Использование AWS в информационных решениях в области уголовной юстиции

Политика безопасности CJIS очерчивает «надлежащие средства управления для защиты всего жизненного цикла информации в области уголовной юстиции (CJI) при хранении или передаче», независимо от лежащей в основе модели информационной технологии. С помощью решений на базе AWS агентства могут обеспечить защиту своих приложений и данных облаке AWS и управление ими.

AWS предоставляет компоненты, которые могут быть использованы государственными агентствами безопасности и их партнерами по приложениям для создания высокодоступных, надежных и безопасных приложений в соответствии с Политикой безопасности CJIS. Клиенты AWS сохраняют за собой полное право собственности на свои данные и контроль над ними, который осуществляется с помощью простых, эффективных, оптимизированных для облака инструментов, которые помогают им управлять всем жизненным циклом конфиденциальных данных клиентов. Клиенты самостоятельно устанавливают место хранения данных и способы их защиты при передаче и хранении и управляют доступом к своим информационным системам на базе AWS. Этот контроль осуществляется эксклюзивно.

Для того чтобы обеспечить надлежащую защиту информации в области уголовной юстиции (CJI) и соответствие требованиям Политики безопасности CJIS, необходимо использовать определенные механизмы контроля безопасности, гарантирующие предоставление доступа к CJI только уполномоченным лицам. Принцип минимальных привилегий представляет собой один из краеугольных камней Политики безопасности CJIS. В его основе лежит стандарт «служебной необходимости и права на получение информации». Клиенты AWS могут использовать принцип минимальных привилегий для безопасного шифрования своих данных CJI и предоставления исключительного доступа к CJI лицам, имеющим доступ к ключам шифрования. Клиенты получают сервисы и инструменты AWS, такие как Сервис управления ключами AWS (AWS KMS) и Система AWS Nitro, которые позволяют агентствам и доверенным партнерам сохранять полный контроль над данными в области уголовной юстиции и право на владение ими.

AWS KMS использует аппаратные модули защиты (HSM), которые проверены в соответствии с FIPS 140-2 и позволяют клиентам создавать собственные главные ключи клиента для шифрования, владеть ими и управлять ими. Эти ключи никогда не покидают пределы аппаратных модулей безопасности сервиса AWS KMS, соответствующих требованиям FIPS, в незашифрованном виде и не передаются персоналу AWS.

AWS Nitro System использует специальное оборудование и серверы, спроектированные исключительно для работы с гипервизором виртуальных вычислений, поэтому в них отсутствуют все ненужные порты, компоненты и возможности традиционных серверов. Модель безопасности AWS Nitro System, основанная на функции блокировки, ограничивает административный доступ, исключая возможность человеческой ошибки и подделки данных. Также клиенты могут выбрать AWS Nitro Enclaves, в которых не реализовано постоянное хранилище, интерактивный доступ и внешний сетевой функционал для создания изолированных компьютерных сред для улучшения защиты и безопасной обработки конфиденциальных данных.

Эти технологические преимущества AWS Nitro System и AWS Key Management Service с использованием аппаратных модулей защиты, проверенных в соответствии с FIPS 140-2, в качестве симметричных ключей шифрования устраняют необходимость применения традиционного метода физической защиты и фоновых проверок для разрешения доступа отдельных пользователей к незашифрованным CJI. Традиционный подход обеспечивает минимальное соответствие требованиям Политики безопасности CJIS, однако он не сравнится с уровнем безопасности, которого можно достичь с помощью надежных методик шифрования и развертывания принципов «минимальных привилегий», позволяющих предоставлять доступ к CJI только лицам, которых испытывают служебную необходимость, имеют право на получение информации или соответствующее явно выраженное разрешение. Это позволяет клиентам и поставщикам приложений создавать решения, благодаря которым сотрудникам AWS не требуется физический и логический доступ к CJI и устройствам, которые хранят, обрабатывают и передают CJI.