CJIS-Sicherheitsrichtlinie für Strafjustizinformationsservices

CJIS-Sicherheitsrichtlinie für Strafjustizinformationsservices

Die Strafjustizinformationsservices (CJIS) Division des US-amerikanischen Federal Bureau of Investigation (FBI) ermöglicht staatlichen, lokalen und bundesstaatlichen Strafverfolgungs- und Strafrechtsbehörden den Zugriff auf strafjustizielle Informationen (CJI) wie zum Beispiel Fingerabdruckdatensätze und kriminelle Vorgeschichten. Die Strafverfolgungsbehörden und andere Regierungsstellen in den Vereinigten Staaten müssen sicherstellen, dass die Nutzung von Cloud-Diensten zur Übertragung, Speicherung oder Verarbeitung von CJI den Vorgaben der CJIS-Sicherheitsrichtlinie entspricht. Diese Richtlinie legt Mindestsicherheitsanforderungen und -kontrollen fest, um CJI zu schützen.

CJIS-Überblick

Die CJIS-Sicherheitsrichtlinie integriert Präsidenten- und FBI-Direktiven, Bundesgesetze und Entscheidungen des Beirats für strafjustizielle Politik der Strafjustizgemeinschaft sowie die Leitlinien des National Institute of Standards and Technology (NIST). Die Richtlinie wird regelmäßig aktualisiert, um den sich entwickelnden Sicherheitsanforderungen gerecht zu werden.

Die CJIS-Sicherheitsrichtlinie definiert 13 Bereiche, die private Auftragnehmer wie Cloud-Service-Anbieter bewerten müssen, um festzustellen, ob die Nutzung ihrer Cloud-Dienste mit den CJIS-Anforderungen vereinbar ist. Diese Bereiche korrespondieren eng mit NIST 800-53, das auch die Grundlage für das Federal Risk and Authorization Management Program (FedRAMP) bildet, ein Programm, unter dem Microsoft für seine Government Cloud-Angebote zertifiziert ist.

Zusätzlich müssen alle privaten Auftragnehmer, die CJI verarbeiten, das CJIS-Sicherheitsergänzungsdokument unterzeichnen. Dieses einheitliche Abkommen, das vom Generalstaatsanwalt der USA genehmigt wurde, gewährleistet die Sicherheit und Vertraulichkeit der CJI gemäß der Sicherheitsrichtlinie. Es verpflichtet den Auftragnehmer auch dazu, ein Sicherheitsprogramm zu betreiben, das mit Bundes- und Landesgesetzen, -verordnungen und -standards übereinstimmt, und beschränkt die Nutzung der CJI auf die Zwecke, für die sie von einer Regierungsbehörde bereitgestellt wurde.

LESEN  Die besten E-Roller im Vergleich: Modelle und Tipps rund um das Zweirad

Microsoft und die CJIS-Sicherheitsrichtlinie

Microsoft unterzeichnet das CJIS-Sicherheitsergänzungsdokument in den Bundesstaaten mit CJIS-Informationsvereinbarungen. Diese Vereinbarungen informieren diejenigen staatlichen Strafverfolgungsbehörden, die für die Einhaltung der CJIS-Sicherheitsrichtlinie verantwortlich sind, darüber, wie die Cloud-Sicherheitskontrollen von Microsoft den gesamten Lebenszyklus von Daten schützen und eine angemessene Sicherheitsüberprüfung des mit CJI zugangsberechtigten Betriebspersonals gewährleisten. Microsoft arbeitet weiterhin mit den Bundesstaaten zusammen, um CJIS-Informationsvereinbarungen abzuschließen.

Microsoft hat die operationellen Richtlinien und Verfahren von Microsoft Azure Government, Microsoft Office 365 U.S. Government und Microsoft Dynamics 365 U.S. Government bewertet und wird in den entsprechenden Dienstleistungsvereinbarungen ihre Fähigkeit bestätigen, den Anforderungen des FBI für die Nutzung der in-scope-Dienste zu entsprechen.

Erfahren Sie mehr über die Vorteile der CJIS-Sicherheitsrichtlinie in der Microsoft Cloud: Lesen Sie, wie Genetec kriminelle Ermittlungen geklärt hat.

Microsoft Cloud-Plattformen und -Dienste im Fokus

  • Azure Government
  • Dynamics 365 U.S. Government
  • Office 365 U.S. Government
  • Power BI-Cloud-Dienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365-Markenplans oder einer Suite

Azure, Dynamics 365 und CJIS

Weitere Informationen zu Azure, Dynamics 365 und anderen Online-Diensten finden Sie im Azure CJIS-Angebot.

Office 365 und CJIS

Office 365-Umgebungen

Microsoft Office 365 ist eine Cloud-Plattform in hyperskalierter Multi-Tenant-Umgebung und bietet integrierte Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung stehen. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region festzulegen, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenredundanz in andere Regionen innerhalb des gleichen geografischen Gebiets replizieren (zum Beispiel in den Vereinigten Staaten), repliziert jedoch keine Kundendaten außerhalb der gewählten geografischen Region.

Dieser Abschnitt behandelt die folgenden Office 365-Umgebungen:

  • Client-Software (Client): kommerzielle Client-Software, die auf Kunden-Geräten ausgeführt wird.
  • Office 365 (Commercial): der kommerzielle öffentliche Office 365-Cloud-Dienst, der weltweit verfügbar ist.
  • Office 365 Government Community Cloud (GCC): der Office 365 GCC-Cloud-Dienst steht US-Bundesstaaten, -Gemeinden und -Tribes sowie Auftragnehmern, die Daten im Auftrag der US-Regierung halten oder verarbeiten, zur Verfügung.
  • Office 365 Government Community Cloud – High (GCC High): der Office 365 GCC High-Cloud-Dienst wurde gemäß den Sicherheitsanforderungen des Verteidigungsministeriums (DoD) auf Basis der Kontrollen auf Stufe 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und Regierungsauftragnehmern genutzt.
  • Office 365 DoD (DoD): der Office 365 DoD-Cloud-Dienst wurde gemäß den Sicherheitsanforderungen des Verteidigungsministeriums (DoD) auf Basis der Kontrollen auf Stufe 5 entwickelt und erfüllt strenge Anforderungen für Bundes- und Verteidigungsregulationen. Diese Umgebung darf ausschließlich vom US-Verteidigungsministerium genutzt werden.
LESEN  Die besten In-Ear-Kopfhörer mit Kabel

Dieser Abschnitt hilft Ihnen, Ihre Compliance-Verpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen in diesem Abschnitt stellen keine rechtliche Beratung dar, und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Vorschriften in Ihrer Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und In-Scope-Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit In-Scope-Dienste GCC
Azure Active Directory Compliance Manager Delve
Exchange Online Forms etc.

Office 365-Audits, Berichte und Zertifikate

Das FBI bietet keine Zertifizierung für die Einhaltung der CJIS-Anforderungen durch Microsoft an. Stattdessen enthält das Abkommen zwischen Microsoft und der CJIS-Behörde eines Bundesstaates bzw. zwischen Microsoft und seinen Kunden eine Erklärung von Microsoft. Microsoft bietet Kunden auch ausführliche Sicherheits-, Datenschutz- und Compliance-Informationen an. Kunden können auch Sicherheits- und Compliance-Berichte von unabhängigen Prüfern einsehen, um zu überprüfen, ob Microsoft Sicherheitskontrollen (wie ISO 27001) implementiert hat, die für den entsprechenden Prüfungsumfang angemessen sind.

  • Microsoft CJIS Cloud-Anforderungen

CJIS-Status in den USA (Stand 11.08.2022)

45 Bundesstaaten und der District of Columbia mit Verwaltungsvereinbarungen (grün auf der Karte) umfassen:

Alabama, Alaska, Arizona, Arkansas, Kalifornien, Colorado, Connecticut, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, North Carolina, North Dakota, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin und der District of Columbia.

Das Engagement von Microsoft, die geltenden CJIS-regulatorischen Kontrollen zu erfüllen, ermöglicht es Strafjustizorganisationen, cloudbasierte Lösungen zu implementieren und die Vorgaben der CJIS-Sicherheitsrichtlinie V5.9 einzuhalten.

LESEN  Die smarte Ecksofa-Lösung: Lionore

Häufig gestellte Fragen

Wo kann ich Compliance-Informationen anfordern?
Wenden Sie sich an Ihren Microsoft-Kundenbetreuer, um Informationen zu der von Ihnen interessierten Zuständigkeit zu erhalten. Kontaktieren Sie cjis@microsoft.com, um Informationen darüber zu erhalten, welche Dienste derzeit in welchen Bundesstaaten verfügbar sind.

Wie stellt Microsoft nach, dass seine Cloud-Dienste die Einhaltung der Anforderungen meines Bundesstaates ermöglichen?
Microsoft schließt eine Informationsvereinbarung mit einer Landesbehörde für CJIS-Systeme (CSA) ab. Eine Kopie können Sie über die CSA Ihres Bundesstaates anfordern. Darüber hinaus stellt Microsoft Kunden umfangreiche Sicherheits-, Datenschutz- und Compliance-Informationen zur Verfügung. Kunden können auch Sicherheits- und Compliance-Berichte von unabhängigen Prüfern einsehen, um sicherzustellen, dass Microsoft Sicherheitskontrollen (wie ISO 27001) implementiert hat, die für den relevanten Prüfungsumfang angemessen sind.

Wo fange ich mit den Compliance-Bemühungen meiner Behörde an?
Die CJIS-Sicherheitsrichtlinie legt die Vorsichtsmaßnahmen fest, die Ihre Behörde zum Schutz von CJI treffen muss. Darüber hinaus kann Ihr Microsoft-Kundenbetreuer Ihnen Personen vermitteln, die mit den Anforderungen Ihrer Zuständigkeit vertraut sind.

Verwenden Sie Microsoft Purview Compliance Manager, um Ihr Risiko zu bewerten

Microsoft Purview Compliance Manager ist eine Funktion im Microsoft Purview-Compliance-Portal, mit der Sie die Compliance-Position Ihrer Organisation verstehen und Maßnahmen zur Risikominderung ergreifen können. Compliance Manager bietet eine Premium-Vorlage für den Aufbau einer Bewertung für diese Richtlinie. Finden Sie die Vorlage auf der Seite “Bewertungsvorlagen” in Compliance Manager. Erfahren Sie, wie Sie Bewertungen in Compliance Manager erstellen.

Ressourcen

  • Criminal Justice Information Services
  • CJIS-Sicherheitsrichtlinie
  • Microsoft Common Controls Hub Compliance Framework
  • Microsoft Government Cloud
  • Compliance im Microsoft Trust Center

Anja Zimmermann