Bei CJI-Daten handelt es sich um die von FBI CJIS bereitgestellten Daten, die erforderlich sind, damit Strafverfolgungsbehörden ihren Auftrag erfüllen und die Rechtsvorschriften durchsetzen können. Dies sind z. B. biometrische, personenbezogene, Familien-, Unternehmens-, Eigentums- und Falldaten. CJI-Daten umfassen außerdem Daten, die von Verwaltungsbehörden für ihre Arbeit benötigt werden, wie etwa Daten für Einstellungsentscheidungen.

CJIS Compliance on AWS

CJIS Workbook for AWS

Die CJIS-Sicherheitsrichtlinie und -Anforderungen ("Richtlinie") spiegeln die gemeinsame Verantwortung von FBI CJIS, CJIS Systems Agency (CSA) und State Identification Bureaus (SIB) für die rechtmäßige Nutzung und den angemessenen Schutz von Criminal Justice Information ("CJI") wider. Die Richtlinie enthält grundlegende Sicherheitsanforderungen an aktuelle und geplante Dienste und legt Mindestanforderungen für neue Initiativen fest. Wir leisten unseren Beitrag als Cloud-Serviceanbieter in Übereinstimmung mit der Richtlinie und geben unseren Kunden über unsere Services die Mittel an die Hand, die CJIS-Anforderungen für die IT-Umgebung in AWS zu erfüllen.

Ja. Um die Anforderungen von CJIS-Kunden zu erfüllen, wurde die AWS-Cloud-Infrastruktur als eine der flexibelsten und sichersten Cloud Computing-Umgebungen konzipiert. Kunden können Anwendungen, Daten und Services bereitstellen, die jeweils den Anforderungen der CJIS-Sicherheitsrichtlinie entsprechen.

Arbeitsmappe zur AWS CJIS-Sicherheitsrichtlinie

Ähnlich wie unsere Compliance-Frameworks verwendet die CJIS-Richtlinie den Ansatz der gemeinsamen Verantwortung von AWS und unseren Kunden. Die Verwendung eines Cloud-Services, der die CJIS-Sicherheitsanforderungen erfüllt, bedeutet nicht automatisch, dass Ihre Umgebung durch das Sicherheitsniveau des CSP abgedeckt ist. Bei der Verwendung von AWS müssen Sie Folgendes selbst durchführen:

• Richtlinienanforderungen prüfen, um zu ermitteln, welche unmittelbar auf Ihre Umgebung zutreffen
• Lösungen implementieren (nach Bedarf), um diese Anforderungen zu erfüllen
• Die Lösung hinsichtlich der zutreffenden Kontrollanforderungen bewerten und prüfen
• Ihre CJIS-Dokumentation unter Verwendung der AWS CJIS-Arbeitsmappe an Ihre Kundenbehörde zur Prüfung und formellen CJIS-Autorisierung übergeben

Außerdem sind auch folgende wichtige Punkte bei der Unterstützung von CJIS-Verarbeitungslasten von Kunden zu berücksichtigen:

• Sicherheit ist eine gemeinsame Verantwortung. Da AWS die Kundenumgebung und Kundendaten nicht selbst verwaltet, bedeutet das, dass Sie zusätzlich zur AWS-Implementierung der Sicherheitsanforderungen in der Infrastruktur auch für die Implementierung der jeweiligen CJIS-Sicherheitsrichtlinienanforderungen in Ihrer AWS-Umgebung verantwortlich sind.
• Die Verschlüsselung von gespeicherten Daten ist unerlässlich. AWS stellt eine Reihe wesentlicher Ressourcen bereit, die Sie bei der Umsetzung dieser wichtigen Lösung unterstützen. Von Solutions Architect-Mitarbeitern, die Sie bei Ihrer Arbeit unterstützen, bis zu unserem Whitepaper "Encrypting Data at Rest" stellt AWS die Ressourcen bereit, die Sie für die Implementierung sicherer Lösungen brauchen.
• AWS geht die relevanten Anforderungen der CJIS-Sicherheitsrichtlinie an die AWS-Infrastruktur direkt an. Da AWS eine selbst bereitgestellte und vom Kunden vollständig verwaltete Plattform ist, unterliegt AWS nicht direkt der CJIS-Sicherheitsrichtlinie. Wir sehen es jedoch als unsere Aufgabe an, führende Programme zur Cloud-Sicherheit und Compliance zu unterstützen, um die Anforderungen unserer Kunden zu erfüllen. AWS weist Compliance mit geltenden CJIS-Anforderungen, die von unseren von unabhängigen Stellen bewerteten Frameworks (wie FedRAMP) unterstützt werden, durch die Einbeziehung von Rechenzentren-Audits vor Ort durch unsere von FedRAMP zugelassene 3PAO nach.
• Im Sinne eines gemeinsamen Verantwortungsmodells für Sicherheit stellt AWS eine Arbeitsmappe zur CJIS-Sicherheitsrichtlinie (innerhalb einer Systemsicherheitsplanvorlage) bereit, die mit den Bereichen der CJIS-Richtlinie übereinstimmt. Diese Arbeitsmappe unterstützt Kunden bei der systematischen Dokumentation ihrer Implementierung von CJIS-Anforderungen und erläutert den AWS-Ansatz für die einzelnen Anforderungen (enthält auch eine Anleitung zum Einreichen des Dokuments zur Prüfung und Autorisierung). Diese Arbeitsmappe ist für Kunden verfügbar.
  
• AWS stellt eine Vielzahl von integrierten Funktionen zur Unterstützung von CJIS-Verarbeitungslasten bereit, wie etwa die folgenden:
  o Sicherer Zugriff mittels AWS Identity and Access Management (IAM) mit Multi-Factor Authentication
  o Verschlüsselte Datenspeicherung – entweder mit von AWS bereitgestellten Optionen oder mit vom Kunden verwalteten Optionen
  o Protokollierung und Überwachung mit S3-Protokollierung, AWS CloudTrail, Amazon CloudWatch und AWS Trusted Advisor
  o Zentralisierte, vom Kunden kontrollierte Schlüsselverwaltung mit AWS CloudHSM und AWS Key Management Service (KMS)
  

Anders als bei vielen anderen von AWS unterstützten Compliance-Frameworks gibt es keine zentrale CJIS-Autorisierungsstelle, keinen zugelassenen Pool unabhängiger Prüfer und auch kein standardisiertes Prüfkonzept, um zu ermitteln, ob eine bestimmte Lösung "CJIS-konform" ist. Kurz gesagt, es gibt keine standardisierte "CJIS-konforme" Lösung, die für alle Strafverfolgungsbehörden eingesetzt werden kann.

Stattdessen interpretiert jede Strafverfolgungsbehörde, die CJIS-Autorisierungen erteilt, bei der Entscheidung, was als konform mit den CJIS-Anforderungen angesehen werden kann, Lösungen gemäß ihrem eigenen Risikoakzeptanz-Standard. Autorisierungen eines Staates entsprechen nicht den Autorisierungen in anderen Staaten (oder selbst den innerhalb desselben Staates). Anbieter müssen Lösungen bei den Autorisierungsbefugten der einzelnen Stellen zur Prüfung einreichen. Die Lösungen enthalten möglicherweise doppelte Fingerabdruck- und Hintergrundprüfungen und andere spezifische Anforderungen für den jeweiligen Bundesstaat.

Jede Autorisierung ist eine Vereinbarung mit der jeweiligen Organisation, und die Autorisierungen müssen lokal bei jeder Strafverfolgungsbehörde wiederholt werden. AWS stellt keine unzutreffenden Behauptungen auf und gibt daher auch nicht an, "CJIS-konform" zu sein. Auch wenn ein bestimmter Staat festgestellt hat, dass AWS für seine Zwecke CJIS-konform ist, ist dies kein Indiz für eine CJIS-Zertifizierung, die für sämtliche Abteilungen der Strafverfolgungsbehörden gilt.

Selbstverständlich. Wir haben eine Reihe von Partnerlösungen, die im Zusammenhang mit Strafverfolgungsinteraktionen digitales Beweismaterial (z. B. Video- oder Audio-Dateien) erfassen, übertragen, verwalten und gemeinsam nutzen. AWS arbeitet auch mit Partnern zusammen, die richterliche Anordnungen auf elektronischem Weg für Strafverfolgungsbehörden in mehreren Staaten, Landkreisen und Städten erstellen, zur Genehmigung weiterleiten und ausgeben. Außerdem unterstützt AWS Strafverfolgungsbehörden bei der Verwaltung von Polizeivideos im Zusammenhang mit Demonstrationen, öffentlichen Versammlungen und allgemeinen Polizeiinteraktionen über öffentliche Portale als Mittel zur Schaffung von Transparenz. AWS trägt somit dazu bei, Vertrauen in die Strafverfolgung aufzubauen und diese transparent zu machen.