Поделиться через


Политика безопасности информационных служб уголовного правосудия (CJIS)

Общие сведения о CJIS

Отдел информационных служб уголовного правосудия (CJIS) Федерального бюро расследований США (ФБР) предоставляет государственным, местным и федеральным правоохранительным органам и учреждениям уголовного правосудия доступ к информации по уголовному правосудию (CJI). CJI включает, например, записи отпечатков пальцев и криминальные истории. Правоохранительные органы и другие государственные органы в США должны гарантировать, что использование ими облачных служб для передачи, хранения или обработки CJI соответствует политике безопасности CJI, которая устанавливает минимальные требования к безопасности и средства контроля для защиты CJI.

Политика безопасности CJIS интегрирует президентские директивы и директивы ФБР, федеральные законы и решения Консультативного совета по политике сообщества уголовного правосудия, а также руководство Национального института стандартов и технологий (NIST). Политика периодически обновляется с учетом меняющихся требований к безопасности.

Политика безопасности CJIS определяет 13 областей, которые частные подрядчики, такие как поставщики облачных служб, должны оценить, чтобы определить, может ли их использование облачных служб соответствовать требованиям CJIS. Эти области тесно соответствуют NIST 800-53, который также является основой для Федеральной программы управления рисками и авторизацией (FedRAMP), в рамках которой корпорация Майкрософт была сертифицирована для своих облачных предложений для государственных организаций.

Кроме того, все частные подрядчики, обрабатывающие CJI, должны подписать дополнение к безопасности CJIS, единообразное соглашение, утвержденное Генеральным прокурором США, которое помогает обеспечить безопасность и конфиденциальность CJI, требуемые политикой безопасности. Он также обязывает подрядчика поддерживать программу безопасности, соответствующую федеральным законам и законам штата, нормативным актам и стандартам, и ограничивает использование CJI целями, для которых правительственные учреждения предоставили ее.

Политика безопасности Майкрософт и CJIS

Корпорация Майкрософт подписывает надстройку по безопасности CJIS в штатах с помощью соглашений cJIS Information. Они сообщают правоохранительным органам штата, ответственным за соответствие политике безопасности CJIS, как средства управления безопасностью облака Майкрософт помогают защитить весь жизненный цикл данных и обеспечить надлежащий фоновый скрининг операционного персонала с доступом к CJI. Корпорация Майкрософт продолжает сотрудничать с правительствами штатов, чтобы заключить информационные соглашения CJIS.

Корпорация Майкрософт оценила операционные политики и процедуры Microsoft Azure для государственных организаций, Microsoft Office 365 правительства США и Microsoft Dynamics 365 правительства США, и засвидетельствует их способность в применимых соглашениях об услугах соответствовать требованиям ФБР по использованию in- службы область.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure для государственных организаций
  • Dynamics 365 правительства США
  • Office 365 правительства США
  • Облачная служба Power BI в составе плана или набора Office 365 для государственных организаций Community Cloud

Azure, Dynamics 365 и CJIS

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия см. в разделе Предложение Azure CJIS.

Office 365 и CJIS

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
GCC Microsoft Entra ID, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics Office 365 Advanced Compliance надстройка Центр соответствия требованиям & безопасности Office 365, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream

Аудит, отчеты и сертификаты Office 365

ФБР не предлагает сертификацию майкрософт на соответствие требованиям CJIS. Вместо этого аттестация Майкрософт включается в соглашения между корпорацией Майкрософт и центром CJIS штата, а также между корпорацией Майкрософт и ее клиентами.

Состояние CJIS в США (текущее состояние на 27 сентября 2024 г.)

Существуют соглашения об управлении CJIS, охватывающие учреждения уголовного правосудия в 47 штатах и округе Колумбия:

Алабама, Аляска, Аризона, Арканзас, Калифорния, Колорадо, Коннектикут, Флорида, Джорджия, Гавайи, Айдахо, Иллинойс, Индиана, Айова, Канзас, Кентукки, Луизиана, Мэн, Мэриленд, Массачусетс, Мичиган, Миннесота, Миссисипи, Миссури, Монтана, Небраска, Невада, Нью-Гемпшир, Нью-Джерси, Нью-Мексико, Нью-Йорк, Северная Каролина, Северная Дакота, Огайо, Оклахома, Орегон, Пенсильвания, Род-Айленд, Южная Каролина, Теннесси, Техас, Юта, Вермонт, Вирджиния, Вашингтон, Западная Вирджиния, Висконсин, и округ Колумбия.

Обязательство корпорации Майкрософт соблюдать применимые нормативные меры контроля CJIS позволяет организациям уголовного правосудия реализовывать облачные решения и соответствовать политике безопасности CJIS версии 5.9.5.

Вопросы и ответы

Где можно запросить сведения о соответствии?

Обратитесь к представителю учетной записи Майкрософт для получения сведений о интересующей вас юрисдикции. Обратитесь cjis@microsoft.com за информацией о том, какие службы в настоящее время доступны в каких состояниях.

Как корпорация Майкрософт демонстрирует, что ее облачные службы обеспечивают соответствие требованиям моего штата?

Корпорация Майкрософт подписывает информационное соглашение с государственным агентством по системам CJIS (CSA); вы можете запросить копию из CSA вашего штата. Кроме того, корпорация Майкрософт предоставляет клиентам подробные сведения о безопасности, конфиденциальности и соответствии требованиям. Клиенты также могут просматривать отчеты о безопасности и соответствии требованиям, подготовленные независимыми аудиторами, чтобы убедиться, что корпорация Майкрософт реализовала средства управления безопасностью (например, ISO 27001), соответствующие соответствующим область аудита.

С чего начать работу моего агентства по обеспечению соответствия требованиям?

Политика безопасности CJIS охватывает меры предосторожности, которые ваше агентство должно принять для защиты CJI. Кроме того, ваш представитель учетной записи Майкрософт может связаться с теми, кто знаком с требованиями вашей юрисдикции.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы