Criminal Justice Information Services (CJIS)
La División de Servicios de Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de Estados Unidos proporciona a las agencias federales, estatales y locales directrices sobre cómo proteger la información sobre justicia penal (CJI) cuando utilizan proveedores de servicios en la nube (CSP) como Google Cloud.
Google Cloud ofrece controles de seguridad para proteger y almacenar CJI mediante Assured Workloads de Google Cloud y Assured Controls para Google Workspace. Los organismos públicos encargados de velar por el cumplimiento de las leyes pueden cumplir con la política de seguridad del CJIS al implementar estos controles para los servicios de Google Cloud cubiertos por la ley.
Cumplimiento del CJIS de Google
La Oficina del Programa CJIS del FBI ha publicado numerosos artefactos que proporcionan directrices específicas sobre cómo proteger el CJI. El documento principal es la política de seguridad del CJIS del FBI, en la que se detalla un conjunto mínimo de requisitos de seguridad que se deben cumplir para proteger y proteger al CJI.
El FBI también proporciona un mapa de los requisitos del CJIS a los controles de seguridad descritos en la revisión 4 de la NIST SP 800-53.
Todos los servicios de Google Cloud que admiten CJIS cumplen los requisitos necesarios para proteger el CJI. Google también ha recibido atestaciones de un asesor externo independiente que confirma el cumplimiento de los controles NIST 800‐53 incluidos en la asignación del FBI.
Ponte en contacto con el equipo de Ventas de Google Cloud a través de nuestro formulario de contacto para obtener más información sobre el cumplimiento de CJIS de Google.
Funciones del CJIS de Google
Los servicios con ámbito de CJIS disponibles a través de Assured Workloads y de Assured Controls implementan controles de seguridad de CJIS y permiten a los clientes usar las funciones de Google Cloud y Google Workspace para satisfacer sus necesidades empresariales.
Los organismos públicos locales, federales y de justicia penal (y sus contratistas) pueden utilizar estos servicios para lo siguiente:
- Establecer restricciones para restringir las cargas de trabajo de CJIS a EE. UU.
- Restringir el personal de asistencia técnica a personas de EE. UU. que residen en EE. UU. y están verificadas tanto por Google como por la agencia estatal del CJIS.
- Aplicar el encriptado conforme a FIPS‐140‐2 tanto en reposo como en tránsito
- Usar claves de encriptado gestionadas por el cliente (CMEK)
- Implementar controles de acceso del personal
- Aplicar las restricciones de cumplimiento de los desarrolladores y la segmentación lógica para que cumplan los requisitos de CJIS, entre otros.
Aunque todos los empleados de Google Cloud de Estados Unidos están sujetos a comprobaciones de antecedentes de Google, Google reconoce la sensibilidad de los datos del CJI. Por ese motivo, Google Cloud colabora con sus clientes para limitar la asistencia técnica a los empleados de EE. UU. que han superado las comprobaciones de antecedentes del FBI basadas en la huella digital y las comprobaciones de antecedentes penales exigidas por la política de seguridad del CJIS.
Los estados también pueden proporcionar su propio proceso de comprobación de antecedentes aprobado para que los clientes tengan el control sobre quién puede admitir el CJI.
Actualizaciones clave de las políticas de seguridad de CJIS v. 5.9.1 y v. 5.9.2
El FBI actualizó la política de seguridad del CJIS de la versión 5.9.0 a la versión 5.9.2 a finales del 2022. Puedes consultar los cambios en el documento complementario sobre los requisitos, publicado por el FBI.
La política más reciente contiene actualizaciones importantes en algunas áreas. En concreto, se han actualizado las directrices sobre protección de medios, el filtrado de personal, la gestión de identidades y accesos, la concienciación y la formación, así como la integridad del sistema y de la información, y ahora está más relacionada con los controles NIST 800-53.
También hay algunos falsos mitos sobre estos cambios. En el apéndice G.3 (que se ha presente en las versiones anteriores de la política) se especifica en el caso 2 que cuando el CJI se desencripta dentro del entorno de la CSP, el personal administrativo que pueden acceder al entorno y estar "sujetos a formación sobre seguridad y controles de seguridad del personal", tal como se describe en la política de seguridad del CJIS. Esto se aplica incluso cuando la agencia de CJIS mantiene el control de las claves de encriptado.
Para ofrecer una protección completa a los clientes, Google utiliza claves de encriptado gestionadas por el cliente (CMEK) y controles de seguridad del personal para restringir el acceso del CJI a los usuarios ubicados en EE. UU. de Estados Unidos que hayan sido autorizados y cumplan los requisitos de la política de seguridad del CJIS.