Servicios de Información de la Justicia Criminal (CJIS)
La División de Servicios de Información de la Justicia Criminal (CJIS) de la Oficina Federal de Investigación (FBI) de EE.UU. proporciona a agencias federales, estatales y locales información sobre cómo proteger la información de la justicia penal (CJI) cuando usan proveedores de servicios en la nube (CSP), como Google Cloud.
Google Cloud ofrece controles de seguridad para proteger y almacenar CJI a través de Assured Workloads para Google Cloud y Assured Controls para Google Workspace. Las agencias de orden público pueden lograr el cumplimiento de la Política de seguridad de CJIS implementando estos controles para los servicios de Google Cloud que se encuentran dentro del alcance.
Cumplimiento de CJIS de Google
La Oficina del Programa de CJIS del FBI publicó varios artefactos que proporcionan una guía específica para proteger el CJI. El documento principal es la Política de Seguridad CJIS del FBI, en la que se detalla un conjunto mínimo de requisitos de seguridad que se deben cumplir para proteger el CJI.
El FBI también proporciona una asignación de los requisitos de CJIS a los controles de seguridad que se encuentran en la revisión 4 de NIST SP 800-53.
Todos los servicios de Google Cloud que admiten CJIS pueden cumplir con los requisitos necesarios para protegerla. Google también recibió certificaciones de un evaluador independiente de terceros que confirma el cumplimiento de los controles de NIST 800-53 incluidos en la asignación del FBI.
Comunícate con el equipo de Ventas de Google Cloud mediante nuestro formulario de contacto para obtener más información sobre el cumplimiento de CJIS de Google.
Funciones de CJIS de Google
Los servicios con alcance de CJIS disponibles a través de Assured Workloads y Assured Controls implementan controles de seguridad CJIS y permiten que los clientes usen las capacidades de Google Cloud y Google Workspace para satisfacer sus necesidades comerciales.
Las agencias de justicia y las autoridades penales estatales, locales y federales (y sus contratistas) pueden usar estos servicios para lo siguiente:
- Configurar protecciones para restringir las cargas de trabajo de CJIS a EE.UU.,
- Restringir el personal de asistencia técnica a las personas físicas o jurídicas de EE.UU. ubicadas en ese país y que Google y la agencia CJIS estatales hayan evaluado,
- Aplicar la encriptación que cumple con FIPS-140-2 en reposo y en tránsito
- Usar claves de encriptación administradas por el cliente (CMEK)
- Implementar controles de acceso del personal
- Aplica restricciones de cumplimiento para desarrolladores y segmentación lógica a fin de cumplir con los requisitos de CJIS y mucho más
Si bien todos los empleados de Google Cloud en Estados Unidos están sujetos a la verificación de antecedentes de Google, Google reconoce la sensibilidad de los datos de CJI. Es por eso que Google Cloud trabaja con los clientes a fin de restringir la asistencia técnica para el personal de EE.UU. que completó las verificaciones de antecedentes del FBI basadas en huellas dactilares y las verificaciones de antecedentes penales que exige la CJIS Security Policy.
Los estados también pueden proporcionar su propio proceso de verificación de antecedentes aprobado para mantener a los clientes controlados quién puede admitir CJI.
Actualizaciones clave en la Política de Seguridad CJIS v5.9.1 y v5.9.2
El FBI actualizó la Política de Seguridad CJIS de v5.9.0 a v5.9.2 a finales de 2022. Los cambios se pueden ver en el documento complementario de requisitos publicado por el FBI.
La política más reciente contiene actualizaciones significativas en algunas áreas. En particular, se actualizó la orientación relacionada con la protección de contenido multimedia, la selección de personal, la administración de identidades y accesos, el reconocimiento y la capacitación, y la integridad de la información y el sistema, y ahora está más relacionada con NIST 800- 53 controles.
También hay algunos conceptos erróneos populares sobre estos cambios. El Apéndice G.3 (que ha estado presente en las versiones anteriores de la política) especifica en la Situación 2 que, cuando se desencripta CJI en el entorno de un CSP, cualquier personal administrativo que el acceso al entorno debe estar “sujeto a la capacitación sobre el reconocimiento de la seguridad y a los controles de seguridad del personal, como se describe en la Política de Seguridad de CJIS”. Esto se aplica incluso cuando la agencia de CJIS mantiene el control de las claves de encriptación.
A fin de proporcionar una protección completa a los clientes, Google usa claves de encriptación administradas por el cliente (CMEK) y controles de seguridad para el personal a fin de restringir el acceso de CJI a las personas estadounidenses que se encuentran en EE.UU. con autorización para cumplir con los requisitos de la Política de Seguridad de CJIS.