Criminal Justice Information Services (CJIS)

Divisi Criminal Justice Information Services (CJIS) Biro Investigasi Federal AS (FBI) memberikan panduan kepada lembaga federal, negara bagian, lokal, dan suku mengenai cara melindungi informasi peradilan pidana (CJI) saat menggunakan penyedia layanan cloud (CSP) seperti Google Cloud.

Pelanggan dapat mematuhi v6.0 dari Kebijakan Keamanan CJIS di Google Cloud dengan memanfaatkan Batas Data melalui Assured Workloads dan Assured Controls untuk Google Workspace.

Pengantar CJIS

Divisi CJIS FBI mengawasi banyak database nasional yang dimanfaatkan oleh Lembaga Peradilan Pidana (CJA) di seluruh negeri. Sebagian besar data yang disimpan dalam database ini dianggap sebagai Informasi Peradilan Pidana (CJI), dan tunduk pada perlindungan dari penggunaan dan pelepasan yang tidak sah. Kebijakan Keamanan CJIS (“CJISSECPOL”), yang diterbitkan oleh Divisi CJIS FBI, memberikan serangkaian persyaratan keamanan minimum untuk melindungi dan mengamankan CJI.

FBI juga menyediakan Dokumen Pendamping Persyaratan yang menyoroti perubahan terbaru pada Kebijakan Keamanan CJIS dan membantu mengidentifikasi peran dan tanggung jawab keamanan untuk entitas yang mengakses CJI. Meskipun CJA yang mengakses CJI selalu bertanggung jawab untuk memastikan kepatuhan CJIS, Dokumen Pendamping Persyaratan memandu CJA dalam menentukan siapa saja (misalnya, Divisi CJIS FBI, CJA, Penyedia Layanan, dll.) yang memiliki kemampuan teknis untuk memastikan persyaratan tertentu terpenuhi.

Pelanggan dapat menggunakan Batas Data melalui Assured Workloads dan Assured Controls untuk Google Workspace untuk mematuhi v6.0 dari Kebijakan Keamanan CJIS. Kepatuhan Google Cloud terhadap v6.0 telah dinilai dan divalidasi secara independen oleh Coalfire, Organisasi Penilaian Pihak Ketiga (3PAO). Kami juga telah menyediakan Panduan Penerapan CJIS untuk menyederhanakan kepatuhan pelanggan terhadap v6.0 dari CJIS. Informasi kepatuhan tambahan juga dapat diberikan atas permintaan untuk menunjukkan bagaimana Google Cloud memenuhi persyaratan CJISSECPOL yang berlaku untuk Penyedia Layanan Cloud.

Google Cloud juga menghadiri pertemuan Dewan Pengarah Kebijakan CJIS dan meninjau versi baru Kebijakan Keamanan CJIS dan Dokumen Pendamping Persyaratan untuk memastikan bahwa kebijakan dan prosedur kami mematuhi setiap perubahan.

Google Cloud dan Kepatuhan CJIS

Google Cloud

Batas Data melalui Assured Workloads Google Cloud memberikan pendekatan modern bagi pelanggan untuk mematuhi v6.0 dari Kebijakan Keamanan CJIS dan memungkinkan kepatuhan terhadap framework tambahan seperti FedRAMP High dan IL2/IL4/IL5 dari Departemen Pertahanan Amerika Serikat.

Batas Data melalui Assured Workloads menggunakan pendekatan zero-trust dan berbasis software untuk kepatuhan terhadap peraturan. Solusi ini membantu pelanggan memenuhi persyaratan kepatuhan cloud pemerintah yang ketat, sekaligus memberikan manfaat performa, skala, ketersediaan layanan, biaya, dan keandalan yang tidak bisa didapatkan oleh pelanggan saat menggunakan arsitektur cloud yang terpisah secara fisik. Pelanggan sektor publik dan lembaga peradilan pidana (CJA) dapat memanfaatkan Batas Data melalui Assured Workloads untuk memproses, menyimpan, dan mengirimkan CJI di lingkungan Google Cloud mereka dan dapat mengisi formulir ini untuk meminta uji coba gratis.

Batas Data melalui Assured Workloads menyederhanakan keamanan dan kepatuhan untuk penegak hukum negara bagian, lokal, suku, dan federal (dan pengguna CJI lainnya yang menangani peradilan pidana atau non-pidana) dengan:

Menetapkan kontrol lokasi data untuk membatasi workload CJIS ke region khusus AS (“residensi data”)
Membatasi akses tanpa pengawalan ke CJI yang tidak dienkripsi bagi orang Amerika Serikat yang berada di Amerika Serikat yang telah menyelesaikan pemeriksaan latar belakang berbasis sidik jari oleh CJIS Systems Agency (CSA) atau CJA negara bagian
Mengaktifkan penggunaan kunci enkripsi yang dikelola pelanggan (CMEK), yang dihosting di Google Cloud atau menggunakan External Key Manager
Memungkinkan pelanggan mendapatkan kontrol dan visibilitas atas akses administratif
Terus memantau lingkungan pelanggan terhadap pelanggaran kepatuhan

Google Workspace

Assured Controls untuk Google Workspace memungkinkan organisasi memenuhi persyaratan organisasi dan kepatuhan, baik yang melibatkan pembatasan akses personel Google ke data pelanggan, atau memastikan bahwa lokasi data pelanggan dibatasi di Amerika Serikat.

Pelanggan yang ingin men-deploy solusi CJIS menggunakan Google Workspace dapat menggunakan Assured Controls untuk menetapkan kebijakan yang sesuai dengan Kebijakan Keamanan CJIS. Panduan konfigurasi untuk solusi CJIS di Google Workspace dapat ditemukan di sini.

Penyaringan Personel Google dan CJIS

Pelanggan di 50 negara bagian dan DC dapat dengan yakin menghosting atau memigrasikan aplikasi CJIS ke Google Cloud, karena percaya akan kemampuan kami untuk mendukung implementasi pelanggan dan menunjukkan kepatuhan terhadap Kebijakan Keamanan CJIS.

Personel Google Cloud yang tercakup CJIS telah diperiksa di negara bagian berikut yang mendukung pemeriksaan terpusat - Alabama, Alaska, Colorado, Delaware, Florida, Georgia, Hawaii, Idaho, Indiana, Kansas, Kentucky, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, North Carolina, North Dakota, Oklahoma, Pennsylvania, Tennessee, Utah, Washington, West Virginia, dan Wyoming.

Personel kami siap menjalani pemeriksaan latar belakang di semua negara bagian lainnya. Untuk mempelajari lebih lanjut cara personel kami dapat diperiksa di negara bagian yang tidak tercantum di atas, hubungi CSA negara bagian Anda atau cjis@google.com.

Layanan Google Cloud yang berada dalam cakupan untuk CJIS

Google Cloud

Access Context Manager

Transparansi Akses

AlloyDB untuk PostgreSQL

Apigee

Artifact Registry

Pencadangan untuk GKE

BigQuery

BigQuery Data Transfer Service

Bigtable

Certificate Authority Service

Cloud External Key Manager (Cloud EKM)

Cloud HSM

Cloud Identity

Cloud Interconnect

Cloud Key Management Service

Cloud NAT (Penafsiran Alamat Jaringan)

Agen Percakapan (Dialogflow CX)

Dataflow

Dataform

Katalog Universal Dataplex

Aturan Keamanan Firebase

Firestore

AI Generatif di Vertex AI

Google Kubernetes Engine

Identity and Access Management

Identity-Aware Proxy

Infrastructure Manager

Looker (Google Cloud core)

Memorystore for Redis

Network Connectivity Center

Organization Policy Service

Secure Source Manager

Sensitive Data Protection

Mesh Layanan

Spanner

Speech-to-Text

Storage Transfer Service

Text-to-Speech

Vertex AI Search

Vertex AI Workbench

Virtual Private Cloud

Kontrol Layanan VPC

Web Risk

Google Workspace

FAQ

Bagaimana Google menunjukkan bahwa layanan cloud-nya memungkinkan kepatuhan terhadap Kebijakan Keamanan CJIS?

Organisasi penilaian pihak ketiga independen baru-baru ini mengevaluasi kontrol keamanan Google Cloud dan menemukan bahwa Google Cloud berhasil mendukung kepatuhan terhadap Kebijakan v6.0 dari Keamanan CJIS.

Jika diminta oleh pelanggan atau CJIS System Agency (CSA) negara bagian, Google Cloud akan melaksanakan Perjanjian Pengelolaan yang memberikan informasi mendetail kepada pelanggan tentang cara Google Cloud mendukung kepatuhan terhadap Kebijakan Keamanan CJIS, tanggung jawab setiap pihak, layanan cloud mana yang dicakup, dan banyak ketentuan penting lainnya. Anda dapat meminta salinan Perjanjian Pengelolaan CJIS Google Cloud dengan mengirim email ke cjis@google.com.

Tim kepatuhan Google Cloud juga dapat memberikan narasi kepatuhan mendetail yang menunjukkan bagaimana Google Cloud memenuhi persyaratan CJISSECPOL yang berlaku untuk Penyedia Layanan Cloud.

Bisakah Google Cloud membatasi workload CJIS ke pusat data khusus AS?

Ya. Google Cloud memungkinkan pelanggan untuk membatasi workload CJIS ke region khusus AS melalui Assured Workloads dan Assured Controls. Google akan menyimpan data Anda dalam penyimpanan sesuai dengan Persyaratan Khusus Layanan kami.

Bagaimana cara Google memastikan bahwa hanya staf yang berwenang yang dapat mendukung CJI?

Google bekerja sama dengan CSA negara bagian (atau lembaga lokal) untuk memastikan personel Google yang mungkin memiliki akses tanpa pengawalan ke CJI negara bagian yang tidak dienkripsi menjalani pemeriksaan latar belakang berbasis sidik jari yang konsisten dengan Kebijakan Keamanan CJIS. Personel Google yang memenuhi syarat akan menyerahkan kartu sidik jari FD-258, bersama dengan dokumentasi yang diperlukan, kepada setiap CSA atau lembaga lokal.

Proses ini memastikan bahwa personel dalam cakupan akan diberikan akses tanpa pengawalan ke CJI yang tidak dienkripsi hanya setelah menyelesaikan pemeriksaan latar belakang berbasis sidik jari, menyelesaikan pelatihan Kesadaran Keamanan CJIS, dan menandatangani Adendum Keamanan CJIS.

Bagaimana cara Google memastikan data saya terlindungi?

Google telah menerapkan zero-trust sebagai inti dari layanan dan operasi kami. Infrastruktur kami tidak mengasumsikan adanya kepercayaan antara layanan yang berjalan di atas infrastruktur tersebut. Dengan kata lain, setiap permintaan akses resource diperiksa, diautentikasi, dan diverifikasi seolah-olah berasal dari jaringan yang tidak tepercaya.

Lingkungan pelanggan dalam Google Cloud juga dipisahkan secara logis untuk mencegah pengguna dan pelanggan mengakses resource yang tidak ditugaskan kepadanya. Data pelanggan (termasuk CJI) dipisahkan secara logis berdasarkan domain agar data dapat dihasilkan untuk satu tenant. Kemampuan Google Cloud untuk melindungi data pelanggan dengan cara ini, sekaligus memungkinkan pengembangan fitur yang lebih cepat dan menghemat biaya pelanggan, menjadikannya pilihan yang lebih baik bagi pelanggan pemerintah.

Apakah Google mematuhi persyaratan enkripsi dari Kebijakan Keamanan CJIS?

Ya, Google Cloud menggunakan modul enkripsi tervalidasi FIPS 140-3 yang disebut BoringCrypto (sertifikat 4735) di lingkungan produksi kami. Google Cloud mengenkripsi semua konten pelanggan yang terdapat dalam penyimpanan serta yang sedang dalam pengiriman di antara fasilitas kami, tanpa perlu tindakan apa pun dari pelanggan, dengan menggunakan satu atau beberapa mekanisme enkripsi.

Dengan begitu, pelanggan dapat menjaga kepatuhan terhadap Kebijakan Keamanan CJIS saat memilih dari berbagai penawaran Cloud Key Management, seperti Kunci yang Dikelola Google, Kunci Enkripsi yang Dikelola Pelanggan, dan Pengelolaan Kunci Eksternal. Karena Google Cloud menggunakan level enkripsi ini secara default untuk data dalam penyimpanan dan dalam pengiriman, pelanggan dapat mewarisi enkripsi tervalidasi FIPS 140-3 dan menghilangkan persyaratan untuk menjalankan produk dan layanan dalam mode FIPS.

Apakah CJIS memerlukan Confidential Computing diperlukan?

Tidak. Karena Google menyediakan kunci enkripsi yang dikelola pelanggan dan membatasi akses tanpa pengawalan ke CJI tanpa enkripsi bagi personel dalam cakupan CJIS yang telah dipilih dengan tepat, confidential computing tidak diperlukan untuk CJIS di Google Cloud. Namun, pelanggan dapat memilih untuk menggunakan confidential computing pada Batas Data CJIS yang aman dan terbatas.

Apakah CJIS memerlukan Cloud Pemerintah?

Kebijakan Keamanan CJIS tidak mengharuskan penggunaan Cloud Pemerintah (‘GovCloud’) dan tidak ada definisi dalam Kebijakan Keamanan CJIS atau standar terkait apa yang dimaksud dengan GovCloud. Batas Data CJIS Google Cloud mendukung kepatuhan pelanggan terhadap Kebijakan Keamanan CJIS dan kepatuhan Google Cloud telah divalidasi oleh organisasi penilaian pihak ketiga independen dan sejumlah CSA negara bagian.

Google telah berinvestasi dalam pendekatan keamanan berlapis pada infrastruktur cloud publiknya, dengan menyediakan fitur-fitur seperti enkripsi dan kontrol akses data personel yang kuat. Hal ini, bersama dengan penerapan zero-trust yang dijelaskan di atas, memberikan postur keamanan kuat yang diperlukan untuk memenuhi persyaratan ketat Kebijakan Keamanan CJIS sekaligus memungkinkan pelanggan memanfaatkan inovasi produk cloud publik yang sedang berlangsung.

Penerapan kontrol yang disebutkan di atas (dan banyak lainnya) oleh Google mematuhi persyaratan FedRAMP Moderate dan FedRAMP High serta telah diakui oleh Dewan Otorisasi Bersama (JAB).

Kami melihat validasi pendekatan kami dalam Memo Office of Management and Budget (OMB) M-24-15 (‘Modernizing the Federal Risk and Authorization Management Program (FedRAMP)’), yang merekomendasikan agar lembaga-lembaga federal beralih dari arsitektur GovCloud yang terisolasi:

“FedRAMP tidak boleh memberikan insentif atau mewajibkan penyedia cloud komersial untuk membuat penawaran khusus yang terpisah untuk penggunaan Federal, baik melalui penerapan framework keamanan Federal maupun operasi program lainnya. Pemerintah Federal mendapatkan manfaat dari investasi, pemeliharaan keamanan, dan pengembangan fitur yang cepat yang diberikan oleh penyedia cloud komersial pada produk inti mereka untuk meraih kesuksesan di pasar. Penyedia komersial juga didorong untuk mengintegrasikan praktik keamanan yang ditingkatkan kualitasnya dari interaksi mereka dengan FedRAMP ke dalam layanan inti mereka, sehingga menguntungkan semua pelanggan.”

Setelah data saya ada di Google Cloud, apakah saya masih memiliki kepemilikan atas data tersebut?

Ya, pelanggan Google Cloud memiliki data pelanggan mereka saat menggunakan Google Cloud atau Google Workspace. Baca Adendum Pemrosesan Data Cloud (CDPA) dan Pusat Referensi Privasi kami untuk mengetahui detail tentang komitmen pemrosesan data kami.