Criminal Justice Information Services (CJIS)

Обзор

CJIS_Logo

Сервисы AWS поддерживают требования CJIS для клиентов за счет соответствия разделам Политики CJIS. Инфраструктура и сервисы AWS были проанализированы федеральными и региональными правоохранительными органами, которые подтвердили пригодность AWS для поддержки клиентских рабочих нагрузок в соответствии с требованиями CJIS.

Многие клиенты, работающие с конфиденциальными данными (в т. ч. правоохранительные органы, финансовые учреждения и организации сферы здравоохранения), с уверенностью развертывают рабочие нагрузки в регионе AWS GovCloud (США), поскольку этот регион специально предназначен для обеспечения соответствия уникальным требованиям, связанным с конфиденциальными приложениями. Помимо программ предоставления гарантий, которые доступны для всех коммерческих регионов, регион AWS GovCloud (США) позволяет клиентам муниципального, регионального и федерального уровней обеспечить соответствие требованиям ITAR, FedRAMP/FISMA High и DoD SRG Impact Level 2, 4 и 5.

Правоохранительные органы, являющиеся нашими клиентами (и их партнеры, управляющие данными уголовной юстиции), используют преимущества сервисов AWS, чтобы существенно повысить надежность и защиту данных уголовной юстиции, используя продвинутые сервисы и возможности обеспечения безопасности AWS, например:

  • ведение журнала (AWS CloudTrail);
  • шифрование передаваемых и хранимых данных (шифрованием на стороне сервера в Amazon S3 с возможностью использования собственного ключа);
  • полное управление ключами и их защита (AWS Key Management Service и CloudHSM);
  • интегрированное управление разрешениями (сервис IAM для управления федеративной идентификацией, многофакторная аутентификация).
  • Что такое данные уголовной юстиции?

    Термин «данные уголовной юстиции» (CJI) обозначает информацию, необходимую при выполнении правоохранительными структурами своих задач и обеспечении соблюдения законов, например биометрические данные, история правонарушений, данные о физических лицах, организациях, имуществе и хронологические данные по делу/инциденту. CJI также включает данные, необходимые гражданским организациям для выполнения своих задач, в том числе данные, используемые для принятия решений о приеме на работу.

  • Что такое Политика безопасности CJIS?

    Политика безопасности CJIS (далее «Политика») отражает схему распределения ответственности между Информационной службой уголовной юстиции (CJIS) ФБР, Агентством по системам CJIS (CSA) и Бюро идентификации штатов (SIB) в отношении законного использования и соответствующей защиты данных уголовной юстиции (CJI). В Политике определены базовые требования к безопасности существующих и запланированных сервисов и установлены минимальные стандарты для новых инициатив. Следуя требованиям Политики, мы выполняем наши обязанности поставщика облачных сервисов и предоставляем нашим клиентам возможность обеспечить соответствие требованиям CJIS в отношении ИТ-среды в AWS.

  • Можно ли использовать сервисы AWS для данных CJIS?

    Да. Облачная инфраструктура AWS разрабатывалась как одна из самых гибких и защищенных сред для облачных вычислений, и потому способна удовлетворить потребности клиентов CJIS. Клиенты могут развертывать приложения, данные и сервисы в полном соответствии с требованиями Политики безопасности CJIS. 

  • Что необходимо учитывать при разработке на AWS приложений и сервисов, соответствующих требованиям CJIS?

    Аналогично нашим прочим платформам соответствия требованиям, Политика безопасности CJIS использует модель общей ответственности AWS и наших клиентов. Подробнее см. на странице Модель общей ответственности AWS.

    Пользование услугами поставщика облачных сервисов, соблюдающего требования безопасности CJIS, не означает, что созданная среда автоматически будет соответствовать уровню обеспечения безопасности поставщика услуг. При использовании AWS клиент обязательно должен:

    • изучить требования Политики безопасности CJIS и выявить, какие из них непосредственно применимы к созданной среде;
    • внедрить решения (по мере необходимости) для выполнения каждого из таких требований;
    • оценить и проверить такие решения в контексте применимых требований контроля;
    • отправить документацию CJIS с использованием Практического руководства CJIS для AWS организации-клиенту для изучения и официальной авторизации CJIS.

    Наконец, существует несколько основных положений поддержки рабочих процессов CJIS клиента.

    • Безопасность является общей ответственностью: AWS не управляет средой или данными клиента, поэтому за выполнение применимых требований Политики безопасности CJIS в созданной среде AWS клиент несет ответственность самостоятельно. AWS управляет соблюдением требований безопасности только в пределах инфраструктуры AWS.
    • Шифрование данных при хранении имеет принципиальное значение. AWS предоставляет несколько ресурсов для содействия в реализации этого важного подхода, включая помощь архитекторов решений, а также техническое описание «Шифрование данных при хранении».
    • Требования Политики безопасности CJIS, применимые к инфраструктуре AWS, внедряет непосредственно AWS. AWS предоставляет клиентам платформу для самостоятельного использования и управления. При таком подходе требования Политики безопасности CJIS не относятся к AWS напрямую. Однако чтобы удовлетворить потребности наших клиентов, мы постоянно стремимся поддерживать безопасность в облаке на уровне мировых стандартов и обеспечивать соответствие требованиям. Соответствие AWS применимым требованиям CJIS подтверждается программами, применяющими оценку сторонними организациями, например Федеральной программой управления рисками и авторизацией (FedRAMP), которая включает выездные проверки центров обработки данных независимой организацией, аккредитованной FedRAMP.
    • Следуя модели общей ответственности, AWS предоставляет практическое руководство по соблюдению Политики безопасности CJIS (в формате шаблона плана по обеспечению безопасности системы), согласованное с разделами Политики CJIS. Данное практическое руководство помогает клиентам вести документацию по реализации требований CJIS и предлагает решения AWS для каждого требования (включая руководство по отправке документа на проверку и утверждение). См. Практическое руководство по соответствию требованиям CJIS и электронную таблицу.
    • AWS предоставляет многочисленные встроенные возможности обеспечения безопасности для поддержки рабочих процессов CJIS:
  • Каким образом определяется соответствие требованиям CJIS?

    Для CJIS не существует ни центрального регулирующего органа, ни списка аккредитованных независимых оценщиков, ни стандартизированного подхода к оценке для определения соответствия того или иного решения требованиям CJIS. Не существует стандартизированного решения, которое соответствовало бы требованиям CJIS и подходило бы для всех правоохранительных структур. Вместо этого каждая правоохранительная организация, предоставляющая разрешения CJIS, анализирует решения согласно собственным стандартам, определяющим, какие аспекты могут считаться соответствующими требованиям CJIS. Разрешения, полученные в одном штате, не принимаются в другом штате (или даже в пределах одного штата); поставщики вынуждены предоставлять решения на анализ каждому уполномоченному представителю организации, при этом возможно повторное снятие отпечатков пальцев, проведение проверок и выполнение прочих требований, действующих в других штатах или под другой юрисдикцией.

    Каждое разрешение представляет собой соглашение с конкретной организацией, и оно повторно заключается в каждом местном правоохранительном органе. AWS не стремится преувеличивать свои возможности, и поэтому мы не делаем громких заявлений о полном соответствии требованиям CJIS. Несмотря на то что отдельный штат или организация могут решить, что AWS соответствует требованиям CJIS в контексте их целей, не существует единой сертификации CJIS, которая бы принималась во всех подразделениях всех правоохранительных органов.

  • Существуют ли клиенты, использующие платформу AWS для данных CJIS?

    Да. Например, у нас есть несколько решений от наших партнеров, имеющих отношение к взаимодействию с правоохранительными органами. Эти решения обеспечивают сбор и передачу электронных улик (например, видео- и аудиофайлов), а также управление и обмен ими. AWS также работает с партнерами, предоставляющими услуги выдачи электронных ордеров, с помощью которых в электронном виде создаются, высылаются на утверждение и на месте выдаются ордеры в правоохранительных органах разных штатов, округов и городов. Кроме того, AWS помогает правоохранительным органам управлять полицейскими видеоматериалами, имеющими отношение к демонстрациям, публичным собраниям и действиям полиции в целом. Такие материалы с помощью общедоступных порталов помогают обеспечивать прозрачность, укрепляя доверие к работе правоохранительных органов.

compliance-contactus-icon
Есть вопросы? Свяжитесь с представителем AWS по соответствию требованиям
Ищете работу в сфере соответствия требованиям?
Подайте заявку сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следите за новостями в Twitter »