Desidero informazioni su CJIS nel cloud

 

 

CJIS su AWS

AWS è conforme allo standard CJIS (Criminal Justice Information Services, servizi informativi per le autorità di giustizia penale) dell'FBI. AWS stipula con i clienti governativi accordi di sicurezza basati sul CJIS, che prevedono anche l'esecuzione (o l'agevolazione) di controlli sul background dei dipendenti, in conformità con la CJIS Security Policy.

AWS ha redatto una guida pratica sul CJIS che fornisce un modello di piano di sicurezza che copre le aree della CJIS Security Policy. 

I clienti delle autorità di polizia e giudiziarie (e i partner che gestiscono i loro servizi informativi) sfruttano i servizi di AWS per migliorare significativamente la sicurezza e la protezione dei dati; a tal fine possono infatti avvalersi dei sofisticati servizi di sicurezza e delle avanzate funzioni di AWS, come la registrazione delle attività (AWS CloudTrail), la crittografia dei dati in transito e a riposo (Server-Side Encryption S3 con l'opzione di utilizzare chiavi proprie), la protezione e la gestione completa delle chiavi (AWS Key Management Service e CloudHSM) e la gestione integrata delle autorizzazioni (gestione delle identità federate IAM, autenticazione multifattoriale).


Con l'acronimo CJI (Criminal Justice Information) si fa riferimento ai dati forniti dai servizi informativi dell'FBI necessari alle autorità di polizia e giudiziarie per assicurare il rispetto della legge. Tra questi vi sono dati biometrici, cronologia dell'identità, informazioni su persone, organizzazioni, proprietà e dati storici giudiziari. Includono inoltre i dati necessari alle autorità civile per svolgere i loro compiti come, ad esempio, le informazioni utilizzate per le assunzioni.

CJIS Compliance on AWS

CJIS Workbook for AWS

La CJIS Security Policy and Requirements (la "Policy") riflette la responsabilità condivisa tra i CJIS dell'FBI, la CSA (CJIS Systems Agency) e i SIB (State Identification Bureaus) dell'uso legale e della protezione appropriata del Criminal Justice Information ("CJI"). La policy fornisce una linea guida dei requisiti di sicurezza per servizi pianificati e correnti e stabilisce uno standard minimo per le nuove iniziative. In linea con la policy, svolgiamo il nostro ruolo come fornitore di servizi cloud e, attraverso i nostri servizi, forniamo ai nostri clienti i mezzi per soddisfare i requisiti CJIS relativi all'ambiente IT in AWS.

Sì. Per soddisfare le esigenze dei clienti CJIS, l'infrastruttura cloud AWS è stata progettata per essere uno degli ambienti di cloud computing più flessibili e sicuri a disposizione. I clienti possono distribuire applicazioni, dati e servizi che soddisfino i requisiti della CJIS Security Policy.

Guida pratica della CJIS Security Policy di AWS

Analogamente agli altri framework di conformità, la CJIS Security Policy utilizza una responsabilità condivisa tra AWS e i suoi clienti. L'uso di un servizio cloud in linea con i requisiti di sicurezza CJIS non significa di per sé che il tuo ambiente è coperto dalla protezione del fornitore dei servizi. Quando utilizzi di AWS devi in ogni caso:

  • Controllare i requisiti della policy allo scopo di determinare quali sono direttamente applicabili al tuo ambiente
  • Implementare le soluzioni (ove necessario) per soddisfare ciascuno dei requisiti
  • Valutare e revisionare la soluzione rispetto ai requisiti di controllo applicabili
  • Inviare la tua documentazione CJIS usando la guida pratica CJIS di AWS per la tua agenzia cliente, per la revisione e l'autorizzazione formale CJIS.

Infine, vi sono alcuni punti chiave nel sostegno dei carichi di lavoro CJIS dei clienti:

  • La sicurezza è una responsabilità condivisa – dal momento che AWS non gestisce l'ambiente o i dati del cliente, sei responsabile dell'implementazione dei requisiti della CJIS Security Policy applicabili nel tuo ambiente AWS, oltre che dell'implementazione dei requisiti di sicurezza all'interno dell'infrastruttura.
  • Il criptaggio dei dati a riposo è fondamentale – AWS fornisce diverse risorse "chiave" per aiutarti trovare questa importante soluzione. Dal personale Solutions Architect disponibile al nostro whitepaper Encrypting Data at Rest, AWS si impegna a fornire le risorse di cui hai bisogno per implementare soluzioni sicure.
  • AWS soddisfa i requisiti attinenti alla CJIS Security Policy applicabili all'infrastruttura di AWS. Dal momento che AWS fornisce una piattaforma autoprovvista completamente gestibile dal cliente, essa è indirettamente soggetta alla CJIS Security Policy. Tuttavia, ci impegniamo a mantenere una sicurezza dei cloud e dei programmi di conformità di primo livello a supporto delle esigenze dei nostri clienti. AWS mostra la conformità con i requisiti applicabili CJIS sostenuti dai framework valutati da terza parte (quale FedRAMP) aggiungendo revisioni data center in loco da parte del nostro 3PAO accreditato FedRAMP.
  • Nello spirito di una filosofia di responsabilità condivisa, AWS fornisce una guida pratica della CJIS Security Policy (in un modello di piano di sicurezza del sistema) che copre le aree della CJIS Security Policy. Tale guida pratica è pensata come supporto ai clienti nella documentazione sistematica dell'implementazione dei requisiti CJIS insieme all'approccio AWS a ciascun requisito (insieme alle linee guida sull'invio di documenti per la revisione e l'autorizzazione). Tale guida pratica è disponibile per i clienti.
  • AWS fornisce funzioni di sicurezza multiple a supporto dei carichi di lavoro CJIS quali:
    o Accesso sicuro utilizzando AWS Identity and Access Management (IAM) con autenticazione multifattoriale
    o Storage di dati crittografato con le opzioni fornite da AWS o con le opzioni gestite dai clienti
    o Logging e monitoraggio con S3 logging, AWS CloudTrail, Amazon CloudWatch, e AWS Trusted Advisor
    o Centralizzato, gestione chiave controllata dal cliente con AWS CloudHSM e AWS Key Management Service (KMS)

Diversamente da molti dei supporti framework di conformità di AWS, non sono presenti organi di autorizzazione CJIS centrali, gruppi accreditati di valutatori indipendenti né un approccio di valutazione standardizzato per determinare se una particolare soluzione può essere considerata "conforme a CJIS". In poche parole, non esiste una soluzione "conforme a CJIS" standardizzata che funzioni per tutte le autorità di polizia e giudiziarie.

Al contrario, ciascuna autorità di polizia e giudiziaria che concede autorizzazioni CJIS interpreta le soluzioni secondo il proprio standard di accettazione dei rischi di ciò che può essere interpretato come conforme ai requisiti CJIS. Le autorizzazioni da parte di uno stato non trovano reciprocità all'interno di un altro stato (e a volte nemmeno all'interno dello stato stesso); i provider devono fornire soluzioni per la revisione a ciascun funzionario autorizzato, al fine di includere il duplicato delle impronte digitali e i controlli di background e tutti gli altri requisiti specifici dello stato o della giurisdizione.

Ciascuna autorizzazione rappresenta un accordo con quella organizzazione in particolare e una procedura che deve essere ripetuta a livello locale per ciascuna autorità di polizia e giudiziaria. AWS non dichiarerà di essere ciò che non è: per questo motivo non rilascerà lunghe dichiarazioni sulla propria "conformità CJIS". Sebbene un dato stato o autorità possa aver determinato la conformità di AWS con CJIS, non vi è alcuna certificazione CJIS valida per tutte le autorità di polizia e giudiziarie.

Certamente. Abbiamo diverse soluzioni per i partner, che raccolgono, trasferiscono, gestiscono e condividono analisi digitale (ad es. file audio e video) relativi a interazioni di autorità di polizia e giudiziarie. AWS, inoltre, collabora con partner che forniscono servizi di ingiunzione elettronici che creano, instradano per l'approvazione ed emettono ingiunzioni elettronicamente ad autorità di polizia e giudiziarie in diversi stati, contee e città. Inoltre, AWS fornisce supporto alle autorità di polizia e giudiziarie nella gestione dei video della polizia relativi a manifestazioni, riunioni pubbliche e interazioni di polizia in generale al fine di creare trasparenza attraverso i portali pubblici, aiutando a rafforzare la fiducia e creare trasparenza nelle autorità di polizia e giudiziarie.

 

Contattaci