Politique de sécurité des services d’information sur la justice pénale (CJIS)

Vue d’ensemble de CJIS

La Division des services d’information sur la justice pénale (CJIS) du Federal Bureau of Investigation (FBI) des États-Unis donne aux organismes d’application de la loi et de justice pénale (CJI) des États, locaux et fédéraux l’accès aux informations sur la justice pénale (CJI), par exemple les dossiers d’empreintes digitales et les antécédents criminels. L’application de la loi et d’autres organismes gouvernementaux dans le États-Unis doivent s’assurer que leur utilisation des services cloud pour la transmission, le stockage ou le traitement de CJI est conforme à la politique de sécurité CJIS, qui établit des exigences de sécurité minimales et des contrôles pour protéger CJI.

La politique de sécurité du CJIS intègre les directives présidentielles et le FBI, les lois fédérales et les décisions du Conseil consultatif de la communauté de la justice pénale, ainsi que des conseils du National Institute of Standards and Technology (NIST). La stratégie est régulièrement mise à jour pour refléter l’évolution des exigences de sécurité.

La stratégie de sécurité CJIS définit 13 domaines que les entrepreneurs privés tels que les fournisseurs de services cloud doivent évaluer pour déterminer si leur utilisation des services cloud peut être cohérente avec les exigences CJIS. Ces domaines correspondent étroitement à NIST 800-53, qui est également la base du Programme fédéral de gestion des risques et des autorisations (FedRAMP), un programme sous lequel Microsoft a été certifié pour ses offres Cloud public.

En outre, tous les entrepreneurs privés qui traitent CJI doivent signer le CJIS Security Addendum, un accord uniforme approuvé par le procureur général des États-Unis qui permet de garantir la sécurité et la confidentialité de CJI requis par la politique de sécurité. Il engage également l’entrepreneur à maintenir un programme de sécurité conforme aux lois, règlements et normes fédéraux et d’État, et limite l’utilisation de cJI aux fins pour lesquelles un organisme gouvernemental l’a fourni.

Stratégie de sécurité Microsoft et CJIS

Microsoft signe l’addendum de sécurité CJIS dans les états avec des contrats d’informations CJIS. Ceux-ci indiquent aux autorités d’application de la loi d’État responsables de la conformité à la stratégie de sécurité CJIS comment les contrôles de sécurité cloud de Microsoft aident à protéger le cycle de vie complet des données et à garantir un filtrage en arrière-plan approprié du personnel d’exploitation ayant accès à CJI. Microsoft continue de travailler avec les gouvernements des États pour conclure des contrats d’information CJIS.

Microsoft a évalué les stratégies et procédures opérationnelles de Microsoft Azure Government, de Microsoft Office 365 gouvernement des États-Unis et de Microsoft Dynamics 365 U.S. Government, et attestera de leur capacité dans les contrats de services applicables à répondre aux exigences du FBI en matière d’utilisation de services dans l’étendue.

En savoir plus sur les avantages de la stratégie de sécurité CJIS sur le cloud Microsoft : Découvrez comment Genetec a effacé les enquêtes criminelles

Services de plateformes & cloud microsoft dans l’étendue

  • Azure Government
  • Dynamics 365 U.S. Government
  • Office 365 gouvernement des États-Unis
  • Service Cloud Power BI soit en service autonome, soit inclus dans un plan ou une suite Office 365

Azure, Dynamics 365 et CJIS

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure CJIS.

Office 365 et CJIS

environnements Office 365

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section décrit les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
GCC Azure Active Directory, Gestionnaire de conformité, Delve, Exchange Online, Forms, Microsoft Defender pour Office 365, Microsoft Teams, MyAnalytics, Conformité avancée Office 365 module complémentaire, Office 365 & Security Compliance Center, Office Online, Office Pro Plus, OneDrive Entreprise, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype Entreprise, Stream

Audits, rapports et certificats Office 365

Le FBI n’offre pas de certification de la conformité de Microsoft aux exigences CJIS. Au lieu de cela, une attestation Microsoft est incluse dans les contrats entre Microsoft et l’autorité CJIS d’un état, et entre Microsoft et ses clients.

Configuration cloud requise pour Microsoft CJIS

État CJIS dans le États-Unis (en date du 11/08/2022)

45 États et le district de Columbia avec des accords de gestion, mis en évidence sur la carte en vert, sont les suivants :

Alabama, Alaska, Arizona, Arkansas, Californie, Colorado, Connecticut, Floride, Géorgie, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Maine, Maryland, Massachusetts, Michigan, Minnesota, Mississippi, Missouri, Montana, Montana, Nevada, New Hampshire, New Jersey, New Mexico, New York, Caroline du Nord, Dakota du Nord, Oklahoma, Oregon, Pennsylvanie, États-Unis, Caroline du Sud, Tennessee, Texas, Utah, Vermont, Virginie, Washington, Virginie Ouest, Wisconsin, et le district de Columbia.

L’engagement de Microsoft à respecter les contrôles réglementaires CJIS applicables permet aux organisations de justice pénale d’implémenter des solutions cloud et d’être conformes à la stratégie de sécurité CJIS V5.9.

Questions fréquemment posées

Où puis-je demander des informations de conformité ?

Contactez votre représentant de compte Microsoft pour obtenir des informations sur la juridiction qui vous intéresse. Contactez-nous cjis@microsoft.com pour obtenir des informations sur les services actuellement disponibles dans quels états.

Comment Microsoft démontre-t-il que ses services cloud permettent la conformité aux exigences de mon état ?

Microsoft signe un contrat d’information avec une agence CJIS Systems Agency (CSA) d’état; vous pouvez demander une copie auprès du CSA de votre état. En outre, Microsoft fournit aux clients des informations détaillées sur la sécurité, la confidentialité et la conformité. Les clients peuvent également examiner les rapports de sécurité et de conformité préparés par des auditeurs indépendants afin de vérifier que Microsoft a implémenté des contrôles de sécurité (tels que ISO 27001) appropriés à l’étendue d’audit appropriée.

Par où commencer l’effort de conformité de mon agence ?

La stratégie de sécurité CJIS couvre les précautions que votre agence doit prendre pour protéger CJI. En outre, votre représentant de compte Microsoft peut vous mettre en contact avec ceux qui connaissent les exigences de votre juridiction

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organisation et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.

Ressources