Использование AWS в информационных решениях в области уголовной юстиции
Обзор
Политика безопасности CJIS очерчивает «надлежащие средства управления для защиты всего жизненного цикла информации в области уголовной юстиции (CJI) при хранении или передаче», независимо от лежащей в основе модели информационной технологии. С помощью решений на базе AWS агентства могут обеспечить защиту своих приложений и данных облаке AWS и управление ими.
AWS предоставляет компоненты, которые могут быть использованы государственными агентствами безопасности и их партнерами по приложениям для создания высокодоступных, надежных и безопасных приложений в соответствии с Политикой безопасности CJIS. Клиенты AWS сохраняют за собой полное право собственности на свои данные и контроль над ними, который осуществляется с помощью простых, эффективных, оптимизированных для облака инструментов, которые помогают им управлять всем жизненным циклом конфиденциальных данных клиентов. Клиенты самостоятельно устанавливают место хранения данных и способы их защиты при передаче и хранении и управляют доступом к своим информационным системам на базе AWS. Этот контроль осуществляется эксклюзивно.
Чтобы обеспечить надлежащую защиту информации в области уголовной юстиции (CJI) и соответствие требованиям Политики безопасности CJIS, необходимо использовать определенные механизмы контроля безопасности, гарантирующие предоставление доступа к CJI только уполномоченным лицам. Принцип минимальных привилегий представляет собой один из краеугольных камней Политики безопасности CJIS. В его основе лежит стандарт «служебной необходимости и права на получение информации». Клиенты AWS могут использовать принцип минимальных привилегий для безопасного шифрования своих данных CJI и предоставления исключительного доступа к CJI лицам, имеющим доступ к ключам шифрования. Клиенты получают сервисы и инструменты AWS, такие как AWS Key Management Service (KMS) и AWS Nitro System, которые позволяют агентствам и доверенным партнерам сохранять полный контроль над данными в области уголовной юстиции и право на владение ими.
AWS KMS использует аппаратные модули защиты (HSM), которые проверены в соответствии с FIPS 140-2 и позволяют клиентам создавать собственные главные ключи клиента для шифрования, владеть ими и управлять ими. Эти ключи никогда не покидают пределы аппаратных модулей безопасности сервиса AWS KMS, соответствующих требованиям FIPS, в незашифрованном виде и не передаются персоналу AWS.
AWS Nitro System использует специальное оборудование и серверы, спроектированные исключительно для работы с гипервизором виртуальных вычислений, поэтому в них отсутствуют все ненужные порты, компоненты и возможности традиционных серверов. Модель безопасности AWS Nitro System, основанная на функции блокировки, ограничивает административный доступ, исключая возможность человеческой ошибки и подделки данных. Также клиенты могут выбрать AWS Nitro Enclaves, в которых не реализовано постоянное хранилище, интерактивный доступ и внешний сетевой функционал для создания изолированных компьютерных сред для улучшения защиты и безопасной обработки конфиденциальных данных.
Эти технологические преимущества AWS Nitro System и AWS Key Management Service с использованием аппаратных модулей защиты, проверенных в соответствии с FIPS 140-2, в качестве симметричных ключей шифрования устраняют необходимость применения традиционного метода физической защиты и фоновых проверок для разрешения доступа отдельных пользователей к незашифрованным CJI. Традиционный подход обеспечивает минимальное соответствие требованиям Политики безопасности CJIS, однако он не сравнится с уровнем безопасности, которого можно достичь с помощью надежных методик шифрования и развертывания принципов «минимальных привилегий», позволяющих предоставлять доступ к CJI только лицам, которых испытывают служебную необходимость, имеют право на получение информации или соответствующее явно выраженное разрешение. Это позволяет клиентам и поставщикам приложений создавать решения, благодаря которым сотрудникам AWS не требуется физический и логический доступ к CJI и устройствам, которые хранят, обрабатывают и передают CJI.
-
Соответствует ли AWS CJIS требованиям?
Для CJIS не существует ни центрального регулирующего органа, ни списка аккредитованных независимых оценщиков, нет также стандартизированного подхода к оценке для определения соответствия того или иного решения требованиям CJIS. AWS помогает клиентам соблюдать требования CJIS.
-
Как клиенту CJIS обеспечить соблюдение требований шифрования данных при их хранении?
Все сервисы AWS, работающие с данными при хранении, поддерживают шифрование данных с параллельными ключами FIPS 197 AES 256 в соответствии с Политикой безопасности CJIS, и клиенты могут управлять собственными ключами шифрования с помощью сервиса AWS Key Management Service (KMS), который использует аппаратные модули защиты (HSM), проверенные в соответствии с FIPS 140-2, и поддерживает адреса, проверенные в соответствии с FIPS 140-2.
-
Как клиенту CJIS обеспечить соблюдение требований шифрования данных при их передаче?
Для оказания поддержки клиентам, соблюдающим криптографические требования FIPS, в регионе AWS GovCloud (США) доступен API, совместимый с FIPS 140-2. AWS позволяет клиентам открывать безопасные зашифрованные сеансы работы с серверами AWS по протоколу HTTPS (Transport Layer Security [TLS]).
-
Отвечают ли сервисы региона GovCloud (США) требованиям к адресам FIPS 140-2?
Список услуг в регионе GovCloud (США), которые на данный момент отвечают требованиям FIPS 140-2 к адресам см. в документации по адресам сервисов.
-
Какова ответственность клиентов относительно обеспечения соответствия требованиям CJIS для сервисов, содержащих компоненты, развернутые в среде клиента (Storage Gateway, Snowball)?
В соответствии с моделью общей ответственности AWS, клиенты должны осуществлять управление локально развернутыми ресурсами, такими как тома дисков Storage Gateway и рабочие станции передачи данных Snowball, в соответствии с требованиями CJIS, в том числе относительно изоляции данных и доступа к ним.
Клиенты должны настроить корзины хранилища S3 для Snowball и Storage Gateway в AWS в соответствии с требованиями CJIS, в том числе обеспечить шифрование данных при хранении.