La division Criminal Justice Information Services (CJIS) de l'US Federal Bureau of Investigation (FBI) dispense des conseils aux autorités fédérales, gouvernementales et locales sur la protection des informations liées à la justice pénale (CJI) lors de l'utilisation de fournisseurs de services cloud (FSC), comme Google Cloud.
Google Cloud fournit des contrôles de sécurité pour protéger et stocker les données CJI via Assured Workloads pour Google Cloud et Assured Controls pour Google Workspace. Les organismes chargés de l'application des lois peuvent se conformer à la politique de sécurité du CJIS en appliquant ces contrôles pour les services Google Cloud concernés.
Le bureau du programme Criminal Justice Information Services (CJIS) du FBI a publié de nombreux artefacts fournissant des conseils spécifiques pour la protection des informations judiciaires criminelles (CJI). Le document principal, la politique de sécurité de la division CJIS du FBI, détaille un ensemble minimal d'exigences de sécurité à respecter pour protéger les CJI. Le FBI fournit également un tableau de correspondance entre les exigences de la division CJIS et les contrôles de sécurité stipulés par la norme SP 800-53 publiée par le NIST.
Les clients Google Cloud Platform et Google Workspace peuvent utiliser les produits Assured Workloads et Assured Controls pour assurer leur conformité avec la politique de sécurité de la division CJIS. Contactez l'équipe commerciale de Google Cloud via notre formulaire de contact pour en savoir plus sur la conformité de Google avec la division CJIS.
L'investissement de Google Cloud dans la sécurité par défaut pour notre infrastructure garantit l'intégration et la préconfiguration de contrôles de sécurité, pour permettre aux administrations publiques d'atteindre différents niveaux de conformité sans avoir recours à une architecture cloud traditionnelle isolée.
Les clients qui souhaitent déployer des solutions CJIS à l'aide de Google Cloud peuvent utiliser le produit Assured Workloads pour assurer leur conformité avec la politique de sécurité de la division CJIS. Assured Workloads permet aux clients de sécuriser et de configurer en toute confiance des charges de travail sensibles, afin de satisfaire aux exigences de conformité et de sécurité à l'aide des services Google Cloud. Ce produit ne repose pas sur une infrastructure physique distincte des centres de données de cloud public, mais propose plutôt un cloud communautaire défini par logiciel offrant de multiples avantages en termes de coûts, de rapidité et d'innovation.
Assured Workloads offre également une visibilité sur l'état de conformité des charges de travail CJIS via la surveillance Assured Workloads. Cet outil peut vous aider à détecter et à corriger les cas de non-conformité, et à fournir des attestations de contrôle aux auditeurs qui vérifient votre état de conformité.
En plus des contrôles appliqués à l'infrastructure Google Cloud, Assured Workloads permet aux agences en charge de l'application des lois et de la justice pénale (et leurs prestataires), à l'échelle locale, fédérale et des États, d'effectuer les opérations suivantes :
Assured Controls pour Google Workspace permet aux entreprises de répondre aux exigences organisationnelles et de conformité, qu'il s'agisse de limiter l'accès du personnel Google aux données client ou de déterminer l'emplacement de ces données client au repos.
Les clients qui souhaitent déployer des solutions CJIS à l'aide de Google Workspace peuvent utiliser Assured Controls pour définir des règles conformes à la politique de sécurité de la division CJIS. Cliquez ici pour consulter le guide de configuration des solutions CJIS sur Google Workspace.
En plus des contrôles appliqués à l'infrastructure Google Workspace, Assured Controls permet aux agences en charge de l'application des lois et de la justice pénale (et leurs prestataires), à l'échelle locale, fédérale et des États, d'effectuer les opérations suivantes :
Les entités amenées à manipuler des CJI (comme Google Cloud) doivent remplir un avenant de sécurité établi par la division CJIS, conjointement avec les États qui souhaitent utiliser les services de cette entité, ceci en vue de protéger les CJI. Cet avenant est un modèle de contrat approuvé par le procureur général des États-Unis. Il fournit aux clients des informations détaillées sur la manière dont Google Cloud respecte la politique de sécurité de la division CJIS, sur les responsabilités de chacune des parties, sur les services cloud couverts et sur de nombreuses autres dispositions importantes.
Contactez l'équipe commerciale de Google Cloud Platform de votre État via notre formulaire de contact pour initier la démarche et accéder à un avenant de sécurité CJIS pour Google Cloud.
Google signe l'avenant de sécurité établi par la division CJIS auprès d'une agence de la division CJIS à l'échelle des États, dite CSA (CJIS Systems Agency), ou bien auprès du directeur de la sécurité de la division CJIS. Vous pouvez en demander une copie à Google, ou bien en vous adressant à l'agence CSA de votre État ou au directeur de la sécurité.
En outre, Google fournit aux clients CJIS une documentation complète sur les contrôles effectués, qui décrit comment Google Cloud permet aux clients de se conformer aux contrôles techniques attendus par la législation fédérale, dont la correspondance avec les domaines CJIS a été établie par le FBI, afin de valider la conformité CJIS.
Pour obtenir une copie du tableau de correspondance des domaines CJIS pour Google, veuillez écrire à l'adresse [email protected].
Dans les États où les employés de Google peuvent bénéficier d'un accès sans supervision à des CJI non chiffrées, Google collabore avec l'autorité compétente de chaque État concerné pour s'assurer que le personnel susceptible d'accéder sans supervision aux CJI non chiffrées d'un État soit soumis à la vérification d'antécédents mise en place par la division CJIS dans cet État (en plus du rapport d'antécédents criminels demandé à l'échelle nationale par le FBI). Le personnel concerné de Google fournira à chaque autorité compétente le formulaire d'empreintes digitales FD-258, ainsi que tout document requis.
Cette procédure permet de s'assurer que les membres autorisé du personnel ne vont bénéficier d'un accès sans supervision qu'après avoir effectué la vérification d'antécédents et suivi la formation de sensibilisation à la sécurité de la division CJIS.
Non. Étant donné que Google fournit des clés de chiffrement gérées par le client et des contrôles d'accès aux données du personnel limitant l'accès aux CJI, l'informatique confidentielle n'est pas requise pour assurer la conformité avec la division CJIS sur Google Cloud.
Les clients peuvent néanmoins avoir recours à l'informatique confidentielle en tant que contrôle de sécurité supplémentaire, en plus de l'environnement sécurisé et limité que Google offre aux clients CJIS.
Oui. Les clients peuvent configurer des ressources dans des emplacements situés aux États-Unis, pour nos principaux services, vos données au repos étant alors stockées par Google exclusivement dans la région sélectionnée, conformément aux Conditions spécifiques du service.
Google Cloud utilise dans notre environnement de production un module de chiffrement certifié FIPS 140-2 (voir la page sur la conformité FIPS 140-2), appelé BoringCrypto (certificat 3678). Cela signifie que les données en transit (vers le client et entre les centres de données) comme les données au repos sont sécurisées par défaut à l'aide d'un chiffrement certifié FIPS 140-2.
Le module qui a obtenu cette certification FIPS 140-2 fait partie de notre bibliothèque BoringSSL. Les clients peuvent ainsi conserver leur conformité FIPS tout en choisissant parmi diverses offres de gestion de clés cloud, telles que les clés gérées par Google, les clés de chiffrement gérées par le client et un système externe de gestion de clés. Étant donné que Google Cloud utilise ce niveau de chiffrement par défaut pour les données au repos et les données en transit, les clients peuvent hériter du chiffrement FIPS 140-2 et n'ont plus besoin d'exécuter des produits et services en mode FIPS.
Google a investi dans une approche de sécurité multicouche de son infrastructure cloud publique, en fournissant des fonctionnalités telles que le chiffrement et des contrôles stricts des accès aux données par le personnel. Cela définit une stratégie de sécurité forte, qui permet de satisfaire aux exigences strictes de la politique de sécurité de la division CJIS, tout en permettant aux clients de bénéficier des constantes innovations produit dans le cloud public.
L'implémentation par Google des contrôles mentionnés ci-dessus (et de bien d'autres) est conforme aux exigences de niveau d'impact FedRAMP Modéré et FedRAMP Élevé, du programme FedRAMP (Federal Risk and Authorization Management Program). Elle a été reconnue par la commission Joint Authorization Board (JAB).
Profitez de 300 $ de crédits gratuits et de plus de 20 produits Always Free pour commencer à créer des applications sur Google Cloud.