Gostaria de informações sobre o CJIS na Nuvem

 

 

CJIS na AWS

A AWS está em conformidade com a norma de Criminal Justice Information Services (CJIS – Serviços de Informação da Justiça Criminal) do FBI. Nós assinamos contratos de segurança do CJIS com nossos clientes, incluindo permitir ou executar quaisquer verificações de antecedentes de funcionários necessárias, de acordo com a política de segurança do CJIS.

A AWS criou o manual dos Serviços de Informação da Justiça Criminal (CJIS) em um formato de modelo de plano de segurança alinhado às áreas das políticas do CJIS. 

Os clientes da área de aplicação da lei (e os parceiros que gerenciam a CJI) estão aproveitando os serviços da AWS para melhorar drasticamente a segurança e proteção de dados da CJI, usando os serviços e recursos avançados da AWS, como registro de atividades (AWS CloudTrail), criptografia de dados ociosos e em trânsito (criptografia no servidor do S3 com a opção de trazer sua própria chave), gerenciamento e proteção abrangentes de chaves (AWS Key Management Service e CloudHSM) e o gerenciamento integrado de permissões (gerenciamento de identidade federado do IAM, autenticação multifator).


A CJI refere-se aos dados fornecidos pelo CJIS do FBI para agências de aplicação da lei para executar sua missão e fazer valer a lei, como dados biométricos, histórico de identidade, e dados do histórico de caso/incidente, pessoa, organização e propriedade. A CJI também refere-se aos dados necessários para agências civis em sua missão, incluindo dados usados para tomada de decisões de contratação.

Conformidade com o CJIS na AWS

Manual do CJIS na AWS

A política de segurança e requisitos do CJIS (“Política”) reflete a responsabilidade compartilhada entre o CJIS do FBI, a CJIS Systems Agency (CSA – Agência de sistemas do CJIS) e os State Identification Bureaus (SIB – Escritórios de identificação estaduais) pelo uso legal e proteção adequada de Criminal Justice Information (“CJI” – Informações da justiça criminal). A Política oferece uma linha base de requisitos de segurança para serviços atuais e planejados, estabelecendo conjuntos de normas mínimas para novas iniciativas. Consistente com a Política, fazemos nossa parte como um provedor de serviços de nuvem e oferecemos aos nossos clientes os meios, através de nossos serviços, para atender aos requisitos do CJIS para o ambiente de TI na AWS.

Sim. Para atender às necessidades de clientes do CJIS, a infraestrutura de Nuvem AWS foi planejada para ser um dos ambientes de computação em nuvem mais flexíveis e seguros disponíveis. Os clientes podem implantar aplicativos, dados e serviços, todos eles em conformidade com os requisitos da política de segurança do CJIS.

Manual da política de segurança do CJIS da AWS

Similar a outras estruturas de conformidade, a política do CJIS usa uma responsabilidade compartilhada entre a AWS e nossos clientes. Usar um serviço de nuvem alinhado aos requisitos de segurança do CJIS não significa que seu ambiente esteja coberto pela postura de segurança de CSP. Ao usar a AWS, você também precisa:

  • Analisar os requisitos da Política para determinar quais são diretamente aplicáveis ao seu ambiente
  • Implementar soluções (conforme a necessidade) para tratar desses requisitos
  • Avaliar e fazer a auditoria da solução em relação aos requisitos de controle aplicáveis
  • Enviar sua documentação do CJIS usando o manual de CJIS da AWS para a agência do seu cliente para análise e autorização formal do CJIS.

Finalmente, há alguns pontos importantes no suporte às cargas de trabalho de CJIS do cliente:

  • A segurança é uma responsabilidade compartilhada, pois a AWS não gerencia o ambiente ou os dados do cliente, isso significa que você é responsável por implementar os requisitos da política de segurança do CJIS no seu ambiente da AWS, além da implementação de requisitos de segurança da AWS dentro da infraestrutura.
  • A criptografia de dados ociosos é crítica. A AWS oferece vários recursos fundamentais para ajudá-lo a obter essa importante solução. Desde a equipe de arquitetura de soluções disponível para ajudá-lo até o nosso whitepaper Criptografia de dados ociosos, a AWS busca fornecer os recursos de que você precisa para implementar soluções seguras.
  • A AWS trata diretamente dos requisitos de política de segurança do CJIS relevantes aplicáveis à infraestrutura da AWS. Como a AWS fornece uma plataforma autoprovisionada totalmente gerenciada pelos clientes, a AWS não está diretamente sujeita à política de segurança do CJIS. No entanto, estamos absolutamente comprometidos em manter programas de segurança em nuvem e conformidade de nível global para atender às necessidades dos clientes. A AWS demonstra conformidade com requisitos do CJIS aplicáveis, conforme suportado por nossas estruturas avaliadas por terceiros (como FedRAMP) em cooperação com auditorias de datacenter no local por nosso 3PAO credenciado pela FedRAMP.
  • No espírito de uma responsabilidade compartilhada, a AWS fornece um Manual da política de segurança do CJIS (em um modelo de plano de segurança do sistema), alinhado com as áreas das políticas do CJIS. O objetivo deste manual é dar suporte aos clientes na documentação sistemática da sua implementação de requisitos do CJIS, junto com a abordagem da AWS para cada requisito (juntamente com a orientação sobre o envio do documento para análise e autorização). Este manual está disponível para os clientes.
  • A AWS fornece vários recursos de segurança integrados, em suporte às cargas de trabalho do CJIS, como:
    o Acesso seguro usando o AWS Identity and Access Management (IAM) com autenticação multifator
    o Armazenamento de dados criptografados, com opções fornecidas pela AWS ou opções mantidas pelo cliente
    o Registro e monitoramento com registro de S3, AWS CloudTrail, Amazon CloudWatch e AWS Trusted Advisor
    o Gerenciamento de chave centralizado, controlado pelo cliente, como AWS CloudHSM e AWS Key Management Service (KMS)

Diferentemente de muitas estruturas de conformidade suportadas pela AWS, não há um órgão de autorização central do CJIS, nem um grupo credenciado de avaliadores independentes e nem uma abordagem de avaliação para determinar se uma solução específica é considerada “em conformidade com o CJIS”. Basicamente, não existe uma solução padronizada “em conformidade com o CJIS” que funciona em todas as agências de aplicação da lei.

Em vez disso, cada organização de aplicação da lei, concedendo autorizações do CJIS interpreta as soluções de acordo com seu próprio padrão de aceitação de risco do que pode ser interpretado como conformidade nos requisitos do CJIS. As autorizações de um estado não encontram reciprocidade em outro estado (ou mesmo necessariamente dentro do mesmo estado); os fornecedores devem enviar soluções para análise com cada agente de autorização, possivelmente para incluir digitais duplicadas e verificações de antecedentes e outros requisitos específicos do estado/jurisdição.

Cada autorização é um acordo com essa organização específica; algo que deve ser repetido localmente em cada agência de aplicação da lei. A AWS não alegará ser alguma coisa que não é; por esse motivo, não faremos declarações abrangentes quanto a estarmos “em conformidade com o CJIS”. Embora um estado ou agência particular possa ter determinado que a AWS esteja em conformidade com o CJIS para seus propósitos, não há uma certificação do CJIS que se aplique a todos os departamentos de aplicação da lei.

Claro. Temos várias soluções de parceiros que coletam, transferem, gerenciam e compartilham provas digitais (por exemplo, arquivos de áudio e vídeo) relacionados às interações de aplicação da lei. A AWS também está trabalhando com parceiros que estão entregando serviços de mandados eletrônicos que criam, encaminham para aprovação e emitem mandados de campo eletronicamente para várias agências de aplicação da lei estaduais, municipais e locais. Adicionalmente, a AWS está oferecendo suporte a agências de aplicação da lei para gerenciar vídeos da polícia relacionados a demonstrações, reuniões públicas e interações gerais da polícia, como uma maneira de criar transparência por meio de portais públicos, ajudando a criar confiança e transparência na aplicação da lei.

 

Entre em contato conosco