Criminal Justice Information Services (CJIS)

Présentation

CJIS_Logo

Les services AWS prennent en charge les exigences de la CJIS relatives aux clients en s'attaquant aux domaines de la politique de sécurité CJIS. L'infrastructure et les services AWS ont été contrôlés par des autorités répressives nationales et fédérales, qui ont confirmé les compétences d'AWS lorsqu'il s'agit de prendre en charge les charges de travail des clients relatives à la CJIS.

Beaucoup de clients qui traitent des données sensibles, notamment les autorités répressives, les institutions financières et les établissements de santé, se sentent rassurés de pouvoir déployer des charges de travail sur AWS GovCloud (US), car cette région est expressément conçue pour répondre aux besoins de conformité uniques associés aux charges de travail sensibles. Au-delà des programmes d'assurance disponibles dans toutes les régions commerciales, AWS GovCloud (États-Unis) permet à ses clients de se conformer aux normes ITAR et FedRamp/FISMA High, ainsi qu'aux niveaux d'impact 2, 4 et 5 du SRG pour les systèmes du Département de la Défense des États-Unis, et ce, au niveau national, local et fédéral.

Les clients du domaine de l'application des lois (et les partenaires qui gèrent les informations liées à la justice pénale) peuvent profiter des services AWS afin d'améliorer considérablement la sécurité et la protection de leurs données relatives à la CJIS en utilisant les services et fonctions de sécurité avancée d'AWS, tels que :

  • Journal d'activité (AWS CloudTrail).
  • Le chiffrement des données en mouvement et au repos (chiffrement côté serveur sur Amazon S3, avec la possibilité d'utiliser votre propre clé)
  • La gestion et la protection intégrales des clés (AWS Key Management Service et CloudHSM).
  • La gestion intégrée des autorisations (gestion des identités fédérées IAM, authentification multi-facteurs).
  • Que sont les informations de justice pénale (CJI) ?

    Les informations de justice pénale (CJI) font référence aux données nécessaires à l'accomplissement de la mission des organismes chargés de l'application de la loi. Ces informations comprennent les données biométriques, l'historique des identités, les données concernant les personnes, les données relatives aux organisations, les informations sur les biens et l'historique des cas/incidents. Ces informations se rapportent également aux données nécessaires à l'accomplissement de la mission des agences civiles. C'est le cas, par exemple, des données utilisées lors de la prise de décisions de recrutement.

  • Qu'est-ce que la politique de sécurité CJIS ?

    La politique de sécurité CJIS (la « politique ») reflète la responsabilité partagée entre la division CJIS du FBI, la CJIS Systems Agency (CSA) et les State Identification Bureau (SIB) de l'utilisation légale et de la protection appropriée des informations de justice pénale (CJI). La politique définit des exigences de sécurité de base pour les services actuels et planifiés et établit une norme minimale pour les nouvelles initiatives. En accord avec la politique, nous jouons notre rôle de fournisseur de services de cloud et donnons à nos clients les moyens, grâce à nos services, de respecter les exigences CJIS pour l'environnement informatique dans AWS.

  • Est-il possible d'utiliser AWS pour les données CJIS ?

    Oui. Pour répondre aux besoins des clients du CJIS, l'architecture de l'infrastructure du cloud AWS a été conçue pour offrir l'un des environnements de cloud computing les plus flexibles et sécurisés. Les clients peuvent déployer des applications, des données et des services, lesquels répondent tous de manière sûre aux exigences de la politique de sécurité CJIS. 

  • Que dois-je prendre en compte lors de la création d'applications et de services conformes à la politique CJIS sur AWS ?

    A l'instar de nos autres cadres de conformité, la politique de sécurité CJIS utilise un modèle de responsabilité partagée entre AWS et nos clients. Pour plus d'informations, consultez la page Web du Modèle de responsabilité partagée d'AWS.

    L'utilisation d'un fournisseur de services cloud (CSP) conforme aux exigences de sécurité CJIS ne signifie pas nécessairement que votre environnement est couvert par le statut de sécurité du CSP. Lorsque vous utilisez AWS, vous devez tout de même :

    • examiner les exigences de la politique de sécurité CJIS pour déterminer celles qui s'appliquent directement à votre environnement ;
    • mettre en œuvre des solutions (si nécessaire) pour répondre à chacune de ces exigences ;
    • évaluer et contrôler la solution par rapport aux exigences de contrôle applicables.
    • soumettre votre documentation CJIS au client en vous reportant au manuel CJIS d'AWS à des fins d'examen et dans le but d'obtenir l'autorisation officielle du CJIS.

    Enfin, voici quelques points clés à retenir lors du soutien de charges de travail CJIS de client :

    • La sécurité est une responsabilité partagée. AWS ne gère pas l'environnement ou les données du client, ce qui signifie que vous êtes responsable de l'implémentation des exigences de la politique de sécurité CJIS applicable à votre environnement AWS. AWS ne gère que l'implémentation des exigences de sécurité au sein de l'infrastructure AWS.
    • Le chiffrement des données au repos est essentiel. AWS fournit différentes ressources pour vous permettre d'obtenir cette solution importante, y compris en mettant à disposition des architectes de solution pour vous aider et notre livre blanc Chiffrement des données au repos.
    • AWS répond directement aux exigences de la politique de sécurité CJIS qui s'appliquent à l'infrastructure AWS. AWS fournit une plate-forme à dimensionnement automatique, entièrement gérée par les clients, ainsi la solution n'est pas directement soumise à la politique de sécurité CJIS. Cependant, nous sommes fermement résolus à maintenir des programmes de haut niveau en matière de sécurité et de conformité dans le cloud pour répondre aux besoins de nos clients. AWS démontre sa conformité aux exigences CJIS applicables, avec le soutien de nos cadres évalués par des tiers comme FedRAMP qui inclut des audits de centre de données sur site réalisés par notre organisme d'évaluation tiers (3PAO) accrédité par FedRAMP.
    • Dans l'esprit d'un modèle de responsabilité partagée, AWS fournit le manuel « CJIS Security Policy » (dans un modèle de programme de sécurité du système) conforme aux domaines de politique CJIS. Ce manuel aide les clients à documenter systématiquement leur mise en œuvre des exigences CJIS, ainsi que l'approche d'AWS concernant chaque exigence (et des recommandations sur la soumission du document à des fins d'examen et d'autorisation). Consultez le manuel Criminal Justice Information Services (CJIS) et le fichier Excel.
    • AWS fournit plusieurs fonctionnalités de sécurité intégrée pour soutenir les charges de travail CJIS, notamment :
  • Comment la conformité aux exigences CJIS est-elle déterminée ?

    Il n'existe aucun organisme d'autorisation CJIS central, aucun groupe d'experts indépendants accrédités, ni aucune approche d'évaluation normalisée pour déterminer si une solution particulière est considérée comme « conforme aux exigences CJIS ». Il n'existe pas non plus de solution conforme CJIS normalisée qui fonctionne pour toutes les agences d'application de la loi. Au lieu de cela, chaque organisme chargé de l'application de la loi accordant des autorisations CJIS interprète les solutions en fonction de sa propre norme de ce qu'elle détermine comme étant conforme aux exigences CJIS. Les autorisations délivrées par un état ne sont pas réciproques dans un autre état (voire pas nécessairement dans le même état) ; les fournisseurs doivent soumettre des solutions pour examen au représentant autorisé de chaque organisme, éventuellement pour inclure une empreinte digitale en double, des vérifications d'antécédents et d'autres exigences spécifiques à un état ou une juridiction.

    Chaque autorisation est un contrat conclu avec cette organisation particulière ; une démarche qui doit être répétée localement auprès de chaque organisme chargé de l'application de la loi. Chez AWS, nous ne prétendons pas être ce que nous ne sommes pas. C'est pourquoi nous ne ferons aucune déclaration générale au sujet de notre conformité aux exigences CJIS. Bien qu'un état ou un organisme ait pu déterminer qu'AWS est conforme aux exigences CJIS pour ses propres besoins, aucune certification CJIS ne s'applique à tous les services chargés de l'application de la loi.

  • Des clients utilisent-ils AWS pour les données CJIS ?

    Oui. Par exemple, plusieurs de nos solutions partenaires recueillent, transfèrent, gèrent et partagent des preuves numériques (par exemple, des fichiers vidéo et audio) liées à des interactions avec les organismes chargés de l'application de la loi. AWS collabore également avec des partenaires proposant des services de mandat électronique qui créent, transmettent pour approbation et délivrent des mandats par voie électronique pour plusieurs organismes dépendant d'un état, d'un comté ou d'une localité. De plus, AWS aide les organismes chargés de l'application de la loi à gérer les vidéos de police liées à des manifestations, des assemblées publiques et des interactions générales avec les forces de l'ordre afin d'assurer la transparence via des portails publics, contribuant ainsi à l'établissement d'un climat de confiance et de transparence dans l'application de la loi.

compliance-contactus-icon
Vous avez des questions ? Contacter un représentant commercial d'AWS
Explorer les rôles de conformité ?
Postulez dès aujourd'hui »
Vous voulez des mises à jour AWS Compliance ?
Suivez-nous sur Twitter »