Divisi Criminal Justice Information Services (CJIS) Biro Investigasi Federal AS (FBI) memberikan panduan kepada lembaga federal, negara bagian, dan lokal mengenai cara melindungi informasi peradilan pidana (CJI) saat menggunakan penyedia layanan cloud (CSP) seperti Google Cloud.
Google Cloud menawarkan kontrol keamanan untuk melindungi dan menyimpan CJI melalui Assured Workloads untuk Google Cloud dan Assured Controls untuk Google Workspace. Lembaga penegak hukum dapat mematuhi Kebijakan Keamanan CJIS dengan menerapkan kontrol ini untuk layanan Google Cloud dalam cakupan.
Kantor Program CJIS FBI telah menerbitkan banyak artefak yang memberikan panduan untuk melindungi CJI. Dokumen utama, Kebijakan Keamanan CJIS FBI, menjelaskan serangkaian persyaratan keamanan minimum yang harus dipenuhi untuk melindungi dan mengamankan CJI. FBI juga menyediakan pemetaan persyaratan CJIS ke kontrol keamanan yang ada di NIST SP 800-53.
Pelanggan Google Cloud Platform dan Google Workspace dapat menggunakan Assured Workloads dan Assured Controls untuk mematuhi Kebijakan Keamanan CJIS. Hubungi tim penjualan Google Cloud melalui formulir kontak kami untuk mempelajari kepatuhan terhadap CJIS Google lebih lanjut.
Investasi Google Cloud yang sangat mengutamakan keamanan untuk infrastruktur kami memastikan bahwa kontrol keamanan sudah terintegrasi dan dikonfigurasikan sebelumnya untuk memungkinkan pelanggan mencapai berbagai tingkat kepatuhan tanpa arsitektur cloud pemerintah tradisional yang terisolasi.
Pelanggan yang ingin men-deploy solusi CJIS menggunakan Google Cloud dapat menggunakan Assured Workloads untuk mematuhi Kebijakan Keamanan CJIS. Dengan Assured Workloads, pelanggan dapat dengan yakin mengamankan dan mengonfigurasi workload yang sensitif guna mendukung persyaratan kepatuhan dan keamanan untuk menggunakan layanan Google Cloud. Software ini tidak bergantung pada infrastruktur fisik yang berbeda dengan pusat data cloud publiknya, dan justru memberikan Software Defined Community Cloud dengan keunggulan biaya, kecepatan, dan inovasi.
Assured Workloads juga menyediakan visibilitas terhadap status kepatuhan workload FedRAMP melalui Assured Workloads Monitoring. Alat ini dapat membantu Anda menemukan dan memperbaiki pelanggaran terhadap kepatuhan, serta menyediakan pengesahan kontrol kepada auditor atas status kepatuhan Anda.
Selain kontrol yang dipenuhi oleh infrastruktur Google Cloud, lembaga penegak hukum negara bagian, lokal, dan federal (serta kontraktornya) dapat menggunakan Assured Workloads untuk:
Assured Controls untuk Google Workspace memungkinkan organisasi untuk memenuhi persyaratan organisasi dan kepatuhan, baik yang melibatkan pembatasan akses personel Google ke data pelanggan, atau menentukan lokasi penyimpanan data pelanggan.
Pelanggan yang ingin men-deploy solusi CJIS menggunakan Google Workspace dapat menggunakan Assured Controls untuk menetapkan kebijakan yang sesuai dengan Kebijakan Keamanan CJIS. Panduan konfigurasi untuk solusi CJIS di Google Workspace dapat ditemukan di sini.
Selain kontrol yang dipenuhi oleh infrastruktur Google Workspace, lembaga penegak hukum negara bagian, lokal, dan federal serta lembaga peradilan pidana (dan kontraktornya) dapat menggunakan Assured Controls untuk:
Entitas yang menangani CJI (seperti Google Cloud) harus menyetujui Adendum Keamanan CJIS dengan Negara Bagian yang ingin menggunakan layanan entitas tersebut untuk melindungi CJI. Adendum ini adalah template perjanjian yang disetujui oleh Jaksa Agung Amerika Serikat yang memberikan informasi mendetail kepada pelanggan tentang cara Google Cloud memenuhi Kebijakan Keamanan CJIS, tanggung jawab setiap pihak, layanan cloud mana yang dicakup, dan ketentuan penting lainnya.
Hubungi tim penjualan Google Cloud Platform di negara bagian Anda melalui formulir kontak kami untuk memulai proses dan mendapatkan akses ke Adendum Keamanan Google Cloud CJIS.
Google menandatangani Adendum Keamanan CJIS dengan CJIS Systems Agency (CSA) atau Petugas Keamanan CJIS (CSO) negara bagian; Anda dapat meminta salinan dari Google atau CSA atau CSO negara bagian Anda.
Selain itu, Google memberi pelanggan CJIS narasi kontrol komprehensif yang menjelaskan cara Google Cloud membantu pelanggan memenuhi kontrol teknis yang dipetakan FBI yang diperlukan untuk mematuhi CJIS.
Hubungi [email protected] untuk mendapatkan salinan pemetaan CJIS Google.
Di negara bagian di mana karyawan Google mungkin memiliki akses tanpa pengawasan ke CJI yang tidak terenkripsi, Google bekerja sama dengan setiap otoritas negara bagian untuk memastikan personel yang mungkin memiliki akses tanpa pengawasan ke CJI yang tidak terenkripsi di negara bagian tersebut menjalani pemeriksaan latar belakang CJIS di negara bagian tersebut (sebagai tambahan dari laporan riwayat kriminal nasional FBI). Personel Google yang memenuhi syarat akan menyerahkan kartu sidik jari FD-258, bersama dengan dokumentasi yang diperlukan, kepada setiap pihak berwenang.
Proses ini memastikan bahwa personel yang berwenang akan diberikan akses tanpa pengawasan hanya setelah menyelesaikan pemeriksaan latar belakang dan pelatihan kesadaran keamanan CJIS.
Tidak - karena Google menyediakan kunci enkripsi yang dikelola pelanggan dan kontrol akses data personel yang membatasi akses CJI, confidential computing tidak diperlukan untuk CJIS di Google Cloud.
Namun, pelanggan masih dapat menggunakan confidential computing sebagai kontrol keamanan tambahan di samping lingkungan yang aman dan terbatas yang ditawarkan Google untuk pelanggan CJIS.
Ya. Pelanggan dapat mengonfigurasi sumber daya di lokasi AS, untuk layanan kunci enkripsi kami, dan Google akan menyimpan data Anda hanya di wilayah yang dipilih sesuai dengan Persyaratan Khusus Layanan kami.
Google Cloud menggunakan modul enkripsi tervalidasi FIPS 140-2 (lihat halaman kepatuhan FIPS 140-2) yang disebut BoringCrypto (sertifikat 3678) di lingkungan produksi kami. Ini berarti bahwa data dalam pengiriman (ke pelanggan dan antara pusat data) dan data dalam penyimpanan dienkripsi secara default menggunakan enkripsi tervalidasi FIPS 140-2.
Modul yang mencapai validasi FIPS 140-2 adalah bagian dari library BoringSSL kami. Dengan begitu, pelanggan dapat menjaga kepatuhan terhadap FIPS saat memilih dari berbagai penawaran Cloud Key Management, seperti Kunci yang Dikelola Google, Kunci Enkripsi yang Dikelola Pelanggan, dan Pengelolaan Kunci Eksternal. Karena Google Cloud menggunakan level enkripsi ini secara default untuk data dalam penyimpanan dan dalam pengiriman, pelanggan dapat mewarisi enkripsi FIPS 140-2 dan menghilangkan persyaratan untuk menjalankan produk dan layanan dalam mode FIPS.
Google telah berinvestasi dalam pendekatan keamanan berlapis pada infrastruktur cloud publiknya, dengan menyediakan fitur-fitur seperti enkripsi dan kontrol akses data personel yang kuat. Hal ini memberikan postur keamanan kuat yang diperlukan untuk memenuhi persyaratan ketat Kebijakan Keamanan CJIS sekaligus memungkinkan pelanggan memanfaatkan inovasi produk cloud publik yang sedang berlangsung.
Penerapan kontrol yang disebutkan di atas (dan banyak lainnya) oleh Google mematuhi persyaratan FedRAMP Moderate dan FedRAMP High serta telah diakui oleh Joint Authorization Board (JAB).
Mulailah membangun solusi di Google Cloud dengan kredit gratis senilai $300 dan lebih dari 20 produk yang selalu gratis.