ihre Zwecke CJIS-konform ist, ist dies kein Indiz für eine CJIS-Zertifizierung, die für sämtliche Abteilungen der Strafverfolgungsbehörden gilt.

  • Gibt es Kunden, die AWS für CJIS-Daten verwenden?

    Ja. Wir haben beispielsweise eine Reihe von Partnerlösungen, die im Zusammenhang mit Strafverfolgungsinteraktionen digitales Beweismaterial (z. B. Video- oder Audio-Dateien) erfassen, übertragen, verwalten und gemeinsam nutzen. AWS arbeitet auch mit Partnern zusammen, die richterliche Anordnungen auf elektronischem Weg für Strafverfolgungsbehörden in mehreren Staaten, Landkreisen und Städten erstellen, zur Genehmigung weiterleiten und ausgeben. Außerdem unterstützt AWS Strafverfolgungsbehörden bei der Verwaltung von Polizeivideos im Zusammenhang mit Demonstrationen, öffentlichen Versammlungen und allgemeinen Polizeiinteraktionen über öffentliche Portale als Mittel zur Schaffung von Transparenz. AWS trägt somit dazu bei, Vertrauen in die Strafverfolgung aufzubauen und diese transparent zu machen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Compliance-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »