Gostaria de informações sobre a CJIS na Nuvem

 

 

CJIS na AWS

A AWS está em conformidade com a norma de Serviços de Informações da Justiça Criminal (CJIS) do FBI. Nós assinamos contratos de segurança de CJIS com nossos clientes, incluindo permitir ou executar quaisquer verificações de antecedentes de funcionários necessárias, de acordo com a Política de segurança de CJIS.

A AWS criou o manual de CJIS em um formato de modelo de plano de segurança alinhado às áreas da política de CJIS. 

Os clientes da área de aplicação da lei (e parceiros que gerenciam CJI) estão aproveitando os serviços da AWS para melhorar drasticamente a segurança e proteção de dados de CJI, usando os serviços e recursos avançados da AWS, como registro de atividades (AWS CloudTrail), criptografia de dados em movimento e em repouso (criptografia no servidor do S3 com a opção de trazer sua própria chave), gerenciamento e proteção abrangentes de chaves (AWS Key Management Service e CloudHSM) e o gerenciamento integrado de permissões (gerenciamento de identidade federada do IAM, autenticação de múltiplos fatores).


O CJI refere-se aos dados do FBI fornecidos pelo CJIS para agências de aplicação da lei para executar sua missão e fazer valer a lei, como dados biométricos, histórico de identidade, e dados do histórico de caso/incidente, pessoa, organização e propriedade. O CJI também se refere aos dados necessários para agências civis em sua missão, incluindo dados usados para tomada de decisões de contratação.

CJIS Compliance on AWS

CJIS Workbook for AWS

A política de segurança e requisitos da CJIS ("Política") reflete a responsabilidade compartilhada entre a CJIS do FBI, a Agência de Sistemas da CJIS (CSA) e os Escritórios de Identificação Estaduais (SIB) pelo uso legal e proteção adequada de Informações da Justiça Criminal ("CJI"). A Política oferece uma linha base de requisitos de segurança para serviços atuais e planejados, estabelecendo conjuntos de normas mínimas para novas iniciativas. Consistente com a Política, fazemos nossa parte como um provedor de serviços de nuvem e oferecemos aos nossos clientes os meios, através de nossos serviços, para atender aos requisitos de CJIS para o ambiente de TI na AWS.

Sim. Para atender às necessidades de clientes de CJIS, a infraestrutura de Nuvem AWS foi planejada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros disponíveis. Os clientes podem implantar aplicativos, dados e serviços, todos eles em conformidade com os requisitos da política de segurança de CJIS.

Manual da política de segurança de CJIS da AWS

Similar a outras estruturas de conformidade, a política de CJIS usa uma responsabilidade compartilhada entre a AWS e nossos clientes. Usar um serviço de nuvem alinhado aos requisitos de segurança de CJIS não significa que seu ambiente esteja coberto pela postura de segurança de CSP. Ao usar a AWS, você também precisa:

  • Analisar os requisitos da Política para determinar quais são diretamente aplicáveis ao seu ambiente
  • Implementar soluções (conforme a necessidade) para tratar desses requisitos
  • Avaliar e fazer a auditoria da solução em relação aos requisitos de controle aplicáveis
  • Enviar sua documentação de CJIS usando o manual de CJIS da AWS para a agência do seu cliente para análise e autorização formal de CJIS.

Finalmente, há alguns pontos chave no suporte às cargas de trabalho de CJIS do cliente:

  • A segurança é uma responsabilidade compartilhada, pois a AWS não gerencia o ambiente ou os dados do cliente, isso significa que você é responsável por implementar os requisitos da política de segurança de CJIS no seu ambiente da AWS, além da implementação de requisitos de segurança da AWS dentro da infraestrutura.
  • A criptografia de dados em repouso é crítica. A AWS oferece vários recursos fundamentais para ajudá-lo a obter essa importante solução. Desde a equipe de arquitetura de soluções disponível para ajudá-lo até o nosso whitepaper Encrypting Data at Rest, a AWS busca fornecer os recursos de que você precisa para implementar soluções seguras.
  • A AWS trata diretamente dos requisitos de política de segurança de CJIS relevantes aplicáveis à infraestrutura da AWS. Como a AWS fornece uma plataforma autoprovisionada totalmente gerenciada pelos clientes, a AWS não está diretamente sujeita à política de segurança de CJIS. No entanto, estamos absolutamente comprometidos em manter excelentes programas de segurança em nuvem e programas de conformidade para atender às necessidades do cliente. A AWS demonstra conformidade com requisitos de CJIS aplicáveis, conforme suportado por nossas estruturas avaliadas por terceiros (como FedRAMP) em cooperação com auditorias de datacenter no local por nosso 3PAO credenciado pela FedRAMP.
  • No sentido da filosofia de responsabilidade compartilhada, a AWS fornece um manual de política de segurança de CJIS (em um modelo de plano de segurança do sistema), alinhado com as áreas da política de CJIS. O objetivo deste manual é dar suporte aos clientes na documentação sistemática da sua implementação de requisitos de CJIs, junto com a abordagem da AWS para cada requisito (juntamente com a orientação sobre o envio do documento para análise e autorização). Este manual está disponível para os clientes.
  • A AWS fornece vários recursos de segurança integrados, em suporte às cargas de trabalho de CJIS, como:
    o Acesso seguro usando o AWS Identity and Access Management (IAM) com autenticação de múltiplos fatores
    o Armazenamento de dados criptografados, com opções fornecidas pela AWS ou opções mantidas pelo cliente
    o Registro e monitoramento com registro de S3, AWS CloudTrail, Amazon CloudWatch e AWS Trusted Advisor
    o Gerenciamento de chave centralizado, controlado pelo cliente, como AWS CloudHSM e AWS Key Management Service (KMS)

Diferentemente de muitas estruturas de conformidade suportadas pela AWS, não há um órgão de autorização central de CJIS, nem um grupo credenciado de avaliadores independentes e nem uma abordagem de avaliação para determinar se uma solução específica é considerada "em conformidade com CJIS". Basicamente, não existe uma solução padronizada "em conformidade com CJIS" que funciona em todas as agências de aplicação da lei.

Em vez disso, cada organização de aplicação da lei, concedendo autorizações de CJIS interpreta as soluções de acordo com seu próprio padrão de aceitação de risco do que pode ser interpretado como conformidade nos requisitos de CJIS. As autorizações de um estado não encontram reciprocidade em outro estado (ou mesmo necessariamente dentro do mesmo estado); os fornecedores devem enviar soluções para análise com cada agente de autorização, possivelmente para incluir digitais duplicadas e verificações de antecedentes e outros requisitos específicos do estado/jurisdição.

Cada autorização é um acordo com essa organização específica; algo que deve ser repetido localmente em cada agência de aplicação da lei. A AWS não alegará ser alguma coisa que não é; por esse motivo, não faremos declarações amplas quanto a estarmos "em conformidade com CJIS". Embora um estado ou agência particular possa ter determinado que a AWS esteja em conformidade com CJIS para seus propósitos, não há uma certificação de CJIS que se aplique a todos os departamentos de aplicação da lei.

Claro. Temos várias soluções de parceiros que coletam, transferem, gerenciam e compartilham provas digitais (por exemplo, arquivos de áudio e vídeo) relacionados às interações de aplicação da lei. A AWS também está trabalhando com parceiros que estão entregando serviços de mandados eletrônicos que criam, encaminham para aprovação e emitem madados de campo eletronicamente para várias agências de aplicação da lei estaduais, municipais e locais. Adicionalmente, a AWS está oferecendo suporte a agências de aplicação da lei para gerenciar vídeos da polícia relacionados a demonstrações, reuniões públicas e interações gerais da polícia, como uma maneira de criar transparência por meio de portais públicos, ajudando a criar confiança e transparência na aplicação da lei.

 

Entre em contato conosco