Термин «данные уголовной юстиции» (CJI) относится к информации, которая предоставляется Информационной службой уголовной юстиции (CJIS) ФБР и является необходимой при выполнении правоохранительными структурами своих задач и обеспечения соблюдения законов, например биометрические данные, история правонарушений, данные о физических лицах, организациях, имуществе и хронологические данные по делу/инциденту. CJI также означает данные, необходимые гражданским организациям для выполнения своих задач, в том числе данные, используемые для принятия решений о найме на работу.

CJIS Compliance on AWS

CJIS Workbook for AWS

Политика и требования безопасности CJIS (далее «Политика») является подтверждением общей ответственности Информационной службы уголовной юстиции (CJIS) ФБР, Агентства по системам CJIS (CSA) и Бюро идентификации штатов (SIB) в отношении законного использования и соответствующей защиты данных уголовной юстиции (далее «CJI»). Политика обеспечивает базовые требования к безопасности для текущих и запланированных сервисов и устанавливает минимальный стандарт для новых инициатив. Следуя требованиям Политики, мы выполняем наши обязанности поставщика облачных сервисов и предоставляем нашим клиентам возможность обеспечить соответствие требованиям CJIS в отношении ИТ-среды в AWS.

Да. Чтобы удовлетворить потребности клиентов CJIS, облачная инфраструктура AWS была создана как одна из самых гибких и защищенных сред для облачных вычислений. Клиенты могут развертывать приложения, данные и сервисы, которые будут полностью соответствовать требованиям Политики безопасности CJIS.

Практическое руководство AWS по политике безопасности CJIS

Аналогично нашим прочим структурам соблюдения соответствия, Политика CJIS основана на общей ответственности AWS и наших клиентов. Использование облачных сервисов, выстроенных в соответствии с требованиями безопасности CJIS, не означает по умолчанию, что на вашу среду распространяются средства обеспечения безопасности поставщика услуг. При использовании AWS во всех случаях необходимо:

• изучить требования Политики и выявить, какие из них непосредственно применимы к вашей среде;
• внедрить решения (по необходимости) для выполнения каждого из таких требований;
• оценить и проверить такие решения в контексте применимых требований контроля;
• отправить вашу документацию CJIS с использованием Практического руководства CJIS для AWS вашей организации-клиенту для изучения и официальной авторизации CJIS.

Наконец, существует несколько основных положений поддержки рабочих процессов CJIS клиента.

• Безопасность находится в сфере общей ответственности: поскольку AWS не управляет средой или данными клиента, вы несете ответственность за выполнение применимых требований Политики безопасности CJIS в вашей среде AWS дополнительно к обеспечению требований безопасности в инфраструктуре силами AWS.
• Критически важным является шифрование хранимых данных – и AWS предоставляет несколько ключевых ресурсов, которые помогут вам реализовать это необходимое решение. AWS стремится предоставить все необходимое для реализации решений по обеспечению безопасности, начиная c архитекторов решений, которые всегда готовы помочь вам, и заканчивая техническим описанием технологии шифрования хранимых данных.
• Вопросы, связанные с требованиями Политики безопасности CJIS, применимыми к инфраструктуре AWS, решаются непосредственно в AWS. Поскольку AWS предоставляет автономную платформу, полностью управляемую клиентами, AWS не подчиняется Политике безопасности CJIS напрямую. Тем не менее, чтобы удовлетворить потребности наших клиентов, мы постоянно стремимся поддерживать безопасность в облаке на уровне мировых стандартов и обеспечивать соответствие необходимым требованиям. Соответствие AWS применимым требованиям CJIS подтверждается программами, применяющими оценку сторонними организациями (например, Федеральной программой управления рисками и авторизацией (FedRAMP)), включая выездные проверки центра обработки данных организацией, аккредитованной FedRAMP.
• Следуя принципам общей ответственности, AWS предоставляет Практическое руководство по политике безопасности CJIS (в формате шаблона плана обеспечения безопасности системы), привязанное к областям Политики CJIS. Данное Практическое руководство помогает клиентам вести документацию по выполнению ими требований CJIS наряду с решениями AWS для каждого требования (включая руководство по отправке документа на проверку и утверждение). Данное Практическое руководство доступно для клиентов.
  
• AWS предоставляет многочисленные встроенные возможности обеспечения безопасности в целях поддержки рабочих процессов CJIS:
  безопасный доступ с использованием сервиса AWS Identity and Access Management (IAM) с многофакторной аутентификацией;
  хранение данных на носителях, зашифрованных средствами, предоставляемыми AWS или поддерживаемыми клиентом;
  ведение логов и мониторинг с помощью ведения логов в сервисах S3, AWS CloudTrail, Amazon CloudWatchи AWS Trusted Advisor;
  централизованное управление ключами под контролем клиента в сервисах AWS CloudHSM и AWS Key Management Service (KMS).
  

В отличие от многих программ обеспечения соответствия требованиям, которые поддерживает AWS, для CJIS не существует ни центрального регулирующего органа, ни аккредитованного объединения независимых оценщиков, ни стандартизированного подхода к оценке для определения соответствия того или иного решения требованиям CJIS. Проще говоря, нет стандартизированного решения, соответствующего требованиям CJIS, которое бы применялось во всехправоохранительных органах.

Вместо этогокаждая правоохранительная организация, предоставляющая разрешения CJIS, анализирует решения согласно собственным стандартам допустимых рисков, определяющим, какие аспекты могут считаться соответствующими требованиям CJIS. Разрешения, полученные в одном штате, не принимаются в другом штате (и даже в пределах одного штата); поставщики вынуждены предоставлять решения на анализ каждому уполномоченному представителю организации, при этом возможно повторное снятие отпечатков пальцев, проведение проверок и выполнение прочих требований, действующих в прочих штатах/юрисдикциях.

Каждое разрешение представляет собой соглашение с конкретной организацией, и оно повторно заключается в каждом местном правоохранительном органе. Платформа AWS не претендует на большее, чем позволяют ее возможности, и поэтому мы не делаем громких заявлений о полном соответствии требованиям CJIS. Несмотря на то что отдельный штат или организация могут решить, что AWS соответствует требованиям CJIS в контексте их целей, не существует единой сертификации CJIS, которая бы применялась во всех отделениях всех правоохранительных органов.

Разумеется. У нас есть несколько решений от наших партнеров, которые обеспечивают сбор, передачу, управление и обмен электронными доказательствами (например, видео- и аудиофайлами), имеющими отношение к взаимодействию с правоохранительными органами. AWS также работает с партнерами, предоставляющими услуги выдачи электронных ордеров, с помощью которых в электронном виде создаются, высылаются на утверждение и на месте выдаются ордеры в правоохранительных органах разных штатов, округов и городов. Кроме того, AWS помогает правоохранительным органам управлять полицейскими видеоматериалами, имеющими отношение к демонстрациям, публичным собраниям и действиям полиции в целом, чтобы обеспечить прозрачность с помощью общественных порталов, укрепляя доверие к работе правоохранительных органов.