Sicherheitsrichtlinie für Strafjustizinformationsdienste (Criminal Justice Information Services, CJIS)

CJIS-Übersicht

Die Criminal Justice Information Services (CJIS)-Abteilung des US Federal Bureau of Investigation (FBI) gewährt staatlichen, lokalen und bundesrechtlichen Strafverfolgungs- und Strafjustizbehörden Zugriff auf Informationen zur Strafjustiz (Criminal Justice Information, CJI), z. B. Fingerabdruckaufzeichnungen und Strafgeschichten. Strafverfolgungsbehörden und andere Regierungsbehörden in der USA müssen sicherstellen, dass ihre Verwendung von Clouddiensten für die Übertragung, Speicherung oder Verarbeitung von CJI der CJIS-Sicherheitsrichtlinie entspricht, die Mindestsicherheitsanforderungen und -kontrollen zum Schutz von CJI festlegt.

Die CJIS-Sicherheitsrichtlinie integriert Richtlinien des Präsidenten und des FBI, Bundesgesetze und die Entscheidungen des Advisory Policy Board der Strafjustiz, zusammen mit Anleitungen des National Institute of Standards and Technology (NIST). Die Richtlinie wird regelmäßig aktualisiert, um sich entwickelnde Sicherheitsanforderungen widerzuspiegeln.

Die CJIS-Sicherheitsrichtlinie definiert 13 Bereiche, die private Auftragnehmer wie Clouddienstanbieter bewerten müssen, um festzustellen, ob ihre Verwendung von Clouddiensten mit den CJIS-Anforderungen konsistent sein kann. Diese Bereiche entsprechen NIST 800-53, das auch die Grundlage für das Federal Risk and Authorization Management Program (FedRAMP) ist, einem Programm, unter dem Microsoft für seine Government Cloud-Angebote zertifiziert wurde.

Darüber hinaus müssen alle privaten Auftragnehmer, die CJI verarbeiten, den CJIS-Sicherheitszusatz unterzeichnen, einen einheitlichen Vertrag, der vom GENERALbundesanwalt der USA genehmigt wurde und die Sicherheit und Vertraulichkeit von CJI gewährleistet, die von der Sicherheitsrichtlinie gefordert wird. Außerdem verpflichtet es den Auftragnehmer, ein Sicherheitsprogramm im Einklang mit bundes- und staatlichen Gesetzen, Vorschriften und Standards zu halten, und beschränkt die Verwendung von CJI auf die Zwecke, für die es von einer Regierungsbehörde bereitgestellt wurde.

Microsoft- und CJIS-Sicherheitsrichtlinie

Microsoft signiert den CJIS-Sicherheitszusatzes in Staaten mit CJIS-Informationsvereinbarungen. Diese informieren die staatlichen Strafverfolgungsbehörden, die für die Einhaltung der CJIS-Sicherheitsrichtlinie verantwortlich sind, wie die Cloudsicherheitskontrollen von Microsoft dazu beitragen, den gesamten Lebenszyklus von Daten zu schützen und eine angemessene Hintergrundprüfung des Betriebspersonals mit Zugriff auf CJI sicherzustellen. Microsoft arbeitet weiterhin mit staatlichen Regierungen zusammen, um CJIS-Informationsvereinbarungen abzuschließen.

Microsoft hat die operativen Richtlinien und Verfahren von Microsoft Azure Government, Microsoft Office 365 U.S. Government und Microsoft Dynamics 365 U.S. Government bewertet und wird ihre Fähigkeit in den anwendbaren Serviceverträgen nachweisen, die FBI-Anforderungen für die Verwendung von In-Scope-Diensten zu erfüllen.

Erfahren Sie mehr über die Vorteile der CJIS-Sicherheitsrichtlinie in der Microsoft-Cloud: Lesen Sie, wie Genetec strafrechtliche Ermittlungen bereinigt hat

Microsoft-Dienste für cloudbasierte Plattformen &

  • Azure Government
  • Dynamics 365 U.S. Government
  • Office 365 US-Regierung
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365 Markenplans oder einer Office 365 Suite

Azure, Dynamics 365 und CJIS

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure CJIS-Angebot.

Office 365 und CJIS

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
GCC Azure Active Directory, Compliance-Manager, Delve, Exchange Online, Formulare, Microsoft Defender for Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance-Add-On, Office 365 Security & Compliance Center, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream

Office 365-Audits, -Berichte und -Zertifikate

Das FBI bietet keine Zertifizierung der Microsoft-Compliance mit CJIS-Anforderungen an. Stattdessen ist ein Microsoft-Nachweis in Vereinbarungen zwischen Microsoft und der CJIS-Behörde eines Staates sowie zwischen Microsoft und seinen Kunden enthalten.

Microsoft CJIS-Cloudanforderungen

CJIS-Status im USA (aktuell ab 11.08.2022)

45 Bundesstaaten und der District of Columbia mit Verwaltungsvereinbarungen, die auf der Karte in grün hervorgehoben sind, umfassen:

Alabama, Alaska, Arizona, Arkansas, Kalifornien, Colorado, Ohio, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New Mexico, New York, North Carolina, North Dakota, Utah, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin und der District of Virginia Columbia.

Die Verpflichtung von Microsoft, die geltenden CJIS-Regulierungskontrollen zu erfüllen, ermöglicht es Organisationen der Strafjustiz, cloudbasierte Lösungen zu implementieren und mit der CJIS-Sicherheitsrichtlinie V5.9 kompatibel zu sein.

Häufig gestellte Fragen

Wo kann ich Complianceinformationen anfordern?

Wenden Sie sich an Ihren Microsoft-Kontobeauftragten, um Informationen über die Zuständigkeit zu erhalten, an der Sie interessiert sind. Wenden Sie sich an den Kontakt cjis@microsoft.com , um Informationen darüber zu erhalten, welche Dienste derzeit in welchen Zuständen verfügbar sind.

Wie zeigt Microsoft, dass seine Clouddienste die Einhaltung der Anforderungen meines Staates ermöglichen?

Microsoft unterzeichnet einen Informationsvertrag mit einer staatlichen CJIS Systems Agency (CSA); Sie können eine Kopie aus der CSA Ihres Staates anfordern. Darüber hinaus bietet Microsoft Kunden ausführliche Informationen zu Sicherheit, Datenschutz und Compliance. Kunden können auch Sicherheits- und Complianceberichte überprüfen, die von unabhängigen Prüfern erstellt wurden, um zu überprüfen, ob Microsoft Sicherheitskontrollen (z. B. ISO 27001) implementiert hat, die dem relevanten Überwachungsumfang entsprechen.

Wo beginne ich mit dem Compliance-Aufwand meiner Agentur?

Die CJIS-Sicherheitsrichtlinie deckt die Vorsichtsmaßnahmen ab, die Ihre Agentur zum Schutz von CJI treffen muss. Darüber hinaus kann Ihr Microsoft-Kontobeauftragter Sie mit personen in Verbindung setzen, die mit den Anforderungen Ihrer Gerichtsbarkeit vertraut sind.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature in der Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer Organisation zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen